Smau Napoli 2014 Satta-Marconi

Relatori:

Gianluca Satta

Giuliano Marconi

La conservazione dei documenti informatici

per i professionisti, le aziende e la P.A.

DirICTo

La conservazione dei documenti informatici per i professionisti, le aziende e la P.A. Gianluca Satta Giuliano Marconi

DirICTo

2

I concetti

La dematerializzazione: processo attraverso cui il documento

giuridico viene formato (e conservato) utilizzando supporti di

natura informatica.

La conservazione: processo finalizzato al mantenimento dei

requisiti di validità giuridica ed integrità informativa dei

documenti, al fine di consentirne l'accesso o l'esibizione.


DirICTo

3

La conservazione dei documenti (coordinamento con altre regole)

Formazione

Trasmissione

Firme elettroniche (firma elettronica semplice,

avanzata, qualificata e firma digitale)

Marcatura temporale

Acquisizione Protocollo informatico

Archiviazione

Posta elettronica certificata (PEC)

Gli archivi della P.A. (Codice dei beni culturali)

Contenuto Trattamento dei dati personali (Codice della Privacy)


DirICTo

4

Fonte: Libro Bianco sulla dematerializzazione della documentazione amministrativa (2006)

2% PIL per la gestione dei documenti amministrativi

digitale

cartaceo

90%

10%

Risparmio annuo:

3 mld €

Amministrazioni centrali (indagine del 2004):

110 milioni di documenti prodotti,

160 milioni di registrazioni di protocollo

147 milioni di documenti archiviati

55 mila persone e 19 mila uffici impegnati

nello smistamento e protocollazione

Numeri e statistiche

Fogli stipendio di 1,5 milioni di dipendenti

pubblici:

40 milioni € l’anno

più di 1.100 impiegati per la gestione.

oltre 1 miliardo € l’anno tra dipendenti

pubblici e privati (più di 16 milioni)


DirICTo

5


0%

10%

20%

30%

40%

50%

60%

70%

80%

high satisfaction (i_igov12rt_sidx_hi)

medium satisfaction (i_igov12rt_sidx_me)

low satisfaction (i_igov12rt_sidx_lo)

Citizens sending filled forms online and level of satisfaction with eGovernment

services (EUROSTAT - 2014) Italia

21% cittadini utilizza servizi di eGov

10% cittadini utilizza canali online PA

85% imprese utilizza servizi di eGov

58% imprese utilizza canali online PA

Fonte: EU Digital Agenda

Al di sotto della media europea


DirICTo

6



DirICTo

L. 7 agosto 1990, n. 241 - “Procedimento amministrativo e di diritto di accesso ai

documenti amministrativi”

D. Lgs. 12 febbraio 1993, n. 39 - “Sistemi informativi automatizzati nella P.A.”

Legge 24 dicembre 1993, n. 537 - Introduce una norma su validità del documento su

supporto ottico

Direttiva del Presidente del Consiglio 5 settembre 1995 “Rete unitaria della pubblica

amministrazione”

DPCM 6 dicembre 1996, n. 694 “Riproduzione sostitutiva dei documenti di archivi e

di altri atti dei privati”

L. 15 marzo 1997, n. 59 “Delega al Governo per la riforma della Pubblica

Amministrazione e per la semplificazione amministrativa”

D.P.R. 10 novembre 1997, n. 513 Regolamento sulla formazione, l'archiviazione e la

trasmissione di documenti con strumenti informatici e telematici

Evoluzione normativa

7


DirICTo

Del. AIPA 30 luglio 1998, n. 24 “Reg. Tecn. riproduzione e conservazione di

documenti su supporto ottico idoneo a garantire la conformità dei documenti agli

originali”

D. Lgs. 20 ottobre 1998, n. 368 “Istituzione del Ministero per i beni e le attività

culturali”

DPCM 8 febbraio 1999 “Regole tecniche per la formazione, la trasmissione, la

conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei

documenti informatici ai sensi dell’art. 3, comma 1, del D.P.R. 10 novembre 1997, n.

513”

DPCM 22 ottobre 1999, n. 437 “Carta di identità elettronica e del documento di

identità elettronico”

Direttiva del Presidente del Consiglio del 28 ottobre 1999 “Gestione informatica dei

flussi documentali nelle pubbliche amministrazioni”


8


DirICTo

Direttiva C.E. 13 dicembre 1999, n. 93 “Direttiva del Parlamento europeo e del

Consiglio relativa ad un quadro comunitario per le firme elettroniche”

DPCM 31 ottobre 2000 “Regole tecniche per il protocollo informatico di cui al decreto

del Presidente della Repubblica 20 ottobre 1998, n. 428

Del. AIPA 23 novembre 2000, n. 51 “Regole tecniche in materia di formazione e

conservazione di documenti informatici delle pubbliche amministrazioni”

D.P.R. 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e

regolamentari in materia di documentazione amministrativa” (TUDA)

Del. AIPA 16 febbraio 2001, n. 27 “utilizzo della firma digitale nelle pubbliche

amministrazioni”

Del. AIPA 13 dicembre 2001, n. 42 “Regole tecniche per la riproduzione e

conservazione di documenti su supporto ottico idoneo a garantire la conformità dei

documenti agli originali” - D.P.R. 28 dicembre 2000, n. 445 (TUDA)


9


DirICTo

D. Lgs. 23 gennaio 2002, n. 10 “Attuazione della Dir. 1999/93/CE relativa ad un

quadro comunitario per le firme elettroniche”

