Pubblichiamo un importante contributo a firma dell’Avv. Luigi Foglia -avvocato, membro direttivo ANORC- in tema di conservazione e accreditamento. L’articolo è un’utile risorsa per districare i dubbi inerenti agli adempimenti necessari e alle novità normative riguardanti i soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi. Di seguito il contributo integrale:
Con il D.Lgs. 13 dicembre 2017, n. 217 il nostro Legislatore è nuovamente intervenuto per modificare il CAD (Codice dell’Amministrazione Digitale –originariamente approvato con D.Lgs. 82/2005). Con citato decreto si interviene per integrare e correggere quanto già introdotto dal D.Lgs 179/2016, ritoccando nuovamente gli articoli relativi alla Conservazione e, in particolare, apportando alcune, importanti novità in tema di procedure di accreditamento.
Già con il D.Lgs. 179/2016, la procedura aveva subito corpose modifiche soprattutto con l’introduzione (avuta intervenendo sull’art. 29 del CAD) dell’obbligo di allegare alla domanda di accreditamento, una valutazione di conformità rilasciata da un organismo di valutazione accreditato. Peccato che quando questa norma è stata introdotta, non era per nulla chiaro in cosa consistesse questa valutazione di conformità e non esisteva nessun organismo di valutazione adeguato per rilasciarla!
In fretta e furia AgID e Accredia hanno prodotto una Lista di riscontro in base alla quale condurre la valutazione di conformità, corredata dalle regole destinate all’accreditamento degli organismi di valutazione, presupposto necessario per poterla effettuare. La Lista, seppur migliorabile, ha rappresentato un utile strumento per definire meglio i requisiti di qualità e sicurezza dei sistemi di conservazione accreditati.
Purtroppo, dopo tali sforzi – e dopo i primi soggetti faticosamente “valutati” e accreditati – il Legislatore ha fatto dietro front.
Relativamente alla procedura di accreditamento, infatti, l’art. 44-bis del CAD, che prevedeva, appunto, la possibilità dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi di richiedere l’accreditamento presso AgID, al fine di conseguire il riconoscimento del possesso dei requisiti di qualità e sicurezza del proprio sistema di conservazione del livello più elevato, è stato abrogato.
Stante tale abrogazione, per l’accreditamento, a partire dal 27 gennaio 2018 (data di entrata in vigore del D.Lgs. n. 217/2017) occorre fare riferimento all’art. 29 del CAD, anch’esso modificato dal medesimo provvedimento correttivo, che vi ha fatto confluire le disposizioni in materia di accreditamento dei conservatori di documenti informatici. Il nuovo art. 29 prevede che:
comma1. (…) I soggetti che intendono svolgere l’attività di conservatore di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee guida.
comma 2. Il richiedente deve trovarsi nelle condizioni previste dall’articolo 24 del Regolamento eIDAS, deve avere natura giuridica di società di capitali e deve disporre dei requisiti di onorabilità, tecnologici e organizzativi, nonché delle garanzie assicurative e di eventuali certificazioni, adeguate rispetto al volume dell’attività svolta e alla responsabilità assunta nei confronti dei propri utenti e dei terzi. I predetti requisiti sono individuati, nel rispetto della disciplina europea, con decreto del Presidente del Consiglio dei ministri, sentita l’AgID. Il predetto decreto determina altresì i criteri per la fissazione delle tariffe dovute all’AgID per lo svolgimento delle predette attività, nonché i requisiti e le condizioni per lo svolgimento delle attività di cui al comma 1 da parte di amministrazioni pubbliche.
Lo stesso D.Lgs. n. 217/2017 ha disposto (con l’art. 65, comma 8) che “Il decreto del Presidente del Consiglio dei ministri di cui all’articolo 29, comma 2, del decreto legislativo n. 82 del 2005, come modificato dal presente decreto, è adottato entro centottanta giorni dalla data di entrata in vigore del presente decreto. Fino all’adozione del predetto decreto, restano efficaci le disposizioni dell’articolo 29, comma 3, dello stesso decreto nella formulazione previgente all’entrata in vigore del decreto legislativo 26 agosto 2016, n. 179 e dell’articolo 44-bis, commi 2 e 3, del decreto legislativo n. 82 del 2005 nella formulazione previgente all’entrata in vigore del presente decreto”.
