Smau Torino 2015 - Gianluca Satta, ANDIG

ASPETTI NORMATIVI E CONTRATTUALI DELLA CONSERVAZIONE DEI DOCUMENTI INFORMATICI Relatore: GIANLUCA SATTA

ASPETTI NORMATIVI E CONTRATTUALI

DELLA CONSERVAZIONE

DEI DOCUMENTI INFORMATICI

GIANLUCA SATTA


La dematerializzazione: processo attraverso cui il documento

giuridico viene formato (e conservato) utilizzando supporti di natura

informatica.

La conservazione: processo finalizzato al mantenimento dei

requisiti di validità giuridica ed integrità informativa dei documenti,

al fine di consentirne l'accesso o l'esibizione.

Definizioni

2


Formazione

Trasmissione

Firme elettroniche (firma elettronica semplice,

avanzata, qualificata e firma digitale)

Marcatura temporale

Documento informatico

Acquisizione Protocollo informatico

Archiviazione

Posta elettronica certificata (PEC)

Gli archivi della P.A. (Codice dei beni culturali)

Contenuto Trattamento dei dati personali (Codice della Privacy)

La conservazione dei documenti coordinamento con altre discipline

3


L. 7 agosto 1990, n. 241 - “Procedimento amministrativo e di diritto di accesso ai

documenti amministrativi”

D. Lgs. 12 febbraio 1993, n. 39 - “Sistemi informativi automatizzati nella P.A.”

Legge 24 dicembre 1993, n. 537 - Introduce una norma su validità del documento su

supporto ottico

Direttiva del Presidente del Consiglio 5 settembre 1995 “Rete unitaria della pubblica

amministrazione”

DPCM 6 dicembre 1996, n. 694 “Riproduzione sostitutiva dei documenti di archivi e

di altri atti dei privati”

L. 15 marzo 1997, n. 59 “Delega al Governo per la riforma della Pubblica

Amministrazione e per la semplificazione amministrativa”

D.P.R. 10 novembre 1997, n. 513 Regolamento sulla formazione, l'archiviazione e la

trasmissione di documenti con strumenti informatici e telematici

Evoluzione normativa

4


Del. AIPA 30 luglio 1998, n. 24 “Reg. Tecn. riproduzione e conservazione di

documenti su supporto ottico idoneo a garantire la conformità dei documenti agli

originali”

D. Lgs. 20 ottobre 1998, n. 368 “Istituzione del Ministero per i beni e le attività

culturali”

DPCM 8 febbraio 1999 “Regole tecniche per la formazione, la trasmissione, la

conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei

documenti informatici ai sensi dell’art. 3, comma 1, del D.P.R. 10 novembre 1997, n.

513”

DPCM 22 ottobre 1999, n. 437 “Carta di identità elettronica e del documento di

identità elettronico”

Direttiva del Presidente del Consiglio del 28 ottobre 1999 “Gestione informatica dei

flussi documentali nelle pubbliche amministrazioni”


5


Direttiva C.E. 13 dicembre 1999, n. 93 “Direttiva del Parlamento europeo e del

Consiglio relativa ad un quadro comunitario per le firme elettroniche”

DPCM 31 ottobre 2000 “Regole tecniche per il protocollo informatico di cui al

decreto del Presidente della Repubblica 20 ottobre 1998, n. 428

Del. AIPA 23 novembre 2000, n. 51 “Regole tecniche in materia di formazione e

conservazione di documenti informatici delle pubbliche amministrazioni”

D.P.R. 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e

regolamentari in materia di documentazione amministrativa” (TUDA)

Del. AIPA 16 febbraio 2001, n. 27 “utilizzo della firma digitale nelle pubbliche

amministrazioni”

Del. AIPA 13 dicembre 2001, n. 42 “Regole tecniche per la riproduzione e

conservazione di documenti su supporto ottico idoneo a garantire la conformità dei

documenti agli originali” - D.P.R. 28 dicembre 2000, n. 445 (TUDA)


6


D. Lgs. 23 gennaio 2002, n. 10 “Attuazione della Dir. 1999/93/CE relativa ad un

quadro comunitario per le firme elettroniche”

DPCM 13 gennaio 2004 “Regole tecniche per la formazione, la trasmissione, la

conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei

documenti informatici”

D. Lgs. 22 gennaio 2004, n. 42 “Codice dei beni culturali”

DMEF 23 gennaio 2004 “Modalità di assolvimento degli obblighi fiscali relativi ai

documenti informatici ed alla loro riproduzione in diversi tipi di supporto”

