Il 10 settembre 2020 l’Agenzia per l’Italia Digitale (AgID) ha pubblicato sul proprio sito le nuove Linee Guida sulla formazione, gestione e conservazione dei documenti informatici, adottate ai sensi dell’articolo 71 del Codice dell’amministrazione digitale (CAD).
Le Linee Guida raccolgono in un unico provvedimento normativo materie prima regolate separatamente, disciplinando in modo coordinato l’intero ciclo di vita del documento informatico, dalla formazione fino alla conservazione, passando per la fase di gestione.
Una volta divenute pienamente efficaci (7 giugno 2021), le Linee Guida abrogheranno e sostituiranno le relative normative tecniche ancora vigenti.
La natura vincolante delle Linee Guida
Com’è noto, l’art. 71 CAD attribuisce ad AgID il potere di adottare, in attuazione delle norme del CAD, Linee Guida vincolanti. Come precisato dal Consiglio di Stato nel parere n. 2122/2017, infatti, i provvedimenti adottati ai sensi di tale norma, dal punto di vista della gerarchia delle fonti, sono inquadrabili come un atto di regolazione –anche se di natura tecnica – così come avviene per le Linee Guida vincolanti adottate dall’ANAC. Dunque, non un atto normativo in senso stretto, ma un atto generale, pertanto impugnabile davanti al giudice amministrativo (eventualmente, insieme al provvedimento che ne fa applicazione).
I soggetti interessati
Vista la natura vincolante delle Linee Guida, è molto importante tenere a mente chi sono i destinatari delle norme tecniche in esse contenute. Ad essere interessati dal provvedimento, infatti, sono non solo le pubbliche amministrazioni, ma anche i soggetti privati (ex art. 2, comma 3, CAD). Così, ad esempio, per quanto riguarda la formazione dei documenti informatici, o la riproduzione e conservazione dei documenti.
La formazione del documento informatico.
Con riguardo alla formazione dei documenti informatici, le Linee guida descrivono le modalità di formazione di documenti informatici conformi alle disposizioni degli artt. 20 e ss. del CAD, specificando le operazioni necessarie a garantire l’immodificabilità e l’integrità dei documenti per ciascuna tipologia.
In particolare, l’art 20, comma 1-bis del CAD prevede:
“Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida”.
Sono quattro le diverse modalità di formazione del documento informatico, che in buona parte ricalcano quanto già previsto nel D.P.C.M. 13 novembre 2014 (destinato ad essere abrogato a partire dal 7 giugno 2021):
- creazione tramite l’utilizzo di strumenti software o servizi cloud qualificati che assicurino la produzione di documenti nei formati e nel rispetto delle regole di interoperabilità di cui all’allegato 2;
- acquisizione di un documento informatico per via telematica o su supporto informatico, acquisizione della copia per immagine su supporto informatico di un documento analogico, acquisizione della copia informatica di un documento analogico;
- memorizzazione su supporto informatico in formato digitale delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente;
- generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più banche dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica.
La creazione mediante l’utilizzo servizi cloud qualificati è sicuramente una novità importante. Le Linee Guida precisano che il servizio deve essere qualificato ai sensi delle Circolari AgID nn. 2 e 3 del 9 aprile 2018, che individuano i requisiti minimi di sicurezza e affidabilità che devono offrire tali servizi per essere acquistati dalle PA. Si tratta di una disposizione che costituisce un importante spinta verso la strategia cloud perseguita da AgID. Tuttavia, essa desta alcuni dubbi circa la sua portata applicativa, essendo inserita nell’ambito di disposizioni destinate a valere non solo per le pubbliche amministrazioni, ma anche confronti dei privati. Inoltre, la norma sembra sovrapporre – senza una valida ragione apparente – l’esigenza della PA di acquistare soluzioni cloud da fornitori di affidabili con la diversa esigenza di formare documenti informatici rispondenti ai requisiti di sicurezza, integrità, immodificabilitàe di manifesta e inequivoca riconducibilità all’autore richiesti dal citato art. 20 del CAD.
Sempre in tema di formazione dei documenti informatici, poi, sono molto importanti le novità contenute negli allegati alle Linee Guida. L’allegato 2 individua un elenco di formati idonei a garantire l’interoperabilità e prevede che l’utilizzo di formati diversi da quelli elencati, o il discostamento dalle regole relative a uno specifico formato, debba essere preceduto da una valutazione di interoperabilità, che l’ente è tenuto a redigere con cadenza annuale. Sempre il citato allegato 2, poi, reca importanti indicazioni in materia di riversamento dei file, chiamando le PA a valutare l’opportunità di riversamento degli archivi esistenti. Meritano menzione, inoltre, l’allegato 5, che individua e classifica i metadati obbligatori e che devono essere associati alle diverse tipologie di documento, e l’allegato 3, che disciplina le modalità di adozione della certificazione di processo utili per la dematerializzazione massiva dei documenti analogici.
