Bozza di Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici – intervista all’avv. Luigi Foglia

Intervista a cura del Dott. Alessandro Selam, Direttore Generale di ANORC – Associazione Nazionale degli Operatori e dei Responsabili della Custodia dei contenuti digitali, all’ Avv.Luigi Foglia, Consulente Studio Legale Lisi, Segretario generale ad interim di ANORC.

L’Agenzia per l’Italia Digitale ha presentato la bozza di Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici, prevista dall’ultimo aggiornamento al CAD (agosto 2020). Il documento lasica aperti molti dubbi e spunti di riflessione sui quali il Direttore Generale di ANORC, il Dott.re Alessandro Selam e  il Segretario ad interim di ANORC, l’avv. Luigi Foglia si sono confrontati.

L’intervista

L’Agenzia per l’Italia Digitale ha presentato la bozza di Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici, prevista dall’ultimo aggiornamento al CAD (agosto 2020), vi sono riflessioni in merito?

La bozza di Regolamento con la quale AgID ha definito i criteri per la fornitura di servizi di conservazione alle PA, partiva purtroppo col piede sbagliato: il Regolamento, infatti, deriva dalla necessità di sostituire il precedente sistema dell’accreditamento ad AgID dei conservatori a seguito di alcune critiche sollevate dalla Commissione UE e relative alla violazione di alcuni principi legati alla libera circolazione dei dati e dei servizi nel territorio dell’Unione. Nel tentativo di trovare una nuova strada che garantisse l’affidamento dei servizi di conservazione dei documenti delle PA a soggetti affidabili si è prodotto un regolamento che lascia molti dubbi e non sembra rispondere efficacemente all’esigenza di garantire elevati livelli di qualità e sicurezza nei servizi offerti dalle PA.

La soluzione individuata, infatti, è stata quella di permettere in via facoltativa l’autodichiarazione del possesso di alcuni requisiti così da poter iscrivere il conservatore in una sezione autonoma e distinta del Marketplace Cloud, oggi destinata alla qualifica dei servizi SaaS, IaaS e PaaS offerti alle PA italiane.

Quali conseguenze, anche pratiche, potrebbero comportare questi dubbi interpretativi?

I dubbi principali riguardano, innanzitutto, il carattere facoltativo dell’iscrizione al Marketplace dei conservatori e, quindi, la possibilità per le PA di individuare soggetti non iscritti in tale elenco: l’effetto finale è quello di aver previsto un elenco di soggetti” autocertificati” e successivamente vigilati da AgID ma, permettere in seguito l’acquisizione di servizi di conservazione da soggetti non presenti in tale elenco e difficilmente vigilabili da AgID (se non a seguito di segnalazioni, che spesso giungono quando ormai è troppo tardi per salvaguardare il patrimonio informativo la cui conservazione è stata affidata all’esterno). Altri dubbi riguardano la necessità o meno di una doppia iscrizione al Marketplace cloud nei casi in cui i servizi di conservazione siano offerti sfruttando alcune interfacce disponibili in modalità SaaS.

Più in generale, credo, sia necessario chiarire meglio i possibili rapporti tra servizi cloud e affidamento all’esterno della conservazione così da non ingenerare dubbi nelle PA e specificando in quali situazioni occorra essere iscritti al Marketplace Cloud, in quali invece sia possibile iscriversi nell’ulteriore Marketplace sulla conservazione.

Quali tutele si potrebbero prevedere, invece, per i Conservatori oggi?

La battaglia sulle tutele andrebbe, a mio avviso, combattuta a livello europeo mettendo in luce l’importanza di un’adeguata conservazione del patrimonio informativo e documentale di una nazione: dopotutto. Senza menzionare le evidenti esigenze di pubblica sicurezza, non è un caso se il nostro Codice dei Beni Culturali richiede la tutela degli archivi delle pubbliche amministrazioni al pari di altri beni di rilevanza storica, artistica e/o culturale. Sarebbe certamente utile anche una differenziazione netta tra i sistemi di conservazione di documentazione privata e i sistemi dedicati alla conservazione del patrimonio pubblico. Infine, ritengo che sarebbe quantomeno doveroso prevedere l’automatica iscrizione nel marketplace dei conservatori per i soggetti fino ad oggi “accreditati” da AgID.

Infine, considerato, che non risulterebbe abolita la Circolare n. 65 del 10 aprile 2014 (regolante l’accreditamento), sarebbe utile un chiarimento in relazione alla necessità, o meno, di mantenere e/o rinnovare la valutazione di conformità alla lista di riscontro AgID rilasciata da Certificatori accreditati da Accredia e che in questi mesi (e da qui a gennaio 2021) saranno via via da rinnovare.

Nello specifico, vi sono aspetti del Regolamento che occorrerebbe approfondire?

Certo. L’Articolo 7 ne è un esempio palese: in un’ottica di vigilanza da parte di AgID del servizio di conservazione offerto alle PA, viene individuato un obbligo di comunicazione dei contratti relativi ai servizi di conservazione acquisiti qualora tale acquisizione non avvenga da parte di uno dei fornitori iscritti al Marketplace dei conservatori. Pur comprendendo bene l’esigenza di tale imposizione, non si può non notare che la mancanza di sanzioni rende le violazioni di tale obbligo difficilmente perseguibili con la conseguenza che, anche al fine di evitare la vigilanza AgID, possa risultare addirittura preferibile non iscriversi al Marketplace dei conservatori.

Cosa prevede in merito ai requisiti previsti dal Regolamento per la qualifica e oggetto dell’eventuale attività di verifica?

Taluni requisiti, come quelli di qualità, appaiono eccessivamente generici (si pensi, anche, al richiamo alle raccomandazioni dello standard ETSI 319 401 o a quelle dello standard 101 533, decisamente obsoleto e, anche per questo motivo, deprecato dalla stessa ETSI). Per maggior chiarezza e per non lasciare dubbi interpretativi si rende opportuno un lavoro di aggiornamento e di indicazione precisa dei requisiti necessari e propedeutici alla qualifica.

Il Regolamento, inoltre, non chiarisce se il Manuale non dovrà essere più essere pubblicato e se non dovrà più essere inviato all’Agenzia per l’Italia Digitale. Ci si chiede, infine, se il Conservatore non sarà vincolato nella redazione del manuale da un modello condiviso. Insomma, sembra esserci una lacuna in merito allo strumento del Manuale.

Mastercourse: Formazione, gestione, conservazione e protezione dei contenuti digitali

Per la sua XXIII edizione, si svolgerà in diretta streaming, su Piattaforma Digital & Law Academy.

Il Mastercourse rappresenta il percorso d’eccellenza di ANORC, pensato per soddisfare il fabbisogno formativo di Imprese, PA e Professionisti.

Un corso di 56 ore pratico e multidisciplinare sui modelli della governance digitale e della protezione dei dati personali, aggiornato alla luce delle ultime novità  in materia, tra cui le Linee Guida sulla formazione, gestione e conservazione dei documenti informatici (che dal 7 giugno 2021 sostituiranno a tutti gli effetti l’apparato dei tre DPCM risalenti al 2013/2014), nonché gli specifici profili applicativi del GDPR – Regolamento UE 679/2016 nei contesti di gestione di dati e documenti digitali, analisi dei rischi e scelta delle misure di sicurezza, valutazione d’impatto e compliance.