Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005.
(1) Pubblicato nella Gazz. Uff. 12 marzo 2014, n. 59, S.O.
(Aggiornato sul sito del Notaio Paolo Castellini il 21 marzo 2014)
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante «Codice dell'amministrazione digitale» e, in particolare, gli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice;
Visto il decreto del Presidente del Consiglio dei ministri 31 ottobre 2000, e successive modificazioni, recante «Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428»;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante «Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa»;
Visto il decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante «Codice in materia di protezione dei dati personali»;
Visto il decreto legislativo 22 gennaio 2004, n. 42, e successive modificazioni, recante «Codice dei beni culturali e del paesaggio, ai sensi dell'art.10 della legge 6 luglio 2002, n. 137»;
Visto il decreto legislativo 1° dicembre 2009, n. 177, recante «Riorganizzazione del Centro nazionale per l'informatica nella pubblica amministrazione, a norma dell'art. 24 della legge 18 giugno 2009, n. 69»;
Visti gli articoli da 19 a 22 del decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, recante «Misure urgenti per la crescita del Paese», con cui è stato soppresso DigitPA e le funzioni sono state attribuite all'Agenzia per l'Italia digitale;
Vista la deliberazione CNIPA n. 11/2004 del 19 febbraio 2004, recante «Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali -art. 6, commi 1 e 2, del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445»;
Visto il decreto del Presidente del Consiglio dei ministri 22 febbraio 2013, recante «Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71», pubblicato nella Gazzetta Ufficiale 21 maggio 2013, n. 117;
Visto il decreto del Presidente della Repubblica in data 28 aprile 2013, con il quale l'onorevole avvocato Gianpiero D'Alia è stato nominato Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei ministri del 28 aprile 2013, con il quale al predetto Ministro senza portafoglio è stato conferito l'incarico per la pubblica amministrazione e la semplificazione;
Visto il decreto del Presidente del Consiglio dei ministri 27 maggio 2013 recante delega di funzioni del Presidente del Consiglio dei ministri al Ministro senza portafoglio, onorevole avvocato Gianpiero D'Alia, in materia di pubblica amministrazione e semplificazione;
Acquisito il parere tecnico dell'Agenzia per l'Italia digitale;
Sentito il Garante per la protezione dei dati personali;
Sentita la Conferenza unificata di cui all'art. 8 del decreto legislativo 28 agosto 1997, n. 281 nella seduta del 24 luglio 2013;
Espletata la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, attuata con decreto legislativo 23 novembre 2000, n. 427;
di concerto con il Ministro dei beni e delle attività culturali e del turismo per la parte relativa alla conservazione dei documenti informatici delle pubbliche amministrazioni;
Decreta:
Art. 1. Definizioni
1. Ai fini del presente decreto si applicano le definizioni del glossario di cui all'allegato 1 che ne costituisce parte integrante.
2. Le specifiche tecniche relative alle regole tecniche di cui al presente decreto sono indicate nell'allegato n. 2 relativo ai formati, nell'allegato n. 3 relativo agli standard tecnici di riferimento per la formazione, la gestione e la conservazione dei documenti informatici, nell'allegato n. 4 relativo alle specifiche tecniche del pacchetto di archiviazione e nell'allegato n. 5 relativo ai metadati. Le specifiche tecniche di cui al presente comma sono aggiornate con delibera dell'Agenzia per l'Italia digitale, previo parere del Garante per la protezione dei dati personali, e pubblicate sul proprio sito istituzionale.
Art. 2. Ambito di applicazione
1. Il presente decreto, adottato ai sensi dell'art. 71 del Codice, stabilisce le regole tecniche previste dall'art. 20, commi 3 e 5-bis, dall'art. 23-ter, comma 4, dall'art. 43, commi 1 e 3, dall'art. 44 e dall'art. 44-bis del Codice.
2. Le disposizioni del presente decreto si applicano ai soggetti di cui all'art. 2, commi 2 e 3, del Codice, nonché ai soggetti esterni a cui è eventualmente affidata la gestione o la conservazione dei documenti informatici.