Del. CNIPA 19 febbraio 2004, n. 11 “Regole tecniche per la riproduzione e

conservazione di documenti su supporto ottico idoneo a garantire la conformità”

Del. CNIPA 17 febbraio 2005, n. 4 “Regole per il riconoscimento e la verifica del

documento informatico”

D. Lgs. 7 marzo 2005, n. 82 “Codice della amministrazione digitale” (CAD)


7


D. Lgs. 4 aprile 2006, n. 159 "Disposizioni integrative e correttive al decreto

legislativo 7 marzo 2005, n. 82 recante codice dell'amministrazione digitale"

DPCM 30 marzo 2009 “Regole tecniche in materia di generazione, apposizione e

verifica delle firme digitali e validazione temporale dei documenti informatici”

abrogato il DPCM 13 gennaio 2004

Del. CNIPA 21 maggio 2009 n. 45 “Regole per il riconoscimento e la verifica del

documento informatico” abroga Circ. AIPA 19 giugno 2000, n. 24

Circ. DigitPA 29 dicembre 2011 , n. 59 “ Modalità per presentare la domanda di

accreditamento da parte dei soggetti pubblici e privati che svolgono attività di

conservazione dei documenti informatici”

DPCM 22 febbraio 2013 “Regole tecniche in materia di generazione,

apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”

Det. Commissariale Agid. 30 Aprile 2014 n. 63 “Modalità di attuazione dell’articolo

19, comma 7, del DPCM 22 febbraio 2013”


8


DPCM 3 dicembre 2013 “Regole tecniche in materia di sistema di

conservazione” abroga Del. CNIPA 19 febbraio 2004, n. 11 “Regole tecniche per la

riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la

conformità”

DPCM 13 novembre 2014 “Regole tecniche in materia di documenti

informatici”, pubblicato in Gazzetta Ufficiale il 12 gennaio 2015 (GU serie gen. 8)

Circ. Agid 10 aprile 2014 n. 65 “Modalità per l’accreditamento e la vigilanza sui

soggetti pubblici e privati che svolgono attività di conservazione dei documenti

informatici”


9


D. Lgs. 7 marzo 2005, n. 82 “Codice della amministrazione digitale” (CAD)

DPCM 3 dicembre 2013 “Regole tecniche in materia di sistema di conservazione”,

pubblicato in Gazzetta Ufficiale il 12 marzo 2014 (suppl. ord. n. 20, serie gen. 59)

D. Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”

Circ. Agid 10 aprile 2014 n. 65 “Modalità per l’accreditamento e la vigilanza sui

soggetti pubblici e privati che svolgono attività di conservazione dei documenti

informatici”

Conservazione dei documenti informatici: normativa in vigore

DPCM 13 novembre 2014 “Regole tecniche in materia di documenti informatici”,

pubblicato in Gazzetta Ufficiale il 12 gennaio 2015 (GU serie gen. 8)

10


Sistema per la conservazione dei documenti informatici

D. Lgs. 7 marzo 2005, n. 82 Codice

dell’Amministrazione Digitale

Art. 20, commi 3 e 5-bis, Art. 23-ter,

comma 4, Art. 43, commi 1 e 3, Art. 44,

Art. 44-bis

“Regole tecniche in materia di sistema

di conservazione”

DPCM 3 dicembre 2013, pubblicato in

Gazzetta Ufficiale il 12 marzo 2014

(suppl. ord. n. 20, serie gen. 59)

atto a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità,

reperibilità dei documenti

per l’intero ciclo di gestione, ovverossia per l’intero arco temporale di esistenza

del documento informatico

indipendentemente dall’evoluzione del contesto tecnologico


11


Art. 20 del D. Lgs. 7 marzo 2005, n. 82 (CAD)

“Regole tecniche in materia di documenti informatici”

DPCM 13 novembre 2014 pubblicato in Gazzetta Ufficiale il 12

gennaio 2015 (GU serie gen. 8)

Il documento informatico assume piena validità e rilevanza agli effetti di legge,

solo se la sua formazione e, conseguentemente, la memorizzazione e

trasmissione telematica, è in linea con le regole tecniche previste ai sensi

dell’art. 71 del CAD

Entrato in vigore l’11 febbraio 2015

Completato quadro normativo della regolamentazione tecnica: firme elettroniche,

conservazione e protocollo informatico


12


Nuovi sistemi di conservazione Nuove regole tecniche (DPCM 3 Dicembre 2013)

