Pubblica Amministrazione: in Gazzetta Ufficiale le nuove regole tecniche per i documenti informatici
Con il DPCM 13 novembre 2014 pubblicato sulla Gazzetta Ufficiale del 12.01.2015, finalmente si completa il quadro normativo che disciplina la conservazione e la gestione dei documenti informatici attuando in maniera completa quanto previsto dal Codice dell'Amministrazione digitale (Dlgs 82/2005).
Il decreto, infatti, stabilisce le nuove regole tecniche che disciplinano l'utilizzo e la conservazione dei file digitali affinchè possano avere valore legale.
In particolare il decreto disciplina le regole tecniche che riguardano i documenti informatici previsti dall'art. 20, commi 3 e 4 (documenti informatici in genere), dall'art. 22, commi 2 e 3 (copie informatiche di documenti analogici), dall'art. 23 (copie analogiche di documenti informatici), e dall'art. 23-bis commi 1 e 2 (duplicati e copie informatiche di documenti informatici) e dall’art. 23-ter del Codice dell’Amministrazione Digitale (documenti amministrativi informatici).
Le regole, all'art. 3 del decreto si occupano preliminarmente delle modalità di formazione del documento informatico indicando espressamente che esso può essere generato attraverso:
- a) redazione tramite l'utilizzo di appositi strumenti software;
- b) acquisizione di un documento informatico per via telematica o su supporto informatico, acquisizione della copia per immagine su supporto informatico di un documento analogico, acquisizione della copia informatica di un documento analogico;
- c) registrazione informatica delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all'utente;
- d) generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o piu' basi dati, anche appartenenti a piu' soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica.
Il testo normativo si occupa poi delle caratteristiche di "immodificabilità" che il documento deve avere "in modo che forma e contenuto non siano alterabili durante le fasi di tenuta e accesso e ne sia garantita la staticita' nella fase di conservazione".
La norma prevede che tali caratteristiche di immodificabilità ed integrità del documento informatico possano essere soddisfatte in maniera diversa a seconda del tipo di documento a cui si fa riferimento.
In particolare, nel caso di documento informatico formato ai sensi del comma 1, lettera a) ed ossia quello generato attraverso l'utilizzo di un apposito software le caratteristiche di immodificabilità e di integrità possono esser determinate da una o più delle seguenti operazioni:
a) la sottoscrizione con firma digitale ovvero con firma elettronica qualificata;
b) l'apposizione di una validazione temporale;
c) il trasferimento a soggetti terzi con posta elettronica certificata con ricevuta completa;
d) la memorizzazione su sistemi di gestione documentale che adottino idonee politiche di sicurezza;
e) il versamento ad un sistema di conservazione.
In sostanza, dunque, si prevede che il documento abbia pieno valore se formato con numerosi mezzi tutti idonei a garantirne appunto l'integrità tra cui, in primis la firma digitale o la firma elettronica qualificata (ed ossia una firma ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce).
Allo stesso modo è possibile dare validità ad un documento se sullo stesso viene apposta una marca temporale (operazione ormai abbastanza semplice che viene fornita a pagamento da tutti i gestori di firme elettroniche ed è liberamente utilizzabile da qualunque utente che ne sia provvisto).
Interessante appare anche il riferimento al "trasferimento a soggetti terzi con posta elettronica certificata con ricevuta completa" e, dunque, in sostanza alla posta elettronica certificata che assume mezzo idoneo a "qualificare" l'integrità di un documento.
Nelle ultime due ipotesi si fa, invece riferimento alla memorizzazione su sistemi di gestione documentale (es: in modalità cloud fornita da appositi gestori) che "adottino idonee politiche di sicurezza" (sebbene tale concetto appaia un pò generico ed andrebbe meglio specificato al fine di chiarire quale sia il contenuto minimo di tali politiche) ed al versamento su sistemi di conservazione (dei quali invece si occupano altre specifiche tecniche già emanate sin dall'anno 2013).