3. Ai sensi dell'art. 2, comma 5, del Codice, le presenti regole tecniche si applicano nel rispetto della disciplina rilevante in materia di tutela dei dati personali e, in particolare, del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.
Art. 3. Sistema di conservazione
1. In attuazione di quanto previsto dall'art. 44, comma 1, del Codice, il sistema di conservazione assicura, dalla presa in carico dal produttore di cui all'art. 6 fino all'eventuale scarto, la conservazione, tramite l'adozione di regole, procedure e tecnologie, dei seguenti oggetti in esso conservati, garantendone le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità:
a) i documenti informatici e i documenti amministrativi informatici con i metadati ad essi associati di cui all'allegato 5 al presente decreto;
b) i fascicoli informatici ovvero le aggregazioni documentali informatiche con i metadati ad essi associati di cui all'allegato 5 al presente decreto, contenenti i riferimenti che univocamente identificano i singoli oggetti documentali che appartengono al fascicolo o all'aggregazione documentale.
2. Le componenti funzionali del sistema di conservazione assicurano il trattamento dell'intero ciclo di gestione dell'oggetto conservato nell'ambito del processo di conservazione.
3. Il sistema di conservazione garantisce l'accesso all'oggetto conservato, per il periodo prescritto dalla norma, indipendentemente dall'evolversi del contesto tecnologico.
4. Gli elenchi degli standard, delle specifiche tecniche e dei formati utilizzabili quali riferimento per il sistema di conservazione sono riportati negli allegati 2 e 3 al presente decreto.
Art. 4. Oggetti della conservazione
1. Gli oggetti della conservazione sono trattati dal sistema di conservazione in pacchetti informativi che si distinguono in:
a) pacchetti di versamento;
b) pacchetti di archiviazione;
c) pacchetti di distribuzione.
2. Ai fini dell'interoperabilità tra i sistemi di conservazione, i soggetti che svolgono attività di conservazione dei documenti informatici adottano le specifiche della struttura dati contenute nell'allegato 4, almeno per la gestione dei pacchetti di archiviazione.
Art. 5. Modelli organizzativi della conservazione
1. Il sistema di conservazione opera secondo modelli organizzativi esplicitamente definiti che garantiscono la sua distinzione logica dal sistema di gestione documentale, se esistente.
2. Ai sensi dell'art. 44 del Codice, la conservazione può essere svolta:
a) all'interno della struttura organizzativa del soggetto produttore dei documenti informatici da conservare;
b) affidandola, in modo totale o parziale, ad altri soggetti, pubblici o privati che offrono idonee garanzie organizzative e tecnologiche, anche accreditati come conservatori presso l'Agenzia per l'Italia digitale.
3. Le pubbliche amministrazioni realizzano i processi di conservazione all'interno della propria struttura organizzativa o affidandoli a conservatori accreditati, pubblici o privati, di cui all'art. 44-bis, comma 1, del Codice, fatte salve le competenze del Ministero dei beni e delle attività culturali e del turismo ai sensi del decreto legislativo 22 gennaio 2004, n. 42, e successive modificazioni.
Art. 6. Ruoli e responsabilità
1. Nel sistema di conservazione si individuano almeno i seguenti ruoli:
a) produttore;
b) utente;
c) responsabile della conservazione.
2. I ruoli di produttore e utente sono svolti da persone fisiche o giuridiche interne o esterne al sistema di conservazione, secondo i modelli organizzativi definiti all'art. 5.
3. Il responsabile della gestione documentale o il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi assicura la trasmissione del contenuto del pacchetto di versamento, da lui prodotto, al sistema di conservazione secondo le modalità operative definite nel manuale di conservazione.
4. L'utente richiede al sistema di conservazione l'accesso ai documenti per acquisire le informazioni di interesse nei limiti previsti dalla legge. Tali informazioni vengono fornite dal sistema di conservazione secondo le modalità previste all'art. 10.
5. Il responsabile della conservazione definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia, in relazione al modello organizzativo adottato ai sensi dell'art. 5.