Vecchi sistemi di conservazione (Del. CNIPA 19 febbraio 2004, n. 11)

Facoltà di adeguarli alle nuove regole entro l’11 aprile 2017

(in tal caso vi è l’obbligo di disporre un piano dettagliato nel manuale di

conservazione)

Validi ed efficaci

fino all’11 Aprile 2017

Dopo l’11 Aprile 2017 sarà obbligatorio adeguare tutti i sistemi

esistenti alle nuove regole tecniche


13


Il documento informatico nel sistema di conservazione

Regole tecniche sul

documento informatico

Regole tecniche sul

sistema di conservazione

Stesso ambito di applicazione

Il sistema di conservazione è rivolto ad assicurare l’autenticità, l’integrità,

l’affidabilità, la leggibilità e la reperibilità dei documenti informatici.

Necessario determinare

cosa si intende per

“documento informatico”.

collegate

14


Amministrazioni dello Stato Istituti, scuole e università

Regioni, le Province, i Comuni e relativi enti

pubblici

Camere di commercio, industria, artigianato e

agricoltura

Aziende ed enti del Servizio sanitario nazionale

Privati

Persone giuridiche

Società di persone

Enti e associazioni

Soggetti esterni a cui è affidata la gestione o la conservazione dei documenti informatici

Capo II del CAD

(documento informatico e

firme elettroniche,

trasferimenti, libri e scritture)

Relative regole tecniche

Ambito soggettivo di applicazione (art. 2 Reg. Tecn., art. 2, commi 2 e 3 CAD)

15


Quali soggetti hanno l’obbligo di adottare un sistema di conservazione?

Obbligo di conservare Obbligo di produrre documenti direttamente ed

unicamente in formato digitale

Art. 20, comma 5-bis del CAD

Gli obblighi di conservazione e di esibizione di documenti, si intendono

soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le

procedure utilizzate sono conformi alle regole tecniche (in materia di sistemi di

conservazione e in materia di formazione del documento informatico).

Tutti i soggetti che hanno l’obbligo di conservare documenti per i quali è prevista la

produzione direttamente ed unicamente in formato digitale originale, senza poter utilizzare

il formato cartaceo ai fini della validità legale dello stesso

Ambito oggettivo di applicazione

16


Amministrazioni dello Stato Diversi settori dove è obbligatorio produrre in

formato elettronico

Assenza di norme generali che obbligano la

P.A.

Dal 2013, le pubblicazioni effettuate in sola forma analogica non hanno effetto di

pubblicità legale. Obbligo di pubblicità legale mediante pubblicazione online (Albo

pretorio).

La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e

documenti, tra le imprese e le amministrazioni pubbliche deve avvenire

esclusivamente utilizzando le tecnologie dell'informazione e della comunicazione

Obbligo di produrre documenti direttamente ed




17


La pubblica amministrazione

Ricorso alle tecnologie dell'informazione nei procedimenti amministrativi per

realizzare gli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza e

semplificazione.

Adotta le tecnologie dell'informazione e della comunicazione nei rapporti interni,

tra le diverse amministrazioni e tra queste e i privati.

• Uso dei mezzi informatici per la formazione dei

documenti originali

• Protocollo informatico

• Gestione digitale dei flussi documentali

esigenze di carattere pubblico

per garantire il corretto funzionamento

ragioni di interesse storico

Esempi

Obbligo di conservare


Art. 12 CAD - Norma di indirizzo generale

18


Obbligo di conservare per i privati

Art. 2220 Codice Civile

Obbligo di conservazione per dieci anni dei

documenti contabili, delle fatture, delle lettere e

dei telegrammi ricevuti e delle copie delle fatture,

delle lettere e dei telegrammi spediti

Imprenditori commerciali: libro giornale,

libro degli inventari, scritture contabili.

S.p.a.: libro soci, libro delle obbligazioni,

libro delle adunanze delle assemblee, del

consiglio di amministrazione, ecc...

S.r.l.: libro soci, libro delle decisioni dei soci,

degli amministratori, libro del collegio

sindacale o del revisore

Art. 22, D.P.R. 29 settembre 1973, n.600

Obbligo di conservazione delle scritture contabili

obbligatorie e la relativa documentazione fino a

quando non siano definiti gli accertamenti relativi al

corrispondente periodo d'imposta

Obblighi di conservazione in materia fiscale:

registri IVA, il registro dei corrispettivi per

mancato o irregolare funzionamento del

registratore di cassa, il registro delle ricevute fiscali,

il registro merci, il registro onorari

Datori di lavoro: libro matricola, del libro paga e

registro degli infortuni



19


Privati Unico obbligo, sancito da una norma di legge, che preveda l’obbligo di

conservare e l’uso esclusivo del formato digitale per la validità legale del

documento stesso

La fattura elettronica emessa in favore della P.A.