Qualora invece si tratti di documento informatico formato ai sensi del comma 1, lettera b) (acquisizione di un documento informatico per via telematica o su supporto informatico, acquisizione della copia per immagine su supporto informatico di un documento analogico, acquisizione della copia informatica di un documento analogico), le caratteristiche di immodificabilità e di integrità sono determinate dall'operazione di memorizzazione in un sistema di gestione informatica dei documenti che garantisca l'inalterabilità del documento o in un sistema di conservazione.
Anche su questo la norma dovrebbe essere più specifica quantomeno in riferimento alla definizione dell'operazione di memorizzazione in un sistema che "garantisca l'inalterabilità del documento" visto che, come detto il concetto di sistema di conservazione è invece già normativamente definito.
In sostanza è lecito chiedersi se la formazione di un documento PDF ottenuto con uno degli innumerevoli software disponibili (es: scansione di un documento cartaceo) possa o meno rientrare nella definizione di "inalterabilità del documento" ovvero in caso contrario di quale software si debba disporre per poter rientrare in tali caratteristiche.
Nel caso di documento informatico formato ai sensi del comma 1, lettere c) e d), invece (es ossia registrazione informatica delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all'utente ovvero generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più basi dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica) le caratteristiche di immodificabilità e di integrità sono determinate dall'operazione di registrazione dell'esito della medesima operazione e dall'applicazione di misure per la protezione dell'integrità delle basi di dati e per la produzione e conservazione dei log di sistema, ovvero con la produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione.
Anche su questo la definizione avrebbe bisogno di alcune precisazioni.
Possiamo però sicuramente affermare che affinchè i documenti generati con tali modalità siano considerati legalmente validi è necessario che sia possibile risalire al processo con cui il documento è stato generato e ad un'estrazione dei dati grazie ai quali è stati formato.
Possiamo però sicuramente affermare che affinchè i documenti generati con tali modalità siano considerati legalmente validi è necessario che sia possibile risalire al processo con cui il documento è stato generato e ad un'estrazione dei dati grazie ai quali è stati formato.
Si pensi, ad esempio, ai contratti conclusi tramite formulari presenti in rete ed ormai di grande diffusione come ad esempio quelli utilizzati per la registrazione ai portali ovvero per effettuare acquisti on line.
Al comma 8 l'articolo definisce la c.d. "evidenza informatica" che deve corrispondere ad uno dei formati contenuti nell'allegato 2 al decreto stesso "in modo da assicurare l'indipendenza dalle piattaforme tecnologiche, l'interoperabilità tra sistemi informatici e la durata nel tempo dei dati in termini di accesso e di leggibilità".
Sono consentiti formati diversi nei casi in cui la natura del documento informatico lo richieda per un utilizzo specifico nel suo contesto tipico.
Importante poi il riferimento contenuto nel comma 9 dell'art. 3 ove si stabilisce che "al documento informatico immodificabile vengono associati i metadati che sono stati generati durante la sua formazione" e che "l'insieme minimo dei metadati" e' costituito da: a) l'identificativo univoco e persistente; b) il riferimento temporale di cui al comma 7; c) l'oggetto; d) il soggetto che ha formato il documento; e) l'eventuale destinatario; f) l'impronta del documento informatico.
All'art. 4 le regole chiariscono che la copia per immagine su supporto informatico di un documento analogico è prodotta mediante processi e strumenti che assicurino che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui è tratto, previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell'originale e della copia.
La copia per immagine di uno o più documenti analogici può essere, invece, sottoscritta con firma digitale o firma elettronica qualificata da chi effettua la copia.
Anche in tal caso sarebbe opportuno comprendere quali siano tali processi e tali strumenti che garantiscano la corrispondenza tra l'originale e la copia.
