Luciano Quartarone, CISO & Data Protection Officer di Archiva spiega perché è importante seguire le Linee Guida sulla gestione documentale. I rischi in cui le aziende incorrerebbero sono tanti. Conosciamo quelli principali.
Le “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” non sono indicazioni di massima. Le aziende sono obbligate a essere conformi a quanto esse stabiliscono: purtroppo, una loro lettura superficiale e applicazione non rigorosa, può essere una delle principali cause di rischio che le aziende italiane devono fronteggiare nella gestione documentale.
Gestione documentale: conosciamo alcune regole
L’obbligo, per le aziende italiane, di attuazione delle Linee Guida è espresso dall’articolo 2 comma 3 del CAD – Codice Amministrazione Digital dell’AgID (Agenzia per l’Italia Digitale) lo esprime chiaramente: “Le disposizioni del presente Codice e le relative Linee guida concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli articoli 43 e 44, […] si applicano anche ai privati, ove non diversamente previsto”.
Ancora, l’articolo 71 del CAD recita “L’AgID: “[…] adotta Linee guida contenenti le regole tecniche e di indirizzo per l’attuazione del presente Codice […]”. Le regole tecniche cui ci si riferisce sono ora le “Linee guida sulla formazione, gestione e conservazione dei documenti informatici […]”. Infine, è il Consiglio di Stato nell’ambito del parere reso sullo schema di decreto legislativo del correttivo al CAD, n. 2122/2017 del 10.10.2017 a ribadire che le Linee Guida adottate da AGID hanno carattere vincolante e assumono valenza erga omnes.
Quali rischi derivano dal non applicare la legislazione?
Per comprendere quali siano i rischi derivanti dalla non corretta attuazione della legislazione pertinente in ambito gestione documentale, occorre ricordare quale sia il principale obiettivo della conservazione: mantenere memoria della propria attività istituzionale. I rischi conseguenti al non raggiungimento di questo obiettivo, possono essere di diversa natura: organizzativo, operativo, ma anche economico. Gli ambiti organizzativo ed operativo, hanno una diretta connessione con i sottoprocessi di formazione e gestione dei documenti informatici, descritti nei capitoli due e tre delle Linee Guida AgID.
Anche il capitolo quattro è, soggetto a rischi di tipo organizzativo e operativo, ma questi insistono tipicamente sui conservatori, soggetti prevalentemente privati, in possesso di adeguati requisiti tecnico-organizzativi: in questa sede possiamo tralasciare questo specifico ambito.
La gestione documentale elettronica
I rischi in ambito formazione riguardano principalmente i processi che vengono attuati nella generazione dei documenti informatici. Le aziende, ad esempio, spesso hanno una moltitudine di documenti cartacei, per i quali vengo avviati processi di digitalizzazione. Non è corretto pensare che basti usare uno scanner per risolvere il problema. Infatti, limitarsi alla scansione non implica il rispetto di quanto previsto dalle Linee Guida: si tratta, anzi, di un comportamento che potrebbe compromettere il valore probatorio dei documenti così formati. L’allegato tre delle Linee guida della gestione documentale, nello specifico, descrive come poter giungere ad una “Certificazione di processo”: una modalità̀ prevista dagli articoli 22 comma 1bis “Copie informatiche di documenti analogici” e 23-ter comma 1bis “Documenti amministrativi informatici” del CAD. La certificazione di processo ha l’obiettivo di incentivare e facilitare la digitalizzazione dei flussi informativi. Le Linee guida prevedono quattro distinte modalità per la formazione dei documenti informatici e a queste occorre sempre riferirsi nei processi aziendali. Il principale effetto negativo derivante dalla non corretta applicazione della normativa riguarda il valore probatorio del documento, ovvero il fatto che il documento non abbia lo stesso valore dell’originale da cui è tratto oppure, quando questo è originale, potrebbe non rappresentare un documento informatico. Questo determina l’urgenza di produrre prove a supporto in caso di contenzioso con terzi privati o peggio ancora, l’invalidazione in caso di controllo dell’autorità sino all’estremo di accertamento induttivo in ambito fiscale e tributario. La mancata conservazione secondo norma può comportare sanzioni amministrative e la possibilità, come detto, di accertamento induttivo può avere impatto penale in senso estensivo: si può imputare, per esempio, l’occultamento o la distruzione di documenti contabili. Lo stesso accade quando sono prodotti contratti o altri documenti con una firma elettronica, oppure quando si adopera la PEC (Posta Elettronica Certificata): se si stampano tali materiali e se non è stato attuato un processo corretto, si interrompe la catena di validità della firma.
Una questione di organizzazione
La gestione documentale elettronica non si traduce nel solo fatto di adottare innovative tecnologie: significa progettare, implementare e poi mantenere e costantemente migliorare un modello di attività che sia conforme alla normativa applicabile e sempre allineato con gli obiettivi aziendali. In questo processo dovranno riscontrarsi gli efficientamenti che ne giustificano l’adozione, evitando di dematerializzare anche gli sprechi. La non corretta ed esaustiva identificazione dei documenti da mettere in conservazione può comportare il rischio di perdere la memoria dell’attività svolta dall’azienda, con l’ulteriore conseguenza, di non poter rispondere ad eventuali richieste in sede di accertamenti o di contenziosi. Le Linee guida non definiscono un elenco preciso e puntuale di tipologie documentali da conservare, ma con la loro pubblicazione si stabilisce un chiaro principio: devono essere conservati i documenti informatici, ovvero come detto in precedenza, i documenti che sono rappresentazione di atti, fatti o dati giuridicamente rilevanti.
