Analisi e Commento sulle nuove Regole Tecniche in materia di Conservazione Sostitutiva dei Documenti.
Il 5 Agosto 2011 il DigitPA, ex CNIPA, ha pubblicato sul suo sito ufficiale la bozza delle nuove regole tecniche in materia di conservazione e gestione dei documenti informatici, ai sensi del CAD (Codice Amministrazione Digitale) D.lgs 235/2010 e ai sensi dell’articolo 71 del suddetto codice. Ovviamente queste regole tecniche sono soltanto delle bozze, infatti è data la possibilità a chi vuole di contribuire a commentare queste norme tramite email sino al 10 settembre, ma presentano comunque delle grossissime novità che è importante analizzare. Dunque di seguito viene proposta una mia personale analisi (in corsivo) solo a quegli articoli della bozza di DigitPA interessanti ed innovativi. Inoltre alla fine dell’analisi trovate in allegato tutti i documenti delle regole tecniche compresi gli allegati.
Iniziamo dal Capo II :
2. Il documento informatico, identificato in modo univoco e persistente, è memorizzato in un sistema di gestione informatica dei documenti o di conservazione la cui tenuta, può anche essere delegata a terzi.
Questo in verità già si sapeva, ma DigitPA ha fatto bene a riconfermare la possibilità di delegare a terzi la gestione del sistema di conservazione e la tenuta del documento informatico. Dunque ancora una volta si accentua la possibilità di delegare ad operatori del settore e più esperti la conservazione dei documenti digitali. Quello che da una vita ormai si chiama Outsourcing.
7. Nel caso di documento informatico, di cui al comma 1, lettere c) e d) del presente articolo la caratteristica di immodificabilità è determinata dall’operazione di registrazione dell’esito dell’operazione e dall’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema ovvero con la produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione.
Il punto 7 si riferisce alla formazione di documenti informatici, come descritti sopra e discute della immodificabilità di tali documenti risultanti dalla registrazione di un form o l’aggregazione di più dati. In questo caso si parla di misure. Beh, c’è da dire che qui si aprirebbe un mondo di processi ed operazioni utili e necessari per garantire che tali misure siano adeguate alla protezione e staticità dei dati. Inoltre la conservazione dei log è da sempre un argomento molto discusso, visto che esistono diverse metodologie che assicurano la sicurezza del sistema. Il punto cruciale è dunque identificare le giuste misure e verificare che le soluzioni scelte per ottemperare a tali obblighi, siano effettivamente efficaci. Insomma per nulla facile e banale. Inoltre bisognerà capire come realizzare adeguatamente tutte le misure in previsione anche del D.L. 5 maggio 2011 n. 138 che semplifica di molto (in modo sbagliato!) alcuni obblighi relaitivi alla privacy.
9. L’evidenza informatica corrispondente al documento informatico immodificabile è prodotta in uno dei formati contenuti nell’allegato 2 del presente decreto in modo da assicurare l’indipendenza dalle piattaforme tecnologiche, l’interoperabilità tra sistemi informatici e la longevità dei dati in termini di accesso e di leggibilità. Formati diversi possono essere scelti nei casi in cui la natura del documento informatico lo richieda per un utilizzo specifico nel suo contesto tipico.
Finalmente un punto cruciale sull’evidenza informatica trattato come si deve (non tanto sui formati ma quanto l’idea), almeno secondo il mio parere. Per quanto concerne i formati, di cui vi consiglio a proposito di leggere l’allegato 2 che trovate in allegato alla fine di questa analisi , e di cui parlerò successivamente con un articolo dedicato (i miei utenti come sempre verranno informati ), ma per il momento è confortevole notare che per l’evidenza si parli ufficialmente di interoperabilità, longevità, accesso e leggibilità. Cose che dirà qualcuno, erano ovvie anche prima. Certamente, ma molto meglio se si specificano i formati, obblighi e procedure da realizzare e certificare per mezzo di processi ben precisi.
10.Al documento informatico immodificabile vengono associati i metadati che sono stati generati durante la sua formazione. L’insieme minimo dei metadati da associare allo stesso è: l’identificativo univoco e persistente, la data di cui al precedente comma 8, l’oggetto, il soggetto che ha formato il documento e l’eventuale destinatario, come definiti nell’allegato 5 al presente decreto. Eventuali ulteriori metadati sono definiti in funzione del contesto e delle necessità gestionali e conservative.
