Nuove professioni digitali: il Responsabile della conservazione documentale

Titolo della presentazione Avv. Simonetta Zingarelli – Avv. Sarah Ungaro

NUOVE PROFESSIONI DIGITALI:

IL RESPONSABILE DELLA CONSERVAZIONE DOCUMENTALE

Titolo della presentazione

Sistema di gestione e conservazione informatica dei documenti

Sviluppo di un sistema informatico

Analisi organizzativa

Analisi dei processi di gestione dei flussi documentali -Mappatura processi - Rilevazione ruoli e responsabilità

Reingegnerizzazione di tutti i procedimenti - Ridefinizioni ruoli e responsabilità - Analisi costi/benefici

Change Management

Formazione Comunicazione

Conservazione digitale

Sicurezza informatica

privacy D. Lgs

231/2001


I problemi del documento informatico e la conservazione

- necessità della formazione del personale - riorganizzazione di tutti i processi - necessità di nuovo hardware e software - presenza di una normativa in costante evoluzione

Possibilità di procedere parzialmente nel processo (inevitabile) di conservazione digitale e di affidarsi a terzi, esternalizzando alcuni servizi

Titolo della presentazione 4

PRINCIPALI FONTI NORMATIVE IN MATERIA DI DIGITALIZZAZIONE DOCUMENTALE

Conservazione digitale:

- Codice della Pubblica Amministrazione Digitale (D. Lgs. 82/2005) - Codice della Privacy (Allegato B del D. Lgs. 196/2003) - Deliberazione CNIPA del 19 febbraio 2004 n. 11 (regole conservazione) - DPCM del 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b) , 35, comma 2, 36, comma 2, e 71). - Nuove regole tecniche


Le regole generali…

(Codice dell’amministrazione digitale e Regole tecniche in vigore)


ART. 42 CAD (Dematerializzazione dei documenti delle pubbliche amministrazioni ) 1. Le pubbliche amministrazioni valutano in termini di rapporto tra costi e benefici il recupero su supporto informatico dei documenti e degli atti cartacei dei quali sia obbligatoria o opportuna la conservazione e provvedono alla predisposizione dei conseguenti piani di sostituzione degli archivi cartacei con archivi informatici, nel rispetto delle regole tecniche adottate ai sensi dell’articolo 71.


ART. 43 CAD (Riproduzione e conservazione dei documenti) 1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento di cui e‘ prescritta la conservazione per legge o regolamento, ove riprodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione e la conservazione nel tempo sono effettuate in modo da garantire la conformita' dei documenti agli originali, nel rispetto delle regole tecniche stabilite ai sensi dell'art. 71. 3. I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali, nel rispetto delle regole tecniche stabilite ai sensi dell'art. 71.

La conservazione digitale non è una scelta eventuale, ma un dovere!


Art. 44 CAD (Requisiti per la conservazione dei documenti informatici) 1. Il sistema di conservazione dei documenti informatici assicura: a) l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui all’articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; b) l’integrità del documento; c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari; d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in Allegato B a tale decreto.

Chiave interpretativa per la normativa sulla conservazione digitale


Art. 44, comma 1 bis CAD (Requisiti per la conservazione dei documenti informatici) - NEW Il sistema di conservazione è gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza.

Conservatore

Archivista Privacy

La conservazione digitale si fa in tre!


51. CAD Sicurezza dei dati. 1. Le norme di sicurezza definite nelle regole tecniche di cui all'articolo 71 garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati. 2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.

Non c’è conservazione senza sicurezza informatica


Normativa vigente applicabile: - Codice dell’Amministrazione Digitale

- Codice Privacy - Dpcm 3 dicembre 2013 che sostituisce la Deliberazione CNIPA

n. 11/2004


Uno sguardo alla deliberazione CNIPA n. 11 del 19 febbraio 2004

Suddivisione della normativa

in due macroaree

Documenti analogici [documento formato utilizzando una grandezza fisica che assume valori continui, come le tracce su carta (esempio: documenti cartacei), come le immagini su film (esempio: pellicole mediche, microfiche, microfilm), come le magnetizzazioni su nastro (esempio: cassette e nastri magnetici audio e video). Si distingue in documento originale e copia]

