Conservazione dei documenti informatici: pubblicato dall’Agid il regolamento sui criteri per la fornitura di servizi di conservazione

pubblicato il: 26 Novembre 2021

Con Determinazione n. 455/2021 è stato adottato il Regolamento che definisce i nuovi criteri per la fornitura del servizio di conservazione dei documenti informatici, fissando in un apposito allegato i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione necessari per la fornitura del servizio.

Il Regolamento integra  quanto già definito nell’ambito delle Linee guida sulla formazione, gestione e conservazione del documento informatico, emanate a settembre 2020.

Composto di due allegati tecnici, il Regolamento è emanato secondo quanto previsto dall’articolo 34, comma 1-bis del decreto legislativo n. 82/2005, come integrato e modificato dal Decreto Semplificazione (D.L. 76/2020), convertito con Legge n. 120/2020 ed entrerà in vigore il 1° gennaio 2022, data a partire dalla quale è abrogata la circolare n. 65/2014.

 Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici

Sommario

Premessa……………………………………………………………………………………………………………3

Articolo 1 – Oggetto ed ambito di applicazione ………………………………………………4

Articolo 2 – Requisiti di qualità, di sicurezza e organizzazione ……………………4

Articolo 3 – Istituzione di un marketplace per i servizi di conservazione ……5

Articolo 4 – Iscrizione al marketplace per i servizi di conservazione e verifica dei requisiti…5

Articolo 5 – Cancellazione dal marketplace…………………………………………………….6

Articolo 6 – Durata dell’iscrizione al marketplace dei servizi di conservazione………………….6

Articolo 7 – Verifica dei requisiti dei conservatori non iscritti al marketplace …………………..7

Articolo 8 – Schema per la stesura del piano di cessazione del servizio di conservazione…..7

Articolo 9 – Disposizioni transitorie e finali……………………………………………………..8

Allegati………………………………………………………………………………………………………………..9

Premessa

Il Decreto Semplificazione (D.L. 76/2020), convertito con Legge n. 120/2020, ha apportato numerose modifiche al Codice dell’amministrazione digitale (CAD), tra cui alcune relative al servizio di conservazione dei documenti informatici. In particolare l’articolo 34, comma 1-bis, prevede che: “Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici: a) all’interno della propria struttura organizzativa; b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati che possiedono i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida di cui all’art 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, avuto riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione.”.

La conservazione dei documenti informatici per conto delle pubbliche amministrazioni da parte di soggetti esterni deve, quindi, uniformarsi – nel rispetto della disciplina europea – alle Linee guida sulla formazione, gestione e conservazione dei documenti informatici nonché ad un regolamento, adottati entrambi dall’Agenzia per l’Italia digitale (AgID), che segnano il superamento del precedente meccanismo di accreditamento dei conservatori. In quest’ottica, il presente regolamento determina i nuovi criteri per la fornitura del servizio di conservazione dei documenti informatici, fissando in un apposito allegato i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione necessari per la fornitura del servizio, ad integrazione quanto già definito nell’ambito delle Linee guida sulla formazione, gestione e conservazione del documento informatico, emanate a settembre 2020. Il regolamento prevede, altresì, l’istituzione di un marketplace per i servizi di conservazione quale sezione autonoma del Cloud Marketplace cui possono iscriversi i soggetti, pubblici e privati, che intendono erogare il servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni. L’iscrizione al marketplace non è obbligatoria ma i conservatori che intendono partecipare a procedure di affidamento da parte delle pubbliche amministrazioni devono ugualmente possedere i requisiti previsti nel presente regolamento e sono sottoposti all’attività di vigilanza di AgID.

Articolo 1 – Oggetto ed ambito di applicazione

1) Il presente regolamento e i relativi allegati individuano, nel rispetto della disciplina europea e in attuazione dell’art. 34, comma 1-bis, lett. b) del decreto legislativo 7 marzo 2005, n. 82 (d’ora in poi “CAD”), i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione che devono possedere i soggetti, pubblici e privati, ai fini dello svolgimento del servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni. Restano esclusi i servizi di conservazione a lungo termine disciplinati dal Codice dei Beni Culturali e le conseguenti attività di vigilanza e sanzionamento.

