Dal 1° gennaio 2022, nominare un responsabile della conservazione dei documenti è obbligatorio anche per società ed enti privati. Si tratta di una figura già nota alle pubbliche amministrazioni, in quanto è prevista dal D.lgs. 82/2005 (Codice dell’Amministrazione Digitale – “CAD”). Il suo compito è quello di assicurare la corretta conservazione dei documenti informatici all’interno dell’organizzazione. Anche se nato in ambito pubblico, oggi il suo ruolo diventa fondamentale anche nel settore privato.

Facciamo un passo indietro. Da gennaio 2022 sono in vigore le Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” (“Linee guida”) pubblicate dall’Agenzia per l’Italia Digitale (“AgID”) in osservanza del CAD, testo unico che riunisce le norme riguardanti l’informatizzazione della pubblica amministrazione nei rapporti con i cittadini e le imprese.

Queste Linee guida trovano applicazione anche nei confronti delle organizzazioni private, ove non diversamente espresso e limitatamente agli ambiti del documento informatico, delle firme elettroniche e dei servizi fiduciari, della riproduzione e conservazione dei documenti, del domicilio digitale e delle comunicazioni elettroniche nonché dell’identità digitale. In sostanza, in molte delle aree in cui oggi la digitalizzazione è fortemente entrata nel settore privato. Per questi motivi, la legge ha previsto che sia obbligatorio dotarsi di un responsabile della conservazione anche per i privati.

Il documento informatico e la sua conservazione

La trasformazione digitale delle organizzazioni private è una realtà con cui confrontarsi quotidianamente per efficientare processi aziendali, ridurre tempi e costi, e assolvere a quelle esigenze di gestione e controllo interno che, oggi, fanno più che mai la differenza in un contesto di competizione globale. Essa stessa costituisce il passaggio obbligato verso la completa digitalizzazione dei processi interni alle imprese. Un traguardo in cui tanto la fonte, quanto il prodotto di tali processi ha sempre la medesima natura: quella di documento informatico, la cui rappresentazione elettronica di atti giuridicamente rilevanti assume, già oggi, il medesimo valore probatorio dei documenti analogici.

Ma se la formazione di un documento nativamente informatico costituisce la condizione per avviare un processo interno digitalizzato, per quanto qui di interesse, i privati sono chiamati a porre particolare attenzione alla fase finale di conservazione di un documento informatico soprattutto quando – per legge o regolamento – se ne debba garantire l’autenticità, l’integrità, l’affidabilità, la leggibilità e la reperibilità, oltre che la opponibilità a terzi.

Queste sono tutte condizioni e qualità che i privati già ora devono governare in una logica di insieme quando conservano documenti informatici come, per esempio: fatture elettroniche, documenti fiscali e amministrativi di uso commerciale (es. ordini, conferme d’ordine, avvisi di consegna, documenti di trasporto – ddt, i libri e i registri contabili), ma anche documenti nativamente informatici aventi rilevanza civilistica come PEC, email contratti e documenti sottoscritti con firma digitale. Per quanto riguarda le email dei dipendenti ed ex dipendenti, abbiamo trattato in questo articolo l’importanza di una loro corretta conservazione.

A sovraintendere la fase di conservazione, la normativa pone il responsabile della conservazione al quale sono attribuiti specifici ruoli, compiti e gli sono richieste particolari competenze.

I privati per cui è obbligatorio possono nominare un responsabile della conservazione esterno?

Per i soggetti diversi dalle PA, in generale, e le società, in particolare, il ruolo del responsabile della conservazione può essere ricoperto da un soggetto esterno all’organizzazione che sia in possesso di idonee competenze giuridiche, informatiche ed archivistiche. Dovrà però essere un soggetto diverso dal conservatore (cioè il fornitore del servizio informatico di conservazione) al fine di garantire la funzione di verifica del titolare dell’oggetto di conservazione rispetto al sistema stesso di conservazione.

Questo è quanto riferiscono le FAQ di AgID , le quali, assieme alle Linee guida, tuttavia non forniscono chiare indicazioni in merito alla natura e personalità giuridica del soggetto esterno. Omettono infatti di specificare se il responsabile della conservazione debba essere solo una persona fisica o possa essere anche una persona giuridica.

A parere di chi scrive, proprio l’assenza di tale precisazione depone in favore dell’ipotesi di outsourcing a persone giuridiche (come studi legali e società di consulenza) che hanno il vantaggio di poter fornire un livello di expertise più elevato attingendo alla pluralità di competenze tecniche interne. Analoga considerazione, sebbene fondata su un esplicito richiamo normativo, la vediamo in altre figure di controllo come ad esempio il Data protection officer (o DPO – cfr. art. 37, par. 6, GDPR).

Il responsabile della conservazione: attività delegabili

Da un lato quindi il ruolo del responsabile della conservazione può essere svolto anche da un soggetto esterno purché diverso dal conservatore. Dall’altro lato invece quando il servizio di conservazione è affidato ad un conservatore numerose attività del responsabile della conservazione possono essere affidate al responsabile del servizio di conservazione. Si tratta cioè quel profilo professionale che il conservatore è chiamato ad individuare all’interno della propria struttura organizzativa.

Resta tuttavia inteso che, in ogni caso, la responsabilità giuridica generale sui processi di conservazione rimane sempre in capo al responsabile della conservazione, il quale è chiamato altresì a svolgere le necessarie attività di verifica e controllo in ossequio alle norme vigenti.