I metadati.Quanto sono importanti i metadati per un documento! E finalmente vi è l’obbligo di associare ad un documento almeno 5 metadati essenziali. Inoltre questo comma presuppone che tutti i sistemi che fanno attualmente conservazione sostitutiva, ma privi di metadati (vi assicuro che ne ho visti molti!) non sono sufficientemente a norma. Sul perchè siano importantissimi i metadati, ne ho sempre parlato molto, sia perchè rappresentano gli attributi descrittivi di un documento, sia perchè tutti gli standard internazionali per l’interoperabilità e la conservazione dei documenti, rendono assolutamente necessari i metadati e le associazioni logiche di quest’ultimi. Una cosa che posso aggiungere è che io personalmente avrei inserito come metadato da associare obbligatoriamente al documento, anche lo stato di workflow inerente al processo documentale. Questo perchè risultarebbbe rilevante capire lo stato di lavoro di un documento rispetto al contesto documentale in cui viene manipolato, gestito e conservato.
Passiamo ora all’articolo 4 :
1. La copia per immagine su supporto informatico di un documento analogico di cui all’articolo 22, commi 2 e 3, del Codice è prodotta mediante processi e strumenti che assicurino che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui è tratto.
Qui sinceramente esce fuori una richiesta di cui non ne ho mai capito il perchè. Per quale motivo la copia per immagine su supporto informatico di un documento analogico, deve avere anche la stessa forma??? Ai fini della veridicità di un documento e della sua trasposizione da analogico a digitale, quello che conta è il contenuto, ovvero l’informazione in sè e non il grafico fatto a stelline o a barre. Insomma, se io parlo ad esempio di un contratto o di una fattura, mi interesseranno i dati in esso contenuti, non come questo sia impaginato. Quindi non condivido assolutamente il perchè si debba considerare anche la forma, bastava il contenuto. E poi : la copia per immagine riguarda solo le scansioni ??? Non credo.
3. Laddove richiesta dalla natura dell’attività, l’attestazione di conformità, delle copie per immagine su supporto informatico di un documento analogico di cui all’articolo 22, comma 2, del Codice, può essere inclusa nel documento informatico contenente la copia per immagine. Il documento informatico così formato è sottoscritto con firma digitale o firma elettronica qualificata del notaio o del pubblico ufficiale a ciò autorizzato. L’attestazione di conformità delle copie per immagine su supporto informatico di uno o più documenti analogici, se effettuata per raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia, può essere prodotta come documento informatico separato che deve contenere l’impronta di ogni copia per immagine e un riferimento temporale. Il documento informatico prodotto è sottoscritto con la firma digitale o con la firma elettronica qualificata del notaio o del pubblico ufficiale a ciò autorizzato.
In questo caso viene specificata la proceduta corretta per la digitalizzazione di documenti analogici di cui sia richiesta anche la conformità da parte di un pubblico ufficiale. Da notare come il processo di verifica venga assicurato tramite l’impronta del documento (funzione di hashing) associata ad un riferimento temporale non opponibile a terzi.
6. La copia o l’estratto di uno o più documenti informatici di cui al precedente comma (ovvero la copia informatica di un documento informatico) , se fornito a terzi, viene sottoscritto con firma digitale o firma elettronica qualificata da chi effettua la copia.
Giusto per ricordare che quando si invia un documento informatico si deve necessariamente firmarlo digitalmente. Una procedura più corretta o che rallenta di più i processi documentali ? A mio parere, doverosa, visto che si tratta di una copia informatica.
Passiamo all’articolo 5 :
1. I documenti informatici di cui è prevista la conservazione sono trasferiti nel sistema di conservazione generando un pacchetto di versamento nelle modalità e con il formato concordati con il responsabile della conservazione e previsti dal manuale di conservazione.
