Pochi giorni fa è stata messa in consultazione pubblica la bozza di Linee Guida sulla formazione, gestione e conservazione dei documenti informatici. Un primo, autorevole resoconto su novità e punti chiave è stato già pubblicato su queste pagine e ad esso si rinvia per avere un quadro generale sugli impatti di questa normativa tecnica.
Mi concentrerò pertanto su tre punti che meritano subito una particolare considerazione e fornirò qualche prima considerazione, sollecitando sin da subito gli esperti, i responsabili e gli imprenditori interessati a contribuire direttamente con attente osservazioni sul testo nell’alveo istituzionale corretto e, cioè, su Forum.Italia.it.
Osservazioni di metodo
A proposito di questo, credo sia utile partire con qualche doverosa osservazione di metodo. Agid correttamente in data 17 ottobre ha avvisato sul suo sito istituzionale che la bozza di Linee Guida era stata pubblicata sulla piattaforma in modalità beta Docs Italia.
La forma prevista dall’art. 71 del CAD[1] e dal Regolamento AGID per l’adozione delle linee guida in attuazione del Codice dell’Amministrazione Digitale[2] è stata senz’altro rispettata ma – mi sia consentito di rilevare – la sostanza delle regole di garanzia di qualità, integrità, immodificabilità[3] e del corretto contesto di pubblicazione e, quindi, di autenticità per i commenti resi (e da rendere) e soprattutto per il testo normativo pubblicato, lascia un po’ a desiderare. Del resto, il problema è endemico al CAD, laddove è lo stesso art. 71 a prevedere che, ai fini del loro perfezionamento, “le Linee guida divengono efficaci dopo la loro pubblicazione nell’apposita area del sito Internet istituzionale dell’AgID e di essa ne è data notizia nella Gazzetta Ufficiale della Repubblica italiana”.
Prevedere che l’entrata in vigore di regole tecniche così rilevanti possa essere determinata da una semplice e generica pubblicazione on line su un sito (pur) istituzionale e solo “ricordata” in GU non può non destare perplessità. Si spera che almeno per la versione consolidata delle Linee Guida, venga garantita la diretta pubblicazione sul sito ufficiale di AGID, e non in un altro contesto in versione beta, e garantendo con un formato adatto e sigillato l’integrità e autenticità (oltre che corretta registrazione e conservazione) di ciò che verrà pubblicato.
Altra considerazione generale non può che essere quella relativa al fatto che purtroppo non tutti gli articoli contenuti nelle regolamentazioni tecniche sono stati abrogati e riscritti in modo sistematico nelle attuali Linee Guida, assicurando – come nelle manifestate intenzioni in premessa (paragrafo 1.1. del documento) – un’unica fonte normativa sistematica e completa. Ma anche in questo caso il vizio d’origine va ricercato nelle norme generali che hanno imbrigliato AGID nella stesura di un unico corpus giuridico.
Ultima considerazione generale è sulla natura vincolante delle stesse Linee Guida. Molti commentatori (compreso il sottoscritto) in passato hanno storto il naso sulla scelta nel CAD di conferire efficacia cogente a fonti normative di rango subprimario che, per loro natura, servono a indirizzare l’interprete e non a imporre regole, come le Linee Guida: il fatto che nell’incipit delle stesse al paragrafo 1.10 Agid si sia preoccupata di ricordare che il Consiglio di Stato ne abbia confermato l’efficacia assume il gusto amaro della excusatio non petita, accusatio manifesta.
Luci e ombre nel testo
Comunque, a prescindere da queste prime riflessioni introduttive, l’attività portata avanti dal Gruppo di lavoro in seno ad Agid è stata importante e rilevante, quindi senz’altro complessivamente apprezzabile. In futuro avremo un unico testo giuridico e questo favorirà comprensione e approccio sistematico. Appare riuscito l’inserimento di note per agevolare il lettore a ritrovare facilmente nel testo le singole fonti normative citate.
D’altra parte, non si può sottacere il fatto che si percepisce una certa “disarmonia” nelle Linee Guida, laddove si alterna un modo di scrivere più giuridicamente rigoroso, a parti propriamente esemplificative o discorsive. Forse sarebbe stato necessario un contributo tecnico-normativo per conferire maggiore omogeneità al testo. E potrebbe essere comunque utile, quanto meno, riportare in nota alcune parti più propriamente esemplificative (solo a titolo di esempio, si fa riferimento ai validi chiarimenti sul significato di duplicato e copia riportati all’inizio del paragrafo 2.3).