DPCM 13 gennaio 2004 “Regole tecniche per la formazione, la trasmissione, la

conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei

documenti informatici”

D. Lgs. 22 gennaio 2004, n. 42 “Codice dei beni culturali”

DMEF 23 gennaio 2004 “Modalità di assolvimento degli obblighi fiscali relativi ai

documenti informatici ed alla loro riproduzione in diversi tipi di supporto”

Del. CNIPA 19 febbraio 2004, n. 11 “Regole tecniche per la riproduzione e

conservazione di documenti su supporto ottico idoneo a garantire la conformità”

Del. CNIPA 17 febbraio 2005, n. 4 “Regole per il riconoscimento e la verifica del

documento informatico”

D. Lgs. 7 marzo 2005, n. 82 “Codice della amministrazione digitale” (CAD)


10


DirICTo

D. Lgs. 4 aprile 2006, n. 159 "Disposizioni integrative e correttive al decreto legislativo

7 marzo 2005, n. 82 recante codice dell'amministrazione digitale"

DPCM 30 marzo 2009 “Regole tecniche in materia di generazione, apposizione e

verifica delle firme digitali e validazione temporale dei documenti informatici”

abrogato il DPCM 13 gennaio 2004

Del. CNIPA 21 maggio 2009 n. 45 “Regole per il riconoscimento e la verifica del

documento informatico” abroga Circ. AIPA 19 giugno 2000, n. 24

Circ. DigitPA 29 dicembre 2011 , n. 59 “ Modalità per presentare la domanda di

accreditamento da parte dei soggetti pubblici e privati che svolgono attività di

conservazione dei documenti informatici”

DPCM 22 febbraio 2013 “Regole tecniche in materia di generazione, apposizione e

verifica delle firme elettroniche avanzate, qualificate e digitali”

Det. Commissariale Agid. 30 Aprile 2014 n. 63 “Modalità di attuazione dell’articolo

19, comma 7, del DPCM 22 febbraio 2013”


11


DirICTo

DPCM 3 dicembre 2013 “Regole tecniche in materia di sistema di conservazione”

abroga Del. CNIPA 19 febbraio 2004, n. 11 “Regole tecniche per la riproduzione e

conservazione di documenti su supporto ottico idoneo a garantire la conformità”

Circ. Agid 10 aprile 2014 n. 65 “Modalità per l’accreditamento e la vigilanza sui

soggetti pubblici e privati che svolgono attività di conservazione dei documenti

informatici”


12


DirICTo

La normativa sulla conservazione attualmente in vigore

D. Lgs. 7 marzo 2005, n. 82 “Codice della amministrazione digitale” (CAD)

DPCM 3 dicembre 2013 “Regole tecniche in materia di sistema di

conservazione”, pubblicato in Gazzetta Ufficiale il 12 marzo 2014 (suppl. ord.

n. 20, serie gen. 59)

D. Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati

personali”

Circ. Agid 10 aprile 2014 n. 65 “Modalità per l’accreditamento e la vigilanza

sui soggetti pubblici e privati che svolgono attività di conservazione dei

documenti informatici”

13


DirICTo

14

La digitalizzazione e l’informatizzazione della pubblica amministrazione

AIPA (Autorità per l'informatica nella pubblica amministrazione) Istituito con D. Lgs. 12 febbraio 1993 n. 39 organismo pubblico con il compito di

promuovere, coordinare, pianificare e controllare lo sviluppo di sistemi informativi

automatizzati delle amministrazioni pubbliche, secondo criteri di standardizzazione,

interconnessione ed integrazione dei sistemi stessi.

CNIPA (Centro nazionale per l'informatica nella pubblica

amministrazione) Istituito dall’art. 176 del D. Lgs. 30 giugno 2003, n. 196 in sostituzione dell’AIPA,

con le medesime funzioni.

DigitPA (Ente nazionale per la Digitalizzazione della Pubblica

Amministrazione) Istituito ai sensi del D. Lgs.. 1 dicembre 2009, n. 177 “Riorganizzazione del Centro

nazionale per l'informatica nella pubblica amministrazione, a norma dell'articolo 24

della legge 18 giugno 2009, n. 69”, il CNIPA ha cambiato nome in DigitPA.


DirICTo

15

La digitalizzazione e l’informatizzazione della pubblica amministrazione

AgID (Agenzia per l’Italia Digitale)

Istituito con D.L. 22 giugno 2012, n. 83 "Misure urgenti per la crescita del Paese"

(convertito con Legge 7 agosto 2012, n. 134), viene soppresso il DigitPA.

L’ente ha il compito di coordinare le azioni in materia di innovazione per

promuovere le tecnologie ICT a supporto della pubblica amministrazione,

garantendo la realizzazione degli obiettivi dell’Agenda digitale italiana in coerenza

con l’Agenda digitale europea.