Notevoli novità in questo piccolo comma. Iniziamo col dire che a questo punto il manuale del responsabile della conservazione sostitutiva diventa obbligatorio, mentre prima era facoltativo. Ma questa è certamente una necessità, visto che il manuale rappresentava già un documento fondamentale per i processi di dematerializzazione e non si capiva come mai non era obbligatorio. In secondo luogo, viene richiamata ancora una volta l’importanza del ruolo del responsabile della conservazione digitale. Egli è infatti una figura indispensabile per il processo di conservazione ed anche necessaria per la tenuta del sistema di conservazione. Ora giungiamo al nuovo “pacchetto di versamento”. Cos’è ? Perchè ? E soprattutto da dove ne salta fuori ?. Per parlare del pacchetto di versamento si deve fare riferimento all’allegato 1 delle bozze, che lo definisce come : pacchetto informativo inviato dal produttore al sistema di conservazione secondo un formato predefinito e concordato descritto nel manuale di conservazione. Vi suona famigliare la parola produttore ? Forse se avete letto il mio blog, certamente si : OAIS, ovvero l’Open Archival Information System , lo standard internazionale per la digital preservation. E anche il pacchetto di versamento viene trattato sempre dall’OAIS. Quindi vi lascio alla lettura del mio articolo sull’OAIS per approfondimenti. Dunque è importantissimo che l’OAIS sia stato ufficialmente “riconosciuto” anche da DigitPA, visto che si tratta comunque di uno standard internazionale e dunque direi necessario per affrontare correttamente la conservazione sostitutiva dei documenti. Risulta però altrettanto chiaro che questa implicazione, ma come vederemo ce ne saranno altre conseguenze sempre dell’adozione dell’OAIS, implica per tutti gli operatori del settore di aggiornare le proprie soluzioni e i propri software di conservazione secondo le metodologie descritte dal OAIS. Meglio ancora si vedrà che un sistema che non sia conforme alla normativa UNI 11386:2010 SInCRO (anche se in verità nelle regole tecniche esiste una “versione particolare” del SInCRO) e appunto all’OAIS, non sia adeguato e non a norma.
Nel seguito delle bozze, l’intero CAPO III e il CAPO IV vengono utilizzati da DigitPA per parlare del documento informatico amministrativo per gli enti e le pubbliche amministrazioni, quindi su questo non mi dilungherò molto, ma vorrei solo fare delle breve considerazioni : viene inserito il responsabile della gestione documentale e sia per la gestione del documento informatico, sia per la gestione del protocollo, si fa riferimento al D.P.R. 28 dicembre 2000, n. 445. Inoltre si parla anche del manuale di gestione, ovvero il manuale di riferimento per le PA che racchiude tutte le procedure, le metodologie, la gestione, le misure di sicurezza ( di concerto anche con il Responsabile della Conservazione Sostitutiva!) e la conservazione con annessa protocollazione dei documenti amministrativi. Per ultimo si segnala, come già previsto dal 235/2010, la presenza obbligatoria del Timbro Digitale, di cui si dovranno fornire gratuitamente i programmi atti alla verifica.
Come promesso, di ritorno dalle vacanze, concludo questa breve analisi con alcune considerazioni finali.
Per quanto concerne gli allegati, devo dire che sono semplicemente dei documenti che descrivono in dettaglio i termini utilizzati nella guida e alcuni di essi sono delle copie ( con traduzione dall’inglese all’italiano) delle metodologie-standard SInCRO e OAIS. Detto questo, vorrei ora parlare dell’allegato sulle Bozza regole tecniche del sistema di conservazione di documenti informatici, che è assolutamente non banale :
Articolo 3.
Il sistema di conservazione
1. In attuazione di quanto previsto dall’articolo 44, comma 1, del Codice, il sistema di
conservazione assicura, dalla presa in carico dal produttore di cui all’articolo 6 fino
all’eventuale scarto tramite l’adozione di regole, procedure e tecnologie, la conservazione
mantenendo le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità
degli oggetti in esso conservati, quali:
a. i documenti informatici e i documenti amministrativi informatici con i metadati ad essi
associati di cui all’allegato 5 al presente decreto;
b. i fascicoli informatici ovvero le aggregazioni documentali informatiche con i metadati ad
essi associati di cui all’allegato 5 al presente decreto, contenenti i riferimenti che
univocamente identificano i singoli oggetti documentali che appartengono al fascicolo o alla aggregazione documentale.2. Le componenti funzionali del sistema di conservazione assicurano il trattamento dell’intero ciclo di gestione dell’oggetto conservato nell’ambito del processo di conservazione.
3. Il sistema di conservazione garantisce l’accesso all’oggetto conservato, per il periodo prescritto dalla norma, indipendentemente dall’evolversi del contesto tecnologico.
4. Gli elenchi delle misure, degli standard, delle specifiche tecniche, dei formati, utilizzabili quali riferimento per il sistema di conservazione sono riportati negli allegati 2 e 3 al presente decreto
Articolo 6.
