Conservazione: più attenzione ai processi che ai documenti?

È recente la news emanata da AGID in base alla quale è sospeso l’accreditamento dei soggetti che svolgono l’attività di conservazione dei documenti informatici, per consentire a coloro che intendano presentare domanda di accreditamento di allegare la relazione di valutazione della conformità rilasciata da uno degli organismi di valutazione che saranno individuati da Accredia.

Nell’attesa di vedere questo a cosa porterà cerchiamo di analizzare quando e come un conservatore può dirsi accreditato.

La prima domanda che ci si pone è cosa significhi accreditamento: tutti intuitivamente abbiamo un’idea della risposta. Un soggetto accreditato è qualcuno di cui ci possiamo fidare per qualcosa o meglio è un soggetto per il quale qualcun altro di cui ci fidiamo (AGID) ci dice che è affidabile.

Come seconda domanda ci si potrebbe chiedere se la conservazione può essere svolta solo da soggetti accreditati e qual è il vantaggio di rivolgersi a uno di questi ultimi.

Anzitutto la conservazione può essere svolta da qualunque soggetto, ma se si parla di pubbliche amministrazioni che conservano documenti che per legge vanno conservati allora è obbligatorio rivolgersi ad un conservatore accreditato. Tanto per cominciare, quindi, la conservazione da parte di un soggetto accreditato non riguarda solo le pubbliche amministrazioni o i documenti fiscali, ma tutti quei documenti che la normativa ci richiede di conservare.

Doverosamente va specificato che il nuovo CAD precisa che ogni qualvolta i documenti sono conservati già da una pubblica amministrazione allora cessa per il privato l’obbligo di conservarli, ma allora nasce spontanea una domanda: in caso di contenzioso o anche solo di un semplice ricorso amministrativo contro la stessa pubblica amministrazione che conserva i documenti il querelante si dovrebbe fidare del querelato?

Forse se la pubblica amministrazione in questione si rivolge ad un fornitore accreditato potremmo avere un certo grado di fiducia oppure potremmo ancora fidarci se la pubblica amministrazione gestisce in house la conservazione ed il relativo processo è accreditato.

Lungi dal voler criticare le pubbliche amministrazioni in questa sede notiamo, però, che l’ultimo termine usato, processo, è quello che più ci interessa.

La terza domanda, infatti, è cosa deve dimostrare all’AGID un soggetto privato o pubblico che voglia farsi riconoscere come conservatore accreditato?

Se parliamo di conservazione la prima cosa cui andiamo a pensare è sicuramente l’hardware che deve essere robusto, replicato, fault tolerant e con esso dobbiamo applicare dei software di backup affidabili, magari una soluzione in cloud.

Eppure non sono questi gli elementi fondamentali. Anzi.

Certamente questi sono elementi importanti di un sistema di conservazione, ma non sono certo gli unici su cui focalizzare la propria attenzione. Anzi non si dovrebbe partire mai dall’hardware o dal software. E’ importante infatti porsi domande come:

  1. Qual è la modalità con cui riversiamo i documenti nel sistema di conservazione?
  2. Come ci garantiamo che i file siano sempre leggibili e con che cadenza ne assicuriamo la leggibilità?
  3. Qual è il modello organizzativo ?
  4. Come garantiamo che anche le informazioni e i dati siano certi, sicuri e opponibili a terzi e non semplicemente e stupidamente files?
  5. Qual è l’organigramma capeggiato dal Responsabile della Conservazione (figura evidentemente con chiare competenze manageriali) e chi è responsabile di cosa ?
  6. Come controlliamo gli accessi e le abilitazioni al sistema?
  7. Con che cadenza vengono effettuati i backup e con quale modalità?
  8. Come vengono generate le copie conformi?
  9. Quali eventi andiamo a memorizzare in un eventuale giornale di controllo?
  10. Il rapporto di versamento va firmato o no?
  11. Come viene generato il pacchetto di consultazione?
  12. Il rapporto di versamento viene conservato a sua volta se firmato?

E potremmo continuare ancora. È evidente che la risposta a tali tipologie di domande risiede non in un software o in un hardware, ma nella politica e nella strategia adottata per svolgere le funzionalità tipiche dell’attività di conservazione, ovvero nei processi.

Le regole tecniche, e di questo si può essere sicuri anche nella nuova versione che si avrà dopo la recente modifica del CAD, non diranno mai di usare un certo software o un certo hardware, ma ci danno e daranno sempre e solo i requisiti che deve soddisfare il sistema nelle sue componenti hardware e software, ma soprattutto nei processi.

A tal proposito basta richiamare già l’articolo 44 del CAD che recita al comma 1-ter:

Il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione a quanto stabilito nel presente articolo ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche.

La qual cosa fa capire bene che sono i processi ad essere il primo punto di interesse per le certificazioni e quindi anche per l’accreditamento.

D’altra parte la circolare AGID 65/2014 relativa all’accreditamento recita:

i conservatori di cui all’art. 44-bis del CAD che, al fine di conseguire tale riconoscimento, devono:

1.dimostrare l’affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere l’attività di conservazione;
2.utilizzare personale dotato delle conoscenze specifiche, dell’esperienza e delle competenze necessarie per i servizi forniti: in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della gestione documentale e conservazione documenti informatici e che abbia dimestichezza con le procedure di sicurezza appropriate e che si attenga alle norme del CAD e al DPCM 3 dicembre 2013 recante le regole tecniche in materia di sistema di conservazione;
3. applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;
4. utilizzare sistemi affidabili e sicuri di conservazione di documenti informatici realizzati e gestiti in conformità alle disposizioni e ai criteri, standard e specifiche tecniche di sicurezza e di interoperabilità contenute nelle regole tecniche previste dal CAD;
5. adottare adeguate misure di protezione dei documenti idonee a garantire la riservatezza, l’autenticità, l’immodificabilità, l’integrità e la fruibilità dei documenti informatici oggetto di conservazione, come descritte nel manuale di conservazione, parte integrante del contratto/convenzione di servizio.

In sostanza il software e l’hardware sono importanti, ma lo sono di più i processi i ruoli e gli organigrammi. Ecco perché è più importante dematerializzare un processo che un documento.

Ricordiamo che la stessa circolare dice che il conservatore può affidare ad altro conservatore accreditato le attività a supporto del processo di conservazione limitatamente a quelle che riguardano le infrastrutture per la memorizzazione, trasmissione ed elaborazione dei dati.

Ciò implica che si può essere conservatori accreditati senza acquistare nessun hardware e software di memorizzazione dati, purché si abbiano alla base processi affidabili che si servono di strutture fornite anche da altro conservatore accreditato e che siano documentati nel manuale di conservazione.

Ci aspettiamo, in conclusione, che anche il nuovo requisito sui conservatori per l’accreditamento relativamente alla relazione di valutazione della conformità faccia attenzione ai processi e che quindi gli organismi di valutazione nelle loro visite ispettive e l’AGID nella propria doverosa attività di sorveglianza si soffermino molto e soprattutto sui processi e sulla loro corrispondenza a quanto riportato nel manuale di conservazione. 28

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here