In caso di attività delegate, il nominativo ed i riferimenti del responsabile della conservazione devono essere sempre indicati nelle specifiche del contratto di servizio con il conservatore, nel quale andranno anche riportate le attività affidate al responsabile del servizio di conservazione.

I compiti del responsabile della conservazione

Per quanto di diretto interesse per i soggetti privati, il responsabile della conservazione svolge, tra l’altro, le seguenti attività (delegandole all’uopo al responsabile del servizio di conservazione):

  • definisce le politiche di conservazione e i requisiti funzionali del sistema di conservazione, in conformità alla normativa vigente e tenuto conto degli standard internazionali, in ragione delle specificità degli oggetti digitali da conservare (documenti informatici, aggregazioni informatiche, archivio informatico), della natura delle attività che il titolare dell’oggetto di conservazione svolge e delle caratteristiche del sistema di gestione informatica dei documenti adottato;
  • gestisce il processo di conservazione e ne garantisce nel tempo la conformità alla normativa vigente;
  • genera e sottoscrive il rapporto di versamento, secondo le modalità previste dal manuale di conservazione;
  • genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti dal manuale di conservazione;
  • effettua il monitoraggio della corretta funzionalità del sistema di conservazione;
  • effettua la verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità e della leggibilità dei documenti informatici e delle aggregazioni documentarie degli archivi;
  • al fine di garantire la conservazione e l’accesso ai documenti informatici, adotta misure per rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle registrazioni, e, ove necessario, per ripristinare la corretta funzionalità; adotta analoghe misure con riguardo all’obsolescenza dei formati;
  • provvede alla duplicazione o copia dei documenti informatici in relazione all’evolversi del contesto tecnologico, secondo quanto previsto dal manuale di conservazione;
  • predispone le misure necessarie per la sicurezza fisica e logica del sistema di conservazione;
  • assicura agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza.

Il responsabile della conservazione: le attività non delegabili

Tra le attività delegabili dal responsabile della conservazione, NON vi rientra tuttavia la predisposizione e la cura dell’aggiornamento periodico – in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti – del manuale di conservazione.

Il manuale di conservazione è il documento informatico che illustra dettagliatamente l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione.

È quindi obbligatorio per il responsabile della conservazione, anche quando presta la propria attività a favore di soggetti privati, predisporre e aggiornare il manuale della conservazione. Attraverso questo documento egli definisce e attua le politiche complessive del sistema di conservazione governandone la gestione con piena responsabilità ed autonomia.

Il manuale di conservazione: i contenuti

Il manuale di conservazione per i soggetti diversi dalla PA, e quindi per i privati, deve contenere:

  1. i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione, descrivendo in modo puntuale, in caso di delega, i soggetti, le funzioni e gli ambiti oggetto della delega stessa;
  2. la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione;
  3. la descrizione delle tipologie degli oggetti digitali sottoposti a conservazione, comprensiva dell’indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di oggetti e delle eventuali eccezioni;
  4. la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento, comprensiva della predisposizione del rapporto di versamento;
  5. la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione;
  6. la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione;
  7. la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione e loro evoluzione;
  8. la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie;
  9. la descrizione delle procedure per la produzione di duplicati o copie;
  10. i tempi entro i quali le diverse tipologie di oggetti digitali devono essere trasferite in conservazione;
  11. le normative in vigore nei luoghi dove sono conservati gli oggetti digitali.

Il responsabile della conservazione: le competenze

Per svolgere tale ruolo, il responsabile della conservazione deve essere in possesso di idonee competenze legali, informatiche e archivistiche. Tuttavia non gli è richiesta alcuna iscrizione ad albi professionali specifici, né il conseguimento di determinate certificazioni.

Con riguardo alle competenze archivistiche, sebbene le Linee guida non citino espressamente alcune delle norme previste nel settore pubblico con riguardo a tale tema (es. il “Codice dei beni culturali e del paesaggio – D.Lgs. 42/2004, o il regolamento emesso con Decreto del Ministro per i Beni e le Attività Culturali n. 244/2019concernente la procedura per la formazione degli elenchi nazionali di archeologi, archivisti […]”, in cui è definito il profilo dell’archivista), una formazione in tal senso consente al responsabile della conservazione di considerare ed implementare logiche e processi che permettano una più tempestiva ed efficace messa a disposizione delle informazioni e dei documenti oggetto di conservazione.

In sintesi, la figura del responsabile della conservazione dovrà possedere almeno queste competenze:

  • adeguate competenze in linea con la complessità del compito richiesto, e che nel caso di outsourcing, ad esempio a studi o società di consulenza, queste operino in modo integrato attivando all’occorrenza le specifiche professionalità tecniche di cui dispongano al loro interno;
  • il supporto necessario a verificare e mantenere il sistema di conservazione documentale;
  • una capacità di operare d’intesa con tutte le funzioni che, internamente o esternamente alla società, concorrono – seppure con prospettive differenti – nel processo di conservazione dei documenti informatici. Si tratta ad esempio di figure apicali o di compliance aziendale, il responsabile del trattamento dei dati personali, il responsabile ICT ed anche il Data Protection Officer (se nominato).

È quindi importante che i soggetti privati per i quali è obbligatorio nominare il responsabile della conservazione dei documenti informatici valutino adeguatamente il possesso di questi requisiti in capo al soggetto che intendono nominare.

 

Articolo redatto con la collaborazione della Dott.ssa Denise Sessolo.