2) Ai sensi degli artt. 34 e 44 del CAD, e in conformità alle Linee guida di AgID sulla formazione, gestione e conservazione del documento informatico, la conservazione dei documenti informatici deve avvenire in modo che:

a) il sistema di conservazione assicuri, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità;

b) i soggetti, pubblici o privati, che erogano il servizio di conservazione per conto delle pubbliche amministrazioni, offrano idonee garanzie organizzative, tecnologiche e di protezione dei dati personali e assicurino la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione.

3) Il presente regolamento e i relativi allegati, per le finalità indicate al comma 1, definiscono, altresì, la procedura per l’iscrizione al marketplace dei “servizi di conservazione” quale sezione autonoma del Cloud Marketplace.

Articolo 2 – Requisiti di qualità, di sicurezza e organizzazione

1) I soggetti che intendono erogare il servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni devono possedere i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione specificati all’interno dell’allegato A al presente regolamento, denominato “Requisiti per l’erogazione del servizio di conservazione per conto delle pubbliche amministrazioni”.

2) Il possesso dei predetti requisiti è condizione per l’iscrizione nella sezione “servizi di conservazione” del Cloud Marketplace di cui all’art. 3 del presente regolamento.

Articolo 3 – Istituzione di un marketplace per i servizi di conservazione

1) I soggetti, pubblici o privati, che intendono erogare il servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni possono richiedere l’iscrizione al marketplace per i servizi di conservazione, che sarà istituito da AgID come sezione autonoma del Cloud Marketplace, disciplinato dalle Circolari AgID n. 2 e n. 3 del 9 aprile 2018.

2) L’iscrizione alla sezione servizi di conservazione del Cloud Marketplace non è obbligatoria. Le amministrazioni possono avvalersi di conservatori non iscritti nel rispetto di quanto previsto all’articolo 7 del presente regolamento.

Articolo 4 – Iscrizione al marketplace per i servizi di conservazione e verifica dei requisiti

1) Il conservatore interessato all’iscrizione alla sezione “servizi di conservazione” del Cloud Marketplace provvede a trasmettere apposita richiesta secondo le modalità previste dalle Circolari AgID n. 2 e n. 3 del 9 aprile 2018 per l’iscrizione al Cloud Marketplace.

2) AgID provvede sulla richiesta di iscrizione entro trenta giorni dalla sua ricezione a seguito di verifica formale della documentazione prevista dall’allegato A e dall’allegato B al presente regolamento.

3) In caso di documentazione erronea o incompleta AgID comunica al conservatore interessato i motivi che ostano all’accoglimento della richiesta di iscrizione. In tal caso, il termine di trenta giorni di cui al comma precedente è sospeso e inizia nuovamente a decorrere dalla ricezione della documentazione richiesta al conservatore interessato.

4) L’Agenzia potrà verificare in ogni momento il possesso dei requisiti previsti per l’iscrizione nella sezione autonoma del Cloud Marketplace, secondo le modalità previste dal regolamento recante le modalità per la vigilanza ai sensi dell’art. 14-bis comma 2, lett. i) e per l’esercizio del potere sanzionatorio ai sensi dell’art. 32-bis del d. lgs. 7 marzo 2005, n. 82 e successive modificazioni. Le verifiche potranno essere avviate anche sulla base di segnalazioni formali indirizzate all’Agenzia da parte dell’Amministrazione cliente/utente del servizio di conservazione. L’Agenzia si riserva la facoltà di avvalersi di soggetti terzi per l’espletamento delle attività di verifica. Qualora durante le attività di verifica dovessero emergere elementi relativi a possibili violazioni della normativa sulla privacy, l’Agenzia ne informa tempestivamente il Garante per la protezione dei dati personali.

5) Il conservatore interessato si impegna a comunicare tempestivamente all’Agenzia ogni evento che modifichi il rispetto dei requisiti di cui all’allegato A al presente regolamento, in un momento successivo alla richiesta di iscrizione alla sezione “servizi di conservazione” del Cloud Marketplace. In ogni caso, spetta al Conservatore assicurarsi che la validità delle certificazioni persista per tutta la durata dell’iscrizione.