Obbligo di produrre documenti direttamente ed


20


Fin dove si estende?

Solo nel caso di obbligo di conservazione dei documenti, la

cui produzione è prevista esclusivamente in formato elettronico

L’adozione di un sistema di conservazione è FACOLTATIVA quando:

In via residuale

riconosciuta la validità legale del

documento cartaceo

non è previsto un obbligo di legge che

impone la produzione di documenti

digitali

assenza di obbligo di conservazione


Obbligo di rispettare

le regole tecniche

21


Documenti cartacei di cui si possiede un solo esemplare originale

Limite: i documenti analogici originali unici

Art. 22 CAD

Con decreto del Presidente del Consiglio dei Ministri possono essere individuate

particolari tipologie di documenti analogici originali unici per le quali, in ragione di

esigenze di natura pubblicistica, permane l'obbligo della conservazione dell'originale

analogico oppure, in caso di conservazione sostitutiva, la loro conformità all'originale deve

essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con

dichiarazione da questi firmata digitalmente ed allegata al documento informatico.

Non possono essere

digitalizzati e conservati

in formato elettronico

Possono essere digitalizzati e conservati in

formato elettronico, a condizione che la loro

conformità all’originale sia autenticata come

previsto dall’art. 22 CAD

22


DPCM 21 marzo 2013, Allegato A Documenti analogici originali unici

Documenti per i quali permane l’obbligo di conservazione del cartaceo originale

1. Atti contenuti nella raccolta ufficiale degli atti normativi della Repubblica

2. Atti giudiziari, processuali e di polizia giudiziaria

3. Opere d’arte

4. Documenti di valore storico-artistico

5. Documenti conservati negli archivi, biblioteche di Stato

6. Atti notarili

7. Atti conservati dai notai prima della consegna agli Archivi notarili

8. Atti conservati presso gli Archivi notarili

Documenti per i quali è consentita la conservazione in formato elettronico (art. 22 CAD)

1. Decreti del Presidente del Consiglio dei Ministri, decreti ministeriali e interministeriali

2. Atti amministrativi da adottarsi nella forma del D.P.R.

3. Decreti dirigenziali e direttoriali

Per i vari ministeri sono elencati i documenti interessati, tra cui:

1. Documenti in materia di tutela dei diritti civili, confessioni religiose, di cittadinanza, immigrazione

2. Atti inerenti la tutela della sicurezza dello Stato, dell’ordine e della sicurezza pubblica

3. Piani paesaggistici e protocolli disciplinari degli stessi

23


La norma consente quindi di conservare ed esibire validamente (a tutti gli

effetti di legge) qualunque documento (quindi anche cartaceo), a mezzo

di documenti informatici

Il documento (cartaceo) per essere conservato a mezzo di documento

informatico, necessita di essere acquisito in un formato digitale

Art. 20, comma 5-bis del CAD

Gli obblighi di conservazione e di esibizione di documenti, si intendono soddisfatti a

tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate

sono conformi alle regole tecniche (in materia di sistemi di conservazione e in materia di

formazione del documento informatico).

La conservazione dei documenti informatici

Facoltativa

Quali regole per il passaggio dal documento cartaceo al documento informatico?

24


Definizione del CAD del documento informatico:

rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti

Articolo 3, Regole Tecniche (DPCM 13 novembre 2014)

Formazione del documento informatico

1. Il documento informatico è formato mediante una delle seguenti principali modalità:

a) redazione tramite l’utilizzo di appositi strumenti software;

b) acquisizione di un documento informatico per via telematica o su supporto informatico,

acquisizione della copia per immagine su supporto informatico di un documento

analogico, acquisizione della copia informatica di un documento analogico;

c) registrazione informatica delle informazioni risultanti da transazioni o processi informatici

o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili

all’utente;

d) generazione o raggruppamento anche in via automatica di un insieme di dati o

registrazioni, provenienti da una o più basi dati, anche appartenenti a più soggetti

interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica.