Documenti informatici (la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti)

documento analogico originale: documento analogico che può essere unico oppure non unico se, in questo secondo caso, sia possibile risalire al suo contenuto attraverso altre scritture o

documenti di cui sia obbligatoria la conservazione, anche se in possesso di terzi;


Art. 3 Deliberazione CNIPA Processo di conservazione sostitutiva di documenti informatici

1. Il processo di conservazione sostitutiva di documenti informatici,

anche sottoscritti, così come individuati nell'art. 1, lettera f), e,

eventualmente, anche delle loro impronte, avviene mediante

memorizzazione su supporti ottici e termina con l'apposizione,

sull'insieme dei documenti o su una evidenza informatica contenente

una o più impronte dei documenti o di insiemi di essi, del riferimento

temporale e della firma digitale da parte del responsabile della

conservazione che attesta il corretto svolgimento del processo.


Art. 4 Deliberazione CNIPA Processo di conservazione sostitutiva di documenti analogici

1. Il processo di conservazione sostitutiva di documenti analogici avviene

mediante memorizzazione della relativa immagine direttamente sui supporti

ottici, eventualmente, anche della relativa impronta, e termina con

l'apposizione, sull'insieme dei documenti o su una evidenza informatica

contenente una o più impronte dei documenti o di insiemi di essi, del

riferimento temporale e della firma digitale da parte del responsabile della

conservazione che attesta così il corretto svolgimento del processo.

2. Il processo di conservazione sostitutiva di documenti analogici originali

unici si conclude con l'ulteriore apposizione del riferimento temporale e

della firma digitale da parte di un pubblico ufficiale per attestare la

conformità di quanto memorizzato al documento d'origine.

3. La distruzione di documenti analogici, di cui è obbligatoria la

conservazione, è consentita soltanto dopo il completamento della

procedura di conservazione sostitutiva, fatto salvo quanto previsto al

comma 4 dell'art. 6 del decreto del Presidente della Repubblica 28

dicembre 2000, n. 445


Regole tecniche (DPCM 3 dicembre 2013) in materia di sistema di CONSERVAZIONE ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44 , 44 –bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n.82 del 2005.

Pubblicate in Supplemento ordinario alla G.U. n. 59 del 12 marzo 2014 del che sostituiscono le attuali regole tecniche contenute nella Deliberazione CNIPA n. 11/2004 del 19 febbraio 2004, recante “Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali


Il sistema di conservazione (art 3)

Attuazione di quanto previsto dall’articolo 44, comma 1, del Codice

Il sistema di conservazione consiste nell’adozione di regole, procedure e tecnologie al fine di garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità dei seguenti oggetti informatici:

a. i documenti informatici e i documenti amministrativi informatici con i metadati ad essi associati;

b. i fascicoli informatici ovvero le aggregazioni documentali informatiche con i metadati ad essi associati, contenenti i riferimenti che univocamente identificano i singoli oggetti documentali che appartengono al fascicolo o all’aggregazione documentale.

La conservazione va dalla presa in carico dell'oggetto da conservare fino

all'eventuale suo scarto.

Il sistema di conservazione garantisce l’accesso all’oggetto conservato, per il periodo prescritto dalla norma, indipendentemente dall’evolversi del contesto tecnologico.

METADATI: insieme di dati associati a un documento informatico, o a un fascicolo informatico, o ad un'aggregazione documentale informatica per identificarlo e descriverne il contesto, il contenuto e la struttura, nonché per permetterne la gestione nel tempo nel sistema di conservazione; tale insieme è descritto nell’allegato 5 del presente decreto


Ruoli e responsabilità

Sistema di Conservazione

Responsabile della Conservazione

Produttore Utente

Produttore: persona fisica o giuridica che dispone delle informazioni da conservare

Responsabile della Conservazione: definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità e autonomia

Utente: persona fisica o giuridica che richiede accesso ai documenti presenti nel sistema di conservazione al fine di acquisire informazioni di interesse


Gli oggetti della conservazione sono organizzati in PACCHETTI INFORMATIVI

Tipologie di pacchetti informativi (art. 4)

Pacchetto di versamento : il pacchetto inviato ad un sistema di conservazione dal Produttore. Di solito, la sua forma e il suo contenuto sono concordati tra il Produttore e il Conservatore

Pacchetto di archiviazione : il pacchetto conservato in un sistema di conservazione. È derivato dalla trasformazione di uno o più Pacchetti di versamento a scopo di conservazione

Pacchetto di distribuzione:il pacchetto inviato ad un Utente da un sistema di conservazione.