L’Agenda Digitale Italiana

• Istituita il 1 marzo 2012 con Decreto Ministeriale

• Una delle sette iniziative individuate nella Strategia EU2020, finalizzata a una

crescita inclusiva, intelligente e sostenibile dell’Unione Europea

• Istituzione di agende digitali regionali


DirICTo

16

Regole tecniche in materia

di sistema di conservazione

DPCM 3 dicembre 2013 (pubbl. in Gazzetta Ufficiale il 12 marzo 2014 -

suppl. ord. n. 20, serie gen. 59)

Art. 71, comma 1 CAD

I. Le regole tecniche previste nel presente codice sono dettate, con decreti del Presidente

del Consiglio dei Ministri o del Ministro delegato per la pubblica amministrazione e

l'innovazione, di concerto con i Ministri competenti, sentita la Conferenza unificata di

cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, ed il Garante per la

protezione dei dati personali nelle materie di competenza, previa acquisizione

obbligatoria del parere tecnico di DigitPA. Le amministrazioni competenti, la

Conferenza unificata e il Garante per la protezione dei dati personali rispondono

entro trenta giorni dalla richiesta di parere. In mancanza di risposta nel termine

indicato nel periodo precedente, il parere si intende interamente favorevole.

Codice dell’Amministrazione Digitale: Art. 20, commi 3 e 5-bis, Art. 23-ter, comma 4,

Art. 43, commi 1 e 3, Art. 44, Art. 44-bis


DirICTo

17

DPCM 3 dicembre 2013

Regole tecniche in materia di

sistema di conservazione

Del. CNIPA 19 febbraio 2004, n. 11

“Regole tecniche per la riproduzione e

conservazione di documenti su supporto

ottico idoneo a garantire la conformità”

Entrata in vigore

11 aprile 2014

Sistemi di conservazione già esistenti?


DirICTo

18


Art. 14 delle Regole Tecniche (DPCM 3 dicembre 2013)

(…) 2. I sistemi di conservazione già esistenti alla data di entrata in vigore del

presente decreto sono adeguati entro e non oltre 36 mesi dall’entrata in

vigore del presente decreto secondo un piano dettagliato allegato al manuale

di conservazione. Fino al completamento di tale processo per tali sistemi

possono essere applicate le previgenti regole tecniche. Decorso tale termine si

applicano in ogni caso le regole tecniche di cui al presente decreto.

3. Fino al completamento del processo di cui al comma 2, restano validi i

sistemi di conservazione realizzati ai sensi della deliberazione CNIPA n.

11/2004. Il Responsabile della conservazione valuta l’opportunità di riversare

nel nuovo sistema di conservazione gli archivi precedentemente formati o di

mantenerli invariati fino al termine di scadenza di conservazione dei

documenti in essi contenuti.


DirICTo

19


Nuovi sistemi di conservazione Nuove regole tecniche (DPCM 3 Dicembre 2013)

Vecchi sistemi di conservazione (Del. CNIPA 19 febbraio 2004, n. 11)

Facoltà di adeguarli alle nuove regole entro l’11 aprile 2017

(in tal caso vi è l’obbligo di disporre un piano dettagliato nel manuale di

conservazione)

Validi ed efficaci

fino all’11 Aprile 2017

Dopo l’11 Aprile 2017 sarà obbligatorio adeguare tutti i sistemi

esistenti alle nuove regole tecniche


DirICTo

20


Regole tecniche in materia di sistema di conservazione

All. 1: Glossario e definizioni.

All. 2: Formati dei documenti informatici, criteri per la scelta e formati

per la conservazione.

All. 3: Standard e specifiche tecniche di riferimento nell’ambito della

formazione, gestione e conservazione di documenti informatici e

documenti amministrativi informatici.

All. 4: Struttura descrittiva dell’indice del pacchetto di archiviazione.

All. 5: Metadati relativi al documento informatico, al documento

amministrativo informatico e al fascicolo informatico o aggregazione

documentale informatica

Allegati


DirICTo

21

LE NOVITÀ DELLE REGOLE TECNICHE

1) Superamento della distinzione tra conservazione dei documenti

analogici e conservazione dei documenti digitali

2) Nuovo concetto di “sistema di conservazione”, definito come un

sistema che assicura la conservazione, dalla presa in carico sino

all'eventuale scarto, dei documenti informatici e dei fascicoli

informatici con i metadati associati, garantendo, al contempo,

autenticità, integrità, affidabilità, leggibilità e reperibilità.

3) Il responsabile della conservazione, il “dominus” del sistema a cui è

affidata la gestione e la definizione delle politiche di conservazione

dei documenti informatici

4) Rispetto del principio della neutralità tecnologica


DirICTo

22

Vecchie regole tecniche

Del. CNIPA 19 febbraio 2004, n. 11

Conservazione dei documenti analogici

Conservazione documenti digitali

Conservazione sostitutiva (“a norma”)

Nuove regole tecniche


Sistema di conservazione (sostitutiva)

In passato...

Oggi…

Nuova concezione

del documento informatico (Art. 3, bozza di regole tecniche

sul documento informatico)


DirICTo

23

Definizione del CAD del documento informatico:

rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti

Valido ed efficace, a condizione che siano rispettate

le norme del CAD e le regole tecniche

Come avviene la formazione?

Articolo 3.

Formazione del documento informatico

1. Il documento informatico è formato mediante una delle seguenti principali modalità:

a) redazione tramite l’utilizzo di appositi strumenti software;

b) acquisizione di un documento informatico per via telematica o su supporto informatico,

acquisizione della copia per immagine su supporto informatico di un documento analogico,

acquisizione della copia informatica di un documento analogico;

c) registrazione informatica delle informazioni risultanti da transazioni o processi informatici o

dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente;

d) generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni,

provenienti da una o più basi dati, anche appartenenti a più soggetti interoperanti, secondo una

struttura logica predeterminata e memorizzata in forma statica.