La formazione dei documenti informatici

25


Documenti informatici “nativi”

Redazione con appositi strumenti software (art. 3, comma 1, lett. a))

Acquisizione di un documento informatico per via telematica o su supporto informatico (art. 3, comma 1, lett. b))

Servizi in Cloud

Download

Supporti di memoria

Duplicati informatici ≠ copie informatiche


26


Acquisizione della copia per immagine su supporto informatico di un documento analogico (art. 3, comma 1, lett. b))

Documento cartaceo Copia per immagine

Acquisizione della copia informatica di un documento analogico (art. 3, comma 1, lett. b))

Documento cartaceo Contenuto identico all’originale


27


Registrazione informatica delle informazioni risultanti da transazioni o processi informatici o dalla

presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente (art. 3, comma 1, lett. c))


28


Generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni,

provenienti da una o più basi dati, anche appartenenti a più soggetti interoperanti, secondo una

struttura logica predeterminata e memorizzata in forma statica

(art. 3, comma 1, lett. d))


Database

Forma statica

29


Rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti

Nuove regole tecniche

DPCM 3 dicembre 2013

Sistema di conservazione unico

La nuova definizione di documento informatico

Formata con le modalità previste

dall’art. 3 del d.p.c.m. 13 novembre 2014

30


Vecchie regole tecniche

Del. CNIPA 19 febbraio 2004, n. 11

Conservazione dei documenti analogici

Conservazione documenti digitali

Conservazione sostitutiva (“a norma”)

Nuove regole tecniche

DPCM 3 dicembre 2013

Sistema di conservazione (sostitutiva)

In passato...

Oggi…

Nuova concezione

del documento informatico (Art. 3, regole tecniche

sul documento informatico)

Sistema di conservazione unico

31


Art. 20, comma 1-bis, CAD

L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo

valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue

caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo

restando quanto disposto dall'articolo 21

Conservazione e valore probatorio del documento informatico

Art. 3, comma 4, Regole tecniche sul documento informatico

“le caratteristiche di immodificabilità e di integrità sono determinate da una o più delle

seguenti operazioni: (…) il versamento ad un sistema di conservazione”.

Il documento informatico, quando non è sottoscritto con firma elettronica avanzata,

qualificata o digitale, versato in un sistema di conservazione, è considerato ex se in

possesso delle caratteristiche oggettive di integrità e immodificabilità

32


Modelli organizzativi: in house e in outsourcing Art. 5, Regole tecniche

2. Ai sensi dell’art. 44 del Codice, la conservazione può essere svolta:

a)all’interno della struttura organizzativa del soggetto produttore dei documenti informatici da

conservare;

Persona fisica o giuridica, di norma diversa dal soggetto che ha formato il documento,

che produce il pacchetto di versamento ed è responsabile del trasferimento del suo

contenuto nel sistema di conservazione. Nelle pubbliche amministrazioni, tale figura si

identifica con responsabile della gestione documentale

Titolare dei documenti

informatici da conservare Il titolare di documenti informatici, nel procedere alla

conservazione, può consegnare i documenti ad altro soggetto che

si occupa del versamento nel sistema di conservazione, il quale

assume il ruolo di produttore. può non coincidere

con il produttore

33


Art. 5, Regole tecniche

2. Ai sensi dell’art. 44 del Codice, la conservazione può essere svolta: (…)

b) affidandola, in modo totale o parziale, ad altri soggetti, pubblici o privati che offrono idonee

garanzie organizzative e tecnologiche, anche accreditati come conservatori presso l’Agenzia per l’Italia

digitale.

Modelli organizzativi: in house e in outsourcing

Outsourcing

Conservatori Conservatori

accreditati Obbligatorio per la P.A.

34


Conservatori accreditati

Soggetti pubblici e privati che svolgono

attività di conservazione dei documenti

informatici e di certificazione dei relativi

processi

1. dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere l’attività di conservazione;

2. utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi

forniti;

3. applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;

4. utilizzare sistemi affidabili e sicuri di conservazione di documenti informatici realizzati e gestiti in conformità alle

disposizioni e ai criteri, standard e specifiche tecniche di sicurezza e di interoperabilità contenute nelle regole tecniche

previste dal CAD;

5. adottare adeguate misure di protezione dei documenti idonee a garantire la riservatezza, l’autenticità,

l’immodificabilità, l'integrità e la fruibilità dei documenti informatici oggetto di conservazione, come descritte nel

manuale di conservazione, parte integrante del contratto/convenzione di servizio.

