la conservazione dei documenti informatici per i professionisti, le aziende e la p.a

Relatori:

Gianluca Satta

Giuliano Marconi

La conservazione dei documenti informatici

per i professionisti, le aziende e la P.A.

La conservazione dei documenti informatici per i professionisti, le aziende e la P.A.Gianluca SattaGiuliano Marconi

DirICTo

2

I concetti

La dematerializzazione: processo attraverso cui il documento

giuridico viene formato (e conservato) utilizzando supporti di

natura informatica.

La conservazione: processo finalizzato al mantenimento dei

requisiti di validità giuridica ed integrità informativa dei

documenti, al fine di consentirne l'accesso o l'esibizione.


DirICTo

3

La conservazione dei documenti(coordinamento con altre regole)

Formazione

Trasmissione

Firme elettroniche (firma elettronica semplice, avanzata,

qualificata e firma digitale)

Marcatura temporale

Acquisizione Protocollo informatico

Archiviazione

Posta elettronica certificata (PEC)

Gli archivi della P.A. (Codice dei beni culturali)

Contenuto Trattamento dei dati personali (Codice della Privacy)


DirICTo

4

Fonte: Libro Bianco sulla dematerializzazione della documentazione amministrativa (2006)

2% PIL per la gestione dei documenti amministrativi

digitale

cartaceo

90%

10%

Risparmio annuo:

3 mld €

Amministrazioni centrali (indagine del 2004):

110 milioni di documenti prodotti,

160 milioni di registrazioni di protocollo

147 milioni di documenti archiviati

55 mila persone e 19 mila uffici impegnati

nello smistamento e protocollazione

Numeri e statistiche

Fogli stipendio di 1,5 milioni di dipendenti

pubblici:

40 milioni € l’anno

più di 1.100 impiegati per la gestione.

oltre 1 miliardo € l’anno tra dipendenti

pubblici e privati (più di 16 milioni)


DirICTo

5


0%

10%

20%

30%

40%

50%

60%

70%

80%

high satisfaction(i_igov12rt_sidx_hi)

medium satisfaction(i_igov12rt_sidx_me)

low satisfaction(i_igov12rt_sidx_lo)

Citizens sending filled forms online and level of satisfaction with eGovernment

services (EUROSTAT - 2014)Italia

21% cittadini utilizza servizi di eGov

10% cittadini utilizza canali online PA

85% imprese utilizza servizi di eGov

58% imprese utilizza canali online PA

Fonte: EU Digital Agenda

Al di sotto della media europea


DirICTo

6



DirICTo

L. 7 agosto 1990, n. 241 - “Procedimento amministrativo e di diritto di accesso ai

documenti amministrativi”

D. Lgs. 12 febbraio 1993, n. 39 - “Sistemi informativi automatizzati nella P.A.”

Legge 24 dicembre 1993, n. 537 - Introduce una norma su validità del documento su

supporto ottico

Direttiva del Presidente del Consiglio 5 settembre 1995 “Rete unitaria della pubblica

amministrazione”

DPCM 6 dicembre 1996, n. 694 “Riproduzione sostitutiva dei documenti di archivi e di

altri atti dei privati”

L. 15 marzo 1997, n. 59 “Delega al Governo per la riforma della Pubblica

Amministrazione e per la semplificazione amministrativa”

D.P.R. 10 novembre 1997, n. 513 Regolamento sulla formazione, l'archiviazione e la

trasmissione di documenti con strumenti informatici e telematici

Evoluzione normativa

7


DirICTo

Del. AIPA 30 luglio 1998, n. 24 “Reg. Tecn. riproduzione e conservazione di documenti su

supporto ottico idoneo a garantire la conformità dei documenti agli originali”

D. Lgs. 20 ottobre 1998, n. 368 “Istituzione del Ministero per i beni e le attività culturali”

DPCM 8 febbraio 1999 “Regole tecniche per la formazione, la trasmissione, la

conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei

documenti informatici ai sensi dell’art. 3, comma 1, del D.P.R. 10 novembre 1997, n. 513”

DPCM 22 ottobre 1999, n. 437 “Carta di identità elettronica e del documento di identità

elettronico”

Direttiva del Presidente del Consiglio del 28 ottobre 1999 “Gestione informatica dei flussi

documentali nelle pubbliche amministrazioni”


8


DirICTo

Direttiva C.E. 13 dicembre 1999, n. 93 “Direttiva del Parlamento europeo e del

Consiglio relativa ad un quadro comunitario per le firme elettroniche”

DPCM 31 ottobre 2000 “Regole tecniche per il protocollo informatico di cui al decreto del

Presidente della Repubblica 20 ottobre 1998, n. 428

Del. AIPA 23 novembre 2000, n. 51 “Regole tecniche in materia di formazione e

conservazione di documenti informatici delle pubbliche amministrazioni”

D.P.R. 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e

regolamentari in materia di documentazione amministrativa” (TUDA)

Del. AIPA 16 febbraio 2001, n. 27 “utilizzo della firma digitale nelle pubbliche

amministrazioni”

Del. AIPA 13 dicembre 2001, n. 42 “Regole tecniche per la riproduzione e conservazione

di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli

originali” - D.P.R. 28 dicembre 2000, n. 445 (TUDA)


9


DirICTo

D. Lgs. 23 gennaio 2002, n. 10 “Attuazione della Dir. 1999/93/CE relativa ad un quadro

comunitario per le firme elettroniche”

DPCM 13 gennaio 2004 “Regole tecniche per la formazione, la trasmissione, la

conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei

documenti informatici”