L’art. 5 delle regole tecniche si occupa, invece del duplicato informatico di un documento informatico stabilendo che lo stesso è prodotto mediante processi e strumenti che assicurino che il documento informatico ottenuto sullo stesso sistema di memorizzazione, o su un sistema diverso, contenga la stessa sequenza di bit del documento informatico di origine.
L’art. 6 è, invece, dedicato alle "copie e estratti informatici di documenti informatici".
Tali documenti sono prodotti attraverso l'utilizzo di uno dei formati idonei di cui all'allegato 2 del decreto, "mediante processi e strumenti che assicurino la corrispondenza del contenuto della copia o dell'estratto informatico alle informazioni del documento informatico di origine previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza del contenuto dell'originale e della copia".
La copia o l'estratto di uno o più documenti informatici di tali documenti, se sottoscritto con firma digitale o firma elettronica qualificata da chi effettua la copia ha la stessa efficacia probatoria dell'originale, salvo che la conformità allo stesso non sia espressamente disconosciuta.
L'art. 8 si occupa delle misure di sicurezza ed alla necessità di elaborazione di un piano di "disaster recovery" o piano di continuità operativa, come peraltro già stabilito dal Codice dell'Amministrazione digitale.
In particolare al comma 2 è previsto che "I soggetti privati, per garantire la tenuta del documento informatico di cui all'art. 3, possono adottare, quale modello di riferimento, quanto previsto dagli articoli 50-bis e 51 del Codice e dalle relative linee guida emanate dall'Agenzia per l'Italia digitale. I sistemi di gestione informatica dei documenti rispettano le misure di sicurezza previste dagli articoli da 31 a 36 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 e dal disciplinare tecnico di cui all'allegato B del predetto codice".
Il capo 3 del decreto e, dunque, gli articoli da 9 a 12 si occupano di un "nuova" tipologia di documento informatico avente caratteristiche peculiari rispetto a quelli sino ad ora esaminati e cioè del documento amministrativo informatico, al quale come indicato dalla norma si applicano le stesse disposizioni sopra enunciate, salve le specifiche indicate appunto negli articoli ad esso dedicati.
La norma prevede che le pubbliche amministrazioni formano gli originali dei propri documenti attraverso gli strumenti informatici riportati nel manuale di gestione ovvero acquisendo le istanze, le dichiarazioni e le comunicazioni di cui agli articoli 5-bis, 40-bis e 65 del Codice.
Dunque il documento amministrativo informatico può essere redatto unicamente attraverso degli specifici software ovvero previa acquisizione di istanze e comunicazioni secondo le procedure previste nel codice dell'amministrazione digitale.
Dunque il documento amministrativo informatico può essere redatto unicamente attraverso degli specifici software ovvero previa acquisizione di istanze e comunicazioni secondo le procedure previste nel codice dell'amministrazione digitale.
Il documento amministrativo informatico é identificato e trattato nel sistema di gestione informatica dei documenti di cui al Capo IV del D.P.R. 445/2000 comprensivo del registro di protocollo e degli altri registri di cui all'art. 53, dei repertori e degli archivi, nonché degli albi, degli elenchi, e di ogni raccolta di dati concernente stati, qualità personali e fatti già realizzati dalle amministrazioni su supporto informatico.
Le stesse caratteristiche di immodificabilità ed integrità del documento amministrativo informatico vengono assunte anche con la sua registrazione nel registro di protocollo, negli ulteriori registri, nei repertori, negli albi, negli elenchi, negli archivi o nelle raccolte di dati contenute nel sistema di gestione informatica dei documenti.
In sostanza le caratteristiche richieste dalla legge per la validità del documento per quanto riguarda le pubbliche amministrazioni vengono anche "protocollate" in aggiunta al contenuto del documento stesso.
In sostanza le caratteristiche richieste dalla legge per la validità del documento per quanto riguarda le pubbliche amministrazioni vengono anche "protocollate" in aggiunta al contenuto del documento stesso.