Il conservatore, se soggetto privato, in aggiunta a quanto previsto dai precedenti punti, deve inoltre:

1. avere forma giuridica di società di capitali e un capitale sociale di almeno 200.000 Euro;

2. garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla

amministrazione e da parte dei componenti degli organi preposti al controllo, dei requisiti di onorabilità

35


Attività di vigilanza

Requisiti per l’accreditamento

Albo dei conservatori

revoca l’iscrizione

cancellazione dall’elenco pubblico

Conservatori accreditati

36


a) definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia

dei documenti da conservare, della quale tiene evidenza, in conformità alla normativa vigente;

b) gestisce il processo di conservazione e ne garantisce nel tempo la conformità alla normativa

vigente;

c) genera il rapporto di versamento, secondo le modalità previste dal manuale di conservazione;

d) genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica qualificata,

nei casi previsti dal manuale di conservazione;

e) effettua il monitoraggio della corretta funzionalità del sistema di conservazione;

f) assicura la verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità degli archivi

e della leggibilità degli stessi;

g) al fine di garantire la conservazione e l’accesso ai documenti informatici, adotta misure per

rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle

registrazioni e, ove necessario, per ripristinare la corretta funzionalità; adotta analoghe misure con

riguardo all’obsolescenza dei formati;

Art. 7, Regole Tecniche

Il responsabile della conservazione è il dominus del sistema di conservazione

Il ruolo del Responsabile della conservazione

37



h) provvede alla duplicazione o copia dei documenti informatici in relazione all’evolversi del

contesto tecnologico, secondo quanto previsto dal manuale di conservazione;

i) adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione ai sensi

dell’art. 12;

j) assicura la presenza di un pubblico ufficiale, nei casi in cui sia richiesto il suo intervento,

garantendo allo stesso l’assistenza e le risorse necessarie per l’espletamento delle attività al medesimo

attribuite;

k) assicura agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per

l’espletamento delle attività di verifica e di vigilanza;

l) provvede, per gli organi giudiziari e amministrativi dello Stato, al versamento dei documenti

conservati all’archivio centrale dello Stato e agli archivi di Stato secondo quanto previsto dalle norme

vigenti;

m) predispone il manuale di conservazione di cui all’art. 8 e ne cura l’aggiornamento periodico

in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti.

Art. 7, Regole Tecniche

Il responsabile della conservazione è il dominus del sistema di conservazione

38



Soggetto tenuto alla conservazione dei documenti informatici

Persona fisica Persona giuridica Responsabile della

conservazione

Soggetto nominato

Responsabile della Conservazione (RdC)

Libero professionista

o Ditta individuale Società o ente

39


Soggetto nominato RdC

Conservazione

in house

Conservazione

in outsourcing

Delega per lo svolgimento delle

proprie competenze ad uno o più

soggetti di specifica competenza ed

esperienza

Interni alla struttura

Sotto il diretto controllo del RdC

Delega solo per lo svolgimento delle attività

relative al processo di conservazione (art. 7)

Il responsabile della conservazione è

sempre la persona fisica o giuridica, o

il soggetto all’uopo nominato

Il ruolo di RdC resta sempre in capo

al soggetto incaricante, non al

conservatore.

Solo il RdC può decidere di affidare la

conservazione all’esterno. La scelta non può

essere di un soggetto delegato dal RdC.


40


Il contratto di affidamento esterno della conservazione art. 44, comma 1-ter, dall’art. 44-bis, CAD, dall’art. 5, dall’art. 6, comma 7, d.p.c.m. 3 dicembre 2013

Aziende

Enti

Professionisti

Attività complesse

Adempimenti tecnici

Obblighi imposti dalla normativa

Gestione della sicurezza fisica e informatica

Rispetto dei limiti temporali di conservazione

Salvaguardia dell’integrità e leggibilità dei documenti

Aggiornamento tecnologico e normativo

Conservatore

41


Il contratto di affidamento esterno della conservazione

Soggetto affidante

(o incaricante)

Tenuto alla conservazione dei

documenti informatici

Affidatario del servizio

Società di servizi IT

strutture informatiche

competenze tecniche del proprio

personale

realizza la conservazione dei


dell’affidante

Legittimato a concludere il contratto

Unico soggetto a cui la normativa attribuisce la

facoltà di affidare all’esterno la conservazione

Responsabile della conservazione Se persona giuridica, il contratto può essere validamente

sottoscritto dal legale rappresentante della stessa

42


Il contratto di affidamento esterno della conservazione Art. 6, comma 6, Regole Tecniche

“la conservazione può essere affidata ad un soggetto esterno, secondo i modelli organizzativi di

cui all’art. 5, mediante contratto o convenzione di servizio che preveda l’obbligo del rispetto

del manuale di conservazione predisposto dal responsabile della stessa”

