• Non ci sono risultati.

Nuove Linee Guida AgID

N/A
N/A
Info
Scarica
Protected

Academic year: 2022

Condividi "Nuove Linee Guida AgID"

Copied!
6
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 6 pagine )

Testo completo

(1)

Nuove

Linee Guida AgID

14 marzo 2022

Formazione, gestione e conservazione

dei documenti digitali: nuovi adempimenti

per i soggetti privati a partire da gennaio 2022

(2)

Le nuove linee guida AgID sulla formazione, gestione e conservazione dei documenti informatici: quali sono i nuovi adempimenti per i soggetti privati a partire da gennaio 2022

A decorrere dal primo gennaio 2022, sono entrate definitivamente in vigore le nuove linee guida sulla formazione, gestione, e conservazione dei documenti informatici (le “Linee Guida”) adottate dall’Agenzia per l’Italia digitale (“AgID”) a settembre 2020 (e aggiornate a maggio 2021), le quali hanno lo scopo di:

- aggiornare le regole tecniche in materia di formazione, protocollazione, gestione e conservazione dei documenti informatici, già precedentemente regolate dal DPCM 13 novembre 20141 e dal DPCM 3 dicembre 20132 – i quali risultano così entrambi abrogati;

- incorporare in un unico testo le regole tecniche e le circolari in materia.

In particolare, nell’ambito delle attività di conservazione dei documenti informatici, per i quali vige un obbligo di conservazione, le nuove Linee Guida prevedono nuovi adempimenti che dovranno essere posti in essere dai soggetti privati, anche qualora i soggetti privati abbiano deciso di demandare il processo di conservazione a un conservatore terzo, consentendo in questo caso, di affidare esternamente alcune attività individuate dalle Linee Guida stesse.

La conservazione digitale: breve inquadramento

La conservazione digitale è un insieme di attività e procedure, regolamentate dalla legge, che consente di garantire nel tempo la validità legale dei documenti informatici di un’organizzazione e preservarli negli anni, a seguito di processi di digitalizzazione documentale (quindi, l’attività di formazione e gestione dei documenti in modalità informatica sin dalla loro origine) o dematerializzazione (intesa, invece, come la procedura che consente di convertire documenti cartacei in documenti informatici).

I documenti informatici possono, pertanto, essere sia i documenti che “nascono” informatici, anche in ragione di specifici obblighi normativi (come, ad esempio, le fatture elettroniche, i contratti firmati digitalmente, i messaggi di posta elettronica certificata etc.) sia copie informatiche di documenti analogici (realizzate, ad esempio, tramite una scansione dell'originale cartaceo).

Come previsto dalle disposizioni del Codice dell’Amministrazione Digitale (“CAD”), in particolare dall’art. 20, comma 5-bis, i documenti

1 DPCM 13 novembre 2014 contenente “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici”.

2 DPCM 3 dicembre 2013, contenente “Regole tecniche in materia di sistema di conservazione”.

informatici devono essere oggetto di conservazione ed esibizione secondo specifiche regole tecniche affinché sia possibile soddisfare gli effetti di legge previsti (ad esempio, gli effetti probatori) e assicurare – con particolare riferimento ai fini tributari – la loro autenticità, integrità, affidabilità, leggibilità e reperibilità.

La conservazione costituisce, quindi, un fattore fondamentale per la sostenibilità del processo di dematerializzazione, fornendo la garanzia tecnologica e giuridica che documenti e informazioni in formato digitale siano conservati nel lungo periodo, in modo integro, autentico e accessibile, come avviene per i documenti cartacei.

Inoltre, la conservazione digitale può essere svolta internamente all’organizzazione, previa adozione di appositi software e avendo maturato le opportune competenze, oppure affidando il servizio all’esterno a operatori specializzati. In questo secondo caso, risulta necessario orientarsi verso conservatori in possesso di elevati livelli in termini di qualità, sicurezza e organizzazione.

(3)

Infatti, sebbene l’utilizzo e la conservazione di documenti informatici da un lato permettano di conseguire notevoli vantaggi, dall’altro lato comportano una serie di rischi (ad esempio, di alterazione o di perdita di integrità). Per tale ragione, è necessario che i documenti informatici, una volta formati, vengano conservati secondo le specifiche regole e procedure dettate dalla normativa di riferimento e, in particolare, dalle Linee Guida.

Le Linee Guida AgID e i nuovi adempimenti nell’ambito della conservazione digitale

Le Linee Guida sono entrate effettivamente in vigore il 1° gennaio 2022, hanno carattere vincolante e assumono valenza erga omnes.

I soggetti a cui si applicano le Linee Guida sono individuati ai sensi dell’art. 2, commi 2 e 3 del CAD e sono:

- le pubbliche amministrazioni, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione;

- gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse;

- le società a controllo pubblico, (definite nel D.lgs. n. 175/2016, escluse le società quotate di cui all’articolo 2, comma 1, lettera p); e - i soggetti privati, laddove le regole previste

non si applichino espressamente alla Pubblica Amministrazione.

