• Home
  • News
  • La conservazione dei documenti informatici «inizia» con una scelta e mai con l’obbligo di rivolgersi a un conservatore accreditato

La conservazione dei documenti informatici «inizia» con una scelta e mai con l’obbligo di rivolgersi a un conservatore accreditato

  • di Andrea Lisi – Presidente ANORC Professioni e Francesca Cafiero – Consulente archivista Digital & Law Department

La conservazione dei documenti informatici «inizia» con una scelta e mai con l’obbligo di rivolgersi a un conservatore accreditato
Mercoledì, 31 Maggio 2017

La domanda può sembrare banale, ma la risposta è tutt’altro che ovvia e rappresenta il presupposto di importanti ricadute pratiche: quando ha inizio la conservazione dei documenti informatici? Coincide con la nomina del Responsabile della conservazione? O piuttosto con la stipula del contratto con il Conservatore esterno, in caso di affidamento in outsourcing? Oppure con la predisposizione del Manuale? O ancora è l’invio del primo “pacchetto di versamento” a sancirne realmente l’inizio?

Agli occhi del Legislatore evidentemente la connotazione di questo momento è risultata del tutto «scontata», tant’è che non è possibile reperirne un cenno preciso né nel ricco Glossario che costituisce l’Allegato 1 delle Regole Tecniche (DPCM 3 dicembre 2013 contenente le regole tecniche in materia di conservazione), né nell’art. 44 del Codice dell’Amministrazione Digitale (D. Lgs. 82/2005).

Nel tentativo di circoscrivere questo momento, escludiamo anzitutto dal ventaglio delle opzioni il trasferimento del primo pacchetto di versamento, poiché a questo punto il processo si presuppone sia già avviato[1].

Si tratti di un privato o di una pubblica amministrazione, le opzioni organizzative alle quali poter fare riferimento sono sostanzialmente quelle previste dal comma 2 dell’art. 5 delle Regole Tecniche in precedenza citate, nel quale si distingue tra un’architettura da sviluppare:

a) all’interno della struttura organizzativa del soggetto produttore dei documenti informatici da conservare;

b) affidandola, in modo totale o parziale, ad altri soggetti, pubblici o privati che offrono idonee garanzie organizzative e tecnologiche, anche accreditati come conservatori presso l’Agenzia per l’Italia digitale.

Può risultare scontato, ma è il momento della progettazione ad assumere un’importanza cruciale per lo sviluppo dell’intero processo. È proprio in questa fase infatti che viene a configurarsi la scelta del soggetto affidatario, in caso di esternalizzazione, nel rispetto dei criteri di fatto stabili dal comma 3 del citato articolo 5, almeno per quanto concerne le pubbliche amministrazioni che «realizzano i processi di conservazione all’interno della propria struttura organizzativa o affidandoli a conservatori accreditati, pubblici o privati, di cui all'art. 44-bis, comma 1, del Codice, fatte salve le competenze del Ministero dei beni e delle attività culturali e del turismo ai sensi del decreto legislativo 22 gennaio 2004, n. 42, e successive modificazioni».

Quindi, il legislatore tecnico, ad una lettura veloce e poco sistematica della norma, sembrerebbe orientare la scelta delle PA verso i soli conservatori accreditati. Di diverso tenore risultano invece in argomento le disposizioni del CAD, norma di rango superiore, che invece non prevede l’obbligatorietà di tale - ulteriore - requisito per i fornitori di servizi di conservazione della PA[2].

Immaginiamo, ad esempio, il caso di una pubblica amministrazione che decida nella sua autonomia discrezionale di non rivolgersi a un conservatore accreditato, ma preferisca affidare in outsourcing il proprio sistema di conservazione a un soggetto non accreditato, sulla scorta dell’avallo da parte della Soprintendenza (la quale avrà verificato che quel conservatore possieda comunque un sistema conforme ai requisiti del DPCM 3 dicembre 2013, idoneo a garantire la sicurezza dei dati e dei documenti della PA). Stando alla sola lettura letterale del prima citato art. 5, comma 3, delle regole tecniche, potrebbe apparire un provvedimento del tutto tacciabile di illegittimità, dal momento che una PA sembrerebbe dover orientare la propria scelta esclusivamente verso un fornitore di servizi di conservazione accreditato presso AgID. Ciò implicherebbe forse che un documento di una PA affidato ad un conservatore non accreditato, pur scrupoloso e attento a seguire a regola d’arte le norme, potrebbe di fatto ritenersi “non custodito”?

Come accennato in precedenza, il CAD non prescrive quale obbligatorio, necessario o indispensabile il requisito dell’accreditamento per i conservatori che forniscano i loro servizi alle pubbliche amministrazioni e, pertanto, queste ultime ben potrebbero scegliere anche conservatori non accreditati da AgID purchè assicurino alla PA l’erogazione di servizi di conservazione di documenti informatici conformi ai requisiti stabiliti dall’art. 44 del CAD e dalle Regole tecniche del DPCM 3 dicembre 2013.

