Le “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” pubblicate da AgID (Agenzia per l’Italia Digitale) sono il documento normativo di riferimento in materia, e sostituiscono i DPCM 2013/2014, contenenti le regole tecniche su formazione, protocollo, conservazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale.
Esse hanno come obiettivo principale la sistemazione organica e univoca dell’intero ciclo di vita del documento, ivi compresi i modelli di conservazione digitale ovvero di quell’insieme di attività finalizzate a conservare nel tempo gli archivi dei documenti informatici garantendo accessibilità, utilizzabilità, integrità e autenticità dei dati.
Le Linee Guida, in vigore dal 1° gennaio 2022, hanno valore di regolamentazione vincolante valevole nei confronti della P.A. e dei privati (punto 1.2 con rimando all’art. 2 comma 3 del CAD, Codice dell’Amministrazione Digitale).
Cosa si intende per documento informatico?
Il CAD-DLgs 82/2005 definisce il documento informatico come una “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”. Lo stesso testo di legge circoscrive il documento amministrativo informatico come un “atto formato dalle pubbliche amministrazioni con strumenti informatici, nonché i dati e i documenti informatici detenuti dalle stesse” (CAD all’art. 23 ter).
Per avere efficacia dal punto di vista legale il documento informatico tipicamente ha una firma digitale (art. 2702 del Codice Civile – efficacia della scrittura privata), in modo tale che il firmatario sia identificato e il documento sia immodificabile.
Si considera immodificabile il documento informatico memorizzato su supporto informatico in formato digitale in modo tale da non essere alterato né in fase di accesso, né di gestione, né di conservazione.
Inoltre, al documento informatico devono essere associati permanentemente i relativi metadati: l’insieme dei dati che riportano informazioni sulla struttura, sul contesto, sul contenuto (per es. data, oggetto, mittente e destinatario), permettendo di identificarlo e di descriverlo, nonché di conservarlo e ricercarlo.
Conservazione digitale a norma: obblighi e soggetti
Il sistema di conservazione è quantomeno logicamente distinto dal sistema di gestione informatica dei documenti e ha come finalità quella di garantire l’accesso all’oggetto conservato, indipendentemente dall’evoluzione del contesto tecnologico.
Le Linee Guida AgID descrivono il ruolo dei soggetti coinvolti e le relative responsabilità sull’obbligo di conservazione del documento informatico:
- Titolare dell’oggetto della conservazione;
- Produttore dei Pacchetti di Versamento (PdV);
- Utente abilitato;
- Responsabile della conservazione;
- Conservatore.
Stabiliscono che il Manuale della Conservazione – testo obbligatorio – illustri nel dettaglio il funzionamento del processo progettato dall’ente/azienda e le misure di sicurezza adottate. Tale documento in formato digitale è obbligatorio tanto per le organizzazioni pubbliche quanto per quelle private anche quando il servizio è affidato a un fornitore esterno.
Nelle Pubbliche Amministrazioni, il ruolo di produttore del Pacchetto di Versamento è svolto da una persona interna alla struttura che assicura la trasmissione del Pacchetto di Versamento al sistema di conservazione in base alle modalità operative definite, con i formati concordati e descritti nel Manuale di Conservazione.
Infine, l’utente abilitato può richiedere al sistema di conservazione l’accesso ai documenti nei limiti stabiliti dalla legge e secondo quanto previsto dal Manuale.
AgID linee guida documento informatico: i Pacchetti Informativi
Gli oggetti trattati nel sistema di conservazione sono organizzati nei seguenti pacchetti informativi:
- Pacchetti di versamento (PdV);
- Pacchetti di archiviazione (PdA);
- Pacchetti di distribuzione (PdD).
Per ‘pacchetto’ si intende un contenitore logico che racchiude uno o più oggetti di conservazione con i relativi metadati.
L’interoperabilità tra i diversi sistemi utilizzati dai soggetti che svolgono attività di conservazione è garantita dall’applicazione delle specifiche tecniche definite dalla norma UNI 11386:2020 Standard SInCRO (Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali).
Il procedimento di conservazione digitale del documento informatico prevede alcuni passaggi:
- Predisposizione del documento informatico secondo normativa ;
- Predisposizione del PdV contenente il documento e i metadati;
- Predisposizione della ricevuta di versamento;
- Apposizione della firma digitale e della marca temporale sul PdA;
- Memorizzazione del PdA e controlli periodici di integrità e leggibilità
L’unione della firma digitale e della marca temporale consentono di mantenere invariati nel tempo il valore legale dei documenti conservati dando loro le necessarie caratteristiche di immodificabilità, autenticità, reperibilità, leggibilità e sicurezza.
Quali sono i modelli organizzativi della conservazione digitale?
Il processo di conservazione digitale può essere svolto internamente alla struttura, oppure esternamente purché siano da un lato presenti figure professionali con opportune competenze e dall’altro rispettate le normative vigenti come quelle presenti nel CAD e nelle Linee Guida.
- Modello interno (in house): il sistema di conservazione dei documenti informatici viene gestito direttamente all’interno dell’ente e dell’organizzazione.
- Modello esterno (outsourcing): la società o la PA affida, in tutto o in parte, la conservazione a un soggetto terzo, pubblico o privato.
Quando si applica il modello di conservazione digitale in outsourcing nelle Pubbliche Amministrazioni, i fornitori di servizi di conservazione devono possedere requisiti di elevato livello in termini di qualità e sicurezza (Regolamento AgID sui criteri per la fornitura dei servizi di conservazione dei documenti informatici), rispettando alcuni standard basilari quali ad esempio:
- ISO/IEC 27001 (Information security management systems – Requirements);
- ISO 14721 OAIS (Open Archival Information System – Sistema informativo aperto per l’archiviazione).
Il ruolo del conservatore qualificato dei documenti informatici
Le aziende e i privati possono scegliere a quale società terza demandare il servizio di conservazione digitale a norma.
Per le amministrazioni pubbliche, invece, c’è l’obbligo di rivolgersi a un conservatore qualificato: un soggetto, pubblico o privato da scegliere tra i conservatori iscritti al Marketplace AgID. Nel caso di soggetti non presenti nell’elenco, l’ente dovrà trasmettere entro 30 giorni ad AgID i relativi contratti per le necessarie verifiche dei requisiti di qualità, sicurezza e organizzazione.
Perché conviene affidarsi un conservatore qualificato? Per una serie di garanzie:
- Soluzioni tecniche innovative e tecnologicamente avanzate;
- Infrastruttura certificata e protetta;
- Sistemi di disaster recovery;
- Team di esperti per la compliance in materia di normative, tecnologia e processi;
- Controlli periodici su integrità e leggibilità
- Descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate.
I servizi di conservazione dei documenti informatici LegalDoc e Safe LTA permettono di gestire a norma tutto il ciclo di conservazione in allineamento con quanto stabilito dalle più recenti linee guida AgID sul documento informatico, senza bisogno di alcuna integrazione tecnologica e garantendo tutti i requisiti richiesti.