DirICTo

24

Documenti informatici “nativi”

Redazione con appositi strumenti software

Acquisizione di un documento informatico per via telematica o su supporto informatico

Servizi in Cloud

Download

Supporti di memoria

Duplicati informatici ≠ copie informatiche


DirICTo

25

Acquisizione della copia per immagine su supporto informatico di un documento

analogico

Documento cartaceo Copia per immagine

Acquisizione della copia informatica di un documento analogico

Documento cartaceo Contenuto identico all’originale


DirICTo

26

Documento informatico: la rappresentazione informatica di atti, fatti

o dati giuridicamente rilevanti, direttamente ottenuto in formato

digitale oppure ottenuto dalla trasformazione dal cartaceo al digitale.

Nuova concezione

Nuove regole tecniche


Sistema di conservazione unico


DirICTo

Ambito soggettivo di applicazione (art. 2 Reg. Tecn., art. 2, commi 2 e 3 CAD)

27

Amministrazioni dello Stato Istituti, scuole e università

Regioni, le Province, i Comuni e relativi enti

pubblici

Camere di commercio, industria, artigianato

e agricoltura

Aziende ed enti del Servizio sanitario nazionale

Privati

Persone giuridiche

Società di persone

Enti e associazioni

Soggetti esterni a cui è affidata la gestione o la conservazione dei documenti informatici e ai

conservatori accreditati ai sensi dell’art. 44-bis del CAD

Capo II del CAD

(documento informatico e

firme elettroniche,

trasferimenti, libri e

scritture)

Relative regole tecniche


DirICTo

Ambito oggettivo di applicazione

28

Quali soggetti hanno l’obbligo di adottare un sistema di conservazione?

Obbligo di conservare Obbligo di produrre documenti direttamente ed

unicamente in formato digitale

Art. 20, comma 5 del CAD

Gli obblighi di conservazione e di esibizione di documenti, si intendono

soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se

le procedure utilizzate sono conformi alle regole tecniche in materia di

sistemi di conservazione di cui al D.P.C.M. 3 dicembre 2013.

Tutti i soggetti che hanno l’obbligo di conservare documenti per i quali è prevista la

produzione direttamente ed unicamente in formato digitale originale, senza poter

utilizzare il formato cartaceo ai fini della validità legale dello stesso


DirICTo


29


Amministrazioni dello Stato Diversi settori dove è obbligatorio produrre in

formato elettronico

Assenza di norme generali che obbligano la P.A.

Dal 2013, le pubblicazioni effettuate in sola forma analogica non hanno effetto di pubblicità

legale. Obbligo di pubblicità legale mediante pubblicazione online (Albo pretorio).

La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti,

tra le imprese e le amministrazioni pubbliche deve avvenire esclusivamente utilizzando le

tecnologie dell'informazione e della comunicazione

Sanità elettronica le amministrazioni regionali hanno già introdotto nuovi strumenti, quali la

cartella sanitaria elettronica, il fascicolo sanitario elettronico, la ricetta elettronica

Obbligo di produrre documenti direttamente ed



DirICTo


30

Amministrazioni dello Stato

Norma di indirizzo generale, art. 12 CAD

Ricorso alle tecnologie dell'informazione nei procedimenti amministrativi per

realizzare gli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza e

semplificazione.

Le P.A. adottano le tecnologie dell'informazione e della comunicazione nei rapporti

interni, tra le diverse amministrazioni e tra queste e i privati.

• Uso dei mezzi informatici per la formazione dei

documenti originali

• Protocollo informatico

• Gestione digitale dei flussi documentali

esigenze di carattere pubblico

per garantire il corretto funzionamento

ragioni di interesse storico

Esempi

Obbligo di conservare


DirICTo


31


Obbligo di conservare per i privati

Art. 2220 Codice Civile

Obbligo di conservazione per dieci anni dei

documenti contabili, delle fatture, delle lettere

e dei telegrammi ricevuti e delle copie delle

fatture, delle lettere e dei telegrammi spediti

Imprenditori commerciali: libro giornale,

libro degli inventari, scritture contabili.

S.p.a.: libro soci, libro delle obbligazioni,

libro delle adunanze delle assemblee, del

consiglio di amministrazione, ecc...

S.r.l.: libro soci, libro delle decisioni dei

soci, degli amministratori, libro del

collegio sindacale o del revisore

Art. 22, D.P.R. 29 settembre 1973, n.600

Obbligo di conservazione delle scritture contabili

obbligatorie e la relativa documentazione fino a

quando non siano definiti gli accertamenti

relativi al corrispondente periodo d'imposta

Obblighi di conservazione in materia fiscale:

registri IVA, il registro dei corrispettivi per

mancato o irregolare funzionamento del

registratore di cassa, il registro delle ricevute

fiscali, il registro merci, il registro onorari

Datori di lavoro: libro matricola, del libro

paga e registro degli infortuni


DirICTo


32


Privati

Unico obbligo, sancito da una norma di legge, che preveda l’obbligo di

conservare e l’uso esclusivo del formato digitale per la validità legale del

documento stesso

La fattura elettronica emessa in favore della P.A.

Obbligo di produrre documenti direttamente ed



DirICTo


33

Fin dove si estende?