Contratto di affidamento del

servizio di conservazione (Condizioni generali di contratto)

Manuale di conservazione

? aziende di medio - grande

dimensione

forte potere contrattuale

assenza di trattative

strutture informatiche per

servizi standardizzati

43



IMPORTANTE

Prima della sottoscrizione del contratto, verificare il contenuto

del manuale della conservazione e delle condizioni generali di contratto

Presenza di carenze all’interno del sistema di conservazione

Mancato rispetto delle regole tecniche

Perdita del valore legale dei documenti conservati

in capo al titolare dei documenti informatici e al conservatore

Responsabilità civile Responsabilità amministrativa Responsabilità penale

44


Il contratto di affidamento esterno della conservazione Responsabilità civile

Responsabile della

conservazione

Professionista, tenuto a conservare i documenti di un proprio cliente, affida la conservazione all’esterno. La perdita di

valore legale dei documenti, dovuta al mancato rispetto delle regole sulla conservazione, potrebbe causare dei danni al

cliente (es. le sanzioni amministrative quando i documenti sono di natura fiscale, oppure il danno derivante

dall’impossibilità di tutelare un proprio diritto)

Risponde dei danni derivanti

da errata conservazione

Soggetto terzo a cui

i documenti si riferiscono

Terzo

in forza del rapporto contrattuale Responsabile della

conservazione

risarcimento del danno extracontrattuale (art. 2043 c.c.)

Conservatore Come l’appaltatore, danni a terzi

nell’esecuzione del contratto

45



Determinazione e l’attribuzione della responsabilità

per danni arrecati a terzi dal conservatore nell’esecuzione del contratto

Diligenza del responsabile della

conservazione nella scelta del conservatore

Autonomia concessa al conservatore nella

prestazione del servizio di conservazione

Tre principi elaborati dalla giurisprudenza in materia di appalto:

culpa in vigilando del committente;

l’ingerenza del committente, quando il danno deriva da un ordine o disposizione di

quest’ultimo;

culpa in eligendo, quando il servizio è affidato ad un soggetto privo delle capacità e dei

mezzi idonei

46



Il titolare dei

documenti informatici (In qualità di responsabile della conservazione

e parte nel contratto di fornitura del servizio)

può sempre agire Conservatore

Danni subiti dovuti all’inadempimento

del contratto di conservazione. (nei limiti contrattuali)

Responsabilità amministrativa

Il titolare dei documenti informatici, essendo l’unico responsabile della loro

conservazione nei confronti dei terzi e di tutte le pubbliche autorità, sarà l’unico

soggetto chiamato a rispondere in caso di sanzioni amministrative derivanti da una

irregolare tenuta e conservazione dei documenti

47


Linee guida per la scelta del conservatore

Preliminarmente alla sottoscrizione del contratto di affidamento della conservazione,

è opportuno valutare:

rispetto delle regole tecniche generali

le modalità con cui esse sono concretamente attuate dal singolo conservatore

evolutiva Disciplina sulla conservazione

dei documenti informatici

individuati i requisiti e gli

obiettivi generali del

sistema di conservazione

ai destinatari delle regole tecniche la scelta sulle misure da applicare al caso concreto

esame del manuale della conservazione e delle

condizioni generali di contratto predisposte

48



Analisi, da parte del responsabile della conservazione, delle tipologie di documenti

informatici che si intendono conservare, tenuto conto della vigente normativa in

materia di obblighi di conservazione

non tutti i conservatori, infatti, mettono a disposizione un servizio di conservazione valido per

ogni tipo di documento (limitati ad una particolare categoria di documenti informatici o ad un particolare

formato di files)

Caratteristiche di qualità e sicurezza del servizio offerto, eventualmente

attestate dal possesso di certificazioni, nonché gli anni di esperienza nel settore

Il manuale di conservazione è un documento informatico che deve descrivere (art. 8):

l’organizzazione dell’ente conservatore;

l’identità e i ruoli dei soggetti coinvolti;

il modello di funzionamento;

la descrizione del processo di conservazione e delle infrastrutture utilizzate;

le misure di sicurezza adottate e ogni altra informazione utile.