D. Lgs. 22 gennaio 2004, n. 42 “Codice dei beni culturali”

DMEF 23 gennaio 2004 “Modalità di assolvimento degli obblighi fiscali relativi ai

documenti informatici ed alla loro riproduzione in diversi tipi di supporto”

Del. CNIPA 19 febbraio 2004, n. 11 “Regole tecniche per la riproduzione e conservazione

di documenti su supporto ottico idoneo a garantire la conformità”

Del. CNIPA 17 febbraio 2005, n. 4 “Regole per il riconoscimento e la verifica del

documento informatico”

D. Lgs. 7 marzo 2005, n. 82 “Codice della amministrazione digitale” (CAD)


10


DirICTo

D. Lgs. 4 aprile 2006, n. 159 "Disposizioni integrative e correttive al decreto legislativo 7

marzo 2005, n. 82 recante codice dell'amministrazione digitale"

DPCM 30 marzo 2009 “Regole tecniche in materia di generazione, apposizione e verifica

delle firme digitali e validazione temporale dei documenti informatici” abrogato il DPCM

13 gennaio 2004

Del. CNIPA 21 maggio 2009 n. 45 “Regole per il riconoscimento e la verifica del

documento informatico” abroga Circ. AIPA 19 giugno 2000, n. 24

Circ. DigitPA 29 dicembre 2011 , n. 59 “ Modalità per presentare la domanda di

accreditamento da parte dei soggetti pubblici e privati che svolgono attività di

conservazione dei documenti informatici”

DPCM 22 febbraio 2013 “Regole tecniche in materia di generazione, apposizione e

verifica delle firme elettroniche avanzate, qualificate e digitali”

Det. Commissariale Agid. 30 Aprile 2014 n. 63 “Modalità di attuazione dell’articolo 19,

comma 7, del DPCM 22 febbraio 2013”


11


DirICTo

DPCM 3 dicembre 2013 “Regole tecniche in materia di sistema di conservazione”

abroga Del. CNIPA 19 febbraio 2004, n. 11 “Regole tecniche per la riproduzione e

conservazione di documenti su supporto ottico idoneo a garantire la conformità”

Circ. Agid 10 aprile 2014 n. 65 “Modalità per l’accreditamento e la vigilanza sui soggetti

pubblici e privati che svolgono attività di conservazione dei documenti informatici”


12


DirICTo

La normativa sulla conservazione attualmente in vigore

D. Lgs. 7 marzo 2005, n. 82 “Codice della amministrazione digitale” (CAD)

DPCM 3 dicembre 2013 “Regole tecniche in materia di sistema di conservazione”,

pubblicato in Gazzetta Ufficiale il 12 marzo 2014 (suppl. ord. n. 20, serie gen. 59)

D. Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”

Circ. Agid 10 aprile 2014 n. 65 “Modalità per l’accreditamento e la vigilanza sui

soggetti pubblici e privati che svolgono attività di conservazione dei documenti

informatici”

13


DirICTo

14

La digitalizzazione e l’informatizzazione della pubblica amministrazione

AIPA (Autorità per l'informatica nella pubblica amministrazione)Istituito con D. Lgs. 12 febbraio 1993 n. 39 organismo pubblico con il compito di

promuovere, coordinare, pianificare e controllare lo sviluppo di sistemi informativi

automatizzati delle amministrazioni pubbliche, secondo criteri di standardizzazione,

interconnessione ed integrazione dei sistemi stessi.

CNIPA (Centro nazionale per l'informatica nella pubblica

amministrazione)Istituito dall’art. 176 del D. Lgs. 30 giugno 2003, n. 196 in sostituzione dell’AIPA, con

le medesime funzioni.

DigitPA (Ente nazionale per la Digitalizzazione della Pubblica

Amministrazione)Istituito ai sensi del D. Lgs.. 1 dicembre 2009, n. 177 “Riorganizzazione del Centro

nazionale per l'informatica nella pubblica amministrazione, a norma dell'articolo 24

della legge 18 giugno 2009, n. 69”, il CNIPA ha cambiato nome in DigitPA.


DirICTo

15

La digitalizzazione e l’informatizzazione della pubblica amministrazione

AgID (Agenzia per l’Italia Digitale)

Istituito con D.L. 22 giugno 2012, n. 83 "Misure urgenti per la crescita del Paese"

(convertito con Legge 7 agosto 2012, n. 134), viene soppresso il DigitPA.

L’ente ha il compito di coordinare le azioni in materia di innovazione per promuovere le

tecnologie ICT a supporto della pubblica amministrazione, garantendo la realizzazione

degli obiettivi dell’Agenda digitale italiana in coerenza con l’Agenda digitale europea.

L’Agenda Digitale Italiana

• Istituita il 1 marzo 2012 con Decreto Ministeriale

• Una delle sette iniziative individuate nella Strategia EU2020, finalizzata a una

crescita inclusiva, intelligente e sostenibile dell’Unione Europea

• Istituzione di agende digitali regionali


DirICTo

16

Regole tecniche in materia

di sistema di conservazione

DPCM 3 dicembre 2013(pubbl. in Gazzetta Ufficiale il 12 marzo 2014 -

suppl. ord. n. 20, serie gen. 59)

Art. 71, comma 1 CAD

I. Le regole tecniche previste nel presente codice sono dettate, con decreti del Presidente del

Consiglio dei Ministri o del Ministro delegato per la pubblica amministrazione e

l'innovazione, di concerto con i Ministri competenti, sentita la Conferenza unificata di cui

all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, ed il Garante per la protezione

dei dati personali nelle materie di competenza, previa acquisizione obbligatoria del parere

tecnico di DigitPA. Le amministrazioni competenti, la Conferenza unificata e il Garante

per la protezione dei dati personali rispondono entro trenta giorni dalla richiesta di

parere. In mancanza di risposta nel termine indicato nel periodo precedente, il parere

si intende interamente favorevole.