Articolo 5 – Cancellazione dal marketplace

1) L’Agenzia, nel caso di:

a) insussistenza, al momento della richiesta di iscrizione, di almeno uno dei requisiti di cui all’allegato A, accertata a seguito della verifica di cui all’art. 4, comma 4;

b) perdita di almeno uno dei requisiti di cui all’allegato A;

c) riscontro da parte dei competenti organi di violazioni di norme relative al servizio di conservazione;

comunica al conservatore il preavviso di cancellazione dalla sezione “servizi di conservazione” del Cloud Marketplace con previsione di un termine di 30 giorni per le eventuali controdeduzioni. Nel caso di infruttuoso esperimento del termine o mancato accoglimento delle controdeduzioni presentate, l’Agenzia procede, con provvedimento motivato, alla cancellazione del conservatore interessato dalla sezione “servizi di conservazione” del Cloud Marketplace disponendo in ordine alla relativa pubblicità del provvedimento.

2) Nei casi di cui al comma 1, il conservatore non può presentare una nuova richiesta di iscrizione se non siano venute meno le cause che hanno determinato la cancellazione.

3) Restano ferme le sanzioni comminabili da AgID ai sensi dell’art. 32-bis del CAD.

Articolo 6 – Durata dell’iscrizione al marketplace dei servizi di conservazione

1) Salvo i casi di cancellazione, l’iscrizione alla sezione “servizi di conservazione” del Cloud Marketplace ha durata pari a 48 mesi a decorrere dalla data di iscrizione.

2) Nei 60 giorni precedenti alla scadenza dell’iscrizione, il conservatore provvede a fornire, tramite la piattaforma AgID dedicata, le informazioni e la documentazione qualora modificate, e una dichiarazione che attesta che non è occorso altro o, in assenza di modifiche, alcun evento che abbia modificato il rispetto dei requisiti di cui all’allegato “A” al presente regolamento. Per effetto della corretta acquisizione tramite la piattaforma AgID dedicata, delle informazioni, della documentazione e della dichiarazione di cui al periodo precedente, l’iscrizione è rinnovata automaticamente per ulteriori 48 mesi.

3) L’Agenzia si riserva di effettuare le verifiche previste all’articolo 4, comma 4, del presente regolamento.

Articolo 7 – Verifica dei requisiti dei conservatori non iscritti al marketplace

1) Le amministrazioni che affidano il servizio di conservazione dei documenti informatici a soggetti non iscritti nella sezione “servizi di conservazione” del Cloud Marketplace hanno l’obbligo di trasmettere ad AgID i relativi contratti entro trenta giorni dalla stipula affinché l’Agenzia possa svolgere le attività di verifica dei requisiti generali nonché dei requisiti di qualità, di sicurezza e organizzazione di cui all’allegato A al presente regolamento.

2) L’Agenzia, fatte salve le sanzioni comminabili ai sensi dell’art. 32-bis del CAD, comunica senza indugio l’esito delle verifiche di cui al comma precedente all’amministrazione interessata che adotterà i provvedimenti conseguenti.

Articolo 8 – Schema per la stesura del piano di cessazione del servizio di conservazione

1) Il piano di cessazione, che deve essere allegato alla richiesta di iscrizione alla sezione “servizi di conservazione” del Cloud Marketplace, fa parte degli elementi di valutazione del possesso dei requisiti ed è valutato in base alla sua conformità ai contenuti indicati nell’allegato B.

2) Entro il ventesimo giorno da ogni eventuale modifica o integrazione, la nuova versione del piano di cessazione deve essere trasmesso ad AgID per l’approvazione.

3) Il Conservatore di documenti informatici che intende cessare l’attività di conservazione avvia tale procedura dandone comunicazione ad AgID e all’amministrazione committente almeno 60 giorni prima della data di cessazione

4) La comunicazione, predisposta in formato elettronico e firmata digitalmente dal legale rappresentante del conservatore, è trasmessa con strumenti idonei alla verifica della consegna ed è corredata dal documento di programmazione delle attività di cessazione.

