Conservazione dei documenti informatici: pubblicato il regolamento dell’AGID

di  Pietro Maria Mascolo -

Con la Determinazione n. 455/2021 del 25 giugno 2021, l’Agenzia per l’Italia Digitale (“AGID”) ha formalmente adottato il regolamento che definisce i nuovi criteri per la fornitura del servizio di conservazione dei documenti informatici (di seguito, anche, il “Regolamento”), fissando in un apposito allegato i requisiti generali, nonché i requisiti di qualità, di sicurezza e organizzazione necessari per la fornitura del servizio.
Premessa
Nel novero delle novità apportate dal c.d. “Decreto Semplificazione” (D.L. 76/2020), è stato previsto che la conservazione dei documenti informatici per conto delle pubbliche amministrazioni da parte di soggetti esterni (dal quale, in ogni caso, restano esclusi i servizi di conservazione a lungo termine disciplinati dal Codice dei Beni Culturali e le conseguenti attività di vigilanza) debba uniformarsi alle Linee guida sulla formazione, gestione e conservazione dei documenti informatici nonché ad un regolamento, adottati entrambi dall’AGID, che segnano il superamento del precedente meccanismo di accreditamento dei conservatori.
In quest’ottica, ad integrazione di quanto già definito nell’ambito delle summenzionate linee guida emanate a settembre 2020, il Regolamento in esame è chiamato a fissare tali criteri per la fornitura del suddetto servizio di conservazione documentale, determinandone sia gli aspetti generali che gli standard tecnici e di qualità imprescindibili per garantire che il sistema di conservazione assicuri, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità.
Il Regolamento entrerà in vigore il 1° gennaio 2022 e, a partire da quella data, sarà abrogata la circolare AGID relativa alle “Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici”.
Principali requisiti richiesti
L’allegato A al Regolamento detta, in dettaglio, i summenzionati requisiti, distinguendo tra le seguenti categorie: requisiti generali; requisiti di qualità; requisiti di sicurezza; requisiti di organizzazione.
In via generale, il c.d. “conservatore” deve possedere una descrizione del sistema utilizzato, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate, delle procedure di gestione e di evoluzione delle medesime, delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie. Inoltre, deve possedere una descrizione delle procedure di accesso, ricerca, recupero e uso, e loro monitoraggio degli archivi nel rispetto della normativa sulla protezione dei dati personali.
Da un punto di vista di qualità e sicurezza, rileva la certificazione ad un serie di standard ISO tra cui: lo standard ISO 16363 “Space data and information transfer systems — Audit and certification of trustworthy digital repositories”; l’ISO 9001 relativa ai sistemi di gestione per la qualità – requisiti, (rilasciata specificatamente per i servizi di conservazione di documenti informatici); la nota ISO 27001 per quanto attiene alla tecnologia delle informazioni e alle tecniche di sicurezza.
Nell’ambito organizzativo, invece, si segnala la necessità di adottare le seguenti figure professionali: Responsabile servizio di conservazione; Responsabile della funzione archivistica di conservazione. In ogni caso, risulterà parimenti necessario possedere una polizza assicurativa stipulata per la copertura dei rischi dell’attività e dei danni causati a terzi e, in caso di localizzazione dei data center in territorio extra UE, effettuare una consultazione preventiva al Garante per la privacy ai sensi dell’articolo 36 del Regolamento (UE) 2016/679 (GDPR).
Piano di cessazione
L’AGID attribuisce particolare attenzione al tema della cessazione del servizio di conservazione (sia nel caso di cessazione volontaria che involontaria), prevedendo che ciascun Conservatore dettagli delle specifiche procedure per garantire la corretta cessazione e migrazione del servizio di conservazione, conformemente alle indicazioni di cui all’allegato B al Regolamento.
Tale allegato, in particolare, prevede un’appendice finalizzata a guidare gli operatori nella stesura del piano di cessazione, garantendo omogeneità di struttura e completezza delle informazioni necessarie. Sul punto, risulta enfatizzato il tema dell’analisi dei rischi, stante la necessità di descrivere gli elementi dell’analisi dei rischi correlati al processo di cessazione previsto dal piano, individuando gli eventi probabili che, nel verificarsi, possano produrre effetti indesiderati rilevanti e le eventuali azioni di mitigazione individuate da adottare.
Accreditamento al marketplace
I soggetti, pubblici o privati, che intendono erogare il servizio di conservazione in esame possono richiedere l’iscrizione al marketplace per i servizi di conservazione, che sarà istituito da AGID come sezione autonoma del Cloud Marketplace e dalla stessa Agenzia vigilato. Salvo i casi di cancellazione, l’iscrizione ha durata pari a 48 mesi e non risulta obbligatoria, prevedendosi che le amministrazioni possono avvalersi di conservatori non iscritti purché le stesse trasmettano ad AGIS i relativi contratti entro trenta giorni dalla stipula affinché l’Agenzia possa svolgere le necessarie attività di verifica circa il rispetto dei requisiti richiesti.