49


Linee guida per la scelta del conservatore Verifica dei ruoli predisposti nel manuale

Il ruolo di RdC sempre in

capo al fruitore del servizio

Il conservatore assume il

ruolo di responsabile del

servizio di conservazione

In alcuni manuali della conservazione, il

fruitore del servizio viene indicato con il

termine “cliente”

Non confondere con il ruolo di “responsabile

della conservazione” che, in linea con le

disposizioni normative, è svolto dal titolare dei


Quando è previsto dal manuale, al soggetto affidante può essere attribuito anche il ruolo di

produttore, con conseguente assunzione dei relativi obblighi e responsabilità

Al produttore compete la produzione del pacchetto di versamento ed è responsabile del trasferimento del suo

contenuto nel sistema di conservazione. Il produttore, quindi, deve assicurarsi che i documenti, oggetto del

trasferimento, siano statici, non modificabili e generati con uno dei formati previsti dal manuale; infine, è anche

l’unico responsabile dell’associazione dei metadati ai documenti, per garantirne la corretta indicizzazione nel

sistema del conservatore

50


Linee guida per la scelta del conservatore Verifica delle misure di sicurezza adottate e previste dal

Codice in materia di protezione dei dati personali e dall’allegato B

Misure minime

(All. B al Codice Privacy)

Articoli da 31 a 36

Disciplinare tecnico di cui all’allegato B

Codice in materia di protezione

dei dati personali

D. Lgs. 30 giugno 2003, n. 196

Misure idonee

(artt. 31-36 Codice Privacy)

MISURE DI SICUREZZA

51


CARATTERISTICHE DELLE

CREDENZIALI DI AUTENTICAZIONE

Lunghezza minima della password di 8

caratteri

non riconducibile al soggetto

GESTIONE DELLE CREDENZIALI

DI AUTENTICAZIONE

Modifica dopo il primo utilizzo, ogni 6 o 3

mesi a seconda dei dati trattati

Disattivazione in caso di non uso per almeno

6 mesi o di perdita della qualità che permette

l’accesso ai dati

Garanzia della disponibilità dei dati o degli

strumenti elettronici in caso di prolungata

assenza o impedimento dell’incaricato che

goda delle credenziali di autenticazione

SISTEMA DI AUTORIZZAZIONE Verifica almeno annuale delle condizioni per

l’autorizzazione

52




PROTEZIONE CONTRO IL

RISCHIO DI INTRUSIONE Attivazione di idonei strumenti elettronici da

aggiornare con cadenza almeno semestrale.

AGGIORNAMENTI PERIODICI

DEI PROGRAMMI PER

ELABORATORE

Almeno annuale per dati comuni

Almeno semestrale per dati sensibili e/o

giudiziari

BACK UP Salvataggio dei dati con frequenza almeno

settimanale

DISASTER RECOVERY Ripristino entro il termine massimo di una

settimana



53


Le misure idonee

Sono individuabili sulla base delle tecnologie al momento conosciute e alle caratteristiche

del trattamento, e sono definite in modo tale da ridurre al minimo i rischi che il sistema di

conservazione concretamente comporta.

L’analisi deve tener conto dei rischi di distruzione e

perdita dei dati, di accesso non autorizzato e di

trattamento eseguito per finalità diverse dalla

conservazione.

Misure minime di sicurezza

Misure idonee di sicurezza Sanzioni civili (art. 2050 c.c.)

Sanzioni amministrative e penali

(Codice Privacy)



54



Struttura fisica del sistema di

conservazione

Sede legale e luogo di conservazione (art. 2,

RT)

Residenza dei data center (sicurezza)

Modalità di esibizione dei

documenti

Accesso alla documentazione

conservata

Estrazione copie, consultazione

Servizio di distribuzione

Portabilità dei documenti

Lunghi termini di conservazione

Rapporto contrattuale (dalla presa in carico allo

scarto)

Migrazione verso altri sistemi

55


Linee guida per la scelta del conservatore Condizioni generali di contratto

Diritti

Obblighi

Accordo

Recesso idonee garanzie affinché il titolare dei documenti non subisca alcun pregiudizio

in seguito all’eventuale esercizio del diritto di recesso.

congrui tempi di preavviso per la comunicazione del recesso da parte del

conservatore

restituzione dei documenti conservati, in modo da consentire al titolare dei

documenti di attivare un nuovo servizio di conservazione (portabilità)

56


Grazie per l’attenzione

Gianluca Satta European Lawyer

Esperto in diritto dell’informatica e delle Nuove Tecnologie

www.gianlucasatta.it

[email protected]

www.diricto.it

ict4forensics.diee.unica.it

57


Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha

dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra,

puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra.

Licenza

Smau Torino 2015 - Gianluca Satta, ANDIG

Technology

Transcript of Smau Torino 2015 - Gianluca Satta, ANDIG