Nell’ambito delle modifiche normative sulla conservazione dei documenti informatici attuate da Agid e completate con il Regolamento sui criteri per la fornitura dei servizi di conservazione, è interessante approfondire l’Allegato A del citato Regolamento, con specifica attenzione alle novità introdotte rispetto alla circolare del 2014 che ha abrogato lo stesso.
Si evidenziano anche le analogie tra una serie di requisiti stabiliti nel regolamento in esame e le circolari AgID del 9 aprile 2018 in materia di qualificazione di servizi SaaS per la pubblica amministrazione.
I requisiti generali
Iniziamo a commentare i Requisiti generali:
“RG1. Il servizio di conservazione espone opportune Application Programming Interface (API) di tipo SOAP e/o REST associate alla funzionalità di versamento e esibizione; può documentare eventuali ulteriori API sviluppate nel proprio manuale.”
Questo requisito è simile al Requisito Organizzativo RO3 sui servizi SaaS ma richiama anche il Requisito di Interoperabilità e Portabilità RIP1.
“RG2. Il servizio di conservazione è integrato con il Servizio Pubblico di Identità Digitale o Carta di Identità Elettronica o altre identità digitali europee notificate.”
Questo requisito è analogo al Requisito di Interoperabilità e portabilità RIP2 sui servizi SaaS. Questa modifica è di particolare rilevanza e modifica sul piano tecnologico l’infrastruttura di conservazione che, ad oggi, prevede l’assegnazione di credenziali di accesso al sistema ai fini operativi e non per l’accesso online da parte di cittadini, professioni e imprese. Una ipotesi a supporto di questa novità può essere nella esigenza di favorire l’attuazione dell’articolo 43, comma 1-bis del Codice dell’amministrazione digitale. Peraltro i sistemi di conservazione non sono strutturati per l’accesso diretto online ai documenti da parte di cittadini, professionisti e imprese. Anche questa circostanza richiede modifiche infrastrutturali e tecnologiche con l’introduzione di un servizio basato su sistemi di gestione documentale.
Conservazione, perché il regolamento Agid distrugge il mercato
“RG3. La struttura descrittiva dell’indice del pacchetti di archiviazione del sistema di conservazione è conforme allo standard UNI 11386 Standard SInCRO, Supporto all’Interoperabilità nella Conservazione nel Recupero degli Oggetti digitali”.
Questo requisito non modifica le norme vigenti. La versione aggiornata dello standard che è del 2020, non viene citata nelle norme in quanto è prassi fare riferimento all’ultima versione del documento.
“RG4. Il servizio erogato è conforme al modello di riferimento di riferimento OAIS Reference Model for an Open Archival Information System definito nello standard ISO 14721”.
“RG5. Il servizio erogato è conforme allo standard ISO 16363 Space data and information transfer systems – Audit and certification of trustworthy digital repositories”.
Questi due requisiti sono di complessa applicazione perché decontestualizzati rispetto ai servizi di conservazione. Il primo in quanto specificamente modello di riferimento, il secondo perché non definisce requisiti per i servizi di conservazione, ma individua le modalità con le quali eventualmente certificare gli archivi digitali.
Gli standard ETSI
“RG6. Fino al 31/12/2022, il servizio erogato dovrà essere conforme allo standard ETSI TS 101 533-1, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni. Il requisito del supporto della TS 101 533-1 si considera soddisfatto se il conservatore è conforme alla TS 119 511”.
La specifica ETSI TS 119 511 è intitolata “Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signatures techniques”. Questo documento specializza lo standard ETSI EN 319 401 “Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers” che costituisce la base per la qualifica dei prestatori di servizi fiduciari ai sensi del Regolamento Europeo 910/2014 (eIDAS).
Il successivo requisito RG7 stabilisce questa regola.
“RG7. Il servizio erogato è conforme allo standard ETSI EN 319 401, con l’adozione di criteri derivanti dallo standard ETSI TS 119 511 e da tutte le norme richiamate applicabili”.
Per questi due ultimi requisiti il rischio operativo è nella genericità dei riferimenti alle specifiche che conduce fisiologicamente a differenti interpretazioni nell’applicazione da parte dei conservatori. In tal senso sarebbe decisamente auspicabile un documento analogo alla Lista di riscontro elaborata ai sensi della Circolare AgID 65/2014. Il richiamo a norme comunitarie, comunque potrebbe favorire una adeguata attenzione alla evoluzione in corso del Regolamento eIDAS in materia di archiviazione elettronica.