Inoltre, le Linee Guida contengono disposizioni che possono avere un’applicazione differenziata nel tempo sebbene tutte operative da inizio 2022:

infatti i nuovi metadati obbligatori (di cui all’Allegato 5 delle Linee Guida), e cioè le parole chiave che permettono di ricercare un documento informatico inviato in un sistema di conservazione elettronica e che vanno associati al documento all’atto della sua formazione (con alcune eccezioni per i documenti a rilevanza fiscale), trovano applicazione per tutti i documenti che vengono prodotti dal 1° gennaio 2022 in avanti. Mentre gli obblighi di conservazione dei documenti in conformità alle nuove disposizioni devono essere rispettati anche con riferimento a documenti

prodotti prima di gennaio 2022 (ad esempio, i documenti informatici prodotti o ricevuti dai contribuenti nel corso del 2020) .

Soffermandoci sui principali adempimenti che devono essere posti in essere dai soggetti privati (anche in caso di conservazione in outsourcing) al fine di effettuare una conservazione digitale dei documenti informatici nel rispetto delle nuove Linee Guida, occorre segnalare che le stesse hanno introdotto l’obbligo di:

a) individuare il responsabile della conservazione a cura del titolare del documento informatico (i.e. la società);

b) redigere il manuale della conservazione e curarne l’aggiornamento;

c) adottare specifiche modalità per la gestione e conservazione dei documenti informatici (tenuto altresì conto della complessità della struttura organizzativa e della documentazione prodotta) e verificare le attività poste in essere dal conservatore terzo.

Il responsabile della conservazione

Conservare in modalità digitale necessita – obbligatoriamente – della nomina del responsabile della conservazione.

Per i soggetti privati, il ruolo del responsabile della conservazione dovrà essere ricoperto da una persona fisica che potrà essere interna all’organizzazione, purché appositamente designata, oppure anche da una persona esterna alla stessa in possesso di idonee competenze giuridiche, informatiche e archivistiche, purché terza rispetto al conservatore (quindi, la società a cui è stata affidata la conservazione in outsourcing) al fine di garantire la funzione del titolare dell’oggetto di conservazione (i.e. la società titolare dei documenti) rispetto al sistema di conservazione.

Il responsabile della conservazione deve essere in grado di gestire, organizzare e sovraintendere le diverse attività che compongono il processo di conservazione dei documenti informatici ed è il soggetto preposto a definire e attuare le

(4)

politiche complessive del sistema di conservazione, governandone la gestione con piena responsabilità e autonomia (anche in caso di conservazione affidata in outsourcing).

Inoltre, le Linee Guida prevedono che il responsabile della conservazione, sotto la propria responsabilità, possa delegare lo svolgimento delle proprie attività o parte di esse a uno o più soggetti, che all’interno della struttura organizzativa, abbiano specifiche competenze ed esperienze. Tale delega, riportata nel manuale di conservazione, dovrà individuare le specifiche funzioni e competenze delegate.

Le Linee Guida definiscono, altresì, nel dettaglio tutti i compiti attribuiti al responsabile della conservazione.

Nel caso in cui il servizio di conservazione venga affidato a un conservatore terzo, le attività individuate dalle Linee Guida o alcune di esse, ad esclusione della predisposizione e aggiornamento del manuale della conservazione, potranno essere affidate al responsabile del servizio di conservazione, rimanendo in ogni caso inteso che la responsabilità giuridica generale sui processi di conservazione, non essendo delegabile, rimane in capo al responsabile della conservazione, chiamato altresì a svolgere le necessarie attività di verifica e controllo.

Il nominativo ed i riferimenti del responsabile della conservazione devono essere indicati nelle specifiche del contratto o della convenzione di servizio con il conservatore terzo nel quale sono anche riportate le attività affidate al responsabile del servizio di conservazione.

Il Manuale di conservazione

Una delle maggiori novità introdotte con l’entrata in vigore delle Linee Guida prevede l’obbligo di redigere un manuale di conservazione, vale a dire un documento informatico che deve illustrare dettagliatamente, inter alia:

- l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi;

- il modello di funzionamento, la descrizione del processo, delle architetture e delle infrastrutture utilizzate;

- le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento del sistema di conservazione.

Come indicato sopra, il manuale della conservazione dovrà essere redatto e aggiornato a cura e da parte del responsabile della conservazione – in quanto attività non delegabile – anche nei casi in cui la conservazione sia stata affidata a un conservatore esterno (il quale, a sua volta, avrà l’obbligo di redigere il manuale del sistema di conservazione). Le informazioni che dovranno essere contenute nel manuale della conservazione sono espressamente previste dal punto 4.6 delle Linee Guida e in caso di esternalizzazione del servizio di conservazione, sarà necessario richiamare il manuale del sistema di conservazione redatto dal conservatore.