Rapporto di versamento

Viene rilasciato dal sistema di conservazione, anche in automatico, successivamente alla presa in carico e alla verifica del pacchetto di versamento.

Viene univocamente identificato e conservato dal sistema di conservazione.

Contiene un riferimento temporale e una o più impronte del pacchetto di versamento.

Può essere firmato digitalmente dal responsabile della conservazione (consigliabile ove viene rilasciato da un outsourcer)


I modelli organizzativi per la conservazione (art. 5)

Il sistema di conservazione funziona secondo modelli organizzativi distinti da quelli di gestione documentale. La conservazione può essere svolta all'interno della stessa struttura organizzativa

che produce il documento da conservare. In alternativa può essere affidata, in modo totale o parziale, all'esterno (Outsourcing) mediante contratto o convenzione di servizio che preveda l'obbligo del rispetto del manuale della conservazione. L'outsourcer assumerà il ruolo di responsabile esterno del trattamento dei dati. (art. 6, commi 7 e 8) Le Pubbliche Amministrazioni realizzano i propri processi di conservazione all'interno delle struttura organizzativa che produce il documento o affidando i processi a conservatori accreditati ai sensi dell'art. 44-bis del CAD (art. 5, comma 3)


Dal “nuovo” Codice della Amministrazione Digitale: Art. 44, comma 1 ter (Requisiti per la conservazione dei documenti informatici) - NEW Il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione a quanto stabilito dall’articolo 43 e dalle regole tecniche ivi previste, nonché dal comma 1 ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche.

Possibilità anche per la P.A. di affidare in outsourcing i processi di conservazione digitale e ottenere la “certificazione di conformità” dei relativi processi!


Dal “nuovo” Codice della Amministrazione Digitale:

Art. 44 bis (Conservatori accreditati) - NEW 1. I soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi ed intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono l’accreditamento presso DigitPA. 2. Si applicano, in quanto compatibili, gli articoli 26, 27, 29, ad eccezione del comma 3, lettera a) e 31. 3. I soggetti privati di cui al comma 1 sono costituiti in società di capitali con capitale sociale non inferiore a euro 200.000.

Vi è ora la possibilità di far accreditare presso DigitPA i propri processi di conservazione sotto il profilo della sicurezza e della qualità (nel rispetto, quindi, di una serie di misure di sicurezza che variano a seconda della tipologia del dato trattato e degli strumenti utilizzati).


Art. 5 Del. CNIPA (sostituito dall’art. 7 del DPCM 3 dicembre

2013)


Art. 5 (Del. 11 CNIPA) Responsabile della conservazione

1. Il responsabile del procedimento di conservazione sostitutiva: a) definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia dei documenti (analogici o informatici) da conservare, della quale tiene evidenza. Organizza conseguentemente il contenuto dei supporti ottici e gestisce le procedure di sicurezza e di tracciabilità che ne garantiscono la corretta conservazione, anche per consentire l'esibizione di ciascun documento conservato; b) archivia e rende disponibili, con l'impiego di procedure elaborative, relativamente ad ogni supporto di memorizzazione utilizzato, le seguenti informazioni: 1) descrizione del contenuto dell'insieme dei documenti; 2) estremi identificativi del responsabile della conservazione; 3) estremi identificativi delle persone eventualmente delegate dal responsabile della conservazione, con l'indicazione dei compiti alle stesse assegnati;

4) indicazione delle copie di sicurezza; (continua…)


c) mantiene e rende accessibile un archivio del software dei programmi in gestione nelle eventuali diverse versioni; d) verifica la corretta funzionalità del sistema e dei programmi in gestione; e) adotta le misure necessarie per la sicurezza fisica e logica del sistema preposto al processo di conservazione sostitutiva e delle copie di sicurezza dei supporti di memorizzazione; f) richiede la presenza di un pubblico ufficiale nei casi in cui sia previsto il suo intervento, assicurando allo stesso l'assistenza e le risorse necessarie per l'espletamento delle attività al medesimo attribuite; g) definisce e documenta le procedure di sicurezza da rispettare per l'apposizione del riferimento temporale; h) verifica periodicamente, con cadenza non superiore a cinque anni, l'effettiva leggibilità dei documenti conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti. (continua)