Codice dell’Amministrazione Digitale: Art. 20, commi 3 e 5-bis, Art. 23-ter, comma 4, Art.

43, commi 1 e 3, Art. 44, Art. 44-bis


DirICTo

17

DPCM 3 dicembre 2013

Regole tecniche in materia di

sistema di conservazione

Del. CNIPA 19 febbraio 2004, n. 11 “Regole

tecniche per la riproduzione e

conservazione di documenti su supporto

ottico idoneo a garantire la conformità”

Entrata in vigore

11 aprile 2014

Sistemi di conservazione già esistenti?


DirICTo

18


Art. 14 delle Regole Tecniche (DPCM 3 dicembre 2013)

(…) 2. I sistemi di conservazione già esistenti alla data di entrata in vigore del

presente decreto sono adeguati entro e non oltre 36 mesi dall’entrata in vigore

del presente decreto secondo un piano dettagliato allegato al manuale di

conservazione. Fino al completamento di tale processo per tali sistemi possono

essere applicate le previgenti regole tecniche. Decorso tale termine si applicano in

ogni caso le regole tecniche di cui al presente decreto.

3. Fino al completamento del processo di cui al comma 2, restano validi i sistemi

di conservazione realizzati ai sensi della deliberazione CNIPA n. 11/2004. Il

Responsabile della conservazione valuta l’opportunità di riversare nel nuovo

sistema di conservazione gli archivi precedentemente formati o di mantenerli

invariati fino al termine di scadenza di conservazione dei documenti in essi

contenuti.


DirICTo

19


Nuovi sistemi di conservazioneNuove regole tecniche (DPCM 3 Dicembre 2013)

Vecchi sistemi di conservazione(Del. CNIPA 19 febbraio 2004, n. 11)

Facoltà di adeguarli alle nuove regole entro l’11 aprile 2017

(in tal caso vi è l’obbligo di disporre un piano dettagliato nel manuale di

conservazione)

Validi ed efficaci

fino all’11 Aprile 2017

Dopo l’11 Aprile 2017 sarà obbligatorio adeguare tutti i sistemi

esistenti alle nuove regole tecniche


DirICTo

20


Regole tecniche in materia di sistema di conservazione

All. 1: Glossario e definizioni.

All. 2: Formati dei documenti informatici, criteri per la scelta e formati per la

conservazione.

All. 3: Standard e specifiche tecniche di riferimento nell’ambito della

formazione, gestione e conservazione di documenti informatici e documenti

amministrativi informatici.

All. 4: Struttura descrittiva dell’indice del pacchetto di archiviazione.

All. 5: Metadati relativi al documento informatico, al documento

amministrativo informatico e al fascicolo informatico o aggregazione

documentale informatica

Allegati


DirICTo

21

LE NOVITÀ DELLE REGOLE TECNICHE

1) Superamento della distinzione tra conservazione dei documenti

analogici e conservazione dei documenti digitali

2) Nuovo concetto di “sistema di conservazione”, definito come un

sistema che assicura la conservazione, dalla presa in carico sino

all'eventuale scarto, dei documenti informatici e dei fascicoli informatici

con i metadati associati, garantendo, al contempo, autenticità, integrità,

affidabilità, leggibilità e reperibilità.

3) Il responsabile della conservazione, il “dominus” del sistema a cui è

affidata la gestione e la definizione delle politiche di conservazione dei

documenti informatici

4) Rispetto del principio della neutralità tecnologica


DirICTo

22

Vecchie regole tecniche

Del. CNIPA 19 febbraio 2004, n. 11

Conservazione dei documenti analogici

Conservazione documenti digitali

Conservazione sostitutiva (“a norma”)

Nuove regole tecniche


Sistema di conservazione (sostitutiva)

In passato...

Oggi…

Nuova concezione

del documento informatico(Art. 3, bozza di regole tecniche

sul documento informatico)


DirICTo

23

Definizione del CAD del documento informatico:

rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti

Valido ed efficace, a condizione che siano rispettate

le norme del CAD e le regole tecniche

Come avviene la formazione?

Articolo 3.

Formazione del documento informatico

1. Il documento informatico è formato mediante una delle seguenti principali modalità:

a) redazione tramite l’utilizzo di appositi strumenti software;

b) acquisizione di un documento informatico per via telematica o su supporto informatico,

acquisizione della copia per immagine su supporto informatico di un documento analogico,

acquisizione della copia informatica di un documento analogico;

c) registrazione informatica delle informazioni risultanti da transazioni o processi informatici o dalla

presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente;

d) generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni,

provenienti da una o più basi dati, anche appartenenti a più soggetti interoperanti, secondo una

struttura logica predeterminata e memorizzata in forma statica.


DirICTo

24

Documenti informatici “nativi”

Redazione con appositi strumenti software

Acquisizione di un documento informatico per via telematica o su supporto informatico

Servizi in Cloud

Download

Supporti di memoria

Duplicati informatici ≠ copie informatiche


DirICTo

25

Acquisizione della copia per immagine su supporto informatico di un documento analogico

Documento cartaceo Copia per immagine

Acquisizione della copia informatica di un documento analogico

Documento cartaceoContenuto identico all’originale


DirICTo

26

Documento informatico: la rappresentazione informatica di atti, fatti o

dati giuridicamente rilevanti, direttamente ottenuto in formato digitale

oppure ottenuto dalla trasformazione dal cartaceo al digitale.

