Nuove Linee Guida: Certificazione di Processo
Con la Determinazione 9 settembre 2020 n. 407 Agid ha adottato le nuove “Linee Guida
Con la Determinazione 9 settembre 2020 n. 407 AgID ha adottato le nuove “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici”, che abrogano le precedenti regole tecniche (DPCM 3/12/2013 sulla conservazione e DPCM 3/12/2013 sul protocollo informatico ad eccezione di alcuni articoli, DPCM 13 novembre 2014sui documenti informatici), costituendo un corpus unico per la formazione, gestione e conservazione dei documenti medesimi. Le Linee Guida vedono la luce in un mutato contesto normativo: l’art.25 del DL semplificazioni 76/2020, recependo le indicazione della Commissione, ha modificato, nel senso di una sua semplificazione, la materia della conservazione poiché “ha escluso la procedura di accreditamento per i soggetti che intendano svolgere l’attività di conservatori di documenti informatici, introducendo un sistema più semplice di qualificazione e verifica dei requisiti previsti dal Regolamento EIDAS da parte di AgID, con conseguente iscrizione in apposito elenco tenuto sempre dall’Agenzia. Le pubbliche amministrazioni ai sensi dell’articolo 34, comma 1-bis, lettera b), del CAD, in ogni caso, in ragione dell’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione, possono procedere alla conservazione dei documenti informatici affidandosi ad altri soggetti, pubblici o privati, a condizione che questi possiedano i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee Guida di cui all’articolo 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, avuto riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione.” È in questo mutato scenario che la certificazione di processo della formazione dei documenti informatici “tramite acquisizione della copia per immagine” assume importanza fondamentale per la garanzia della loro integrità, affidabilità ed immodificabilità, anche per la loro futura conservazione digitale. La certificazione deve essere considerata sotto tre aspetti diversi e complementari. I primi due definibili “sostanziale” ed “attestativo” qualificano la certificazione come certificazione di un risultato - la copia, ottenuto attraverso un processo. In tale ottica, l’obiettivo della certificazione è di verificare e attestare la piena corrispondenza fra copia ed originale da cui è tratta. Il terzo aspetto, che potremmo definire “formale”, prevede che per essere valida la certificazione deve essere corredata dalla precisa e puntuale descrizione del processo che ha prodotto il risultato. Sotto l’aspetto sostanziale, la certificazione richiede che la generazione della copia avvenga attraverso una “valida procedura tecnologica”, il cui cardine è una efficiente organizzazione della struttura gestionale - operativa deputata alla scansione massiva. Nel suo aspetto attestativo, la “valida procedura tecnologica” coincide con la diligenza comportamentale dei terzi atti alla certificazione. In ultimo l’aspetto formale coincide nella documentabilità ex ante del processo, che si concretizza in una descrizione di tutto il processo di scansione nonché della certificazione medesima. La natura “composita” della certificazione di processo, contemporaneamente del prodotto e del processo che lo ha generato, determina da un lato che la certificazione del processo di origine richieda la propedeutica certificazione del sistema del processo (struttura deputata alla scansione massiva e procedure e controlli di qualità della stessa ) da parte di ente terzo in “accordo agli standard ISO 9001 e ISO 27001 con campo di applicazione specifico per i servizi di progettazione e dematerializzazione massiva dei documenti” e, dall’altro, che la certificazione del prodotto avvenga tramite un confronto a campione effettuato o da un pubblico ufficiale, che determina la certificazione in senso proprio, ovvero da un terzo privato che determina un rapporto di verificazione. Nel caso in cui la conformità sia attestata da un pubblico ufficiale la copia per immagine farà piena prova fino a querela, nel caso in cui sia attestata da un terzo privato la copia per immagine avrà un valore probatorio semplice e farà piena prova fino a disconoscimento. È importante soffermarci su quanto sopra. Se la certificazione ISO del sistema si pone come obbligo in capo alle società di settore (si deve certificare nello specifico il processo di scansione massiva), dall’altra questo stesso obbligo le qualifica come soggetti in grado di produrre documenti informatici giuridicamente validi, concorrendone alla tutela e alla valorizzazione. Se si guarda allo schema che sintetizza la certificazione di processo, come delineata da AgID, si rende immediatamente evidente come la fase di analisi e progettazione del ciclo di dematerializzazione sia prima di tutto analisi archivistica e diplomatica del complesso documentale, che poi si traduce in procedure operative atte a garantire una corretta metadazione - in grado di esprimere il contesto di produzione del complesso, coerenza semantica dei singoli metadati ed identificazione univoca della copia per immagine - e porre in atto le migliori soluzione tecnico operative per garantire la conformità dei documenti e delle immagini prodotte, nel rispetto delle caratteristiche intrinseche ed estrinseche degli analogici originali. La descrizione del processo deve definire non solo il campione ritenuto valido ai fini del confronto, ma deve anche dettagliare tutti i controlli e le azioni correttive da porre in essere: la verbalizzazione, o meglio la “certificazione inziale” di quanto sopra nonché il confronto a campione propedeutico alla scansione massiva, concorrono a determinare una “presunzione di valore probatorio” dei documenti che saranno successivamente dematerializzati. È evidente inoltre che la descrizione del processo soprattutto nella sua fase iniziale di analisi e progettazione, ancora più nel caso delle società fornitrici di servizi in outsourcing di gestione documentale e conservazione digitale, non può essere demandato ai soggetti deputati alla verifica, siano essi notai o soggetti privati, ma deve essere un elemento qualificante della sua organizzazione che deve comporsi di figure professionali con competenze specifiche (archivisti, informatici, tecnici della dematerializzazione). La “certificazione iniziale” assolve a due funzioni correlate: quella di fornire presunzione di valore probatorio, l’altra di essere il “master” di progetto a cui attenersi per la reale dematerializzazione massiva della documentazione, al cui termine il soggetto incaricato della certificazione procede alla redazione di una “certificazione di chiusura”, tramite la verifica di corrispondenza fra il codice univoco della copia, ovvero valore di hash “su un campione di documenti individuati”. Il processo come delineato da AgID può essere quindi schematizzato in
Fase 1: CERTIFICAZIONE INIZIALE
- analisi archivistica e diplomatica e creazione del master di progetto
- redazione corpus documentale di descrizione del processo
- verifica a campione da parte del notaio/pubblico ufficiale o soggetto privato terzo
- verbalizzazione della certificazione iniziale: attestazione di conformità