Pertanto, gli obblighi imposti al responsabile della conservazione (i quali paiono essere prevalentemente tecnico-informatici e non più solo operativo-fisici), analiticamente elencati al primo comma dell’art. 5 della deliberazione CNIPA attengono ad ambiti eterogenei, che si sostanziano nel compimento delle seguenti attività (tutte delegabili): • attività di programmazione e di natura esecutiva; • attività di mantenimento, di verifica e di controllo; • attività di documentazione e di studio normativo; • attività di protezione e sicurezza.


Il responsabile della conservazione secondo le nuove regole in tecniche Opera d'intesa con: - il responsabile del trattamento dei dati personali - il responsabile della sicurezza - il responsabile dei sistemi informativi (solo Pa centrali) - il responsabile (o coordinatore) della gestione documentale (solo Pa)

Compiti del responsabile della conservazione a. definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia dei documenti da conservare, della quale tiene evidenza, in conformità alla normativa vigente; b. gestisce il processo di conservazione e ne garantisce nel tempo la conformità alla normativa vigente; c. genera il rapporto di versamento, secondo le modalità previste dal manuale di conservazione;


Compiti del responsabile della conservazione d. genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti dal manuale di conservazione;

e. effettua il monitoraggio della corretta funzionalità del sistema di conservazione;

f. assicura la verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità degli archivi e della leggibilità degli stessi;

g. al fine di garantire la conservazione e l’accesso ai documenti informatici, adotta misure per rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, per ripristinare la corretta funzionalità; adotta analoghe misure con riguardo all’obsolescenza dei formati;

h. provvede alla duplicazione o copia dei documenti informatici in relazione all’evolversi del contesto tecnologico, secondo quanto previsto dal manuale di conservazione;

i. adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione;


Compiti del responsabile della conservazione l. assicura la presenza di un pubblico ufficiale, nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l’assistenza e le risorse necessarie per l’espletamento delle attività al medesimo attribuite;

m. assicura agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza;

n. provvede, nel caso di amministrazioni statali, al versamento dei documenti conservati all’archivio centrale dello Stato e agli archivi di Stato secondo quanto previsto dalle norme vigenti;

o. predispone il manuale di conservazione e ne cura l’aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti.


Il responsabile della conservazione Il responsabile della conservazione può richiedere di certificare la conformità, al Cad e alle regole tecniche, del proprio processo di conservazione

Nelle Pa il ruolo del Responsabile della conservazione:

DEVE essere svolto da un dirigente o da un funzionario formalmente designato

PUO' essere svolto dal responsabile (o dal coordinatore) della gestione documentale


Il responsabile della conservazione - Il responsabile della conservazione definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia, in relazione al modello organizzativo adottato. - Il responsabile della conservazione, sotto la propria responsabilità, può delegare lo svolgimento del processo di conservazione o di parte di esso ad uno o più soggetti di specifica competenza ed esperienza in relazione alle attività ad essi delegate. Tale delega è formalizzata, esplicitando chiaramente il contenuto della stessa, ed in particolare le specifiche funzioni e competenze affidate al delegato. - La conservazione può essere affidata ad un soggetto esterno, secondo i modelli organizzativi di cui all’articolo 5, mediante contratto o convenzione di servizio che preveda l’obbligo del rispetto del manuale di conservazione predisposto dal responsabile della stessa.


Criteri di scelta di un buon responsabile: la capacità di fornire una prestazione altamente qualificata e specifica; l’esperienza del fornitore nella conservazione sostitutiva in generale e, in

particolare, per la specifica tipologia di documenti da conservare (nel caso, ad esempio, si tratti di documenti sanitari da conservare, sarà opportuno verificare la particolare esperienza del fornitore nella conservazione sostitutiva di tali documenti);

la conoscenza ed il rispetto della normativa privacy, anche in considerazione della nuova formulazione dell’art. 44 del Codice dell’Amministrazione digitale;

il possesso di eventuali certificazioni sui servizi proposti; il prezzo del servizio; le referenze;