Il requisito RG8 richiama regole stabilite nelle “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” di AgID.
Le certificazioni e requisiti di qualità e sicurezza
Il requisito RG9 è una novità nel contesto.
“RG9. Il Conservatore deve possedere o deve rappresentare di aver avviato il processo per la certificazione alla norma UNI 37001 riguardo l’anticorruzione policy, ovvero il sistema di gestione per la prevenzione della corruzione”.
La norma citata si referenzia in modo completo come UNI EN ISO 37001 e riguarda i “Sistemi di gestione per la prevenzione della corruzione”. Questo nuovo requisito probabilmente vuole indirizzare in modo netto le imprese verso il modello organizzativo derivante dalla Legge 231/2001.
Per quanto concerne i Requisiti di Qualità da RQ1 a RQ3 si rileva la possibilità offerta dal regolamento di esibire la certificazione ISO 20000 come alternativa alla ISO 9001.
I Requisiti di Sicurezza mantengono regole precedenti per RS1 e RS3. Il requisito RS2 introduce un paio di novità.
“RS2. Il Conservatore sottopone le componenti del sistema di conservazione ai test OWASP avendole sviluppate in applicazione delle linee guida per lo sviluppo del software sicuro nella Pubblica Amministrazione emanate da AgID. Il Conservatore, in aggiunta, può anche sottoporre le componenti ai test VA-PT”. In generale stabilire un requisito come opzione facoltativa è una cosa che lascia perplessi.
L’organizzazione
I Requisiti di Organizzazione rimodulano regole già presenti con qualche novità significativa. Il Requisito RO1 richiede almeno due figure professionali:
- Responsabile servizio di Conservazione;
- Responsabile della funzione archivistica di conservazione.
Questi concetti sono da applicare in coordinamento con il paragrafo 4.3 delle “Linee Guida per la formazione, gestione e conservazione dei documenti informatici” di AgID. Per quanto riguarda gli aspetti aziendali viene eliminato il requisito del capitale sociale minimo di 200.000 euro previsto per l’accreditamento che, come è noto, cessa di esistere dal 1 gennaio 2022. Vengono ribaditi i requisiti assicurativi già disposti per la citata procedura di accreditamento.
Per concludere con i Requisiti Organizzativi del Regolamento è utile sottolineare il requisito RO6.
“RO6. Il Conservatore, in caso di localizzazione dei data center in territorio extra UE, è tenuto ad effettuare una Consultazione preventiva al Garante per la privacy ai sensi dell’articolo 36 del Regolamento (UE) 2016/679 (GDPR)”.
Premesso che il nome istituzionale corretto del Garante è “per la protezione dei dati personali” può essere utile sottolineare che l’articolo 36 dovrebbe sostituire la normativa “extra UE” anche a seguito delle sentenze che hanno reso inutilizzabile il cosiddetto “privacy shield” con gli Stati Uniti d’America.
Cosa dice il comma 1 dell’articolo 36
“1. Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.”
fornisce evidenza che il requisito RO6 sembra forzare ad obbligo i principi di protezione dei dati personali che dovrebbero essere gestiti dal Titolare del trattamento in termini di “accountability”.
Fronti critici
Questa disamina dell’Allegato del Regolamento AgID sui criteri per la fornitura dei servizi di conservazione dei documenti informatici evidenzia che sono stati introdotti nuovi requisiti e conseguenti oneri per il Conservatore che si candida ad essere fornitore del servizio alle pubbliche amministrazioni. Alcuni di questi oneri sono piuttosto generici e salvo una valutazione di organismi accreditati possono portare a interpretazioni difformi tra i vari soggetti coinvolti. Altri requisiti sono oscuri o di significativo impatto sulle componenti organizzative e tecnologiche della Conservatoria come i RG1 e RG2.
In tal senso sarebbe utile un aggiornamento del documento AgID contenente la Lista di Riscontro AgID del 14 aprile 2017. Sarebbe utile anche quella che nelle norme primarie viene denominata Relazione Illustrativa cioè un documento AgID che spiega il significato dei requisiti stabiliti nel regolamento qui esaminato.
Conclusione
L’auspicio è che le numerose analisi pubblicate possano indurre AgID ad un aggiornamento dell’Allegato A almeno in termini di maggiore dettaglio dei requisiti, soprattutto ai fini della pratica operatività e quindi efficacia reale del provvedimento. Il termine corretto è semplificazione sempre declamato ma poco realmente messo in opera.