In effetti, qualora una pubblica amministrazione non si rivolga a un conservatore accreditato, ma affidi in outsourcing il proprio sistema di conservazione ottenendo comunque l’avallo della competente Soprintendenza (la quale avrà verificato che quel conservatore - non accreditato - abbia comunque adottato un sistema di conservazione “a norma”, quindi idoneo a garantire la sicurezza dei dati e dei documenti della PA), il relativo provvedimento di affidamento potrà ritenersi illegittimo? E sulla base di quale disposizione, considerando anche che il requisito introdotto dal terzo comma dell’art. 5 del DPCM - ovvero quello dell’affidamento in outsourcing a un conservatore accreditato per le PA - costituisce un requisito ulteriore e non previsto come obbligatorio dal Codice dell’Amministrazione digitale, che è norma di rango primario (pertanto apparendo tale previsione “in eccesso di delega”)? [3] Una lettura più approfondita del terzo comma in effetti potrebbe portare a ritenere che non ci sia una reale incongruenza sistematica con il Codice dell’amministrazione digitale. Il comma citato infatti precisa solo che le PA “realizzano i processi di conservazione all’interno della propria struttura organizzativa o affidandoli a conservatori accreditati”, senza però espressamente obbligarli in tal senso. Quindi, sembra essere questa più un’indicazione di opportunità alla luce della “culpa in eligendo” tipica di questi affidamenti, la cui insussistenza potrebbe così più facilmente essere dimostrata da parte dell’ente in caso di accreditamento del conservatore.

Del resto, quali sarebbero le sanzioni applicabili in caso di affidamento a un conservatore non accreditato, ma affidabile e con il proprio sistema di conservazione allineato alla normativa in vigore? Quale Autorità dovrebbe irrogarle? L’Agenzia per l’Italia digitale? La Soprintendenza archivistica competente che ha autorizzato la pubblica amministrazione all’adozione di quel sistema di conservazione? E ancora, lo ribadiamo: un documento di una PA “conservato a norma” da un conservatore non accreditato che segua a regola d’arte le disposizioni tecniche attualmente in vigore può davvero ritenersi “non custodito”?

Peraltro, queste considerazioni assumono particolare rilevanza in relazione al recente compimento dei famosi trentasei mesi, concessi per l’adeguamento dei sistemi di conservazione «già esistenti» alla data di entrata in vigore delle Regole Tecniche e che quindi entro l’11 aprile di quest’anno avrebbero dovuto provvedere a seguire un piano dettagliato (da allegare al manuale della conservazione), riservandosi di applicare, fino al completamento di tale iter le previgenti regole, ossia quelle previste dalla delibera CNIPA 11/2004. Il comma 2 dell’articolo 14 delle Regole Tecniche non interessa soltanto i sistemi attivati da soggetti accreditati, ma si estende a ricomprendere tutto il bacino di soggetti operanti nel settore. In questo senso la logica adottata dal Legislatore nella stesura delle Regole Tecniche si rivela per certi versi contraddittoria: tutti devono adeguarsi, tutti devono essere attenti e scrupolosi nei confronti della normativa, ma solo alcuni possono dialogare direttamente con la PA per l’erogazione del proprio servizio, ossia coloro che hanno scelto di intraprendere il percorso dell’accreditamento[4].

Allo stesso modo, non meglio definita risulterebbe per i conservatori accreditati e accreditandi la questione della vigilanza, che sino ad oggi è stata gestita in modo a dir poco caotico. In particolare, AgID ha di fatto garantito la standardizzazione dei rispettivi iter, di accreditamento e di vigilanza, con la circolare n. 65 del 10 aprile 2014, emanata ai sensi dall’articolo 13 del DPCM 3 dicembre 2013 (Regole tecniche in materia di sistema di conservazione) contenente le “Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici”. Già in tale circolare era stato stabilito che per il mantenimento dell’accreditamento sarebbe stato necessario – dal momento indicato da AgID – ottenere una valutazione positiva di conformità del proprio sistema al DPCM 3 dicembre 2013 e agli standard ivi richiamati (su tutti, lo standard OAIS – ISO 14721 e lo standard ETSI 101 533). Tale valutazione di conformità, però, non era stata mai correttamente richiesta ai conservatori già accreditati e, solo con le modifiche apportate dal D. Lgs. 179/2016 all’art. 29 del CAD, è stata prevista come necessaria fin dal momento della presentazione della domanda di accreditamento. Di fatto, quindi, la valutazione richiesta inizialmente solo per una successiva (e mai partita) fase di mantenimento dell’accreditamento è stata anticipata al momento della presentazione della stessa domanda di accreditamento.

Questa modifica, entrata oltretutto in vigore il giorno dopo la sua pubblicazione in GU, ha di fatto causato non pochi disagi a quei conservatori che, da settembre scorso, al momento della presentazione delle domande di accreditamento, hanno ricevuto la sospensione, in attesa della suddetta valutazione di conformità (le cui modalità di ottenimento ancora non erano state individuate!).

