Il Responsabile della conservazione è una delle figure messe in rilievo dalle nuove “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” di AgID in attuazione dal primo gennaio 2022. Del Responsabile della conservazione (come di altri soggetti coinvolti) vengono specificati requisiti, compiti e responsabilità. Il termine “conservazione” è quello che ha la piena valenza giuridica e sostituisce precedenti formulazioni quali conservazione ottica e conservazione sostitutiva. Di fatto, si tratta di conservazione digitale, ma, a rigor di legge, è la conservazione dei documenti informatici, ovvero ogni atto, fatto o dato che abbia rilievo giuridico e, quindi, valenza probatoria. Di qui l’importanza di una conservazione rispettosa delle norme.
La nomina del Responsabile della conservazione è obbligatoria sia per i soggetti pubblici che per le aziende private. Nella Pubblica amministrazione questa figura va identificata nell’organigramma in un funzionario interno formalmente nominato e dotato di adeguate competenze giuridiche, informatiche e archivistiche. Nei soggetti privati il ruolo del responsabile della conservazione può essere svolto anche da un soggetto esterno all’organizzazione titolare del documento, a condizione che sia terzo rispetto a chi gestisce il servizio di conservazione e dotato sempre delle necessarie competenze giuridiche, informatiche e archivistiche.
Il Responsabile della conservazione deve porre in essere tutta una serie di attività di controllo in grado di monitorare tali attività, perché è lui, o lei, che resta, giuridicamente, “responsabile”.
Vediamo quali sono le norme di riferimento e chi è e che cosa fa, in concreto, il Responsabile della conservazione.
La normativa di riferimento e gli obblighi
Con le nuove Linee guida AgID ha aggiornato le precedenti regole tecniche in base all’art. 71 del Codice dell’amministrazione digitale (CAD), abrogando il DPCM del 13 novembre 2014, contenente “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici” e il DPCM 3 dicembre 2013, contenente le “Regole tecniche in materia di sistema di conservazione”.Il DPCM 3 dicembre 2013 riguardante il “Protocollo Informatico” è stato solo parzialmente abrogato.
All’interno delle Linee guida è condensata, in un unicum normativo, l’organizzazione necessaria per affrontare i processi di formazione, protocollazione, gestione e conservazione dei documenti informatici – tutti processi che abilitano la trasformazione digitale.
Fra gli obblighi previsti: nomina della figura del Responsabile della conservazione; redazione del manuale di conservazione; uso dei servizi di un conservatore. Questo garantisce che il processo di conservazione sia regolato in base a standard tecnici e erogato da soggetti in possesso di adeguati requisiti di qualità, sicurezza, continuità operativa e organizzativa. Tecnologici e dall’attestazione di affidabilità organizzativa, strutturale, fisica, professionale e finanziaria necessaria per svolgere l’attività di conservazione come definita dall’Agenzia per l’Italia Digitale.
Con Determinazione n. 629/2021, l’AgID ha approvato le modifiche al Regolamento riguardante i criteri per la fornitura dei servizi di conservazione dei documenti informatici. Il regolamento si compone di due allegati: il primo contiene i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione necessari per la fornitura del servizio di conservazione; il secondo contiene le indicazioni per il piano di cessazione del servizio di conservazione. I conservatori in possesso di questi requisiti, possono presentare domanda di iscrizione al “Marketplace dei servizi di conservazione” di AgID.
Il Regolamento integra quanto già definito nell’ambito delle Linee guida sulla formazione, gestione e conservazione del documento informatico emanate a settembre 2020.
Chi è il Responsabile della conservazione
Il Responsabile della conservazione è colui che definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia. Il ruolo può essere ricoperto esclusivamente da una persona fisica. In piena autonomia e con piena responsabilità giuridica il Responsabile della conservazione coordina il processo di conservazione e ne garantisce, nel tempo, la corretta funzionalità. Risponde direttamente dei documenti, è la persona di riferimento in caso di controlli e deve definire i requisiti del sistema di conservazione, garantire che il processo sia sempre a norma di legge, monitorare la funzionalità del sistema di conservazione e così via.