Solo nel caso di obbligo di

conservazione dei documenti

L’adozione di un sistema di conservazione è FACOLTATIVA quando:

In via residuale

Vantaggi economici,

pratici e di gestione

produzione esclusiva in

formato elettronico

riconosciuta la validità legale del

documento cartaceo

non è previsto un obbligo di legge che

impone la produzione di documenti

digitali

assenza di obbligo di conservazione


DirICTo

La conservazione dei documenti nel CAD

34

Art. 43 – Riproduzione e conservazione dei documenti

1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o

documento di cui è prescritta la conservazione per legge o regolamento, ove riprodotti su supporti

informatici sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione e la conservazione nel

tempo sono effettuate in modo da garantire la conformità dei documenti agli originali, nel rispetto

delle regole tecniche stabilite ai sensi dell'articolo 71.

Facoltativo. La conservazione digitale garantisce validità giuridica

del documento solo se effettuata secondo le specifiche tecniche di cui

al DPCM 3 dicembre 2013.


DirICTo

La conservazione dei documenti nel CAD

35

Art. 43 – Riproduzione e conservazione dei documenti

3. I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono

essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo

permanente con modalità digitali, nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 71.

Facoltativo. L’archiviazione dei documenti informatici può avvenire

con modalità cartacea, ma solo per rispondere ad esigenze correnti.

Archiviazione: attività di inserimento e ordinamento

del documento all’interno dell’archivio

Complesso organico di documenti, di fascicoli e di

aggregazioni documentali di qualunque natura e

formato, prodotti o comunque acquisiti da un

soggetto produttore durante lo svolgimento

dell’attività


DirICTo

La conservazione e le regole sulla privacy

36

Le norme previste dal Codice dell’Amministrazione Digitale e le regole sulla

conservazione dei documenti informatici devono essere applicate nel rispetto della

disciplina rilevante in materia di trattamento dei dati personali

qualunque informazione relativa a persona fisica, identificata

o identificabile, anche indirettamente, mediante riferimento a

qualsiasi altra informazione, ivi compreso un numero di

identificazione personale

dato personale

Tutti i documenti oggetto di conservazione, salvo qualche eccezione particolare,

contengono dati o informazioni personali

trattamento

la raccolta, la registrazione, l'organizzazione, la conservazione, la

consultazione, l'elaborazione, la modificazione, la selezione,

l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la

comunicazione, la diffusione, la cancellazione e la distruzione di dati

Parere del Garante per la protezione dei dati personali n. 214 del 24 aprile 2013

sullo schema delle regole tecniche sulla conservazione dei documenti informatici


DirICTo


37

Conservare un documento implica, quindi, trattare i dati personali in esso contenuti

Misure minime (All. B al Codice Privacy)

Articoli da 31 a 36

Disciplinare tecnico di cui all’allegato B

Codice in materia di protezione

dei dati personali

D. Lgs. 30 giugno 2003, n. 196

Misure idonee (artt. 31-36 Codice Privacy)

MISURE DI SICUREZZA


DirICTo

CARATTERISTICHE DELLE

CREDENZIALI DI

AUTENTICAZIONE

Lunghezza minima della password di 8

caratteri

non riconducibile al soggetto

GESTIONE DELLE

CREDENZIALI

DI AUTENTICAZIONE

Modifica dopo il primo utilizzo, ogni 6 o

3 mesi a seconda dei dati trattati

Disattivazione in caso di non uso per

almeno 6 mesi o di perdita della qualità

che permette l’accesso ai dati

Garanzia della disponibilità dei dati o

degli strumenti elettronici in caso di

prolungata assenza o impedimento

dell’incaricato che goda delle credenziali

di autenticazione

SISTEMA DI AUTORIZZAZIONE Verifica almeno annuale delle condizioni

per l’autorizzazione

MISURE MINIME DI SICUREZZA

38


DirICTo

PROTEZIONE CONTRO IL

RISCHIO DI INTRUSIONE

Attivazione di idonei strumenti elettronici

da aggiornare con cadenza almeno

semestrale.

AGGIORNAMENTI PERIODICI

DEI PROGRAMMI PER

ELABORATORE

Almeno annuale per dati comuni

Almeno semestrale per dati sensibili e/o

giudiziari

BACK UP Salvataggio dei dati con frequenza almeno

settimanale

DISASTER RECOVERY Ripristino entro il termine massimo di

una settimana

MISURE MINIME DI SICUREZZA

39


DirICTo

MISURE IDONEE DI SICUREZZA

Nessuna definizione normativa

Sono individuabili sulla base delle tecnologie al momento conosciute e alle

caratteristiche del trattamento, e sono definite in modo tale da ridurre al

minimo i rischi che il sistema di conservazione concretamente comporta.

L’analisi deve tener conto dei rischi di distruzione

e perdita dei dati, di accesso non autorizzato e di

trattamento eseguito per finalità diverse dalla

conservazione.

40

Misure minime di sicurezza

Misure idonee di sicurezza Sanzioni civili (art. 2050 c.c.)

Sanzioni amministrative e penali

(Codice Privacy)


DirICTo


41

Responsabile del trattamento Responsabile della conservazione

opera di intesa con

Responsabile della sicurezza

Responsabile della

gestione documentale

Amministratori di sistema

Responsabile del trattamento (art. 4, lett. g, Codice della Privacy)

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro

ente, associazione od organismo preposti dal titolare al trattamento di dati personali.


DirICTo


42

Responsabile del trattamento Responsabile della conservazione

limitatamente ai dati personali

contenuti nei documenti oggetto

del sistema di conservazione.

