Le ultime novità in tema di conservatori e accreditamento presso AgID

Pubblichiamo un importante contributo a firma dell’Avv. Luigi Foglia -avvocato, membro direttivo ANORC- in tema di conservazione e accreditamento. L’articolo è un’utile risorsa per districare i dubbi inerenti agli adempimenti necessari e alle novità normative riguardanti i soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi. Di seguito il contributo integrale:

Con il D.Lgs. 13 dicembre 2017, n. 217 il nostro Legislatore è nuovamente intervenuto per modificare il CAD (Codice dell’Amministrazione Digitale –originariamente approvato con D.Lgs. 82/2005). Con citato decreto si interviene per integrare e correggere quanto già introdotto dal D.Lgs 179/2016, ritoccando nuovamente gli articoli relativi alla Conservazione e, in particolare, apportando alcune, importanti novità in tema di procedure di accreditamento.
Già con il D.Lgs. 179/2016, la procedura aveva subito corpose modifiche soprattutto con l’introduzione (avuta intervenendo sull’art. 29 del CAD) dell’obbligo di allegare alla domanda di accreditamento, una valutazione di conformità rilasciata da un organismo di valutazione accreditato. Peccato che quando questa norma è stata introdotta, non era per nulla chiaro in cosa consistesse questa valutazione di conformità e non esisteva nessun organismo di valutazione adeguato per rilasciarla!
In fretta e furia AgID e Accredia hanno prodotto una Lista di riscontro in base alla quale condurre la valutazione di conformità, corredata dalle regole destinate all’accreditamento degli organismi di valutazione, presupposto necessario per poterla effettuare. La Lista, seppur migliorabile, ha rappresentato un utile strumento per definire meglio i requisiti di qualità e sicurezza dei sistemi di conservazione accreditati.
Purtroppo, dopo tali sforzi – e dopo i primi soggetti faticosamente “valutati” e accreditati – il Legislatore ha fatto dietro front.
Relativamente alla procedura di accreditamento, infatti, l’art. 44-bis del CAD, che prevedeva, appunto, la possibilità dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi di richiedere l’accreditamento presso AgID, al fine di conseguire il riconoscimento del possesso dei requisiti di qualità e sicurezza del proprio sistema di conservazione del livello più elevato, è stato abrogato.
Stante tale abrogazione, per l’accreditamento, a partire dal 27 gennaio 2018 (data di entrata in vigore del D.Lgs. n. 217/2017) occorre fare riferimento all’art. 29 del CAD, anch’esso modificato dal medesimo provvedimento correttivo, che vi ha fatto confluire le disposizioni in materia di accreditamento dei conservatori di documenti informatici. Il nuovo art. 29 prevede che:
comma1. (…) I soggetti che intendono svolgere l’attività di conservatore di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee guida.
comma 2. Il richiedente deve trovarsi nelle condizioni previste dall’articolo 24 del Regolamento eIDAS, deve avere natura giuridica di società di capitali e deve disporre dei requisiti di onorabilità, tecnologici e organizzativi, nonché delle garanzie assicurative e di eventuali certificazioni, adeguate rispetto al volume dell’attività svolta e alla responsabilità assunta nei confronti dei propri utenti e dei terzi. I predetti requisiti sono individuati, nel rispetto della disciplina europea, con decreto del Presidente del Consiglio dei ministri, sentita l’AgID. Il predetto decreto determina altresì i criteri per la fissazione delle tariffe dovute all’AgID per lo svolgimento delle predette attività, nonché i requisiti e le condizioni per lo svolgimento delle attività di cui al comma 1 da parte di amministrazioni pubbliche.
Lo stesso D.Lgs. n. 217/2017 ha disposto (con l’art. 65, comma 8) che “Il decreto del Presidente del Consiglio dei ministri di cui all’articolo 29, comma 2, del decreto legislativo n. 82 del 2005, come modificato dal presente decreto, è adottato entro centottanta giorni dalla data di entrata in vigore del presente decreto. Fino all’adozione del predetto decreto, restano efficaci le disposizioni dell’articolo 29, comma 3, dello stesso decreto nella formulazione previgente all’entrata in vigore del decreto legislativo 26 agosto 2016, n. 179 e dell’articolo 44-bis, commi 2 e 3, del decreto legislativo n. 82 del 2005 nella formulazione previgente all’entrata in vigore del presente decreto”.