le garanzie tecnologiche e di sistema offerte dal fornitore in relazione agli standard di sicurezza informatica, per esempio, in riferimento alla protezione dei dati personali e delle informazioni scambiate. Per quanto concerne la sicurezza informatica della globalità del sistema di conservazione, le norme ISO/IEC 27001 e 27002 e la specifica ETSI TS 102 573 (“Policy requirements for trust service providers signing and/or storing data for digital accounting”) dettano le condizioni per la gestione e valutazione di sistemi sicuri ed affidabili per la conservazione elettronica delle informazioni; il livello di professionalità del personale; polizze assicurative a copertura dei rischi di custodia le dimensioni ed il grado di umidità dei locali in cui saranno conservati gli eventuali documenti analogici non distrutti in seguito al processo di conservazione, verificando preventivamente che siano stati rispettati gli standard richiesti dalla normativa europea; l’eventuale accreditamento del fornitore ex art. 44-bis del CAD, così come modificato dal D.lgs. 235/2010.


Il Manuale della conservazione Art. 8

Il manuale di conservazione illustra dettagliatamente l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione.

Diviene obbligatoria la sua redazione


Il Manuale della conservazione

Contenuto minimo obbligatorio a. i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione, descrivendo in modo puntuale, in caso di delega, i soggetti, le funzioni e gli ambiti oggetto della delega stessa;

b. la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione;

c. la descrizione delle tipologie degli oggetti sottoposti a conservazione, comprensiva dell’ indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di documenti e delle eventuali eccezioni;

d. la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento, comprensiva della predisposizione del rapporto di versamento;

e. la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione;


Manuale della Conservazione – contenuto minimo obbligatorio

f. la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione;

g. la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione e di evoluzione delle medesime;

h. la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie;

i. la descrizione delle procedure per la produzione di duplicati o copie;

l. i tempi entro i quali le diverse tipologie di documenti devono essere scartate ovvero trasferite in conservazione, ove, nel caso delle pubbliche amministrazioni, non già presenti nel manuale di gestione;

m. le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche quali sono i casi per i quali è previsto il suo intervento;

n. le normative in vigore nei luoghi dove sono conservati i documenti.


Sicurezza del sistema di conservazione

Nelle pubbliche amministrazioni, il Responsabile della conservazione, di concerto con il responsabile della sicurezza, provvede a predisporre il piano della sicurezza del sistema di conservazione, nel rispetto delle misure di sicurezza previste dal Codice Privacy e in coerenza con i piani di continuità operativa e disaster recovery.

Accreditamento dei conservatori

Circolare DigitPa n.59 del 29 dicembre 2011 recante Modalità per presentare la domanda di accreditamento da parte dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all'art. 44-bis, comma 1, del CAD


Criteri di scelta di un buon responsabile: la capacità di fornire una prestazione altamente qualificata e specifica; l’esperienza del fornitore nella conservazione sostitutiva in generale e, in particolare, per la

specifica tipologia di documenti da conservare (nel caso, ad esempio, si tratti di documenti sanitari da conservare, sarà opportuno verificare la particolare esperienza del fornitore nella conservazione sostitutiva di tali documenti);

la conoscenza ed il rispetto della normativa privacy, anche in considerazione della nuova formulazione dell’art. 44 del Codice dell’Amministrazione digitale;

l’ampiezza dei servizi offerti, tra i quali merita di essere attentamente valutata anche l’offerta di applicazione dei modelli organizzativi nell’azienda di cui al D. Lgs. 231/01;

il possesso di eventuali certificazioni sui servizi proposti; il prezzo del servizio; le referenze;


Processo di conservazione (art. 9)

Acquisizione del pacchetto di versamento

Verifica

Acc. Vers.

Rifiuto del acc. Vers.

Generazione del Rapporto di versamento

Esibizione (anche

telematica)

Scarto (scadenza dei termini

di conservazione)

Generazione del Pacchetto di distribuzione

Copie informatiche per Riversamento sostitutivo

Produzione di duplicati e copie informatiche


La digitalizzazione documentale ha aperto la strada all’avvento di NUOVE FIGURE PROFESSIONALI deputate a gestire i nostri documenti informatici.