Ruoli e responsabilità
1. Il sistema di conservazione prevede almeno i seguenti ruoli:
a. produttore identificato, nel caso di pubblica amministrazione, nella figura del responsabile
della gestione documentale di cui all’articolo 8 del decreto sul documento informatico;
b. utente;
c. responsabile della conservazione.8. I soggetti che affidano il processo di conservazione a soggetti esterni provvedono a delegare
ad essi il ruolo del responsabile del trattamento dei dati come previsto dal Codice in materia
di protezione dei dati personali, mantenendo comunque la titolarità degli stessi
L’Articolo 3 unito all’Articolo 6, definisce le caratteristiche del sistema di conservazione e degli attori che andranno ad utilizzare e gestire il sistema. Importante sottolineare che l’allegato 5, che riporta correttamente lo schema XML dei metadati, sia assolutamente inderogabile per lo sviluppo di un sistema di conservazione sostitutiva. Resta inteso ovviamente che a questo punto le presenti regole tecniche rappresentano un notevole cambiamento per gli operatori del settore e quanto sia necessario adeguarsi a questi nuovi processi tecnici. Ricordiamo infatti che la normativa per la dematerializzazione è sempre la stessa e che quello che cambia è l’aspetto tecnico del processo di conservazione, ma non le leggi. Il comma 8 dell’Articolo 6 è importante perchè riconferma la gestione della privacy in caso di deleghe dei processi di conservazione e dunque trasmette le responsabilità dovute dal Dlgs. 196/2003 interamente all’Outsourcer che dovrà ovviamente farsi carico di queste responsabilità che ricordiamo oltre ad essere civili sono anche penali.
Articolo 5.
Modelli organizzativi della conservazione
1. Il sistema di conservazione opera secondo modelli organizzativi esplicitamente definiti che
garantiscano la sua distinzione logica dal sistema di gestione documentale, se esistente.
2. Ai sensi dell’articolo 44 comma 1-ter del Codice, la conservazione può essere svolta:
a. internamente al soggetto produttore dei documenti informatici da conservare,
b. affidata, in modo totale o parziale, ad altri soggetti, pubblici o privati che offrono idonee
garanzie organizzative e tecnologiche, anche accreditati come conservatori presso
DigitPA.
3. Le pubbliche amministrazioni realizzano i propri processi di conservazione internamente o
affidando tali processi a conservatori accreditati, pubblici o privati, di cui all’articolo 44-bis,
comma 1, del Codice, fatte salve le competenze del Ministero per i beni e le attività culturali
ai sensi del decreto legislativo 22 gennaio 2004, n 42, e successive modificazioni.
Come per la Delibera n.11 Cnipa del 2004, anche in queste regole tecniche si riporta la possibilità di affidarsi ad un soggetto accreditato o meno in outsourcing per avviare processi di conservazione sostitutiva. Ma è importante il comma 3 poichè obbliga le PA ad affidarsi solo ed esclusivamente ai conservatori accreditati, ricordando che quest’ultimi sono “nominati” da DigitPA a seguito dell’accreditamento secondo specifici requisiti.
Articolo 7.
Responsabile della conservazione
1. Il responsabile della conservazione opera d’intesa con il responsabile del trattamento dei dati
personali, ove nominato, con il responsabile della sicurezza e con il responsabile dei sistemi
informativi, nel caso delle pubbliche amministrazioni, con il responsabile del servizio per la
gestione informatica dei documenti, dei flussi documentali e degli archivi e nel caso delle
pubbliche amministrazioni centrali, anche con il responsabile dell’ufficio di cui all’articolo
17 del Codice. In particolare:
a. definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della
tipologia dei documenti da conservare, della quale tiene evidenza, in conformità alla
vigente normativa;
b. gestisce il processo di conservazione e ne garantisce nel tempo la conformità alla
normativa vigente;
c. genera il rapporto di versamento, secondo le modalità previste dal manuale di conservazioned. genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica
qualificata, nei casi previsti dal manuale di conservazione;
e. effettua il monitoraggio della corretta funzionalità del sistema di conservazione;
f. assicura la verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità
degli archivi e della leggibilità degli stessi;
g. adotta misure per verificare e prevenire il degrado dei sistemi di memorizzazione e delle
registrazioni, l’obsolescenza dei formati al fine di garantire la conservazione e l’accesso
ai documenti informatici;
h. provvede alla duplicazione o copia dei documenti informatici all’evolversi del contesto
tecnologico, secondo quanto previsto dal manuale di conservazione;
i. adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione
come previsto nell’articolo 12 del presente decreto;
l. richiede la presenza di un pubblico ufficiale, nei casi in cui sia previsto il suo intervento,
assicurando allo stesso l’assistenza e le risorse necessarie per l’espletamento delle
attività al medesimo attribuite;
m. assicura l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e
di vigilanza ai diversi organismi competenti previsti dalle norme vigenti;
n. provvede, nel caso di amministrazioni statali, al versamento dei documenti conservati
all’archivio centrale dello Stato e agli archivi di Stato secondo quanto previsto dalle
norme vigenti;
o. predispone il manuale di conservazione di cui all’articolo 8 del presente decreto e ne
cura l’aggiornamento periodico e in presenza di cambiamenti normativi, organizzativi,
procedurali o tecnologici rilevanti.