È stato sicuramente un approccio corretto quello di non stravolgere le regole tecniche, mirando più che altro a renderle tra loro più sistematiche e fruibili. E senz’altro alcuni dettagli che stonano un po’ saranno corretti[4] e qualche necessaria armonizzazione sarà effettuata grazie a questa utile fase di pubblica consultazione.
Grande attenzione e approfondimento è stata giustamente conferita alla scelta dei formati documentali[5] e si respira una corretta suddivisione tra le varie fasi della gestione documentale, con una perfezionata attenzione alla condizione dinamica della formazione del documento e alla tutela dell’archivio (con le sue regole che vanno preservate anche in ambiente digitale). Ci si limita, ai fini di questa breve disamina, a riferire che, se è corretto far riferimento alla FEA (Firma Elettronica Avanzata) in fase di formazione dei documenti informatici, appare non particolarmente centrato legittimarne l’utilizzo nelle diverse fasi della gestione documentale, che mirano invece a garantire leggibilità e autenticità nel tempo agli oggetti informatici firmati. Su questo credo che sia necessaria una attenta riflessione. E devo dire che qualche pericolosa sbavatura nel testo si respira proprio nella fase delicata della conservazione dei documenti informatici.
Tre rilievi critici nella fase della conservazione dei documenti informatici
Provo a concentrare l’attenzione solo su tre punti che meritano subito una particolare considerazione, anche se – lo ripeto – credo sia più utile che gli approfondimenti e i dettagli vengano pubblicamente discussi nella sede istituzionale deputata allo scopo.
Prima di tutto, faccio riferimento al paragrafo 4.6 dedicato al Responsabile della conservazione, laddove si precisa che “per i soggetti diversi dalla Pubblica Amministrazione, il ruolo del responsabile della conservazione può essere svolto da un soggetto esterno all’organizzazione, in possesso di idonee competenze giuridiche, informatiche ed archivistiche, purché terzo rispetto al Conservatore al fine di garantire la funzione del Titolare dell’oggetto di conservazione rispetto al sistema di conservazione”.
La precisazione è corretta perché in tal modo si preserva imparzialità e indipendenza a una figura molto delicata per garantire la conservazione del patrimonio documentale. Non si comprende, però, il motivo dell’eccezione prevista per i soggetti pubblici, considerando che per figure di responsabilità simili (come ad esempio il Responsabile della protezione dei dati previsto dal GDPR) questa nomina verso un soggetto esterno competente e con adeguata esperienza risulta possibile anche nel contesto pubblicistico. Diversamente, molte amministrazioni si troverebbero in grave difficoltà a reperire risorse interne davvero preparate a controllare fasi così delicate predisposte internamente o affidate all’esterno.
Appare peraltro incomprensibile questo divieto, allorché nello stesso paragrafo con tranquillità si precisa che tutte le attività del responsabile (interno) della conservazione (eccetto la redazione del manuale e il suo periodico aggiornamento) possono essere affidate al responsabile del servizio di conservazione del conservatore accreditato. Forse su questo occorrerà mettersi d’accordo perché il responsabile del servizio di conservazione, pur persona seria e garantita dal controllo effettuato in fase di accreditamento, può svolgere servizi operativi, di coordinamento e anche di controllo del sistema, ma andrebbe adeguatamente vigilato (e non è di certo sufficiente in tal senso sottrargli il compito di redazione del manuale per garantire la correttezza nella conservazione digitale del patrimonio documentale pubblico).
In secondo luogo, appare decisamente poco comprensibile l’inciso inserito nel paragrafo 4.8 dedicato al processo di conservazione, laddove si afferma al punto f) che il processo deve prevedere “la preparazione, la sottoscrizione con firma digitale o firma elettronica qualificata o avanzata del responsabile della conservazione o dal responsabile del servizio di conservazione con il sigillo elettronico qualificato o avanzato del titolare dell’oggetto di conservazione o del conservatore accreditato e la gestione del pacchetto di archiviazione sulla base delle specifiche della struttura dati contenute nell’allegato 4 “Standard e specifiche tecniche” e secondo le modalità riportate nel manuale di conservazione”. Credo che non ci sia altro da aggiungere…
In terzo luogo, grande dibattito su Forum.Italia.it sta già suscitando la seconda parte del paragrafo 4.9, che rischia di generare una grave confusione tra il sistema di conservazione affidato da una PA in outsourcing a un conservatore accreditato e il concetto di servizi cloud qualificati. Mi limito a ricordare che una normativa tecnica non può entrare in conflitto con normative primarie e, quindi, a consigliare di inserire nel glossario dei termini e degli acronimi (allegato 1 alle Linee Guida) una chiara definizione di cloud in linea con quanto previsto dalla normativa generale e dal buon senso.