Il comma 10 dell'art. 9 poi prevede che ai fini della trasmissione telematica di documenti amministrativi informatici, le pubbliche amministrazioni pubblicano sui loro siti gli standard tecnici di riferimento, le codifiche utilizzate e le specifiche per lo sviluppo degli applicativi software di colloquio, rendendo eventualmente disponibile gratuitamente sul proprio sito il software per la trasmissione di dati coerenti alle suddette codifiche e specifiche.
Tale definizione appare piuttosto interessante in quanto costituisce un vero e proprio onere per la Pubblica Amministrazione di rendere disponibili gratuitamente i software (o almeno gli standard e i relativi codici) per la trasmissione dei documenti anche da parte dei privati.
L'art. 10 si occupa poi delle copie dei documenti amministrativi informatici stabilendo che l'attestazione di conformità della copia informatica di un documento amministrativo analogico, formato dalla pubblica amministrazione, ovvero da essa detenuto, può essere inserita nel documento informatico contenente la copia informatica e che il documento informatico così formato e' sottoscritto con firma digitale o firma elettronica qualificata del funzionario delegato.
Tale definizione appare piuttosto interessante in quanto costituisce un vero e proprio onere per la Pubblica Amministrazione di rendere disponibili gratuitamente i software (o almeno gli standard e i relativi codici) per la trasmissione dei documenti anche da parte dei privati.
L'art. 10 si occupa poi delle copie dei documenti amministrativi informatici stabilendo che l'attestazione di conformità della copia informatica di un documento amministrativo analogico, formato dalla pubblica amministrazione, ovvero da essa detenuto, può essere inserita nel documento informatico contenente la copia informatica e che il documento informatico così formato e' sottoscritto con firma digitale o firma elettronica qualificata del funzionario delegato.
Il capo IV, infine, disciplina i fascicoli informatici, i registri ed i repertori informatici della pubblica amministrazione.
Specifiche disposizioni vengono, infine, dettate anche per la formazione dei registri e repertori informatici, per il trasferimento in conservazione e per le misure di sicurezza.
Il decreto entra in vigore decorsi trenta giorni dalla data della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e, cioè il giorno 12 febbraio 2015.
Le pubbliche amministrazioni adeguano i propri sistemi di gestione informatica dei documenti entro e non oltre diciotto mesi dall'entrata in vigore del decreto.
Fino al completamento di tale processo potranno essere applicate le previgenti regole tecniche, mentre decorso tale termine si applicheranno soltanto le nuove regole tecniche.
Con la pubblicazione del decreto si conclude, dunque, finalmente il processo di adeguamento della Pubblica Amministrazione all'utilizzo degli strumenti digitali.
Fatto questo passaggio ora sarà necessario incentivare la formazione e la cultura in ambito digitale al fine di favorire un graduale passaggio dal sistema cartaceo a quello informatico con indubbi vantaggi in termini di risparmio, velocità e gestione dei documenti.
Senza tale incentivo probabilmente sarà difficile che il processo arrivi pienamente a compimento e soprattutto che ciò avvenga nell'indicato termine di diciotto mesi.
Fino al completamento di tale processo potranno essere applicate le previgenti regole tecniche, mentre decorso tale termine si applicheranno soltanto le nuove regole tecniche.
Con la pubblicazione del decreto si conclude, dunque, finalmente il processo di adeguamento della Pubblica Amministrazione all'utilizzo degli strumenti digitali.
Fatto questo passaggio ora sarà necessario incentivare la formazione e la cultura in ambito digitale al fine di favorire un graduale passaggio dal sistema cartaceo a quello informatico con indubbi vantaggi in termini di risparmio, velocità e gestione dei documenti.
Senza tale incentivo probabilmente sarà difficile che il processo arrivi pienamente a compimento e soprattutto che ciò avvenga nell'indicato termine di diciotto mesi.
Commenti
Posta un commento