2. Ai sensi dell’articolo 44, comma 1-ter, del Codice, il responsabile della conservazione può
richiedere di certificare la conformità del processo di conservazione ad altri soggetti, pubblici
o privati, eventualmente accreditati presso DigitPA come certificatori del sistema di
conservazione ai sensi dell’articolo 44-bis, comma 1, del Codice.
3. Nelle pubbliche amministrazioni, il ruolo del responsabile della conservazione è svolto da un
dirigente o da un funzionario delegato formalmente designato.
4. Nelle pubbliche amministrazioni, il ruolo di responsabile della conservazione può essere
svolto dal responsabile del servizio per la gestione dei documenti informatici, della gestione
dei flussi documentali e degli archivi.
L’articolo 7 è interamente dedicato al RCS, ovvero al Responsabile della Conservazione Sostitutiva. Ma questa volta non si tratta di una copia della Delibera 11/2004 CNIPA, ma vengono aggiunte alcune metodologie nuove che il RCS dovrà svolgere all’interno del sistema di conservazione e per mezzo del Manuale di Conservazione. Inoltre vengono definite nuove definizioni e procedure in ambito PA. E’ importante fare un commento approfondito sulla lettera d) dell’articolo 7. Prima però riporto quello che dice l’articolo 10 che si collega concettualmente con l’articolo 7) :
Articolo 10.
Modalità di esibizione
1. Fermi restando gli obblighi in materia di esibizione dei documenti stabiliti da norme
specifiche e dal precedente articolo 6, comma 8, il sistema di conservazione permette
l’accesso da parte dei soggetti autorizzati al documento informatico conservato direttamente
per via informatica anche da remoto attraverso la produzione di un pacchetto di
distribuzione secondo le modalità descritte nel manuale di conservazione.
2. Nei casi in cui, secondo le vigenti norme, è richiesta la presentazione di un documento in
originale tale obbligo è soddisfatto anche attraverso la presentazione della copia informatica
o della copia analogica del documento informatico conservato, prodotta secondo quanto
previsto dal decreto sul documento informatico.
Dunque sorge subito una domanda : “Per accedere ad un documento passato in conservazione sostitutiva, avrò bisogno ogni volta della produzione di questo pacchetto di distribuzione?(che ricordo essere dello standard OAIS)E quindi è necessario ogni volta che il Responsabile della Conservazione produca il pacchetto da esibire ?”. La risposta non è così semplice come si potrebbe pensare. Allora vediamo prima di tutto quali sarebbero le difficoltà, qualora la risposta sia affermativa. In questo caso io avrei sempre bisogno di una persona, ovvero il RCS, che ogni volta dovrà produrre questo pacchetto, anche se io utente vorrei semplicemente visionare a schermo il documento passato in conservazione. Questa non è solamente una grave limitazione, ma anche una grossissima complicazione. Ma è proprio così ? Tecnicamente si, ma proceduralmente no! Perchè ? Perchè sarà possibile indicare le procedure di produzione del pacchetto di distribuzione del RCS e i diversi utenti che avranno accesso al sistema, nel Manuale di Conservazione. Le modalità descritte dal Manuale di Conservazione che ovviamente sia l’Outsourcer in caso di deleghe o sia il responsabile interno produrranno secondo le diverse specifiche dei sistema, dovranno riferirsi anche all’esibizione e quindi si potranno indicare le diverse possibili soluzioni alla complicazione assurda inserita in queste regole tecniche. A conferma di questa possibilità vi è infatti la lettera g) dell’Articolo 9 che descrive il processo di conservazione e che qui riportiamo :
Articolo 9.
Il processo di conservazion
g. la preparazione e la sottoscrizione con la firma digitale o firma elettronica qualificata, ove
previsto nel manuale di conservazione, del pacchetto di distribuzione ai fini
dell’esibizione sulla base della richiesta dell’utente
Inoltre leggendo per intero l’articolo 9, si comprende come anche il Manuale di Conservazione sia completamente cambiato rispetto a quello definito dalla Delibera n.11/2004 CNIPA. Insomma per le software house ci sarà tanto da lavorare.
Infine ricordo che gli altri due allegati, quello sui formati e definizioni, spiegano “via Wikipedia” le diverse estensioni dei file approvati per la conservazione e quindi è inutile spendere parole.
Concludo quest’analisi ricordando a chi legge che queste regole tecniche sono delle Bozze e che quindi teoricamente si potranno ancora inserire delle modifiche da parte di DigtiPA , infatti è possibile inviare commenti e proposte alla mail gdlcad@digitpa.gov.it .