Non sempre è possibile…

1) Il titolare non è obbligato a nominare un

responsabile del trattamento

2) la conservazione è affidata ad un

soggetto esterno ai sensi dell’art. 5 delle

regole tecniche


DirICTo


43

1) Il titolare non è obbligato a nominare un responsabile del trattamento

Non è escluso l’obbligo di nominare il responsabile della conservazione

Si dovrà coordinare direttamente con il titolare del trattamento

Titolare del trattamento

Delega di funzioni

Responsabile del trattamento

Rapporto


DirICTo


44

Il soggetto esterno affidatario della

conservazione dei documenti

informatici assume il ruolo di

responsabile esterno del trattamento

La nomina ai sensi del Codice Privacy deve essere eseguita con atto espresso, non

essendo implicita nella nomina del soggetto responsabile della conservazione, o

nell’atto con cui quest’ultimo affida la gestione all’esterno

2) la conservazione è affidata ad un soggetto esterno ai sensi dell’art. 5 delle regole tecniche

Responsabile del trattamento + responsabile conservazione

non possono più coesistere in capo alla stessa persona

Il responsabile della conservazione rimane

sempre interno all’amministrazione o ente

(pubblico o privato)


DirICTo

IL SISTEMA DI

CONSERVAZIONE

45


DirICTo

IL SISTEMA DI CONSERVAZIONE

• degli oggetti in esso conservati, garantendone le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità.

LA CONSERVAZIONE

• per l’intero ciclo di gestione, ovverossia per l’intero arco temporale di esistenza del documento informatico.

IL TRATTAMENTO DELL’OGGETTO

• indipendentemente dall’evoluzione del contesto tecnologico.

ACCESSO ALL’OGGETTO CONSERVATO

46


DirICTo

IL SISTEMA DI CONSERVAZIONE

• È quel complesso di procedure e soluzioni tecnologiche necessarie ad assicurare la conservazione a norma dei documenti elettronici e la disponibilità dei fascicoli informatici mediante l’adozione di regole, procedure, tecnologie e modelli organizzativi per la gestione di tali processi.

• Le prerogative del sistema di conservazione sono regolamentate dal combinato disposto dell’art. 3 del D.P.C.M. del 3.12.13 e dall’art. 44 del Codice dell’Amministrazione Digitale.

• Assicura la conservazione dei documenti informatici (o, nel caso di una pubblica amministrazione, i documenti amministrativi informatici) nonché i fascicoli informatici - ovvero le aggregazioni documentali informatiche - contenenti i riferimenti che univocamente identificano i singoli oggetti documentali che appartengono al fascicolo o all’aggregazione documentale nonché dei metadati ad essi associati.

47


DirICTo

I SOGGETTI COINVOLTI DEL PROCEDIMENTO DI CONSERVAZIONE

PROCEDIMENTO DI CONSERVAZIONE

Responsabile della

conservazione

Utente Produttore

48


DirICTo

RUOLI E RESPONSABILITÀ DEI SOGGETTI COINVOLTI DEL PROCEDIMENTO DI CONSERVAZIONE

L’art. 6 e segg. del D.P.C.M. 3.12.’13 individua i seguenti ruoli:

Il produttore è una persona fisica o giuridica, di norma diversa dal soggetto che ha formato il documento, che produce il pacchetto di versamento ed è responsabile del trasferimento del suo contenuto nel sistema di conservazione. Nelle p.a., tale figura si identifica con responsabile della gestione documentale (ovvero il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi);

l’utente è la persona, ente o sistema che interagisce con i servizi di un sistema di gestione informatica dei documenti e/o di un sistema per la conservazione dei documenti informatici, al fine di fruire delle informazioni di suo interesse. Tali informazioni vengono fornite dal sistema di conservazione all’utente mediante la produzione del pacchetto di distribuzione selettiva.

49


DirICTo

RUOLI E FACOLTÀ DEI SOGGETTI COINVOLTI DEL PROCEDIMENTO DI CONSERVAZIONE

Il responsabile della conservazione definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia.

Il responsabile della conservazione, sotto la propria responsabilità, può delegare lo svolgimento del processo di conservazione, o di parte di esso, ad uno o più soggetti di specifica competenza ed esperienza in relazione alle attività ad essi delegate. Tale delega è formalizzata, esplicitando chiaramente il contenuto della stessa, ed in particolare le specifiche funzioni e competenze affidate al delegato.

50


DirICTo

GLI OGGETTI DELLA CONSERVAZIONE

PACCHETTI DI VERSAMENTO

• è lo strumento mediante il quale il produttore invia al sistema di conserva-zione il pacchetto informativo che racchiude al suo interno gli oggetti da conservare oppure anche i soli metadati riferiti a quegli oggetti.

PACCHETTI DI ARCHIVIAZIONE

• è un pacchetto informativo composto dalla trasformazione di uno o più pacchetti di versamento.

PACCHETTI DI DISTRIBUZIONE

• è un pacchetto informativo inviato dal sistema di conservazione all’utente in risposta ad una richiesta di quest’ultimo.

51


DirICTo

IL PROCESSO DI CONSERVAZIONE

Al fine di acquisire i documenti il sistema di conservazione dovrà:

•acquisire il “pacchetto di versamento” e verificare che i contenuti di questo siano compatibili con quanto previsto dal manuale di conservazione e dall’art.11 del decreto.

Nel caso in cui, a seguito delle verifiche effettuate dovessero riscontrarsi delle anomalie nell’anzidetto pacchetto di versamento, il Responsabile della Conservazione rifiuterà il versamento all’interno nel sistema.