In pratica, quindi, fino all’emanazione del DPCM previsto dall’art. 29 comma 2, la procedura di accreditamento resta disciplinata dal previgente art. 44-bis del CAD (relativamente ai commi 2 e 3) e dalla Circolare AgID 65/2014: non è quindi più richiesto il deposito della relazione di conformità alla lista di riscontro unitamente alla presentazione della domanda di accreditamento.
Ciò, però, è bene ricordarlo, non significa che non sia necessario conformarsi a quanto previsto dalla Lista di riscontro che, non a caso, si intitola Lista di riscontro per la visita ispettiva AgID e la certificazione di conformità.
Da un lato, infatti, la valutazione di conformità continua ad essere richiesta dalla Circolare 65/2014 in base alla quale “almeno ogni 24 mesi, a partire dalla data comunicata dall’Agenzia, il conservatore accreditato deve presentare un certificato di conformità del sistema di conservazione ai requisiti tecnici organizzativi stabiliti dall’Agenzia”. Dall’altro, l’accreditamento presuppone il rispetto, oltre che delle Regole tecniche, anche degli standard ivi richiamati (allegato 3) e la Lista ha come scopo proprio quello di sintetizzare quanto previsto da tali standard così da semplificare le attività di vigilanza da parte di AgID.
Il mancato adeguamento del proprio sistema a quanto previsto dalla lista di riscontro se, a seguito delle modifiche sopra riportate, non potrebbe costituire motivo ostativo all’ottenimento dell’accreditamento, potrebbe, però, essere sanzionato da parte di AgID in fase di vigilanza. È bene ricordare, infatti, che le attività di vigilanza di AgID sono in corso (al momento risultano ispezionati un po’ più della metà conservatori accreditati) e, sebbene questo non sia il loro fine, tali attività possono portare all’erogazione di sanzioni abbastanza gravose: il D.Lg. 217/2017, infatti, ha elevato le sanzioni amministrative, previste dall’art. 32-bis a carico dei conservatori accreditati che abbiano violato gli obblighi del Regolamento eIDAS o dello stesso CAD, relativi alla prestazione del servizio di conservazione, da un minimo di 40.000,00 euro fino a un massimo di 400.000,00 euro.
Per tale motivo, si consiglia di predisporre, parallelamente alla definizione della domanda di accreditamento, un processo che porti a garantire la piena soddisfazione, da parte del proprio sistema di conservazione, dei requisiti di cui alla lista di riscontro AgID.
Altra interessante novità intervenuta con il D.Lgs. n. 217/2017 è l’introduzione di un nuovo comma 1-bis dell’art. 34:
Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici: a) all’interno della propria struttura organizzativa; b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati accreditati come conservatori presso l’AgID.
Tale articolo non fa che confermare e “consacrare” quanto già previsto dall’art. 5 delle regole tecniche sui sistemi di conservazione, di cui al DPCM 3 dicembre 2013, secondo il quale la conservazione può essere generalmente svolta:
a) all’interno della struttura organizzativa del soggetto produttore dei documenti informatici da conservare;
b) affidandola, in modo totale o parziale, ad altri soggetti, pubblici o privati che offrono idonee garanzie organizzative e tecnologiche, anche accreditati come conservatori presso l’Agenzia per l’Italia digitale.
Occorre però sottolineare quanto, nonostante il nuovo comma 1 bis dell’art. 34, sia importante mantenere, anche nelle nuove Linee guida in tema di sistemi di conservazione – che, sulla base di quanto previsto dal nuovo art. 71 del CAD, AgID potrà pubblicare nei prossimi mesi – una previsione dello stesso tenore dell’art. 5 del DPCM 3 dicembre 2013.
Il nuovo art. 29 del CAD, infatti, prevede che “I soggetti che intendono svolgere l’attività di conservatore di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee guida”. Una lettura semplicistica dell’art. 29 rischierebbe, in assenza della specificazione dell’art. 5 del DPCM 3 dicembre 2013 (o un suo omologo nelle nuove Linee guida), di arrivare alla incredibile conseguenza che solo i soggetti accreditati possano conservare documenti informatici! Ovvio che ciò non era e non è nelle intenzioni del Legislatore ma, come si suol dire, prevenire è meglio che curare.