5) Lo schema riportato nell’allegato B ha lo scopo di guidare il conservatore di documenti informatici nella stesura del piano di cessazione, garantendo omogeneità di struttura e completezza delle informazioni necessarie per la corretta conduzione delle attività per la cessazione del servizio di conservazione.

Articolo 9 – Disposizioni transitorie e finali

1) Il presente regolamento è pubblicato sulla sezione Trasparenza del sito istituzionale dell’AgID, e della pubblicazione è data notizia sulla Gazzetta Ufficiale.

2) Il presente regolamento entra in vigore il 1° gennaio 2022 e, a partire da quella data, è abrogata la circolare AgID 10 aprile 2014, n. 65 “Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici”.

3) I contratti in essere alla data di entrata in vigore del presente regolamento, rimangono validi sino al termine di scadenza previsto, fatta salva la facoltà dell’amministrazione di verificare il possesso dei requisiti di cui all’allegato A al presente regolamento e richiedere ai conservatori di acquisire, entro un congruo termine, uno o più requisiti eventualmente mancanti.

Allegato A   Al Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici

REQUISITI PER L’EROGAZIONE DEL SERVIZIO DI CONSERVAZIONE PER CONTO DELLE PUBBLICHE AMMINISTRAZIONI

Finalità e principi generali

Il presente allegato individua i requisiti generali nonché i requisiti di qualità, sicurezza e organizzazione che devono possedere i soggetti, pubblici e privati, ai fini dello svolgimento del servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni.

Il soggetto che intende erogare il servizio di conservazione per conto delle pubbliche amministrazioni deve avvalersi di un sistema di conservazione che assicuri e garantisca quanto previsto dalle Linee guida sulla formazione, gestione e conservazione dei documenti informatici e dall’art. 44, comma 1ter, del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni (Codice dell’Amministrazione Digitale – CAD). Chi intende fornire i servizi di conservazione in modalità cloud per conto delle pubbliche amministrazioni deve possedere, oltre ai requisiti prescritti nel presente allegato, anche la qualificazione prevista dall’art. 4 della Circolare AgID n. 3 del 9 aprile 2018. I requisiti individuati nel presente allegato devono essere posseduti per l’accesso e la permanenza nel marketplace dei servizi di conservazione o, per i conservatori non iscritti al marketplace, per la partecipazione alle procedure di affidamento.

Requisiti per i servizi di Conservazione Requisiti generali

Il servizio di conservazione espone opportune Application Programming Interface (API) di tipo SOAP e/o REST associate alle funzionalità di versamento e esibizione; può documentare eventuali ulteriori API sviluppate nel proprio manuale. Il servizio di conservazione è integrato con il Servizio Pubblico di Identità Digitale o Carta di Identità Elettronica o altre identità digitali europee notificate; La struttura descrittiva dell’indice del pacchetto di archiviazione del sistema di conservazione è conforme allo standard UNI 11386 Standard SInCRO, Supporto all’Interoperabilità̀nella Conservazione e nel Recupero degli Oggetti digitali;

Il servizio erogato è conforme al modello di riferimento OAIS Reference Model for an Open Archivial Information System definito nello standard ISO 14721; Il servizio erogato è conforme allo standard ISO 16363 Space data and information transfer systems — Audit and certification of trustworthy digital repositories; Fino al 31/12/2022, il servizio erogato dovrà essere conforme allo standard ETSI TS 101 533-1, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni. Il requisito del supporto della TS 101 533-1 si considera soddisfatto se il conservatore è conforme alla TS 119 511. Il servizio erogato è conforme allo standard ETSI EN 319 401, con l’adozione di criteri derivanti dallo standard ETSI TS 119 511 e da tutte le norme richiamate applicabili; Il Conservatore deve possedere una descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate, delle procedure di gestione e di evoluzione delle medesime, delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie. Inoltre, deve possedere una descrizione delle procedure di accesso, ricerca, recupero e uso, e loro monitoraggio degli archivi nel rispetto della normativa sulla protezione dei dati personali. Il Conservatore deve possedere o deve rappresentare di aver avviato il processo per la certificazione alla norma UNI 37001 riguardo l’anticorruzione policy, ovvero il sistema di gestione per la prevenzione della corruzione.