Nuova concezione

Nuove regole tecniche


Sistema di conservazione unico


DirICTo

Ambito soggettivo di applicazione(art. 2 Reg. Tecn., art. 2, commi 2 e 3 CAD)

27

Amministrazioni dello StatoIstituti, scuole e università

Regioni, le Province, i Comuni e relativi enti

pubblici

Camere di commercio, industria, artigianato e

agricoltura

Aziende ed enti del Servizio sanitario nazionale

Privati

Persone giuridiche

Società di persone

Enti e associazioni

Soggetti esterni a cui è affidata la gestione o la conservazione dei documenti informatici e ai

conservatori accreditati ai sensi dell’art. 44-bis del CAD

Capo II del CAD

(documento informatico e

firme elettroniche,

trasferimenti, libri e scritture)

Relative regole tecniche


DirICTo

Ambito oggettivo di applicazione

28

Quali soggetti hanno l’obbligo di adottare un sistema di conservazione?

Obbligo di conservareObbligo di produrre documenti direttamente ed

unicamente in formato digitale

Art. 20, comma 5 del CAD

Gli obblighi di conservazione e di esibizione di documenti, si intendono

soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le

procedure utilizzate sono conformi alle regole tecniche in materia di sistemi

di conservazione di cui al D.P.C.M. 3 dicembre 2013.

Tutti i soggetti che hanno l’obbligo di conservare documenti per i quali è prevista la

produzione direttamente ed unicamente in formato digitale originale, senza poter

utilizzare il formato cartaceo ai fini della validità legale dello stesso


DirICTo


29


Amministrazioni dello Stato

Diversi settori dove è obbligatorio produrre in

formato elettronico

Assenza di norme generali che obbligano la P.A.

Dal 2013, le pubblicazioni effettuate in sola forma analogica non hanno effetto di pubblicità

legale. Obbligo di pubblicità legale mediante pubblicazione online (Albo pretorio).

La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, tra

le imprese e le amministrazioni pubbliche deve avvenire esclusivamente utilizzando le tecnologie

dell'informazione e della comunicazione

Sanità elettronica le amministrazioni regionali hanno già introdotto nuovi strumenti, quali la

cartella sanitaria elettronica, il fascicolo sanitario elettronico, la ricetta elettronica

Obbligo di produrre documenti direttamente ed



DirICTo


30

Amministrazioni dello Stato

Norma di indirizzo generale, art. 12 CAD

Ricorso alle tecnologie dell'informazione nei procedimenti amministrativi per realizzare

gli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza e

semplificazione.

Le P.A. adottano le tecnologie dell'informazione e della comunicazione nei rapporti

interni, tra le diverse amministrazioni e tra queste e i privati.

• Uso dei mezzi informatici per la formazione dei

documenti originali

• Protocollo informatico

• Gestione digitale dei flussi documentali

esigenze di carattere pubblico

per garantire il corretto funzionamento

ragioni di interesse storico

Esempi

Obbligo di conservare


DirICTo


31


Obbligo di conservare per i privati

Art. 2220 Codice Civile

Obbligo di conservazione per dieci anni dei

documenti contabili, delle fatture, delle lettere e

dei telegrammi ricevuti e delle copie delle

fatture, delle lettere e dei telegrammi spediti

Imprenditori commerciali: libro giornale,

libro degli inventari, scritture contabili.

S.p.a.: libro soci, libro delle obbligazioni,

libro delle adunanze delle assemblee, del

consiglio di amministrazione, ecc...

S.r.l.: libro soci, libro delle decisioni dei

soci, degli amministratori, libro del collegio

sindacale o del revisore

Art. 22, D.P.R. 29 settembre 1973, n.600

Obbligo di conservazione delle scritture contabili

obbligatorie e la relativa documentazione fino a

quando non siano definiti gli accertamenti relativi

al corrispondente periodo d'imposta

Obblighi di conservazione in materia fiscale:

registri IVA, il registro dei corrispettivi per

mancato o irregolare funzionamento del

registratore di cassa, il registro delle ricevute

fiscali, il registro merci, il registro onorari

Datori di lavoro: libro matricola, del libro paga

e registro degli infortuni


DirICTo


32


Privati

Unico obbligo, sancito da una norma di legge, che preveda l’obbligo di conservare e

l’uso esclusivo del formato digitale per la validità legale del documento stesso

La fattura elettronica emessa in favore della P.A.

Obbligo di produrre documenti direttamente ed



DirICTo


33

Fin dove si estende?

Solo nel caso di obbligo di

conservazione dei documenti

L’adozione di un sistema di conservazione è FACOLTATIVA quando:

In via residuale

Vantaggi economici,

pratici e di gestione

produzione esclusiva in

formato elettronico

riconosciuta la validità legale del

documento cartaceo

non è previsto un obbligo di legge che

impone la produzione di documenti

digitali

assenza di obbligo di conservazione


DirICTo

La conservazione dei documenti nel CAD

34

Art. 43 – Riproduzione e conservazione dei documenti

1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento

di cui è prescritta la conservazione per legge o regolamento, ove riprodotti su supporti informatici

sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione e la conservazione nel tempo sono

effettuate in modo da garantire la conformità dei documenti agli originali, nel rispetto delle regole

tecniche stabilite ai sensi dell'articolo 71.