6. Il responsabile della conservazione, sotto la propria responsabilità, può delegare lo svolgimento del processo di conservazione o di parte di esso ad uno o più soggetti di specifica competenza ed esperienza in relazione alle attività ad essi delegate. Tale delega è formalizzata, esplicitando chiaramente il contenuto della stessa, ed in particolare le specifiche funzioni e competenze affidate al delegato.
7. La conservazione può essere affidata ad un soggetto esterno, secondo i modelli organizzativi di cui all'art. 5, mediante contratto o convenzione di servizio che preveda l'obbligo del rispetto del manuale di conservazione predisposto dal responsabile della stessa.
8. Il soggetto esterno a cui è affidato il processo di conservazione assume il ruolo di responsabile del trattamento dei dati come previsto dal Codice in materia di protezione dei dati personali.
9. Resta ferma la competenza del Ministero dei beni e delle attività culturali e del turismo in materia di tutela dei sistemi di conservazione degli archivi pubblici o degli archivi privati che rivestono interesse storico particolarmente importante.
Art. 7. Responsabile della conservazione
1. Il responsabile della conservazione opera d'intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi che, nel caso delle pubbliche amministrazioni centrali, coincide con il responsabile dell'ufficio di cui all'art. 17 del Codice, oltre che con il responsabile della gestione documentale ovvero con il coordinatore della gestione documentale ove nominato, per quanto attiene alle pubbliche amministrazioni. In particolare il responsabile della conservazione:
a) definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia dei documenti da conservare, della quale tiene evidenza, in conformità alla normativa vigente;
b) gestisce il processo di conservazione e ne garantisce nel tempo la conformità alla normativa vigente;
c) genera il rapporto di versamento, secondo le modalità previste dal manuale di conservazione;
d) genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti dal manuale di conservazione;
e) effettua il monitoraggio della corretta funzionalità del sistema di conservazione;
f) assicura la verifica periodica, con cadenza non superiore ai cinque anni, dell'integrità degli archivi e della leggibilità degli stessi;
g) al fine di garantire la conservazione e l'accesso ai documenti informatici, adotta misure per rilevare tempestivamente l'eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, per ripristinare la corretta funzionalità; adotta analoghe misure con riguardo all'obsolescenza dei formati;
h) provvede alla duplicazione o copia dei documenti informatici in relazione all'evolversi del contesto tecnologico, secondo quanto previsto dal manuale di conservazione;
i) adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione ai sensi dell'art. 12;
j) assicura la presenza di un pubblico ufficiale, nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l'assistenza e le risorse necessarie per l'espletamento delle attività al medesimo attribuite;
k) assicura agli organismi competenti previsti dalle norme vigenti l'assistenza e le risorse necessarie per l'espletamento delle attività di verifica e di vigilanza;
l) provvede, per gli organi giudiziari e amministrativi dello Stato, al versamento dei documenti conservati all'archivio centrale dello Stato e agli archivi di Stato secondo quanto previsto dalle norme vigenti;
m) predispone il manuale di conservazione di cui all'art. 8 e ne cura l'aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti.
2. Ai sensi dell'art. 44, comma 1-ter, del Codice, il responsabile della conservazione può chiedere di certificare la conformità del processo di conservazione a soggetti, pubblici o privati che offrano idonee garanzie organizzative e tecnologiche, ovvero a soggetti a cui è stato riconosciuto il possesso dei requisiti di cui all'art. 44-bis, comma 1, del Codice, distinti dai conservatori o dai conservatori accreditati. Le pubbliche amministrazioni possono chiedere di certificare la conformità del processo di conservazione a soggetti, pubblici o privati, a cui è stato riconosciuto il possesso dei requisiti di cui all'art. 44-bis, comma 1, del Codice, distinti dai conservatori accreditati
3. Nelle pubbliche amministrazioni, il ruolo del responsabile della conservazione è svolto da un dirigente o da un funzionario formalmente designato.
4. Nelle pubbliche amministrazioni, il ruolo di responsabile della conservazione può essere svolto dal responsabile della gestione documentale ovvero dal coordinatore della gestione documentale, ove nominato.