Tra queste, particolare importanza assume, in ogni moderna organizzazione pubblica o privata, il Responsabile della conservazione digitale dei documenti, incaricato di gestire tutti i flussi informativi e documentali di un ente e tutte le fasi di vita dei documenti, sino alla loro corretta archiviazione e conservazione nel tempo.


La figura professionale del Responsabile della conservazione è obbligatoria per privati e PA che formano i loro documenti informatici, ma…

Non è l’unica! Il Responsabile della conservazione deve necessariamente operare d’intesa con il Responsabile del trattamento dei dati personali e con gli altri responsabili descritti, tra cui – per le sole PA – il

Responsabile del protocollo informatico.


• Dematerializzazione e Sicurezza

• Nella Società dell’Informazione la c.d. conservazione della “Memoria Digitale” è un’esigenza sempre più sentita, in particolar modo a seguito dell’ormai universale diffusione, impiego e dipendenza dal digitale da parte delle organizzazioni.

Obiettivi principali:

• 1) Conservare la comprensione, l’attendibilità e la possibilità di impiego dei dati in un futuro quando le attuali tecnologie hardware e software potrebbero non essere più disponibili (Logical Preservation).

• 2) Garantire l’accesso alle registrazioni fisiche, ovvero rileggere correttamente i bit da un supporto che molto probabilmente sarà differente da quello originario (Bit Preservation).


I requisiti generici di sicurezza delle reti e dei sistemi di informazione presentano le seguenti caratteristiche interdipendenti:

- Autenticazione: è la conferma dell'identità dichiarata da un organismo o un utente.

- Disponibilità: è la conferma che i dati sono accessibili e i servizi funzionano anche in caso di interruzioni.

- Integrità: è la conferma che i dati trasmessi, ricevuti o conservati sono completi e inalterati (particolarmente importante nel trattamento di dati sensibili).

- Riservatezza: è la protezione dei dati trasmessi o conservati per evitarne l'intercettazione e la lettura da parte di persone non autorizzate (necessaria per la trasmissione di dati sensibili ed è uno dei requisiti che garantiscono il rispetto della vita privata degli utenti delle reti di comunicazione).


L’obiettivo perseguito

da tali nuove figure professionali è la

Digital Preservation



Art. 12 - Il nuovo Piano della sicurezza del sistema di conservazione dovrà essere predisposto dal Responsabile della conservazione, di concerto con il Responsabile della sicurezza, nell’ambito del Piano generale della sicurezza, nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del D.Lgs. n. 196/2003 (Codice privacy) e dal disciplinare tecnico di cui all’allegato B dello stesso Codice, nonché coerentemente a quanto previsto dagli artt. 50-bis e 51 del CAD.

Cosa dicono le nuove regole tecniche sulla conservazione?


E le nuove regole tecniche sul protocollo informatico?

• In riferimento ai requisiti minimi di sicurezza dei sistemi di protocollo

informatico, si impone di rispettare le misure di sicurezza previste dagli articoli

da 31 a 36 e dal disciplinare tecnico di cui all’allegato B del Codice in materia di

protezione dei dati personali (di cui al D.Lgs. 30 giugno 2003, n. 196);

• il registro giornaliero di protocollo deve essere trasmesso entro la giornata

lavorativa successiva al sistema di conservazione, al fine di garantirne

l’immodificabilità del contenuto. Una previsione simile era contemplata anche

nel DPCM 31 ottobre 2000, tuttavia senza uno specifico riferimento al sistema

di conservazione.


Da tali norme emerge chiaramente come, anche alla luce del CAD, nelle pubbliche amministrazioni il Responsabile della conservazione debba necessariamente operare d’intesa con e il Responsabile per il trattamento dei dati personali e, nelle PA, anche con il Responsabile della gestione documentale (o Responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi).


Il responsabile del Trattamento dei dati personali definisce e implementa le procedure per il controllo, l'accesso, il trattamento e la

comunicazione dei dati personali;

vigila sulla corretta applicazione di tali procedure;

garantisce in termini organizzativi e tecnici il raggiungimento del maggior livello possibile di riservatezza e sicurezza dei dati personali, con strumenti elettronici e non;

coopera per la definizione di precise procedure aziendali per il trattamento dei dati personali e per la gestione dei flussi documentali digitalizzati;

garantisce la trasparenza delle informazioni;

prescrive istruzioni specifiche al fine di responsabilizzare chi tratta dati all’interno

dell’organizzazione aziendale o dell’ente;

garantisce, su determinati sistemi e banche dati, la tracciabilità di ogni operazione;

appura che sia mantenuto sempre il controllo costante sui sistemi aziendali o dell’ente.


