Le attese Linee guida sulla formazione, gestione e conservazione dei documenti informatici di Agid oltre che per la PA sono importanti anche per professionisti e imprese. Questo sia per il fatto che possono disciplinare direttamente i rapporti fra loro intercorrenti, sia in virtù dei vari richiami al Codice dell’Amministrazione Digitale (e di rimando a queste Linee guida) da parte di numerose disposizioni di legge (si pensi ad esempio a quelle in tema di processi telematici). Approfondiamo le regole contenute.
A cosa servono le nuove linee guida
Ricordiamo che queste nuove linee guida superano (ed abrogheranno, quando diverranno applicabili), sia il DPCM 13 novembre 2014, contenente “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici”, sia il DPCM 3 dicembre 2013, contenente “Regole tecniche in materia di sistema di conservazione”. L’art. 71, comma 1, del CAD prevede infatti (dopo la modifica intervenuta con il D. Lgs. 217 del 2017) che “L’AgID, previa consultazione pubblica da svolgersi entro il termine di trenta giorni, sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonché acquisito il parere della Conferenza unificata, adotta Linee guida contenenti le regole tecniche e di indirizzo per l’attuazione del presente Codice”.
Le Linee guida fanno quindi le veci dei DPCM nella nuova impostazione del CAD dopo le innovazioni portate dal diritto europeo (in particolare da eIDAS e dal GDPR) recepite dal legislatore italiano appunto con il D.Lgs. 217 del 2017. Sebbene le Linee Guida siano entrate in vigore il giorno successivo a quello della loro pubblicazione sul sito istituzionale di AGID (pubblicazione avvenuta il 11.09.2020), dovremo attendere ancora a lungo perché le stesse vengano applicate, è previsto infatti un periodo di 270 giorni prima della loro applicazione.
Le stesse linee guida sono integrate da sei allegati tecnici, ovvero:
- Glossario dei termini e degli acronimi
- Formati di file e riversamento
- Certificazione di processo
- Standard e specifiche tecniche
- Metadati
- Comunicazione tra AOO di Documenti Amministrativi Protocollati
L’obiettivo di queste nuove linee guida è quello di aggiornare la normativa di cui ai DPCM del 2013 e 2014 e di semplificare la gestione complessiva del documento informatico, raggruppando infine in un “corpo unico” materie prima disciplinate separatamente.
Il contenuto delle Linee guida
Le Linee guida si muovono sulla base di alcune definizioni cardine, la prima è senz’altro quella che suddivide le tre fasi della gestione documentale, ovvero: formazione, gestione e conservazione. Da un punto di vista archivistico, poi, le Linee guida distinguono tre fasi di gestione documentale, ovvero:
- archivio corrente: che include i documenti necessari alle attività correnti;
- archivio di deposito: che riguarda i documenti ancora utili per finalità amministrative o giuridiche, ma non più indispensabili per la trattazione delle attività correnti;
- archivio storico: che include i documenti storici selezionati per la conservazione permanente.
La formazione del documento informatico
Le Linee guida, nel disciplinare la formazione del documento informatico, si soffermano sulle “qualità” del documento formato. In particolare, le Linee guida stabiliscono quando è considerato immodificabile e quali sono i processi che consentono al file di ottenere tale qualità. Un file è considerato immodificabile “se la sua memorizzazione su supporto informatico in formato digitale non può essere alterata nel suo accesso, gestione e conservazione”. Secondo le Linee guida, ’immodificabilità e l’integrità sono garantite da una o più delle seguenti operazioni:
- apposizione di una firma elettronica qualificata, di una firma digitale o di un sigillo elettronico qualificato o firma elettronica avanzata;
- memorizzazione su sistemi di gestione documentale che adottino idonee misure di sicurezza ovvero, nel caso di documenti che memorizzano dati acquisiti in via informatica attraverso moduli o formulari o di documenti acquisiti attraverso generazione o raggruppamento di insiemi di dati provenienti da banche dati, la registrazione nei log di sistema dell’esito dell’operazione di formazione del documento informatico, compresa l’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema;
- solo nel caso di documenti che siano stati creati tramite l’utilizzo di strumenti software o servizi cloud che assicurino il rispetto dei formati previsti nelle Linee guida è possibile garantire l’immodificabilità e l’integrità attraverso il trasferimento a soggetti terzi del documento attraverso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento eIDAS;
- versamento ad un sistema di conservazione.