In effetti, l’individuazione delle modalità con le quali effettuare le attività di valutazione di conformità è avvenuta solo con una prima circolare, la n° 36/2016, del 16 dicembre 2016, per poi essere ulteriormente modificate con una successiva circolare n° 5/2017, del 27 febbraio 2017. Con tali provvedimenti ACCREDIA ha dettato le regole per poter effettuare le attività di valutazione di conformità ed ha avviato i corsi di preparazione per i certificatori che dovranno eseguire le verifiche: attività senza le quali è stato impossibile ottenere la valutazione di conformità richiesta per riprendere l’iter di accreditamento sospeso.

Di fatto, quindi, solo da qualche settimana è stata effettuata con successo la prima valutazione di conformità e ancora da meno tempo AgID ha reso pubblica la Lista di Riscontro sulla base della quale i certificatori dovranno effettuare le valutazioni[5].

In base a tali considerazioni, che vedono anche un’oggettiva difficoltà di molti conservatori a conseguire l’accreditamento per motivi di natura esclusivamente formale e non sostanziale, non sembrano riscontrarsi serie ragioni ostative alla scelta di un conservatore non accreditato da parte delle pubbliche amministrazioni, anche perché una lettura diversa delle norme genererebbe inevitabilmente distorsioni sul mercato che senz’altro la ratio normativa non potrebbe assolutamente giustificare. Ovviamente tale scelta dovrà essere particolarmente oculata e fondata sulla rigorosa verifica del rispetto di tutti i requisiti stabiliti dall’art. 44 del CAD e dalle Regole tecniche del 3 dicembre 2013, atteso in tali ipotesi l’accentuarsi in capo all’ente del profilo della eventuale e già richiamata responsabilità per culpa in eligendo, rispetto al caso in cui il conservatore abbia già conseguito l’accreditamento presso AgID.

Se, dunque, è possibile ricondurre in un certo senso al momento della «scelta» il fatidico atto d’inizio del processo di conservazione, l’importante è che tale scelta non sia basata sul mero riscontro di un requisito formale (peraltro non richiesto dal CAD), ma che sia impostata su una seria valutazione del conservatore e del processo di conservazione offerto.


[1] L’«inizio» del processo di conservazione è anzi prodromico rispetto a questa attività, definita peraltro con precisione dallo standard OAIS (ISO 14721), contenente l’architettura concettuale di riferimento utilizzata per l’elaborazione delle stesse Regole Tecniche da parte del Legislatore, che non ha verosimilmente ritenuto necessario mutuare altresì la definizione di alcune entità funzionali del modello, tra le quali viene a configurarsi proprio la fase di ingest (eccezion fatta per la nomenclatura delle fasi del processo di conservazione, riportata all’art. 9).

[2] Oltretutto, occorre considerare la residualità di alcune competenze in capo al MiBACT, che andrebbero ad incidere di fatto proprio sulla presunta obbligatorietà di tale requisito, in linea con quanto previsto dallo stesso CAD, all’art. 43, comma 4. Tuttavia dalla formulazione del testo di quest’ultimo, non appare chiaro se il ruolo delle Soprintendenze rimanga immutato (ossia se alle stesse sia rimessa comunque l’autorizzazione per l’affidamento in outsourcing dei sistemi di conservazione delle pubbliche amministrazioni) o se per le stesse sia possibile immaginare competenze ulteriori, come peraltro sembrerebbe confermato dal comma 9 dell’art. 6 delle stesse regole tecniche, il quale ribadisce che “resta ferma la competenza del Ministero dei beni e delle attività culturali e del turismo in materia di tutela dei sistemi di conservazione degli archivi pubblici o degli archivi privati che rivestono interesse storico particolarmente importante”.

[3] In tal senso sembra deporre anche la recente Giurisprudenza amministrativa: si veda, in particolare, TAR Campania – Napoli, Sez. I, sentenza n. 1694 del 28 marzo 2017.

[4] Ovviamente si fa presente che il prescritto adeguamento alle regole tecniche di cui al DPCM 3 dicembre 2013 non comporta obbligatoriamente l’adozione degli standard di cui all’allegato 3 dello stesso DPCM (come si evince dal comma 4 dell’art. 3 dello stesso decreto), che invece risulta obbligatoria per i conservatori che intendono conseguire l’accreditamento, come richiesto dalla Circolare AgID 65/2014.

[5] Per approfondimenti, si veda l’articolo di L. Foglia su Anorc.eu, “Conservatori digitali, facciamo chiarezza sui requisiti”, all’indirizzo https://www.anorc.eu/news/item/conservatori-digitali-facciamo-chiarezza-sui-requisiti

Torna su

ANORC

ANORC Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
Sede Legale: via Mario Stampacchia 21 - 73100 Lecce - P.I: 04367590751 - C.F: 09747511005 - E-mail: segreteria@anorc.it
© copyright 2016 - Tutti i diritti riservati - Note legali - Mappa del sito