Facoltativo. La conservazione digitale garantisce validità giuridica del

documento solo se effettuata secondo le specifiche tecniche di cui al

DPCM 3 dicembre 2013.


DirICTo

La conservazione dei documenti nel CAD

35

Art. 43 – Riproduzione e conservazione dei documenti

3. I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere

archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente

con modalità digitali, nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 71.

Facoltativo. L’archiviazione dei documenti informatici può avvenire con

modalità cartacea, ma solo per rispondere ad esigenze correnti.

Archiviazione: attività di inserimento e ordinamento del

documento all’interno dell’archivio

Complesso organico di documenti, di fascicoli e di

aggregazioni documentali di qualunque natura e

formato, prodotti o comunque acquisiti da un soggetto

produttore durante lo svolgimento dell’attività


DirICTo

La conservazione e le regole sulla privacy

36

Le norme previste dal Codice dell’Amministrazione Digitale e le regole sulla

conservazione dei documenti informatici devono essere applicate nel rispetto della

disciplina rilevante in materia di trattamento dei dati personali

qualunque informazione relativa a persona fisica, identificata o

identificabile, anche indirettamente, mediante riferimento a

qualsiasi altra informazione, ivi compreso un numero di

identificazione personale

dato personale

Tutti i documenti oggetto di conservazione, salvo qualche eccezione particolare,

contengono dati o informazioni personali

trattamento

la raccolta, la registrazione, l'organizzazione, la conservazione, la

consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione,

il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la

diffusione, la cancellazione e la distruzione di dati

Parere del Garante per la protezione dei dati personali n. 214 del 24 aprile 2013

sullo schema delle regole tecniche sulla conservazione dei documenti informatici


DirICTo


37

Conservare un documento implica, quindi, trattare i dati personali in esso contenuti

Misure minime(All. B al Codice Privacy)

Articoli da 31 a 36

Disciplinare tecnico di cui all’allegato B

Codice in materia di protezione

dei dati personali

D. Lgs. 30 giugno 2003, n. 196

Misure idonee (artt. 31-36 Codice Privacy)

MISURE DI SICUREZZA


DirICTo

CARATTERISTICHE DELLE

CREDENZIALI DI

AUTENTICAZIONE

Lunghezza minima della password di 8

caratteri

non riconducibile al soggetto

GESTIONE DELLE CREDENZIALI

DI AUTENTICAZIONE

Modifica dopo il primo utilizzo, ogni 6 o 3

mesi a seconda dei dati trattati

Disattivazione in caso di non uso per

almeno 6 mesi o di perdita della qualità che

permette l’accesso ai dati

Garanzia della disponibilità dei dati o degli

strumenti elettronici in caso di prolungata

assenza o impedimento dell’incaricato che

goda delle credenziali di autenticazione

SISTEMA DI AUTORIZZAZIONE Verifica almeno annuale delle condizioni

per l’autorizzazione

MISURE MINIME DI SICUREZZA

38


DirICTo

PROTEZIONE CONTRO IL

RISCHIO DI INTRUSIONE

Attivazione di idonei strumenti elettronici

da aggiornare con cadenza almeno

semestrale.

AGGIORNAMENTI PERIODICI

DEI PROGRAMMI PER

ELABORATORE

Almeno annuale per dati comuni

Almeno semestrale per dati sensibili e/o

giudiziari

BACK UP Salvataggio dei dati con frequenza almeno

settimanale

DISASTER RECOVERY Ripristino entro il termine massimo di una

settimana

MISURE MINIME DI SICUREZZA

39


DirICTo

MISURE IDONEE DI SICUREZZA

Nessuna definizione normativa

Sono individuabili sulla base delle tecnologie al momento conosciute e alle

caratteristiche del trattamento, e sono definite in modo tale da ridurre al

minimo i rischi che il sistema di conservazione concretamente comporta.

L’analisi deve tener conto dei rischi di distruzione e

perdita dei dati, di accesso non autorizzato e di

trattamento eseguito per finalità diverse dalla

conservazione.

40

Misure minime di sicurezza

Misure idonee di sicurezza Sanzioni civili (art. 2050 c.c.)

Sanzioni amministrative e penali

(Codice Privacy)


DirICTo


41

Responsabile del trattamentoResponsabile della conservazione

opera di intesa con

Responsabile della sicurezza

Responsabile della

gestione documentale

Amministratori di sistema

Responsabile del trattamento (art. 4, lett. g, Codice della Privacy)

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente,

associazione od organismo preposti dal titolare al trattamento di dati personali.


DirICTo


42

Responsabile del trattamento Responsabile della conservazione

limitatamente ai dati personali

contenuti nei documenti oggetto

del sistema di conservazione.

Non sempre è possibile…

1) Il titolare non è obbligato a nominare un

responsabile del trattamento

2) la conservazione è affidata ad un soggetto

esterno ai sensi dell’art. 5 delle regole

tecniche


DirICTo


43

1) Il titolare non è obbligato a nominare un responsabile del trattamento

Non è escluso l’obbligo di nominare il responsabile della conservazione

Si dovrà coordinare direttamente con il titolare del trattamento

Titolare del trattamento

Delega di funzioni

Responsabile del trattamento

Rapporto


DirICTo


44

Il soggetto esterno affidatario della

conservazione dei documenti

informatici assume il ruolo di

responsabile esterno del trattamento

La nomina ai sensi del Codice Privacy deve essere eseguita con atto espresso, non

essendo implicita nella nomina del soggetto responsabile della conservazione, o

nell’atto con cui quest’ultimo affida la gestione all’esterno

2) la conservazione è affidata ad un soggetto esterno ai sensi dell’art. 5 delle regole tecniche

Responsabile del trattamento + responsabile conservazione

non possono più coesistere in capo alla stessa persona

Il responsabile della conservazione rimane

sempre interno all’amministrazione o ente

(pubblico o privato)


DirICTo

IL SISTEMA DI

CONSERVAZIONE

45


DirICTo

IL SISTEMA DI CONSERVAZIONE

• degli oggetti in esso conservati, garantendone le caratteristichedi autenticità, integrità, affidabilità, leggibilità, reperibilità.