Non va confuso col Responsabile del servizio di conservazione, che è il responsabile del servizio dell’azienda/outsourcer che offre il servizio di conservazione. Questi è in pratica il soggetto a cui il Responsabile della conservazione affida i documenti informatici per conservarli.
Che cosa fa il Responsabile della conservazione
Il ruolo del Responsabile della conservazione è, in sintesi, quello di stabilire i requisiti del sistema di conservazione, controllare tutti i flussi di documenti in entrata e in uscita per garantirne la validità giuridica e probatoria nel tempo attraverso la conservazione, redigere il manuale di conservazione, verificare periodicamente l’integrità degli archivi, garantire nel tempo che l’intero processo sia a norma di legge.
Ecco, nel dettaglio, i vari compiti:
- Definisce le politiche di conservazione e i requisiti funzionali del sistema di conservazione in conformità alla normativa vigente e tenuto conto degli standard internazionali, in ragione delle specificità degli oggetti digitali da conservare, della natura delle attività che il titolare dell’oggetto di conservazione svolge e delle caratteristiche del sistema di gestione informatica dei documenti adottato.
- Genera e sottoscrive il rapporto di versamento, secondo le modalità previste dal manuale di conservazione
- Genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti dal manuale di conservazione
- Effettua il monitoraggio della corretta funzionalità del sistema di conservazione
- Effettua la verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità e della leggibilità dei documenti informatici e delle aggregazioni documentarie degli archivi
- Adotta misure per rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, per ripristinarne la corretta funzionalità e adotta analoghe misure per l’obsolescenza dei formati
- Provvede alla duplicazione o copia dei documenti informatici in relazione all’evolversi del contesto tecnologico, secondo quanto previsto dal manuale di conservazione
- Predispone le misure necessarie per la sicurezza fisica e logica del sistema di conservazione
- Assicura la presenza di un pubblico ufficiale nei casi in cui sia richiesto il suo intervento
- Assicura agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza
- Provvede per le amministrazioni statali centrali e periferiche a versare i documenti informatici, le aggregazioni informatiche e gli archivi informatici nonché gli strumenti che ne garantiscono la consultazione rispettivamente all’archivio centrale dello stato e agli archivi di stato territorialmente competenti
- Predispone il manuale di conservazione e ne cura l’aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali e tecnologici rilevanti. Il manuale di conservazione è un documento informatico che deve illustrare in primis l’organizzazione, i soggetti coinvolti e quali ruoli svolgono e poi anche il modello di funzionamento, la descrizione del processo, delle architetture e delle infrastrutture utilizzate e le misure di sicurezza adottate.
Le competenze
Al Responsabile della conservazione si richiedono competenze giuridiche, informatiche ed archivistiche. Deve, infatti,
- essere in grado di applicare le regole tecniche
- avere una corretta comprensione archivistica del costituendo archivio digitale
- saper gestire le operazioni di registrazione, firma e classificazione
- sapere gestire sia i metadati di formazione e gestione documentale, sia i metadati di conservazione.
Le responsabilità
Il Responsabile della conservazione è responsabile dei processi di conservazione. Deve porre in essere tutta una serie di attività di controllo per monitorare le attività di conservazione anche se tali attività vengono realizzate da un conservatore esterno.
Questo monitoraggio è cruciale perché la responsabilità giuridica sui processi di conservazione è sempre in capo a chi viene formalmente designato come Responsabile della conservazione anche quando vengono affidate, in tutto o in parte, a un conservatore esterno quasi tutte le attività e le funzioni correlate.