Il Responsabile della Conservazione
Elemento innovativo, rispetto al previgente DPCM del 3 dicembre 2013 “Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005”, e fonte di ulteriore rischio, è la nomina del Responsabile della Conservazione (RdC), ruolo in passato spesso inconsapevolmente delegato al Conservatore. L’RdC accomuna competenze in ambito informatico, giuridico e archivistico. Non è banale, soprattutto per le aziende private, individuare al proprio interno figure professionali con queste competenze e per questo spesso si ricorre a soggetti esterni, purché diversi dal conservatore.
Ancora, per la prima volta i titolari dell’oggetto di conservazione sono chiamati a redigere il Manuale di Conservazione. In precedenza, i c.d. Conservatori accreditati, erano tenuti alla redazione del manuale della conservazione, documento che veniva poi pubblicato sul sito web AgID. La non redazione di questo documento, così come la mancata nomina dell’RdC, per quanto apparentemente due trascurabili formalità, impediscono di affermare la piena e corretta implementazione delle Linee guida e risultando quindi in potenziale danno al titolare dell’oggetto di conservazione. I rischi operativi si estendono, fra gli altri, ai formati di file scelti per la rappresentazione dei documenti informatici, al set di metadati associati ai documenti, ma anche alla scelta delle procedure di memorizzazione, accesso e scarto di tali documenti dal sistema di conservazione.
La valutazione di Interoperabilità
Benché l’utilizzo esclusivo dei formati di file descritti nell’allegato 2 delle Linee guida non sia un obbligo per i soggetti privati, AgID auspica anche per i privati il loro impiego al fine di garantire nel tempo l’interoperabilità fra i diversi sistemi di conservazione. Questa scelta porta con sé la necessità di implementare un processo periodico di valutazione di interoperabilità al fine di prevenire il fenomeno dell’obsolescenza di formato che potrebbe comportare il rischio di perdere integrità, disponibilità o leggibilità del documento informatico.
L’impiego dei metadati descritto nell’allegato 5 delle Linee Guida sulla gestione documentale e la loro associazione permanente al documento informatico a cui si riferiscono, permette una corretta gestione del ciclo di vita del documento. Il rischio che si corre nella non corretta implementazione di questi metadati è duplice: da un lato si sta chiaramente violando un obbligo cogente stabilito dalle Linee guida che pregiudica la conformità alla Linee guida stesse, dall’altro è compromessa la gestione “archivistica” del documento e quindi la strutturazione logica dell’archivio corrente, dell’archivio di deposito e dell’archivio storico viene compromessa non garantendo la possibilità di reperire correttamente il documento nel momento del bisogno.
Cancellazione o distruzione dei documenti
Potrebbe sembrare strano, ma per conservare correttamente occorre anche poter cancellare (distruggere) i documenti. Questo per diversi motivi, non solo per una scelta archivistica. Si parla di scarto per indicare quell’operazione con cui si eliminano definitivamente dal sistema di conservazione, secondo quanto previsto dalla normativa vigente, i documenti ritenuti non più̀ rilevanti ai fini giuridico-amministrativo e storico-culturale. Questa cancellazione – o distruzione se ci riferiamo ancora ad oggetti analogici – può avvenire in conformità a standard internazionali come la ISO/IEC 21964, recepita da UNI nel 2020 con la UNI CEI ISO/IEC 21964 “Distruzione dei supporti di dati”. La mancata cancellazione di documenti informatici o di supporti di dati contenenti documenti informatici, può risultare in violazione del Regolamento (UE) 2016/679 (GDPR), con le conseguenze che ciò comporta.
L’importanza delle certificazioni di processo in ambito gestione documentale
Il ricorso ad un percorso di certificazione può mitigare e prevenire il manifestarsi di rischi nei processi di gestione documentale. Con il Decreto semplificazioni di luglio 2020 è stato abolito l’istituto dell’accreditamento e ad oggi non esiste più un percorso formalizzato per Conservatori che erogano i loro servizi alle PA, di certificazione o accreditamento.
Ciò nonostante, il ricorso a standard internazionali applicabili anche alla gestione documentale offre chiaramente maggiori garanzie rispetto alla libera implementazione di processo che in difetto potrebbero risultare lacunosi. Oltre ai più noti ISO 9001 e ISO/IEC 27001, in ambito qualità e sicurezza delle informazioni, assumo particolare rilevanza tre standard: ISO 14721 “Space data and information transfer systems — Open archival information system (OAIS)”; ISO 15489 “Information and documentation — Records management”; ISO 23081 “Information and documentation — Records management processes — Metadata for records”. Premesso che la certificazione, in particolar modo quella accreditata, dimostra che una specifica attività, un processo o un determinato prodotto rispetta i requisiti che norma tecnica specifica, ad oggi è possibile ricorrere solamente ad attestazioni, quindi con minor valore, di conformità rispetto a requisiti specificati. È dunque auspicabile che presto venga definito uno nuovo schema di certificazione per il servizio di Conservazione, al fine di avere uno strumento di mitigazione, anche sul piano formale, di rischi derivanti dalla non corretta implementazione delle Linee guida. Esistono, per questo, soluzioni applicative per gestire in piena conformità i processi documentali.
di Luciano Quartarone, CISO & Data Protection Officer di Archiva