LA CONSERVAZIONE

• per l’intero ciclo di gestione, ovverossia per l’intero arco temporale di esistenza del documento informatico.

IL TRATTAMENTO DELL’OGGETTO

• indipendentemente dall’evoluzione del contesto tecnologico.

ACCESSO ALL’OGGETTO CONSERVATO

46


DirICTo

IL SISTEMA DI CONSERVAZIONE

• È quel complesso di procedure e soluzioni tecnologiche necessarie adassicurare la conservazione a norma dei documenti elettronici e ladisponibilità dei fascicoli informatici mediante l’adozione di regole,procedure, tecnologie e modelli organizzativi per la gestione di taliprocessi.

• Le prerogative del sistema di conservazione sono regolamentate dalcombinato disposto dell’art. 3 del D.P.C.M. del 3.12.13 e dall’art. 44 delCodice dell’Amministrazione Digitale.

• Assicura la conservazione dei documenti informatici (o, nel caso di unapubblica amministrazione, i documenti amministrativi informatici) nonchéi fascicoli informatici - ovvero le aggregazioni documentali informatiche -contenenti i riferimenti che univocamente identificano i singoli oggettidocumentali che appartengono al fascicolo o all’aggregazionedocumentale nonché dei metadati ad essi associati.

47


DirICTo

I SOGGETTI COINVOLTI DEL PROCEDIMENTO DICONSERVAZIONE

PROCEDIMENTO DICONSERVAZIONE

Responsabile della

conservazione

Utente Produttore

48


DirICTo

RUOLI E RESPONSABILITÀ DEI SOGGETTI COINVOLTI DEL PROCEDIMENTO DI CONSERVAZIONE

L’art. 6 e segg. del D.P.C.M. 3.12.’13 individua i seguenti ruoli:

Il produttore è una persona fisica o giuridica, di norma diversa dal soggettoche ha formato il documento, che produce il pacchetto di versamento ed èresponsabile del trasferimento del suo contenuto nel sistema diconservazione. Nelle p.a., tale figura si identifica con responsabile dellagestione documentale (ovvero il responsabile del servizio per la tenuta delprotocollo informatico, della gestione dei flussi documentali e degli archivi);

l’utente è la persona, ente o sistema che interagisce con i servizi di un sistemadi gestione informatica dei documenti e/o di un sistema per la conservazionedei documenti informatici, al fine di fruire delle informazioni di suo interesse.Tali informazioni vengono fornite dal sistema di conservazione all’utentemediante la produzione del pacchetto di distribuzione selettiva.

49


DirICTo

RUOLI E FACOLTÀ DEI SOGGETTI COINVOLTI DEL PROCEDIMENTO DI CONSERVAZIONE

Il responsabile della conservazione definisce e attua le politiche complessivedel sistema di conservazione e ne governa la gestione con pienaresponsabilità ed autonomia.

Il responsabile della conservazione, sotto la propria responsabilità, puòdelegare lo svolgimento del processo di conservazione, o di parte di esso, aduno o più soggetti di specifica competenza ed esperienza in relazione alleattività ad essi delegate. Tale delega è formalizzata, esplicitando chiaramenteil contenuto della stessa, ed in particolare le specifiche funzioni e competenzeaffidate al delegato.

50


DirICTo

GLI OGGETTI DELLA CONSERVAZIONE

PACCHETTI DIVERSAMENTO

• è lo strumento mediante il quale il produttore invia al sistema di conserva-zione il pacchetto informativo che racchiude al suo interno gli oggetti da conservare oppure anche i soli metadati riferiti a quegli oggetti.

PACCHETTI DIARCHIVIAZIONE

• è un pacchetto informativo composto dalla trasformazione di uno o più pacchetti di versamento.

PACCHETTI DIDISTRIBUZIONE

• è un pacchetto informativo inviato dal sistema di conservazione all’utente in risposta ad una richiesta di quest’ultimo.

51


DirICTo

IL PROCESSO DI CONSERVAZIONE

Al fine di acquisire i documenti il sistema di conservazione dovrà:

•acquisire il “pacchetto di versamento” e verificare che i contenuti di questosiano compatibili con quanto previsto dal manuale di conservazione edall’art.11 del decreto.

Nel caso in cui, a seguito delle verifiche effettuate dovessero riscontrarsi delleanomalie nell’anzidetto pacchetto di versamento, il Responsabile dellaConservazione rifiuterà il versamento all’interno nel sistema.

•nel caso in cui il versamento sia accettato, il sistema genererà il “rapporto di versamento” contenente il riferimento temporale (secondo il protocollo UTC) ed una o più impronte calcolate sull’intero pacchetto di versamento (secondo le modalità prescritte dal manuale).

•Se previsto dal manuale di conservazione, il responsabile della conserva-zione apporrà al rapporto anche la sua firma digitale o elettronica qualificata.

52


DirICTo


La fase della archiviazione e della distribuzione dei documenti conservati.