«AgID ha un potere sanzionatorio diretto solo verso la PA (art. 32 del CAD), non i soggetti privati; tuttavia le aziende rischiano delle sanzioni se ricevono accertamenti fiscali e non sono a norma. E chi risponde, in ultima analisi, dal punto di vista giuridico, di eventuali infrazioni è il Responsabile della conservazione», evidenzia Luciano Quartarone, CISO e Data Protection Director di Archiva Group. «Va anche ricordato che le Linee Guida richiedono una corretta compilazione dei metadati da associare al documento informatico a partire dalla sua generazione e per tutta la fase di gestione e conservazione. Anche la non corretta valorizzazione dei metadati può determinare il non rispetto delle Linee Guida e quindi implicare una sanzione». I metadati accompagnano il documento informatico nel suo intero ciclo di vita.
Che cosa fare dunque se le aziende non si sono ancora adeguate alle Linee guida e, per esempio, non hanno un adeguato Responsabile della conservazione?
«Servono sicuramente competenze e risorse per conoscere a fondo la normativa e assegnare e ricoprire i diversi ruoli. Nel caso in cui le competenze non siano presenti è meglio rivolgersi a un soggetto esterno. Per esempio, le competenze giuridiche, archivistiche e informatiche del Responsabile della conservazione si possono formare con dei corsi, ma non si possono costruire dall’oggi al domani», spiega l’esperto.
Archiva, che è stata nell’Albo dei conservatori accreditati AgID, dal 2014 fino all’abolizione dell’Albo stesso, è oggi inserita nel Marketplace dei Conservatori, il registro attivato da AgID dal 1 gennaio 2022 e che riunisce i soggetti che possono erogare il servizio di conservazione alla PA.
«Con un conservatore esperto le aziende hanno la certezza di aumentare la sicurezza dei loro dati e degli accessi. Noi di Archiva garantiamo il pieno e costante rispetto degli aspetti normativi sia per via delle numerose certificazioni conseguite (Archiva ad oggi ha certificazioni basate su 8 standard differenti, nazionali e internazionali e ha in corso ulteriori attività di certificazione) sia perché partecipiamo attivamente ai tavoli per la redazione delle norme e sappiamo anticipare i futuri processi di cambiamento normativo. Un altro valore aggiunto è la nostra attività di consulenza che aiuta le aziende a mitigare il rischio delle sanzioni e ad assicurare la piena conformità normativa. Non ci fermiamo qui: guidiamo le aziende a trasformare l’obbligo dell’adeguamento normativo in un’opportunità di digitalizzazione, snellimento e efficienza».
La firma elettronica
Archiva offre anche, tramite il brand Requiro, una soluzione di firma. La firma elettronica è giuridicamente regolata dal Regolamento (UE) 910/2014 “eIDAS”; dal Codice dell’amministrazione digitale (CAD); e dal DPCM 22 febbraio 2013 “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71”. Attualmente sono previste 3 tipologie diverse di firme elettroniche con differenti caratteristiche e requisiti per l’utilizzo: firma elettronica, firma elettronica avanzata, firma elettronica qualificata. A queste si affiancano dualmente i sigilli elettronici, i Sigilli elettronici avanzati e i Sigilli elettronici qualificati. La tipologia di firma più usata è la prima e può assumere pieno valore probatorio introducendo accorgimenti che garantiscono il mantenimento nel tempo delle caratteristiche di sicurezza, stabilità ed autenticità del documento sottoscritto. Per questo occorre scegliere accuratamente il fornitore garantendosi un alto livello di affidabilità e sicurezza.
«L’ordinamento italiano, riprendendo il Regolamento europeo eIDAS, prevede una definizione generica di firma elettronica, che non specifica requisiti tecnici né prevede misure particolari per garantire la connessione univoca tra il firmatario e i mezzi utilizzati per la creazione della firma. C’è dunque spazio per soluzioni diverse ed è importante ricercare un provider che offra una soluzione di firma e conservazione con elevate caratteristiche di sicurezza, integrità e immodificabilità», conclude Quartarone.