Con esempi pratici la normativa AgID distingue poi fra duplicato e copia informatica di documento informatico, con le Linee guida che precisano la necessità di “memorizzazione della medesima evidenza informatica” (esempio, effettuando una copia da PC a pen-drive del documento) per ottenere un duplicato informatico, mentre la necessità di medesimo contenuto (esempio trasformazione di documento con estensione .doc a .pdf) con diversa evidenza informatica per aversi copia informatica.
La fase di gestione del documento informatico
Esaurita la disciplina in tema di generazione dei documenti (che include una sezione apposita dedicata al documento amministrativo informatico), le Linee guida passano a disciplinare la fase della gestione documentale. Questa fase si apre con la definizione di “registrazione informatica dei documenti”, passaggio fondamentale nella pubblica amministrazione, operazione che “è rappresentata dall’insieme di dati in forma elettronica allegati o connessi al documento informatico al fine dell’identificazione univoca di tutti i documenti prodotti e acquisiti”.
La normativa disciplina poi la tipologia fondamentale di registrazione informatica prevista dal D.P.R. 445/2000 ovvero la registrazione di protocollo, che è “l’insieme dei metadati che il registro di protocollo deve memorizzare, per tutti i documenti gestiti dalla Pubblica Amministrazione”. Alla registrazione di protocollo si somma l’ulteriore operazione (che viene effettuata contemporaneamente) di segnatura di protocollo, ovvero: “l’associazione ai documenti amministrativi informatici in forma permanente e non modificabile di informazioni riguardanti i documenti stessi, in ingresso e in uscita al sistema di protocollo, utile alla sua identificazione univoca e certa”.
Quindi la normativa detta i requisiti di sicurezza minimi dei sistemi di protocollo informatico, imponendo che lo stesso sia trasmesso entro il giorno successivo al sistema di conservazione, garantendo così l’immodificabilità del contenuto. A questo punto le Linee guida disciplinano le aggregazioni documentali e gli archivi informatici presso le pubbliche amministrazioni, individuando i compiti del responsabile della gestione documentale (una delle figure cardine del processo di gestione documentale in seno alla PA insieme al responsabile per la transizione digitale ed al responsabile della conservazione) tra cui in particolare la predisposizione del manuale di gestione documentale. Infine, vengono disciplinati i formati utilizzabili (cui è dedicato un apposito allegato), il riversamento dei file (da un formato all’altro) e le misure di sicurezza da adottare.
La fase di conservazione del documento informatico
La gestione dei documenti informatici prosegue quindi con il trasferimento in un sistema di conservazione da realizzarsi in ottemperanza a quanto disposto dal CAD e dalle presenti Linee guida. Il sistema di conservazione ha l’obiettivo di garantire nel tempo l’accesso al documento conservato, per il periodo indicato nel piano di conservazione (salvo eccezioni concordate fra le parti) e ciò indipendentemente dall’evoluzione del contesto tecnologico. Il sistema di conservazione opera su “pacchetti informativi”, distinti in:
- pacchetti di versamento (ovvero il documento o i documenti predisposti per la conservazione dal titolare);
- pacchetti di archiviazione (ovvero il pacchetto informativo che “incapsula” il pacchetto di versamento aggiungendogli le informazioni necessarie per garantirne la conservazione);
- pacchetti di distribuzione (ovvero il pacchetto informativo che il conservatore invia al titolare in risposta ad una sua richiesta);
La normatica si occupa di definire i compiti e le responsabilità del responsabile della conservazione, ovvero il soggetto che definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia (in seno alla PA si tratterà, generalmente, di una figura dirigenziale con autonomia di spesa). Le linee guida prevedono che il responsabile della conservazione, sotto la propria responsabilità, può delegare lo svolgimento delle proprie attività o parte di esse a uno o più soggetti, che all’interno della struttura organizzativa, abbiano specifiche competenze ed esperienze.