•Il pacchetto di archiviazione deve essere preparato, sottoscritto con firmadigitale – o firma elettronica qualificata – e gestito sulla base delle specifichetecniche contenute del decreto (alleg. 4) e delle modalità previste dalmanuale di conservazione.

•Il pacchetto di distribuzione dovrà essere preparato ed eventualmentesottoscritto (se previsto nel manuale) ai fini dell’esibizione all’utente.

•La produzione di duplicati informatici – o copie informatiche – effettuata surichiesta degli utenti dovrà comunque rispettare quanto previsto dalle regoletecniche in materia di formazione del documento informatico. Quanto alformato utilizzato, le copie informatiche dovranno essere adeguate a quantoprevisto dalle regole tecniche in materia di formazione del documentoinformatico.

53


DirICTo


La fase finale del ciclo di vita del documento coincide con lo scarto, in questo caso il D.P.C.M 3.12.2013. prevede che:

• alla scadenza dei termini di conservazione previsti, prima di darsi luogo alloscarto dovrà darsi informativa al produttore e, nel caso in cui l’archivio (siapubblico che privato) rivesta un particolare valore storico, il produttore dovràpreviamente ricevere l’autorizzazione allo scarto da parte del Ministero deibeni e delle attività culturali e del turismo;

• per garantire il potere di vigilanza conferito all’Agenzia per l’Italia digitale, fatte salve le previsioni del Codice dei Beni Culturali, i dati – e le relative copie di sicurezza - dovranno essere conservati sul territorio nazionale e l’accesso a questi ultimi dovrà essere garantita presso la sede del produttore il quale dovrà adottare misure di sicurezza conformi a quelle stabilite dal decreto anzidetto.

54


DirICTo

MODELLI ORGANIZZATIVI

Soggetti pubblici: il servizio dovrà essere

obbligatoriamente affidato, fatto salvo quanto previsto

dal Codice dei Beni Culturali, ad un conservatore

accreditato presso l’Agenzia per l’Italia Digitale.

Soggetti privati: deve essere eseguita da soggetti pubblici o privati che offrono idonee

garanzie organizzative e tecnologiche o, in alternativa

da conservatori accreditati presso l’Agenzia per l’Italia

Digitale.

Quando la conservazione

è svolta esternamente

alla struttura organizzativa

del produttore

55


DirICTo

MODELLI ORGANIZZATIVI

Come si realizza concretamente l’affidamento del

processo di conservazione ad un soggetto esterno?

Deve essere effettuato mediante contratto o convenzione di servizio che

preveda l’obbligo del rispetto del manuale di conservazione predisposto dal

responsabile della stessa.

Stante le previsioni del d.lgs. 196/2003 il soggetto esterno cui è affidato il

processo di conservazione assume anche il ruolo di responsabile del

trattamento dei dati.

Resta ferma la competenza del Ministero dei beni e delle attività culturali e del

turismo in materia di tutela dei sistemi di conservazione degli archivi pubblici o

degli archivi privati che rivestono interesse storico particolarmente importante.

56


DirICTo

IL RESPONSABILE DELLA CONSERVAZIONE

Non opera da solo ma

d’intesa con altre figure.

Il responsabile dei sistemi informativi

Il responsabile del trattamento dei dati

personali

Nelle P.A. con più A.O.O. con il

coordinatore della gestione

documentale

Il responsabile della gestione documentale

57


DirICTo

RUOLO E FUNZIONI DEL RESPONSABILE DELLA CONSERVAZIONE

Pro

fili

gen

eral

i Definisce le caratteristiche e i requisiti del sistema diconservazione in funzione della tipologia dei documentida conservare.

Gestisce il processo di conservazione in modo dagarantirne nel tempo la conformità alla normativavigente.

Predispone il manuale di conservazione e ne cural’aggiornamento periodico in presenza di cambiamentinormativi, organizzativi, procedurali o tecnologicirilevanti.

58


DirICTo

INCOMBENZE E LE FUNZIONI DEL RESPONSABILE DELLA CONSERVAZIONE.

Funzioni di impulso: genera il rapporto di versamento e il pacchetto didistribuzione che poi sottoscrive con firma digitale o firma elettronicaqualificata.

Funzioni di controllo: verifica periodicamente che il sistema di conservazionee si accerta che gli archivi in esso contenuto siano sempre integri e leggibili.

Adotta tutte le misure necessarie al fine di rilevare tempestivamentel’eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ovenecessario, ripristina la loro corretta funzionalità.

Rilevata l’evoluzione del contesto tecnologico – e quindi l’obsolescenza delformato del documento conservato -, effettua duplicati o copie dei documentiinformatici conservati.

Adotta le misure necessarie per la sicurezza fisica e logica del sistema diconservazione.

59


DirICTo

INCOMBENZE E LE FUNZIONI DEL RESPONSABILE DELLA CONSERVAZIONE.

Funzione di garanzia e assistenza nei confronti dei soggetti che, per ragionidel loro ufficio, debbano relazionarsi con la struttura del sistema diconservazione e garantisce a questi l’assistenza e le risorse necessarie perl’espletamento delle loro attività.

In particolare:

•assicura, nei casi in cui sia richiesto il suo intervento, la presenza di unpubblico ufficiale;

•coadiuva gli organismi competenti per l’espletamento delle attività di verificae di vigilanza;

•provvede, quando gli sia richiesto dagli organi giudiziari e amministratividello Stato, al versamento dei documenti conservati presso l’archivio centraledello Stato e negli archivi di Stato.