Art. 8. Manuale di conservazione
1. Il manuale di conservazione illustra dettagliatamente l'organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione.
2. Il manuale di conservazione è un documento informatico che riporta, almeno:
a) i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione, descrivendo in modo puntuale, in caso di delega, i soggetti, le funzioni e gli ambiti oggetto della delega stessa;
b) la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione;
c) la descrizione delle tipologie degli oggetti sottoposti a conservazione, comprensiva dell'indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di documenti e delle eventuali eccezioni;
d) la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento, comprensiva della predisposizione del rapporto di versamento;
e) la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione;
f) la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione;
g) la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione e di evoluzione delle medesime;
h) la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull'integrità degli archivi con l'evidenza delle soluzioni adottate in caso di anomalie;
i) la descrizione delle procedure per la produzione di duplicati o copie;
j) i tempi entro i quali le diverse tipologie di documenti devono essere scartate ovvero trasferite in conservazione, ove, nel caso delle pubbliche amministrazioni, non già presenti nel manuale di gestione;
k) le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche quali sono i casi per i quali è previsto il suo intervento;
l) le normative in vigore nei luoghi dove sono conservati i documenti.
Art. 9. Processo di conservazione
1. Il processo di conservazione prevede:
a) l'acquisizione da parte del sistema di conservazione del pacchetto di versamento per la sua presa in carico;
b) la verifica che il pacchetto di versamento e gli oggetti contenuti siano coerenti con le modalità previste dal manuale di conservazione e con quanto indicato all'art. 11;
c) il rifiuto del pacchetto di versamento, nel caso in cui le verifiche di cui alla lettera b) abbiano evidenziato delle anomalie;
d) la generazione, anche in modo automatico, del rapporto di versamento relativo ad uno o più pacchetti di versamento, univocamente identificato dal sistema di conservazione e contenente un riferimento temporale, specificato con riferimento al Tempo universale coordinato (UTC), e una o più impronte, calcolate sull'intero contenuto del pacchetto di versamento, secondo le modalità descritte nel manuale di conservazione;
e) l'eventuale sottoscrizione del rapporto di versamento con la firma digitale o firma elettronica qualificata apposta dal responsabile della conservazione, ove prevista nel manuale di conservazione;
f) la preparazione, la sottoscrizione con firma digitale o firma elettronica qualificata del responsabile della conservazione e la gestione del pacchetto di archiviazione sulla base delle specifiche della struttura dati contenute nell'allegato 4 e secondo le modalità riportate nel manuale della conservazione;
g) la preparazione e la sottoscrizione con firma digitale o firma elettronica qualificata, ove prevista nel manuale di conservazione, del pacchetto di distribuzione ai fini dell'esibizione richiesta dall'utente;
h) ai fini della interoperabilità tra sistemi di conservazione, la produzione dei pacchetti di distribuzione coincidenti con i pacchetti di archiviazione;
i) la produzione di duplicati informatici o di copie informatiche effettuati su richiesta degli utenti in conformità a quanto previsto dalle regole tecniche in materia di formazione del documento informatico;
j) la produzione delle copie informatiche al fine di adeguare il formato di cui all'art. 11, in conformità a quanto previsto dalle regole tecniche in materia di formazione del documento informatico;
k) lo scarto del pacchetto di archiviazione dal sistema di conservazione alla scadenza dei termini di conservazione previsti dalla norma, dandone informativa al produttore;
l) nel caso degli archivi pubblici o privati, che rivestono interesse storico particolarmente importante, lo scarto del pacchetto di archiviazione avviene previa autorizzazione del Ministero dei beni e delle attività culturali e del turismo rilasciata al produttore secondo quanto previsto dalla normativa vigente in materia.