•nel caso in cui il versamento sia accettato, il sistema genererà il “rapporto di versamento” contenente il riferimento temporale (secondo il protocollo UTC) ed una o più impronte calcolate sull’intero pacchetto di versamento (secondo le modalità prescritte dal manuale).

•Se previsto dal manuale di conservazione, il responsabile della conserva-zione apporrà al rapporto anche la sua firma digitale o elettronica qualificata.

52


DirICTo


La fase della archiviazione e della distribuzione dei documenti conservati.

•Il pacchetto di archiviazione deve essere preparato, sottoscritto con firma digitale – o firma elettronica qualificata – e gestito sulla base delle specifiche tecniche contenute del decreto (alleg. 4) e delle modalità previste dal manuale di conservazione.

•Il pacchetto di distribuzione dovrà essere preparato ed eventualmente sottoscritto (se previsto nel manuale) ai fini dell’esibizione all’utente.

•La produzione di duplicati informatici – o copie informatiche – effettuata su richiesta degli utenti dovrà comunque rispettare quanto previsto dalle regole tecniche in materia di formazione del documento informatico. Quanto al formato utilizzato, le copie informatiche dovranno essere adeguate a quanto previsto dalle regole tecniche in materia di formazione del documento informatico.

53


DirICTo


La fase finale del ciclo di vita del documento coincide con lo scarto, in questo caso il D.P.C.M 3.12.2013. prevede che:

• alla scadenza dei termini di conservazione previsti, prima di darsi luogo allo scarto dovrà darsi informativa al produttore e, nel caso in cui l’archivio (sia pubblico che privato) rivesta un particolare valore storico, il produttore dovrà previamente ricevere l’autorizzazione allo scarto da parte del Ministero dei beni e delle attività culturali e del turismo;

• per garantire il potere di vigilanza conferito all’Agenzia per l’Italia digitale, fatte salve le previsioni del Codice dei Beni Culturali, i dati – e le relative copie di sicurezza - dovranno essere conservati sul territorio nazionale e l’accesso a questi ultimi dovrà essere garantita presso la sede del produttore il quale dovrà adottare misure di sicurezza conformi a quelle stabilite dal decreto anzidetto.

54


DirICTo

MODELLI ORGANIZZATIVI

Soggetti pubblici: il servizio dovrà essere

obbligatoriamente affidato, fatto salvo quanto previsto

dal Codice dei Beni Culturali, ad un conservatore

accreditato presso l’Agenzia per l’Italia Digitale.

Soggetti privati: deve essere eseguita da soggetti pubblici o privati che offrono idonee

garanzie organizzative e tecnologiche o, in alternativa

da conservatori accreditati presso l’Agenzia per l’Italia

Digitale.

Quando la conservazione

è svolta esternamente

alla struttura organizzativa

del produttore

55


DirICTo

MODELLI ORGANIZZATIVI

Come si realizza concretamente l’affidamento del

processo di conservazione ad un soggetto esterno?

Deve essere effettuato mediante contratto o convenzione di servizio che

preveda l’obbligo del rispetto del manuale di conservazione predisposto dal

responsabile della stessa.

Stante le previsioni del d.lgs. 196/2003 il soggetto esterno cui è affidato il

processo di conservazione assume anche il ruolo di responsabile del

trattamento dei dati.

Resta ferma la competenza del Ministero dei beni e delle attività culturali e del

turismo in materia di tutela dei sistemi di conservazione degli archivi pubblici o

degli archivi privati che rivestono interesse storico particolarmente importante.

56


DirICTo

IL RESPONSABILE DELLA CONSERVAZIONE

Non opera da solo ma

d’intesa con altre figure.

Il responsabile dei sistemi informativi

Il responsabile del trattamento dei dati

personali

Nelle P.A. con più A.O.O. con il

coordinatore della gestione

documentale

Il responsabile della gestione documentale

57


DirICTo

RUOLO E FUNZIONI DEL RESPONSABILE DELLA CONSERVAZIONE

Pro

fili

gen

era

li Definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia dei documenti da conservare.

Gestisce il processo di conservazione in modo da garantirne nel tempo la conformità alla normativa vigente.

Predispone il manuale di conservazione e ne cura l’aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti.

58


DirICTo

INCOMBENZE E LE FUNZIONI DEL RESPONSABILE DELLA CONSERVAZIONE.

Funzioni di impulso: genera il rapporto di versamento e il pacchetto di distribuzione che poi sottoscrive con firma digitale o firma elettronica qualificata.

Funzioni di controllo: verifica periodicamente che il sistema di conservazione e si accerta che gli archivi in esso contenuto siano sempre integri e leggibili.

Adotta tutte le misure necessarie al fine di rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, ripristina la loro corretta funzionalità.

Rilevata l’evoluzione del contesto tecnologico – e quindi l’obsolescenza del formato del documento conservato -, effettua duplicati o copie dei documenti informatici conservati.

Adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione.

59


DirICTo

INCOMBENZE E LE FUNZIONI DEL RESPONSABILE DELLA CONSERVAZIONE.

Funzione di garanzia e assistenza nei confronti dei soggetti che, per ragioni del loro ufficio, debbano relazionarsi con la struttura del sistema di conservazione e garantisce a questi l’assistenza e le risorse necessarie per l’espletamento delle loro attività.