Significativo, per l’apprezzabile sforzo di coordinamento tra disciplina del CAD e regole di tenuta del protocollo informatico, è anche il disposto del par. 2.4.1. delle Linee Guida, secondo cui “Le istanze, le dichiarazioni e le comunicazioni di cui agli articoli 5-bis, 40-bis e 65 del CAD sono identificate e trattate come i documenti amministrativi informatici”. Ciò significa che l’acquisizione telematica di istanze, dichiarazioni e comunicazioni di imprese, professionisti e cittadini, provenienti dal domicilio digitale, dall’app IO, o comunque previa identificazione dell’utente mediante SPID, CIE o CNS, produce sempre un documento amministrativo informatico, pertanto soggetto a registrazione di protocollo, a classificazione, nonché alle regole tecniche per garantire l’interoperabilità nelle comunicazioni tra PA di cui all’allegato 6 (Comunicazione tra AOO di Documenti Amministrativi Protocollati).
La gestione documentale
Per quanto riguarda la gestione documentale, le Linee guida individuano gli obblighi organizzativi, procedurali e tecnologici a cui gli enti devono adeguarsi per assicurare la conformità normativa del sistema di gestione dei documenti informatici, anche con riferimento alla disciplina in materia di beni culturali. Essi riguardano, tra l’altro:
- la corretta tenuta del protocollo informatico;
- la classificazione dei documenti informatici;
- l’individuazione dei formati dei file e delle eventuali esigenze di riversamento;
- la formazione dei fascicoli, delle serie documentali e dell’archivio;
- la sicurezza del flusso documentale, con particolare attenzione alla continuità operativa e alla protezione dei dati personali;
- i rapporti tra sistema di gestione documentale e sistema di conservazione.
Come già avveniva sotto la vigenza della precedente normativa tecnica, il sistema di gestione documentale si regge su due principali adempimenti cui ogni ente deve ottemperare:
- l’individuazione del Responsabile della gestione documentale (e del Coordinatore, in caso nell’ente siano individuate più Aree Organizzative Omogenee) quale soggetto dotato di competenze archivistiche, giuridiche e informatiche, di cui sono precisati i compiti;
- l’adozione del Manuale di gestione documentale, redatto e aggiornato a cura del Responsabile del quale sono descritti i contenuti essenziali (organizzazione, responsabilità, processi e metodologie).
L’adeguamento dei sistemi di gestione documentale delle PA alle nuove Linee Guida richiederà un aggiornamento del Manuale di gestione, previa verifica sulla conformità normativa delle soluzioni tecnologiche utilizzate, con riferimento alle nuove norme in materia di formazione, alle modalità di registrazione e di annullamento delle registrazioni di protocollo, al rispetto dei requisiti minimi di sicurezza, nonché al rispetto delle specifiche tecniche e degli standard individuati nell’allegato 4.
La conservazione dei documenti informatici
Con riguardo, poi, alla conservazione, le Linee guida delineano le componenti del sistema di conservazione, che deve essere considerato logicamente distinto da sistema di gestione. Sono definiti, in particolare:
- gli oggetti della conservazione (pacchetti di versamento, di archiviazione e di distribuzione);
- gli elementi essenziali del processo di conservazione (produzione dei pacchetti di versamento, archiviazione, scarto);
- i ruoli e le responsabilità del sistema, con particolare attenzione ai compiti del Responsabile della conservazione;
- i rapporti con l’eventuale affidatario del servizio di conservazione, anche dal punto di vista contrattuale;
- il Manuale di conservazione, con specificazione dei contenuti minimi che deve contenere anche in caso di affidamento esterno del servizio.
Rispetto alle preesistenti norme tecniche, meritano apprezzamento i chiarimenti su ruoli e responsabilità nel sistema. Per essere a norma, infatti, le Linee Guida precisano che il sistema di conservazione deve sempre essere presidiato da un responsabile interno all’ente, il quale è tenuto, innanzitutto, alla redazione e all’aggiornamento del relativo manuale di conservazione, che deve essere pubblicato sul sito istituzionale. E aggiungono, inoltre, che nel caso in cui il servizio di conservazione venga affidato ad un conservatore, i compiti del Responsabile della conservazione – ad esclusione della redazione e dell’aggiornamento del manuale – possono essere affidati, anche solo in parte, al responsabile del servizio di conservazione. Tuttavia, rimane inteso che la responsabilità giuridica generale sui processi di conservazione non è delegabile, ma rimane in capo al responsabile della conservazione, chiamato altresì a svolgere le necessarie attività di verifica e controllo in ossequio alle norme vigenti sui servizi affidati in outsourcing dalle PA. I compiti affidati al responsabile del servizio di conservazione, nonché il nome del responsabile interno all’amministrazione, dovranno risultare nel contratto o nella convenzione con cui si affida il servizio al conservatore.
In questo caso, dunque, l’adeguamento alle nuove Linee Guida dei sistemi di gestione documentale delle PA richiederà, non solo l’aggiornamento del Manuale (previa verifica, ovviamente, sulla conformità normativa delle soluzioni utilizzate) e degli atti di nomina, ma anche la revisione e integrazione dei documenti relativi all’affidamento del servizio al conservatore (contratti o convenzioni).