Il responsabile del Trattamento dei dati personali

Il Responsabile sovraintende il trattamento dei dati personali a lui affidato affinché sia garantita la scelta dei mezzi tecnici e organizzativi più adeguati ai fini di una corretta raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati personali (comuni, sensibili e/o giudiziari) contenuti negli archivi elettronici o cartacei.

deve avere cura che l'accesso agli stessi sia consentito solo ai soggetti autorizzati e deve garantire un efficace riscontro a eventuali richieste di accesso ai dati personali da parte degli interessati al trattamento;

Il Responsabile del trattamento, inoltre, coordina e verifica che la struttura del Titolare abbia adottato determinati adempimenti.


Tip. responsabilità Responsabile del trattamento

Culpa in eligendo Se il responsabile era una persona palesemente inaffidabile

Culpa in vigilando

RESPONSABILITÁ PRIVACY

Se il Titolare non ha vigilato sul corretto trattamento che il responsabile ha fatto dei dati personali forniti


RESPONSABILITA’ CONTRATTUALE DEL FORNITORE

Responsabilità ex art. 1218 c.c. (responsabilità contrattuale del debitore)

Responsabilità ex art. 1710 c.c. (rapporto di mandato, per violazione obbligo di diligenza)

Il Titolare deve nominare la società fornitrice esterna Responsabile "in

outsourcing" (art. 29 d.lgs. 196/2003) del processo di conservazione o del trattamento dei

dati


Collaborazioni tra le due figure professionali Il Responsabile del trattamento dei dati personali deve coordinarsi con tutti coloro che operano nella gestione dei documenti informatici e degli archivi digitali al fine di garantire la gestione delle misure di sicurezza che siano idonee (articolo 31 del Codice), minime (articolo 34 e allegato B del Codice) e necessarie (articolo 154, comma 1, lett. c) e d) del Codice) alla tutela del dato personale oggetto del trattamento. Il Responsabile della conservazione digitale opera d’intesa con il Responsabile del trattamento dei dati personali e, ove previsto, con il Responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi per garantire politiche corrette di classificazione, fascicolatura e archiviazione digitale e, in ogni caso, si coordina con altre figure individuate come possibili interlocutori proattivi alla gestione documentale, come il Responsabile dei sistemi informativi. La trasversalità della professione consente a queste due figure un dialogo costante all’interno di contesti diversi


● È PREPOSTO DAI VERTICI AZIENDALI ALLA GESTIONE, SUPERVISIONE E CONTROLLO DELLA PRIVACY

● DEFINISCE E IMPLEMENTA IL MODELLO DI GESTIONE PRIVACY

● DEFINISCE MODALITA’ E STRUMENTI PER IL TRATTAMENTO

● NOMINA E IMPARTISCE ISTRUZIONI AGLI INCARICATI

● NOMINA E DELEGA COMPITI E FUNZIONI A RESPONSABILI ESTERNI

● DEFINISCE E ADOTTA LE MISURE DI SICUREZZA

● REDIGE O AGGIORNA IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (facoltativo, ma consigliato)

● REFERENTE IN CASO DI ACCESSI, ISPEZIONI, CONTROLLI

Le 2 figure a confronto:

Il Responsabile privacy Il Responsabile della conservazione

● È PREPOSTO DAI VERTICI AZIENDALI ALLA GESTIONE, SUPERVISIONE E CONTROLLO DEL SISTEMA DI CONSERVAZIONE SOSTITUTIVA

● DEFINISCE E IMPLEMENTA IL MODELLO DI CONSERVAZIONE SOSTITUTIVA

● DEFINISCE MODALITA’ E STRUMENTI PER IL TRATTAMENTO

● NOMINA E IMPARTISCE ISTRUZIONI AGLI INCARICATI

● NOMINA E DELEGA COMPITI E FUNZIONI A RESPONSABILI ESTERNI

● DEFINISCE E ADOTTA LE MISURE DI SICUREZZA

● REDIGE O AGGIORNA IL MANUALE DELLA CONSERVAZIONE SOSTITUTIVA

● REFERENTE IN CASO DI ACCESSI, ISPEZIONI, CONTROLLI


Stakeholders per conservazione e privacy

Aziende del settore che operano sul mercato per conto della domanda e dell’offerta;

Professionisti; Enti e Pubbliche Amministrazioni.