Due considerazioni finali
La certificazione di processo potrebbe essere una grande opportunità, ma andava gestita in modo più coraggioso e meno ambiguo nel Codice dell’amministrazione digitale. Così come è prudenzialmente delineata nelle Linee Guida rischia di non avere un giusto riconoscimento giuridico in caso di volontà di dematerializzare grosse quantità di documenti analogici.
Infine, a proposito di importanza del contesto e dell’autenticità di ciò che si pubblica, non posso non avvertire chi di competenza che ci sono delle differenze sul sito Docs.Italia.it tra il testo delle Linee Guida pubblicato in .html e quanto si può scaricare dallo stesso sito in formato .pdf.
Non posso non evidenziare come la pubblicazione di un testo normativo (pur in formato “bozza”) sia un momento delicatissimo per garantire quel senso di generale affidabilità nella cittadinanza e non per nulla gli archivi, anche digitali (che preservano anche il contesto di ciò che pubblichiamo on line), andrebbero considerati come “una istituzione di pubblica fede da cui dipende la nostra democrazia. Essi infatti permettono alla gente di ispezionare la documentazione di ciò che il governo ha fatto. Mettono i funzionari e le istituzioni in grado di rivedere le proprie azioni e aiutano i cittadini ad assegnare le responsabilità a coloro a cui esse appartengono”[6].
Cerchiamo di ricordarcelo sempre, anche in ambienti digitali, pur utili e corretti per una veloce verifica o un vivace confronto. Ma c’è contesto e contesto.
______________________________________________________________________
- Art. 71. Regole tecniche
1. L’AgID, previa consultazione pubblica da svolgersi entro il termine di trenta giorni, sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonché acquisito il parere della Conferenza unificata, adotta Linee guida contenenti le regole tecniche e di indirizzo per l’attuazione del presente Codice. Le Linee guida divengono efficaci dopo la loro pubblicazione nell’apposita area del sito Internet istituzionale dell’AgID e di essa ne è data notizia nella Gazzetta Ufficiale della Repubblica italiana. Le Linee guida sono aggiornate o modificate con la procedura di cui al primo periodo.1-bis. COMMA ABROGATO DAL D.LGS. 30 DICEMBRE 2010, N. 235.1-ter. Le regole tecniche di cui al presente codice sono dettate in conformità ai requisiti tecnici di accessibilità di cui all’articolo 11 della legge 9 gennaio 2004, n. 4, alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell’Unione europea.2. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179. ↑ - Art. 4.4 Procedimento per l’adozione delle Linee Guida […]
4.4. Redatta la bozza finale delle linee guida, questa viene sottoposta a consultazione pubblica ai sensi dall’articolo 71 del CAD.a. Il Referente cura la consultazione pubblica delle linee guida, previa autorizzazione del direttore generale;b. la comunicazione dell’indizione della consultazione pubblica è pubblicata sul sito istituzionale di AgID con l’indicazione del termine di scadenza della consultazione stessa. La consultazione pubblica, da svolgersi entro il termine di 30 giorni (ai sensi dell’articolo 71 CAD), deve effettuarsi con modalità atte a consentire:i. l’accesso a chiunque alla documentazione senza necessità di autenticazione;ii. la formulazione, previa autenticazione, di commenti;iii. la tracciatura dei commenti di cui al punto precedente;c. Il Gruppo di lavoro, sotto la direzione dal Referente dovrà valutare i commenti pervenuti decidendo se recepire le indicazioni. ↑
- Alle quali grande importanza viene conferita proprio nelle attuali Linee Guida. ↑
- In alcune fasi vengono, ad esempio, citati strumenti di firma o sigilli che in altre fasi simili meriterebbero identico trattamento, ma non vengono citati… ↑
- Ai formati dei file e al riversamento è dedicato il corposo allegato 2. ↑
- http://www.archives.gov ↑