Responsabile interno ed esterno della conservazione digitale dei documenti: accreditamento, certificazione di processi e deleghe nel “nuovo” Codice della amministrazione digitale

Pochi interpreti hanno realmente approfondito le novità  contenute negli articoli 44 e 44bis del Codice dell’amministrazione digitale come recentemente modificato dal D.lgs. 235/2010. Eppure sono presenti dei cambiamenti di rilievo che hanno implicazioni importanti per i futuri processi di conservazione digitale dei documenti.

Prima di tutto il comma 1° dell’art. 44 dedicato ai requisiti per la conservazione dei documenti informatici ha ribadito che tale sistema di conservazione deve assicurare:
a) l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui all’articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 4451;
b) l’integrità  del documento;
c) la leggibilità  e l’agevole reperibilità  dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari;
d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a tale decreto2.
Tali importanti principi devono caratterizzare pertanto qualsiasi sistema di conservazione digitale che dovrà  garantire, quindi, anche gli aspetti delicati della protezione dei dati personali. Per tale motivo, il comma successivo (introdotto dalla riforma) precisa che il sistema di conservazione dei documenti informatici viene gestito da un responsabile che deve operare d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività  di rispettiva competenza.
La conservazione si fa in tre, quindi. E il processo di conservazione non può prescindere dalla analisi attenta della fase di formazione dei documenti, al fine di garantire l’autenticità  degli stessi e, quindi, preservarne l’integrità  nel tempo. Su questi aspetti si sta lavorando molto nelle nuove regole tecniche che dovrebbero vedere la luce a gennaio (almeno secondo quanto ci è stato riferito da esponenti di DigitPA).

Il nuovo comma 1-ter evidenzia, inoltre, che il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità  del relativo processo di conservazione (a quanto stabilito dall’articolo 433  e dalle regole tecniche ivi previste, nonchè dal comma 1) ad altri soggetti, pubblici o privati, che offrano idonee garanzie organizzative e tecnologiche. L’attenta lettura di questo comma permette di evidenziare che ogni struttura (pubblica o privata che sia) deve sempre e comunque nominare un suo responsabile interno della conservazione, il quale, a sua volta, potrà  decidere se farsi semplicemente certificare il processo avviato oppure farsi assistere nell’implementazione dello stesso. Appare ovvio evidenziare che la certificazione di conformità  dei processi di conservazione dovrà  essere sviluppata da soggetti pubblici o privati che offrano garanzie di terzietà , esperienza e competenza per poter svolgere questo delicato servizio. Altrettanto ovvio è che il servizio di conservazione affidato all’esterno potrà  essere svolto da soggetti (pubblici o privati) essenzialmente diversi dai certificatori e che offrano idonee garanzie al riguardo.

Ci sembra superfluo ricordare in proposito che rimane titolare e responsabile del documento da conservare chi lo ha prodotto e/o legittimamente lo detiene, il quale non potrà  deresponsabilizzarsi affidandone all’esterno la sua custodia: rimangono in vigore i vecchi principi della culpa in eligendo e della culpa in vigilando e una precisa contrattualizzazione del servizio deve ritenersi indispensabile.

Le novità  con maggiori implicazioni rispetto al passato sono, però, quelle introdotte dal successivo art. 44-bis. Secondo quanto stabilito da tale norma, i soggetti pubblici e privati che svolgono attività  di conservazione dei documenti o di certificazione dei relativi processi, possono accreditarsi presso DigitPA per conseguire il riconoscimento del possesso dei requisiti di livello più elevato in termini di qualità  e sicurezza.
I certificatori o i conservatori che intendano conseguire tale riconoscimento dovranno, quindi, presentare domanda di accreditamento presso DigitPA secondo le regole, ove compatibili, previste dagli articoli 26,27,29 e 31 del CAD.

Il richiedente, se soggetto privato, dovrà  quantomeno:
a) avere forma giuridica di società  di capitali e un capitale sociale non inferiore a 200.000 Euro (tale requisito non è richiesto per le PA);
b) garantire il possesso (oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti degli organi preposti al controllo) dei requisiti di onorabilità  richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell’articolo 26 del decreto legislativo 1° settembre 1993, n. 385.
La domanda di accreditamento dovrà , inoltre, contenere:
a) il profilo professionale del personale responsabile della conservazione o della certificazione e l’impegno al rispetto delle regole tecniche;
b) l’attestazione dell’affidabilità  organizzativa, tecnica e finanziaria necessaria per svolgere attività  di certificazione o conservazione;
c) la dichiarazione di utilizzo di personale dotato delle conoscenze specifiche, dell’esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia dei processi di conservazione e della dimestichezza con procedure di sicurezza appropriate e che sia in grado di rispettare le norme del presente codice e le regole tecniche di cui all’articolo 71;
d) l’attestazione dell’applicazione di procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;
e) l’attestazione dell’affidabilità  e della sicurezza dei sistemi utilizzati.