In particolare:

•assicura, nei casi in cui sia richiesto il suo intervento, la presenza di un pubblico ufficiale;

•coadiuva gli organismi competenti per l’espletamento delle attività di verifica e di vigilanza;

•provvede, quando gli sia richiesto dagli organi giudiziari e amministrativi dello Stato, al versamento dei documenti conservati presso l’archivio centrale dello Stato e negli archivi di Stato.

60


DirICTo

CERTIFICAZIONE DELLA CONFORMITÀ DEL PROCESSO DI CONSERVAZIONE

Il responsabile della conservazione, ai sensi dell’art. 44, co. 1-ter del C.A.D., può chiedere di certificare la conformità del processo di conservazione. La norma detta una disciplina diversa a seconda che si tratti di soggetti privati o pubblici.

Soggetti privati: potranno richiedere la certificazione a soggetti, pubblici o privati, che offrano idonee garanzie organizzative e tecnologiche, ovvero a soggetti cui è stato riconosciuto il possesso dei requisiti di cui all’art. 44-bis, co.1, del C.A.D., distinti dai conservatori o dai conservatori accreditati.

Soggetti pubblici: potranno richiedere la certificazione della conformità del processo di conservazione solo a soggetti, pubblici o privati, cui è stato riconosciuto il possesso dei requisiti di cui all’art. 44-bis, co. 1, del C.A.D., distinti dai conservatori accreditati.

61


DirICTo

IL MANUALE DI CONSERVAZIONE

Il sistema di conservazione dei documenti informatici nel suo insieme,

unitamente alle architetture ed infrastrutture utilizzate.

Il modello di funzionamento adottato e la descrizione del processo di

conservazione, anche con riferimento alle modalità di verifica del

funzionamento, nel tempo, del sistema di conservazione.

Le misure di sicurezza necessarie alla salvaguardia dei

documenti conservati

I soggetti coinvolti ed i ruoli svolti dagli stessi nel

procedimento di conservazione

È LO STRUMENTO CHE DESCRIVE

62


DirICTo


Rispetto alla struttura organizzativa, il Manuale di Conservazione deve riportare:

•le funzioni, le responsabilità e gli obblighi dei diversi soggetti che intervengono nel processo di conservazione;

•i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione;

•se, e a chi, hanno concesso deleghe e, nel caso affermativo, gli ambiti oggetto della delega e le funzioni espletate dai delegati.

63


DirICTo


Con riferimento particolare agli oggetti sottoposti a conservazione, il Manuale di Conservazione deve indicare:

•i formati gestiti dal sistema di conservazione;

•i metadati da associare alle diverse tipologie di documenti (e le eventuali eccezioni);

•la descrizione della modalità di presa in carico dei pacchetti di versamento - comprensiva della predisposizione del relativo rapporto di versamento -;

•la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione, i tempi entro i quali le diverse tipologie di documenti devono essere scartati ovvero trasferiti in conservazione;

•le normative in vigore nei luoghi dove sono conservati i documenti.

64


DirICTo


Disciplina le funzioni svolte dal responsabile della conservazione e le modalità con cui intervenire. In particolare:

•descrive le procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi, evidenziando le soluzioni da adottare in caso di anomalie;

•quando sono rilevati come obsoleti, descrive le procedure per la produzione di duplicati o delle copie dei documenti conservati;

•le modalità con cui viene richiesta la presenza di un pubblico ufficiale ed i casi per i quali è previsto il suo intervento;

•il manuale deve anche trattare le modalità con cui l’utente può accedere ai documenti conservati e quindi come si deve svolgere il processo di esibizione: dalla fase di esportazione dal sistema di conservazione fino alla produzione del “pacchetto di distribuzione” nei confronti del richiedente.

65


DirICTo

MISURE DI SICUREZZA

I soggetti privati appartenenti ad organizzazioni che già adottano particolari regole di settore per la sicurezza dei sistemi informativi adeguano quelle previste per il sistema di conservazione alle regole sulla sicurezza già in vigore; gli altri soggetti – diversi da quelli precedentemente riportati e che quindi non hanno adottato all’interno della loro organizzazione particolari regole sulla sicurezza dei sistemi informatici - potranno adottare le regole di sicurezza indicate dagli articoli 50-bis e 51 del Codice dell’Amministrazione Digitale nonché le relative linee guida emanate dall’Agenzia per l’Italia digitale.

Tutti i sistemi di conservazione rispettano le misure di sicurezza previste dagli articoli da 31 a 36 del Codice Privacy e dal disciplinare tecnico contenuto nell’allegato B del d.lgs. n.196/’03.

66


DirICTo

MISURE DI SICUREZZA

Nelle pubbliche amministrazioni il responsabile della conservazione (di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, anche con il responsabile dell’ufficio) predispone, nell’ambito del più ampio e generale piano della sicurezza, il piano della sicurezza del sistema di conservazione.

Il piano della sicurezza del sistema di conservazione dovrà essere redatto nel pieno rispetto delle misure di sicurezza portate dagli artt.31 a 36 del Codice Privacy (ed ovviamente di quanto previsto nel disciplinare tecnico dell’allegato B), degli artt. 50-bis e 51 del Codice dell’Amministrazione Digitale e delle linee guida emanate dall’Agenzia per l’Italia digitale.

67


DirICTo

Grazie per l’attenzione

www.diricto.it

ict4forensics.diee.unica.it

www.gianlucasatta.it

[email protected]

[email protected]

68


DirICTo

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da

chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne

un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra.

Licenza

69

Smau Napoli 2014 Satta-Marconi

Technology

Transcript of Smau Napoli 2014 Satta-Marconi