In pratica, quindi, fino all’emanazione del DPCM previsto dall’art. 29 comma 2, la procedura di accreditamento resta disciplinata dal previgente art. 44-bis del CAD (relativamente ai commi 2 e 3) e dalla Circolare AgID 65/2014: non è quindi più richiesto il deposito della relazione di conformità alla lista di riscontro unitamente alla presentazione della domanda di accreditamento.
Ciò, però, è bene ricordarlo, non significa che non sia necessario conformarsi a quanto previsto dalla Lista di riscontro che, non a caso, si intitola Lista di riscontro per la visita ispettiva AgID e la certificazione di conformità.
Da un lato, infatti, la valutazione di conformità continua ad essere richiesta dalla Circolare 65/2014 in base alla quale “almeno ogni 24 mesi, a partire dalla data comunicata dall’Agenzia, il conservatore accreditato deve presentare un certificato di conformità del sistema di conservazione ai requisiti tecnici organizzativi stabiliti dall’Agenzia”. Dall’altro, l’accreditamento presuppone il rispetto, oltre che delle Regole tecniche, anche degli standard ivi richiamati (allegato 3) e la Lista ha come scopo proprio quello di sintetizzare quanto previsto da tali standard così da semplificare le attività di vigilanza da parte di AgID.
Il mancato adeguamento del proprio sistema a quanto previsto dalla lista di riscontro se, a seguito delle modifiche sopra riportate, non potrebbe costituire motivo ostativo all’ottenimento dell’accreditamento, potrebbe, però, essere sanzionato da parte di AgID in fase di vigilanza. È bene ricordare, infatti, che le attività di vigilanza di AgID sono in corso (al momento risultano ispezionati un po’ più della metà conservatori accreditati) e, sebbene questo non sia il loro fine, tali attività possono portare all’erogazione di sanzioni abbastanza gravose: il D.Lg. 217/2017, infatti, ha elevato le sanzioni amministrative, previste dall’art. 32-bis a carico dei conservatori accreditati che abbiano violato gli obblighi del Regolamento eIDAS o dello stesso CAD, relativi alla prestazione del servizio di conservazione, da un minimo di 40.000,00 euro fino a un massimo di 400.000,00 euro.
Per tale motivo, si consiglia di predisporre, parallelamente alla definizione della domanda di accreditamento, un processo che porti a garantire la piena soddisfazione, da parte del proprio sistema di conservazione, dei requisiti di cui alla lista di riscontro AgID.
Altra interessante novità intervenuta con il D.Lgs. n. 217/2017 è l’introduzione di un nuovo comma 1-bis dell’art. 34:
Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici: a) all’interno della propria struttura organizzativa; b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati accreditati come conservatori presso l’AgID.
Tale articolo non fa che confermare e “consacrare” quanto già previsto dall’art. 5 delle regole tecniche sui sistemi di conservazione, di cui al DPCM 3 dicembre 2013, secondo il quale la conservazione può essere generalmente svolta:
a) all’interno della struttura organizzativa del soggetto produttore dei documenti informatici da conservare;
b) affidandola, in modo totale o parziale, ad altri soggetti, pubblici o privati che offrono idonee garanzie organizzative e tecnologiche, anche accreditati come conservatori presso l’Agenzia per l’Italia digitale.
Occorre però sottolineare quanto, nonostante il nuovo comma 1 bis dell’art. 34, sia importante mantenere, anche nelle nuove Linee guida in tema di sistemi di conservazione – che, sulla base di quanto previsto dal nuovo art. 71 del CAD, AgID potrà pubblicare nei prossimi mesi – una previsione dello stesso tenore dell’art. 5 del DPCM 3 dicembre 2013.
Il nuovo art. 29 del CAD, infatti, prevede che “I soggetti che intendono svolgere l’attività di conservatore di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee guida”. Una lettura semplicistica dell’art. 29 rischierebbe, in assenza della specificazione dell’art. 5 del DPCM 3 dicembre 2013 (o un suo omologo nelle nuove Linee guida), di arrivare alla incredibile conseguenza che solo i soggetti accreditati possano conservare documenti informatici! Ovvio che ciò non era e non è nelle intenzioni del Legislatore ma, come si suol dire, prevenire è meglio che curare.