Tale delega, riportata nel manuale di conservazione (la cui redazione deve essere curata dal responsabile della conservazione), deve individuare le specifiche funzioni e competenze delegate. Le Linee guida disciplinano quindi una possibilità di delega (pur motivata) senza rilevanti limiti ma mantenendo la responsabilità del processo di conservazione saldamente in capo (anche) al responsabile della conservazione. Le Linee guida si chiudono quindi disciplinando le modalità di esibizione e di produzione dei pacchetti di distribuzione (anche da remoto) e le misure di sicurezza.
Il responsabile della conservazione
Le nuove Linee guida hanno riconosciuto la possibilità, per il responsabile della conservazione, di delegare alcuni compiti e funzioni, ma fermo il fatto che questi rimanga responsabile in prima persona di tutto il processo di conservazione. Mentre i privati possono affidare in toto il ruolo di responsabile della conservazione ad un soggetto esterno, pur in possesso di idonee competenze, le Pubbliche Amministrazioni dovranno invece ricorrere ad un dirigente o funzionario dotato di idonee competenze giuridiche, informatiche e archivistiche. A fare da contraltare a questa necessaria individuazione di un soggetto interno, le Pubbliche Amministrazioni consentono appunto una delega di alcune funzioni all’esterno, delega riservata a soggetti che abbiano idonee competenze (da individuare per giustificare l’esternalizzazione del servizio) e fermo il permanere della responsabilità in capo al responsabile della conservazione.
Come sottolineato dal Garante privacy nel proprio parere del 13 febbraio 2020, questo è un aspetto che presenta specifiche criticità per il trattamento dei dati personali. Lo schema che era stato sottoposto all’esame del Garante non recava infatti disposizioni specifiche in materia di sicurezza distinte nel caso in cui i servizi di conservazione fossero affidati in tutto o in parte a soggetti privati. Il Garante, in quella sede, sottolineava che “al fine di assicurare il rispetto dei requisiti previsti dall’art. 28 Regolamento, è però necessario che lo schema sia integrato prevedendo l’obbligo di individuare tali soggetti esterni quali responsabili del trattamento, ricorrendo, peraltro, “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”, anche in considerazione dei rischi per i diritti e le libertà degli interessati e della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento effettuato.”
In risposta alle obiezioni del Garante ora le Linee guida prevedono che nel piano della sicurezza del sistema di gestione informatica dei documenti (che il responsabile della conservazione deve predisporre con il responsabile della gestione documentale ed il responsabile per la transizione digitale, acquisito il parere del DPO) sia dato conto dei criteri secondo cui sono stati individuati eventuali responsabili esterni, tenuto conto che “i soggetti esterni a cui è eventualmente delegata la tenuta del sistema di gestione informatica dei documenti sono individuati come Responsabili del trattamento dei dati e devono presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”.
Il sigillo elettronico qualificato
Secondo le Linee guida è sufficiente a garantire l’integrità ed immodificabilità del documento informatico anche l’apposizione di un sigillo elettronico qualificato (ovvero la “firma qualificata” della persona giuridica, strumento che consente di individuare l’azienda o amministrazione firmataria ma non il soggetto persona fisica che ha apposto la firma), concetto introdotto dal Regolamento eIDAS e che gode di crescente attenzione viste gli indubbi vantaggi che può garantire in certi casi d’uso.
Sempre le Linee guida affermano come sia sufficiente una firma elettronica avanzata per garantire integrità e immodificabilità al file. La firma elettronica avanzata (es. firma grafometrica) è uno strumento di firma solitamente non legato ad un certificato (soggetto a scadenza) e per questo in certe situazioni (specie nei rapporti con soggetti non professionali che solitamente non possiedono un certificato di firma qualificata) risulta molto utile e immediata da utilizzare. Il limite è che solitamente la stessa è utilizzabile limitatamente per i rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che rende disponibile la soluzione (es. fra correntista e banca).
