I dubbi su conservazione gestione e conservazione dei documenti informatici
Le indicazioni di Anorc alle PA
Chiarire i tanti dubbi sorti in merito alle Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici e al Regolamento AgID sui criteri per la fornitura dei servizi di conservazione. In attesa che l’Agenzia per l’Italia Digitale pubblichi le Faq, ANORC e ANORC Professioni hanno raccolto le perplessità dei loro iscritti su temi come quello dei metadati, della Norma Uni 37001 o del piano di cessazione e, dopo aver aperto un dialogo con l’Agenzia per avere delle risposte, hanno appena pubblicato una Circolare interpretativa.
Ecco i principali punti di attenzione che sono stati oggetto di confronto e le interpretazioni fornite da ANORC con la sua circolare.
CON RIFERIMENTO AI METADATI – È bene chiarire che i metadati indicati come obbligatori dall’Allegato 5 delle Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici devono essere apposti in fase di creazione del documento (c.d. formazione) da parte del titolare del documentostesso (es. l’ente locale nel momento di creazione di una Delibera). A partire dall’1 gennaio 2022 i titolari del documento informatico saranno responsabili dell’apposizione di tutti I metadati previsti dalla norma tecnica (allegato 5 alle LLGG) che, ai sensi del paragrafo 2.1.1 delle Linee Guida AgID, dovranno essere generati e associati permanentemente al documento informatico al momento della sua formazione. Il conservatore che otterrà documenti privi di uno o più dei metadati minimi obbligatori dovrà comunque conservare quanto ricevuto, salvo poter prevedere con accordi specifici un servizio di integrazione dei metadati successivo al versamento in conservazione. Ai documenti formati prima della data della piena operatività delle Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici (prevista per il prossimo 01/01/2022) non dovranno essere associati tutti i nuovi metadati obbligatori ma semplicemente quelli ritenuti obbligatori dalla normativa preesistente (allegato 5 al DPCM 3 dicembre 2013).
CON RIFERIMENTO AI MARKETPLACE – È necessario premettere che attualmente la piattaforma AgID dedicata alla richiesta di qualificazione e alla pubblicazione dell’elenco dei soggetti qualificati non è ancora attiva. L’Agenzia ha deciso, infatti, di rendere indipendente il portale per la qualificazione dei fornitori del servizio di conservazione rispetto alla piattaforma per la qualificazione del Cloud. La piattaforma sarà operativa nei primi giorni di gennaio (01/01/2022) e per tale data sarà anche reso disponibile il modello per la richiesta di qualificazione. Si precisa che la domanda di qualificazione consisterà in una serie di auto dichiarazioni sottoscritte dal legale rappresentante dell’ente richiedente (ai sensi degli articoli 46 e 47 del DPR 445 del 28 dicembre 2000). Alla richiesta dovrà essere allegato esclusivamente il Piano di cessazione mentre tutta la restante documentazione dovrà essere disponibile presso l’ente richiedente ai fini di successiva vigilanza. È utile ricordare che ai sensi dell’articolo 4, punto 5, del Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici al Conservatore si chiede di impegnarsi a comunicare tempestivamente all’Agenzia qualsiasi variazione che modifichi il rispetto dei requisiti di cui all’allegato A, e che si verifichi successivamente alla richiesta di qualificazione.
CON RIFERIMENTO AL PIANO DI CESSAZIONE – Il piano di cessazione una volta redatto sulla base delle indicazioni riportate all’allegato B del Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici deve essere allegato alla richiesta di iscrizione nella piattaforma dei conservatori qualificati. Tale documento deve prendere in considerazione l’evento generale della “cessazione” dell’erogazione del servizio di fornitura. Non rientrano, quindi, le specificità richieste dal particolare cliente, salvo che le stesse non richiedano un aggiornamento o una modifica del Piano di cessazione in uso e comunicato all’Agenzia. La norma non stabilisce un aggiornamento periodico con cadenza prestabilita ma ogni eventuale modifica o integrazione apportata al piano dovrà essere comunicata all’Agenzia entro il ventesimo giorno dall’avvenuta modifica o integrazione e con la comunicazione stessa dovrà essere inoltrata la versione del piano modificato o aggiornato.
CON RIFERIMENTO ALLA NORMA UNI 37001 – In relazione al Requisito Generale numero 9 dell’allegato A del Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici AgID ritiene che sia necessario dimostrare l’avvio di un percorso di certificazione relativo alla norma ISO/UNI 37001. Anche se alla lettura del testo RG9 avere un Modello organizzativo 231 potrebbe apparire un valido elemento per dimostrare di aver intrapreso il percorso di certificazione alla norma ISO/UNI 37001, si ritiene necessario intraprendere effettivamente il percorso di certificazione vero e proprio (ad esempio concordando le attività di certificazione con uno dei CAB accreditati accettandone il relativo preventivo).
CON RIFERIMENTO A SPID E CIE – Il requisito RG2, dei Requisiti per l’erogazione del servizio di conservazione per conto delle pubbliche amministrazioni, allegato al Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici, prevede che il servizio di conservazione sia integrato con il Servizio Pubblico di Identità Digitale o Carta di Identità Elettronica o altre identità digitali europee notificate. Considerato che il servizio di conservazione erogato dal conservatore per conto della pubblica amministrazione non è un servizio diretto ai cittadini e considerato che alcuni modelli di sistema di conservazione prevedono un colloquio machine to machine (che renderebbe impossibile un utilizzo di strumenti d’identità digitale) si ritiene necessario attendere un chiarimento ufficiale da parte dell’Agenzia sulla corretta applicazione di tale requisito. Nel frattempo, in considerazione di quanto emerso negli incontri con l’Agenzia, si è ritenuto opportuno suggerire una modifica del requisito del seguente tenore: RG2 – “Il servizio di conservazione è integrabile a richiesta del titolare dell’oggetto di conservazione con il Servizio Pubblico di Identità Digitale o Carta di Identità Elettronica o altre identità digitali europee notificate”.
CON RIFERIMENTO ALLA COMUNICAZIONE TRA AOO DI DOCUMENTI AMMINISTRATIVI PROTOCOLLATI – Con l’introduzione della sottoscrizione automatica con sigillo elettronico qualificato della segnatura di protocollo (ai sensi dell’allegato 6 delle Linee Guida sulla formazione, gestione e conservazione dei documenti) al fine di garantire la massima interoperabilità tra I sistemi di protocollo, anche nel periodo di transizione di tutte le PPAA, e ad assicurare i livelli di servizio attesi, è stato ritenuto utile mantenere attivi sia il canale SOAP sia il canale PEC perché i sistemi possono convivere perfettamente.
PIÙ IN GENERALE – Consideriamo corretto precisare che in seguito all’abolizione della Circolare n.65 del 10 aprile 2014 il sistema che regolava i rapporti tra la vigilanza AgID e le imprese è mutato. Con riferimento alle imprese che forniscono il servizio di conservazione esclusivamente ai soggetti privati e che non abbiano richiesto la qualificazione per fornitura dei servizi di conservazione alla pubblica amministrazione, non sono state previste attività di vigilanza.
Sul corretto trattamento dei metadati dei documenti fiscalmente rilevanti è stato recentemente pubblicato un documento e denominato “I metadati del documento informatico di natura fiscale e contabile”, frutto di un tavolo di lavoro, a cui hanno partecipato, oltre ad ANORC, Assoconservatori, AgID, Assosoftware, Sogei, Agenzia delle Entrate e il Politecnico di Milan.
Source: DIRE.it