Inoltre, il manuale della conservazione in quanto documento informatico dovrà a sua volta essere conservato unicamente in modalità digitale.

Attività di controllo

Nei casi in cui la conservazione digitale sia demandata a un conservatore esterno, e i compiti del responsabile della conservazione affidati al responsabile del servizio di conservazione (nei limiti di cui sopra), fermo restando che la responsabilità giuridica sui processi di conservazione rimane sempre a carico del responsabile della conservazione, a quest’ultimo viene richiesto di svolgere “le necessarie attività di verifica e controllo in ossequio alle norme vigenti sul servizi affidati in outsourcing dalle PA”.

(5)

In sostanza, anche nei casi in cui il servizio venga esternalizzato, il responsabile della conservazione deve:

- verificare e controllare che i compiti elencati al punto 4.5 delle Linee Guida e delegati al responsabile del servizio di conservazione, vengano svolti in conformità alla normativa vigente e secondo le specifiche del contratto;

- elaborare dei report attestanti i controlli svolti e il loro esito;

- conservare digitalmente tali report, al fine di comprovare, qualora ve ne sia la necessità, che l’attività di controllo e verifica è stata eseguita in conformità a standard internazionali.

Come adeguarsi e cosa succede in caso di violazione?

Il corretto adempimento degli obblighi sopra richiamati implica la necessità di porre in essere ulteriori misure, quali:

- una mappatura interna dei documenti informatici - nonché delle copie informatiche di documenti analogici - predisposti dalle varie funzioni aziendali;

- la redazione di specifiche istruzioni rivolte ai responsabili di funzione che possono generare documenti informatici per cui vige l'obbligo di conservazione;

- l'individuazione di adeguate misure di sicurezza e chiavi di accesso al sistema di archiviazione;

- il rispetto delle disposizioni dettate dalla normativa in materia di protezione dei dati personali, ivi incluso il Regolamento UE 2016/679 (“GDPR”), espressamente richiamato dalle Linee Guida, soprattutto in materia di adozione di adeguate misure di sicurezza, ex art. 32 del GDPR, e valutazione dei ruoli e delle responsabilità dei soggetti coinvolti (ivi inclusa, la nomina del soggetto esterno al quale è affidato il servizio di conservazione quale responsabile del trattamento ai sensi dell’art. 28 del GDPR).

Nonostante il CAD e le Linee Guida non prevedano sanzioni dirette in caso di mancato rispetto dei predetti obblighi, le sanzioni applicabili restano quelle previste in altre disposizioni normative in relazione a formazione, gestione e conservazione documentale, ad esempio ai fini tributari, nonché quelle espressamente previste dal GDPR.

* * *

Per ogni ulteriore delucidazione in merito è possibile far riferimento a:

Avv. Carlo Impalà

Responsabile Dip. TMT e Data Protection Carlo.Impala@MorriRossetti.it

Seguici su

(6)

Piazza Eleonora Duse, 2 20122 Milano

MorriRossetti.it

Osservatorio-dataprotection.it

Riferimenti

Scarica adesso ( PDF - 6 pagine - 823.83 KB )

Documenti correlati

Gruppo di lavoro AgID Redazione di linee guida sulla pubblicità le- gale dei documenti e sulla conservazione dei siti web delle PA. Linee Guida

Le amministrazioni pubbliche stabiliscono modalità tecniche e organizzative che garan- tiscono, attraverso i propri sistemi informatici, il ritiro automatico dei documenti

Conservazione dei documenti informatici

I documenti vengono conservati all’interno della propria struttura organizzativa. I soggetti devono rispettare quanto previsto dalle regole tecniche in tema di conservazione

LINEE GUIDA SULLA CONSERVAZIONE DEI DOCUMENTI INFORMATICI

copia analogica, potranno essere memorizzate cifrate all’interno del contrassegno.. La formazione del documento informatico e del documento amministrativo informatico è

LA  CONSERVAZIONE  DEI  DOCUMENTI  INFORMATICI

[r]

AgID, CAD e Linee Guida

Le copie su supporto informatico di documenti formati dalla pubblica amministrazione in origine su supporto analogico ovvero da essa detenuti, hanno il medesimo valore giuridico,

Verso le nuove linee guida per la sicurezza nella P.A.

questo principio si potrebbe riassumere nella massima “conosci te stesso”, intendendo con ciò che si deve sapere (e documentare) quali sono i propri asset, cioè quegli enti

S Nuove linee guida per la rianimazione cardiopolmonare

S ulla base delle evidenze scientifiche più attuali sono state pubblicate dall’Euro- pean Resuscitation Council (ERC), di cui fa parte integrante l’Italian Resuscitation