I metadati
Nelle nuove linee guida un allegato ad hoc (allegato 5) è destinato ai metadati che devono accompagnare i documenti informatici in uso alla Pubblica Amministrazione L’allegato arricchisce le informazioni solitamente associate ai documenti e prescrive ad esempio che vengano inclusi i metadati relativi ai tempi di conservazione e alla relazione con l’aggregazione informatica di appartenenza. Vengono poi previste tipologie di metadati specifiche a seconda del tipo di documento o del suo formato specifico, al fine di garantirne una gestione trasparente e di semplificarne l’attività di ricerca ed archiviazione. Le Linee guida, da ultimo, precisano che potranno anche essere individuati ulteriori metadati da associare a particolari tipologie di documenti informatici.
Gli aspetti privacy
Tutta la normativa di cui alle Linee guida, specie nel prescrivere determinate misure di sicurezza, è aggiornata alla normativa GDPR ed impone alla Pubblica Amministrazione nuovi controlli circa i fornitori dei servizi connessi alla gestione documentale e nuovi oneri formali circa la contrattualizzazione dei servizi e gli impegni dei soggetti che andranno ad operare quali responsabili esterni del trattamento nei confronti della Pubblica Amministrazione.
Il Garante, nel proprio parere del 13 febbraio 2020, ha riconosciuto gli sforzi del gruppo di lavoro istituito dall’AgID non rilevando criticità (eccetto quanto detto con riferimento alla delega di funzioni da parte del Responsabile della Conservazione), raccomandando però di incentivare le Pubbliche Amministrazioni ad adottare o aderire a Codici di condotta (art. 40 del Regolamento GDPR) o regole deontologiche (art. 2-quater del Codice Privacy).
Certificazione di processo
La disciplina della Certificazione di processo, cui le Linee guida dedicano un allegato (allegato 3), è tesa a semplificare la “dematerializzazione massiva dei documenti analogici” da parte di amministrazioni e soggetti privati. La certificazione ha lo scopo di evitare il preventivo raffronto documentale fra la copia cartacea e quella digitale che ne viene prodotta (modalità alternativa alla certificazione di processo per la produzione di copia per immagine su supporto informatico di documento analogico prevista dal CAD all’art. 22). Il problema che le Linee guida si preoccupano di risolvere è quello per cui se un soggetto ha necessità di attestare con sicurezza la conformità di un documento può rivolgersi ad un pubblico ufficiale affinché questi se ne occupi, ma il problema di molte amministrazioni e imprese è quello di dover dematerializzare grandi volumi documentali in una volta.
Per risolvere tale criticità le Linee guida si propongono di disciplinare una certificazione che sia rivolta non al singolo documento da attestare conforme, bensì al processo stesso di dematerializzazione. Per fare questo l’allegato prescrive due elementi essenziali:
- la presenza di una procedura tecnologica in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia;
- la previa descrizione e certificazione di questo processo.
L’allegato indica gli standard ISO applicabili al caso (comunque rinunciabili dalle Pubbliche Amministrazioni che intendono dar corso alla dematerializzazione “certificata” in autonomia, assumendosi però così in toto la responsabilità della qualità del processo). A seconda poi del soggetto che si occupa della certificazione (se pubblico ufficiale o meno) cambierà il valore probatorio della certificazione. Avremo quindi una vera e propria attestazione di conformità (che fa piena prova fino a querela di falso ex art. 2700 c.c.) se la conformità è attestata da notaio o altro pubblico ufficiale), ovvero un “semplice” rapporto di verificazione (che fa piena prova salvo disconoscimento) se la conformità è attestata da un soggetto privato.