La domanda di accreditamento si considererà  accolta qualora non venga comunicato all’interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa.

A seguito dell’accoglimento della domanda, DigitPA dovrà  disporre l’iscrizione del richiedente in un apposito elenco pubblico, tenuto da DigitPA stesso e consultabile anche in via telematica, ai fini dell’applicazione della disciplina in questione. Il Conservatore/Certificatore accreditato potrà  così qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni.

La normativa generale non prevede in alcuno dei suoi punti una delega a DigitPA per la definizione di Regole Tecniche e/o Linee Guida ai fini di avviare l’accreditamento, ma opera solo un generico rinvio alle vecchie regole contenute nel CAD (solo ove compatibili) per l’accreditamento dei certificatori di firma digitale. Per questo, appare indubbio che, in assenza di più specifiche e non indispensabili indicazioni fornite da DigitPA, la domanda possa essere già  inoltrata e, in caso di mancata comunicazione di un motivato diniego da parte di DigiPA, debba considerarsi accolta. E DigitPA, considerato che alcune domande saranno state già  da tempo inoltrate e il termine per esse risulti decorso, deve provvedere al più presto all’istituzione dell’elenco, come da dovere previsto nella normativa generale.
In ogni caso, i soggetti che hanno concluso ad oggi la procedura possono definirsi sul mercato conservatori (o certificatori) accreditati. Ovvio che delle regole più specifiche in materia potranno risultare utili, ma non sono state ritenute indispensabili dal legislatore.

Ci piaccia o non ci piaccia.

 

1Articolo 50 Attuazione dei sistemi
1. Le pubbliche amministrazioni provvedono ad introdurre nei piani di sviluppo dei sistemi informativi automatizzati progetti per la realizzazione di sistemi di protocollo informatico in attuazione delle disposizioni del presente testo unico.
2. Le pubbliche amministrazioni predispongono appositi progetti esecutivi per la sostituzione dei registri di protocollo cartacei con sistemi informatici conformi alle disposizioni del presente testo unico.
3. Le pubbliche amministrazioni provvedono entro il 1° gennaio 2004 a realizzare o revisionare sistemi informativi automatizzati finalizzati alla gestione del protocollo informatico e dei procedimenti amministrativi in conformità  alle disposizioni del presente testo unico ed alle disposizioni di legge sulla tutela della riservatezza dei dati personali, nonchè dell’articolo 15, comma 2, della legge 15 marzo 1997, n. 59 e dei relativi regolamenti di attuazione.
4. Ciascuna amministrazione individua, nell’ambito del proprio ordinamento, gli uffici da considerare ai fini della gestione unica o coordinata dei documenti per grandi aree organizzative omogenee, assicurando criteri uniformi di classificazione e archiviazione, nonchè di comunicazione interna tra le aree stesse.
5. Le amministrazioni centrali dello Stato provvedono alla gestione informatica dei documenti presso gli uffici di registrazione di protocollo già  esistenti alla data di entrata in vigore del presente testo unico presso le direzioni generali e le grandi ripartizioni che a queste corrispondono, i dipartimenti, gli uffici centrali di bilancio, le segreterie di gabinetto.

2Art. 31. Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità  della raccolta.
 
3Art. 43 CAD Riproduzione e conservazione dei documenti.
1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento di cui è prescritta la conservazione per legge o regolamento, ove riprodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione e la conservazione nel tempo sono effettuate in modo da garantire la conformità  dei documenti agli originali, nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71.
2. Restano validi i documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento già  conservati mediante riproduzione su supporto fotografico, su supporto ottico o con altro processo idoneo a garantire la conformità  dei documenti agli originali.
3. I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità  cartacee e sono conservati in modo permanente con modalità  digitali, nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71.
4. Sono fatti salvi i poteri di controllo del Ministero per i beni e le attività  culturali sugli archivi delle pubbliche amministrazioni e sugli archivi privati dichiarati di notevole interesse storico ai sensi delle disposizioni del decreto legislativo 22 gennaio 2004, n. 42.