2. Fatto salvo quanto previsto dal decreto legislativo 22 gennaio 2004, n. 42, in ordine alla tutela, da parte del Ministero dei beni e delle attività culturali e del turismo, sugli archivi e sui singoli documenti dello Stato, delle regioni, degli altri enti pubblici territoriali, nonché di ogni altro ente ed istituto pubblico, i sistemi di conservazione delle pubbliche amministrazioni e i sistemi di conservazione dei conservatori accreditati, ai fini della vigilanza da parte dell'Agenzia per l'Italia digitale su questi ultimi, prevedono la materiale conservazione dei dati e delle copie di sicurezza sul territorio nazionale e garantiscono un accesso ai dati presso la sede del produttore e misure di sicurezza conformi a quelle stabilite dal presente decreto.
Art. 10. Modalità di esibizione
1. Fermi restando gli obblighi previsti in materia di esibizione dei documenti dalla normativa vigente, il sistema di conservazione permette ai soggetti autorizzati l'accesso diretto, anche da remoto, al documento informatico conservato, attraverso la produzione di un pacchetto di distribuzione selettiva secondo le modalità descritte nel manuale di conservazione.
Art. 11. Formati degli oggetti destinati alla conservazione
1. I documenti informatici destinati alla conservazione utilizzano i formati previsti nell'allegato 2 al presente decreto.
Art. 12. Sicurezza del sistema di conservazione
1. Nelle pubbliche amministrazioni, il responsabile della conservazione, di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, anche con il responsabile dell'ufficio di cui all'art. 17 del Codice, provvede a predisporre, nell'ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196 e dal disciplinare tecnico di cui all'allegato B del medesimo decreto, nonché in coerenza con quanto previsto dagli articoli 50-bis e 51 del Codice e dalle relative linee guida emanate dall'Agenzia per l'Italia digitale. Le suddette misure sono descritte nel manuale di conservazione di cui all'art. 8.
2. I soggetti privati appartenenti ad organizzazioni che già adottano particolari regole di settore per la sicurezza dei sistemi informativi adeguano il sistema di conservazione a tali regole. Gli altri soggetti possono adottare quale modello di riferimento le regole di sicurezza indicate dagli articoli 50-bis e 51 del Codice e dalle relative linee guida emanate dall'Agenzia per l'Italia digitale. I sistemi di conservazione rispettano le misure di sicurezza previste dagli articoli da 31 a 36 e dal disciplinare tecnico di cui all'allegato B del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.
Art. 13. Accreditamento
1. L'Agenzia per l'Italia digitale definisce, con propri provvedimenti, le modalità per l'accreditamento e la vigilanza sui soggetti di cui all'art. 44-bis del Codice i quali adottano le presenti regole tecniche di cui al presente decreto per la gestione e la documentazione del sistema di conservazione, nonché per l'espletamento del processo di conservazione.
Art. 14. Disposizioni finali
1. Il presente decreto entra in vigore il trentesimo giorno successivo alla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
2. I sistemi di conservazione già esistenti alla data di entrata in vigore del presente decreto sono adeguati entro e non oltre 36 mesi dall'entrata in vigore del presente decreto secondo un piano dettagliato allegato al manuale di conservazione. Fino al completamento di tale processo per tali sistemi possono essere applicate le previgenti regole tecniche. Decorso tale termine si applicano in ogni caso le regole tecniche di cui al presente decreto.
3. Fino al completamento del processo di cui al comma 2, restano validi i sistemi di conservazione realizzati ai sensi della deliberazione CNIPA n. 11/2004. Il Responsabile della conservazione valuta l'opportunità di riversare nel nuovo sistema di conservazione gli archivi precedentemente formati o di mantenerli invariati fino al termine di scadenza di conservazione dei documenti in essi contenuti.
4. La deliberazione CNIPA n. 11/2004 cessa di avere efficacia nei termini previsti dai comma 2 e 3.
Il presente decreto è inviato ai competenti organi di controllo e pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Allegato 1
Glossario/definizioni
Per visualizzare l’allegato clicca qui
Allegato 2
Formati
Per visualizzare l’allegato clicca qui
Allegato 3
Standard e specifiche tecniche
Per visualizzare l’allegatoclicca qui
Allegato 4
Specifiche tecniche del pacchetto di archiviazione
Per visualizzare l’allegato clicca qui
Allegato 5
Metadati
Per visualizzare l’allegato clicca qui