I formati
Nell’allegato 2 alle Linee guida sono descritti oltre 100 formati di file diversi e l’allegato si propone di “classificarli” utilizzando un metodo qualitativo, che attribuisce un punteggio positivo per certe caratteristiche “virtuose” (es. robustezza, formato aperto, formato libero, formato estendibile, indipendente dal dispositivo, …) e uno negativo per altrettante caratteristiche negative (es. formato non robusto, formato chiuso, formato proprietario, formato non estendibile, formato dipendente dal dispositivo, …).
Il punteggio così ottenuto andrà a costituire l’indice di interoperabilità del formato. Una simile metodologia dovrebbe consentire di far “sopravvivere” le Linee guida all’evoluzione tecnologica in tema di formati, evitando così una rapida obsolescenza dell’allegato. Le Linee guida in tema di formati si applicano solo nei confronti della Pubblica Amministrazione, ma l’allegato auspica l’adozione dei formati raccomandati anche da parte degli enti privati, al fine di incrementare l’interoperabilità nello scambio di documenti fra settore pubblico e privato. Tra i formati “raccomandati” nell’allegato, è interessante la raccomandazione per il formato .mbox per l’archiviazione di cartelle di email e del formato markdown (.md) per l’archiviazione di contenuti destinati alla pubblicazione online. Per quanto riguarda i video, invece, l’allegato ritiene generalmente raccomandabili i formati con compressione “intra-frame” (che isola i fotogrammi in un’evidenza compressa a sé stante) quando sia necessario modificare il file o quando il file sia spesso riprodotto in “riproduzione casuale” (quindi saltando da una parte all’altra della timeline).
Conclusioni
Queste attese Linee guida in tema di conservazione hanno introdotto interessanti novità nel settore, introducendo alcune novità che, seppur non dirompenti, vanno comunque nella direzione della semplificazione della gestione dei processi documentali (particolarmente interessanti in proposito sono in particolare le modalità operative in tema di certificazione di processo).
Alcuni interessanti accorgimenti (quale il sistema delle “raccomandazioni” nella scelta dei formati di file) permetteranno poi alle Linee guida di ritardare la loro obsolescenza. Peccato che non potremo giovare di questo riordino della materia (che aveva anche il pregio di accorpare e allineare in un unico documento due distinti DPCM) fino alla metà del 2021. Un ultimo punto va infatti speso sulle modalità di adozione delle linee guida, che saranno applicabili solo dopo 270 giorni dalla loro entrata in vigore.
Le linee guida avranno quindi una “gestazione” complessiva di ben tre anni, con il gruppo di lavoro che ha avuto il compito di redigerle istituito ancora il 02 maggio 2018 e la loro applicazione a decorrere dal 7 giugno 2021 (270 giorni dal 12 settembre 2020, data di entrata in vigore corrispondente al giorno successivo alla loro pubblicazione sul sito AGID, data di cui aspettiamo però “conferma” in Gazzetta Ufficiale). C’è da dire che il percorso che ha portato all’emanazione delle Linee Guida ha incluso un significativo parere del Garante Privacy, una fase di consultazione pubblica ed un passaggio in sede europea, per poi essere rallentato dall’emergenza COVID, ma ciononostante le tempistiche impiegate sembrano comunque troppo dilatate, specie considerando il settore che si propongono di disciplinare.
É infatti evidente la problematica sottesa a questo lento processo di adozione, vi è cioè il rischio che lo stesso non sia adeguato ai rapidi tempi dell’evoluzione tecnologica, rendendo programmaticamente già obsolete le linee guida all’atto della loro adozione. É auspicabile quindi che si accorcino alcuni dei termini normativamente previsti per l’adozione delle Linee guida, così da permettere che le stesse facciano da motore evolutivo e non da mera ricognizione di prassi già in uso e in parte superate. Non stiamo infatti parlando di una normativa di principio, che può permettersi lunghi tempi di decantazione con l’obiettivo della massima condivisione, stiamo parlando di una normativa di dettaglio, emanata con lo strumento delle Linee Guida proprio perché sia agile e rapidamente emendabile.