Tutti coloro che si occupano di conservazione digitale, gestione documentale e trattamento dei dati, nei diversi settori del pubblico e del privato.


In tale contesto è ormai imprescindibile valorizzare le figure professionali del Responsabile della conservazione e del Responsabile privacy, titolari di compiti, poteri e funzioni fondamentali per una PA o un’azienda, che ricoprono ruoli chiave nella gestione dei processi digitali delle pubbliche amministrazioni, figure alle quali è necessario garantire, dunque, un’adeguata preparazione, un costante aggiornamento e il riconoscimento delle competenze.


Sì … ma come?


In quest’ottica, la qualificazione della professione, come di ogni altra attività economica, non è basata solo su norme cogenti come nel caso degli Ordini professionali ma anche su strumenti (certificazioni, marchi, attestati etc.) di carattere volontario, a volte anche con controllo pubblico ma più spesso lasciati all’autoregolamentazione dei privati.

LEGGE 14 gennaio 2013, n. 4 Disposizioni in materia di professioni

non organizzate


Le nuove norme definiscono "professione non organizzata in ordini o collegi" l'attività economica, anche organizzata, volta alla prestazione di servizi o di opere a favore di terzi, esercitata abitualmente e prevalentemente mediante lavoro intellettuale, o comunque con il concorso di questo, con esclusione delle attività riservate per legge a soggetti iscritti in albi o elenchi ai sensi dell'articolo 2229 c.c., e delle attività e dei mestieri artigianali, commerciali e di pubblico esercizio disciplinati da specifiche normative. Si introduce il principio del libero esercizio della professione fondato sull’autonomia, sulle competenze e sull’indipendenza di giudizio intellettuale e tecnica del professionista. Si consente inoltre al professionista di scegliere la forma in cui esercitare la propria professione riconoscendo l’esercizio di questa sia in forma individuale, che associata o societaria o nella forma di lavoro dipendente. I professionisti possono costituire associazioni professionali (con natura privatistica, fondate su base volontaria e senza alcun vincolo di rappresentanza esclusiva) con il fine di valorizzare le competenze degli associati, diffondere tra essi il rispetto di regole deontologiche, favorendo la scelta e la tutela degli utenti nel rispetto delle regole sulla concorrenza. Le associazioni possono costituire forme aggregative che rappresentano le associazioni aderenti, agiscono in piena indipendenza ed imparzialità e sono soggetti autonomi rispetto alle associazioni professionali che le compongono, con funzioni di promozione e qualificazione delle attività professionali che rappresentano, nonché di divulgazione delle informazioni e delle conoscenze ad esse connesse e di rappresentanza delle istanze comuni nelle sedi politiche e istituzionali.


Proprio per dare regolamentazione e il giusto riconoscimento a queste due figure che operano in maniera complementare, è da poco nata l’associazione ANORC Professioni, prima associazione italiana che ha aperto per i Responsabili della conservazione e i Responsabili del trattamento due registri nazionali, istituendo un percorso virtuoso di formazione e aggiornamento a loro dedicato

http://www.anorc.it/anorc_professioni/

Grazie ad ANORC Professioni queste due figure, spesso sottovalutate e poco conosciute, vedono finalmente certificate le loro competenze attraverso l'iscrizione a un registro nazionale, in ottemperanza a quanto stabilito dalla Legge del 14 gennaio 2013 n. 4 sulle professioni non organizzate in Ordini o Collegi.


Studio Lisi Copyright 2014 -Vietata diffusione e duplicazione

Grazie per l’attenzione

…e per contatti o ulteriori informazioni:

Avv. Sarah Ungaro Digital&Law Department

www.studiolegalelisi.it

Avv. Simonetta Zingarelli

Tesoriere Anorc

www.anorc.it

Nuove professioni digitali: il Responsabile della conservazione documentale

Technology

Transcript of Nuove professioni digitali: il Responsabile della conservazione documentale