Cookie	Durata	Descrizione
ApplicationGatewayAffinity	session	This cookie is set by the Laravel Framework. This cookie is used for managing browsing sessions. It enables keeping the web browser traffic assigned to single server.
ARRAffinity	session	ARRAffinity cookie is set by Azure app service, and allows the service to choose the right instance established by a user to deliver subsequent requests made by that user.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ApplicationGatewayAffinityCORS	session	No description available.
ARRAffinitySameSite	session	No description available.
BIGipServerfront_contenuti_statici	session	No description
captcha-cookie	1 day	No description
cookielawinfo-checkbox-pubblicita-e-marketing	1 year	No description

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92775180_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months 8 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Le ultime novità in tema di conservatori e accreditamento presso AgID

Registro di protocollo annuale: serve un nuovo allegato per “salvare” questo strumento

La dematerializzazione delle ricevute dei taxi: quando l’Agenzia delle Entrate è costretta al gioco delle tre carte

Email dei lavoratori: le nuove istruzioni del Garante recepiscono le osservazioni di ANORC

Microsoft, il down è qualificabile come data breach. Le parole dell’Avv. Andrea Lisi

Vent’anni dalla Legge Stanca: l’accessibilità digitale, un imperativo giuridico ed etico anche in relazione alla protezione dei dati personali

Attacco hacker, Anorc: “La conservazione avrebbe evitato il disastro”

eIDAS 2 più vicino: raggiunto l’accordo sul portafoglio di identità digitale. Il commento di Giovanni Manca

PEC, SERC e principio di non discriminazione: ANORC scrive ad ARERA e AgID

La FES è davvero inutilizzabile in ambito fiscale e tributario?

La dematerializzazione delle ricevute dei taxi: quando l’Agenzia delle Entrate è costretta al gioco delle tre carte

Firme elettroniche: urge un confronto con AdE e AgID

La FES è davvero inutilizzabile in ambito fiscale e tributario?

Il leitmotiv della sanità di oggi è la digitalizzazione: il contributo di ANORC a Welfair Roma

Regole e responsabilità in ambito sanitario: ANORC partecipa al confronto di Welfair Roma

Nessuna eliminazione delle ‘ricette dematerializzate’, solo cambio prassi – l’intervista all’Avv. Andrea Lisi

Conservazione documentale, il Piano triennale introduce nuove attività di monitoraggio: l’importanza dei dati emersi dalle indagini di ANORC

ComoLake 2023: online gli Atti del convegno. Rivedi gli interventi del Prof. Donato Limone e dell’Avv. Andrea Lisi

Al Forum ANORC i contributi di Butti, Agid e Garante – il resoconto dell’evento alla Camera

It’s all CIO & Technology

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Cerchi altre informazioni?

Sei nel posto giusto!

+39 0832 256065

Segreteria

Direzione

PEC

Ufficio Comunicazione

Ufficio Stampa

Le nostre sedi

Lecce

Sede principale

Milano

Sede secondaria

Roma

Sede secondaria

Biella

Sede secondaria

Newsletter "La Voce digital(e)"