60


DirICTo

CERTIFICAZIONE DELLA CONFORMITÀ DEL PROCESSO DI CONSERVAZIONE

Il responsabile della conservazione, ai sensi dell’art. 44, co. 1-ter del C.A.D.,può chiedere di certificare la conformità del processo di conservazione. Lanorma detta una disciplina diversa a seconda che si tratti di soggetti privati opubblici.

Soggetti privati: potranno richiedere la certificazione a soggetti, pubblici oprivati, che offrano idonee garanzie organizzative e tecnologiche, ovvero asoggetti cui è stato riconosciuto il possesso dei requisiti di cui all’art. 44-bis,co.1, del C.A.D., distinti dai conservatori o dai conservatori accreditati.

Soggetti pubblici: potranno richiedere la certificazione della conformità delprocesso di conservazione solo a soggetti, pubblici o privati, cui è statoriconosciuto il possesso dei requisiti di cui all’art. 44-bis, co. 1, del C.A.D.,distinti dai conservatori accreditati.

61


DirICTo

IL MANUALE DI CONSERVAZIONE

Il sistema di conservazione dei documenti informatici nel suo insieme,

unitamente alle architetture ed infrastrutture utilizzate.

Il modello di funzionamento adottato e la descrizione del processo di

conservazione, anche con riferimento alle modalità di verifica del

funzionamento, nel tempo, del sistema di conservazione.

Le misure di sicurezza necessarie alla salvaguardia dei

documenti conservati

I soggetti coinvolti ed i ruoli svolti dagli stessi nel

procedimento di conservazione

È LO STRUMENTO CHE DESCRIVE

62


DirICTo


Rispetto alla struttura organizzativa, il Manuale di Conservazione deve riportare:

•le funzioni, le responsabilità e gli obblighi dei diversi soggetti cheintervengono nel processo di conservazione;

•i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistemadi conservazione;

•se, e a chi, hanno concesso deleghe e, nel caso affermativo, gli ambitioggetto della delega e le funzioni espletate dai delegati.

63


DirICTo


Con riferimento particolare agli oggetti sottoposti a conservazione, il Manualedi Conservazione deve indicare:

•i formati gestiti dal sistema di conservazione;

•i metadati da associare alle diverse tipologie di documenti (e le eventualieccezioni);

•la descrizione della modalità di presa in carico dei pacchetti di versamento -comprensiva della predisposizione del relativo rapporto di versamento -;

•la descrizione del processo di conservazione e del trattamento dei pacchettidi archiviazione, i tempi entro i quali le diverse tipologie di documenti devonoessere scartati ovvero trasferiti in conservazione;

•le normative in vigore nei luoghi dove sono conservati i documenti.

64


DirICTo


Disciplina le funzioni svolte dal responsabile della conservazione e le modalitàcon cui intervenire. In particolare:

•descrive le procedure di monitoraggio della funzionalità del sistema diconservazione e delle verifiche sull’integrità degli archivi, evidenziando lesoluzioni da adottare in caso di anomalie;

•quando sono rilevati come obsoleti, descrive le procedure per la produzionedi duplicati o delle copie dei documenti conservati;

•le modalità con cui viene richiesta la presenza di un pubblico ufficiale ed icasi per i quali è previsto il suo intervento;

•il manuale deve anche trattare le modalità con cui l’utente può accedere aidocumenti conservati e quindi come si deve svolgere il processo di esibizione:dalla fase di esportazione dal sistema di conservazione fino alla produzionedel “pacchetto di distribuzione” nei confronti del richiedente.

65


DirICTo

MISURE DI SICUREZZA

I soggetti privati appartenenti ad organizzazioni che già adottano particolariregole di settore per la sicurezza dei sistemi informativi adeguano quellepreviste per il sistema di conservazione alle regole sulla sicurezza già invigore; gli altri soggetti – diversi da quelli precedentemente riportati e chequindi non hanno adottato all’interno della loro organizzazione particolariregole sulla sicurezza dei sistemi informatici - potranno adottare le regole disicurezza indicate dagli articoli 50-bis e 51 del Codice dell’AmministrazioneDigitale nonché le relative linee guida emanate dall’Agenzia per l’Italiadigitale.

Tutti i sistemi di conservazione rispettano le misure di sicurezza previste dagliarticoli da 31 a 36 del Codice Privacy e dal disciplinare tecnico contenutonell’allegato B del d.lgs. n.196/’03.

66


DirICTo

MISURE DI SICUREZZA

Nelle pubbliche amministrazioni il responsabile della conservazione (diconcerto con il responsabile della sicurezza e, nel caso delle pubblicheamministrazioni centrali, anche con il responsabile dell’ufficio) predispone,nell’ambito del più ampio e generale piano della sicurezza, il piano dellasicurezza del sistema di conservazione.

Il piano della sicurezza del sistema di conservazione dovrà essere redatto nelpieno rispetto delle misure di sicurezza portate dagli artt.31 a 36 del CodicePrivacy (ed ovviamente di quanto previsto nel disciplinare tecnicodell’allegato B), degli artt. 50-bis e 51 del Codice dell’Amministrazione Digitalee delle linee guida emanate dall’Agenzia per l’Italia digitale.

67


DirICTo

Grazie per l’attenzione

www.diricto.it

ict4forensics.diee.unica.it

www.gianlucasatta.it

[email protected]

[email protected]

68


DirICTo

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da

chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o ilmodo in cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne

un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente aquesta.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini dellalicenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di questecondizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra.

Licenza

69

la conservazione dei documenti informatici per i professionisti, le aziende e la p.a

Law