Requisiti di Qualità

Il Conservatore deve possedere la certificazione ISO 9001 sistemi di gestione per la qualità – requisiti, rilasciata specificatamente per i servizi di conservazione di documenti informatici; in alternativa è possibile possedere la certificazione ISO 20000 Informatione tecnology – service management – service management system requirement; Il Conservatore dettaglia le procedure per garantire la corretta cessazione e migrazione del servizio di conservazione secondo quanto previsto dall’allegato B, piano di cessazione;

Il Conservatore deve rendere disponibile, su richiesta, un account di test utilizzabile da AgID per effettuare ogni tipo di verifica che si renderà necessaria per il mantenimento della qualificazione.

Requisiti di sicurezza

Il Conservatore deve possedere la certificazione ISO 27001 Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti, rilasciata specificatamente per i servizi di conservazione di documenti informatici; Il Conservatore sottopone le componenti del sistema di conservazione ai test OWASP avendole sviluppate in applicazione delle linee guida per lo sviluppo del software sicuro nella Pubblica Amministrazione emanate da AgID. Il Conservatore, in aggiunta, può anche sottoporre le componenti ai test VA-PT; Il Conservatore garantisce che i servizi offerti sono soggetti ad opportuni processi di gestione della continuità operativa (business continuity) in cui sono previste azioni orientate al ripristino dell’operatività del servizio e dei dati da esso gestiti al verificarsi di eventi catastrofici/imprevisti, specificando l’applicazione delle buone pratiche presenti nello standard ISO/IEC 22313.

Requisiti di organizzazione

Il Conservatore deve possedere le competenze necessarie per l’erogazione dei servizi di conservazione e nello specifico almeno le figure professionali come di seguito elencate, il cui dettaglio è contenuto in Appendice al seguente documento: Responsabile servizio di conservazione; Responsabile della funzione archivistica di conservazione. Il Conservatore deve possedere una polizza assicurativa (o certificato provvisorio impegnativo) stipulata per la copertura dei rischi dell’attività e dei danni causati a terzi, rilasciata da una società di assicurazioni abilitata esercitare nel campo dei rischi industriali a norma delle vigenti disposizioni, con una copertura minima di € 1.000.000 per annualità assicurativa con un minimale di € 300.000 per sinistro; Il Conservatore, se soggetto privato, deve essere iscritto nel registro delle imprese, o equivalente registro valido in ambito europeo, da una data non inferiore a novanta giorni rispetto a quella di presentazione della domanda;

Il Conservatore garantisce che il servizio di conservazione è conforme agli obblighi e agli adempimenti previsti dalla normativa europea e italiana in materia di protezione dei dati personali; Il Conservatore indica nella scheda di iscrizione la localizzazione dei data center utilizzati per erogare anche i servizi specificando quando la localizzazione sia all’interno del territorio nazionale, all’interno della UE o extra UE; Il Conservatore, in caso di localizzazione dei data center in territorio extra UE, è tenuto ad effettuare una Consultazione preventiva al Garante per la privacy ai sensi dell’articolo 36 del Regolamento (UE) 2016/679 (GDPR); Il Conservatore deve possedere il manuale di conservazione comprensivo del piano di sicurezza aggiornato con la descrizione del modello organizzativo; Il Conservatore deve svolgere una verifica periodica della conformità alle normative ed agli standard.

Appendice

Profili professionali Responsabile del servizio di conservazione:

• Definizione e attuazione delle politiche complessive del sistema di conservazione, nonché del governo della gestione del sistema di conservazione;

• definizione delle caratteristiche e dei requisiti del sistema di conservazione in conformità alla normativa vigente;

• corretta erogazione del servizio di conservazione all’ente produttore;

• gestione delle convenzioni, definizione degli aspetti tecnico-operativi e validazione dei disciplinari tecnici che specificano gli aspetti di dettaglio e le modalità operative di erogazione dei servizi di conservazione. Responsabile della funzione archivistica di conservazione:

• definizione e gestione del processo di conservazione, incluse le modalità di trasferimento da parte dell’ente produttore, di acquisizione, verifica di integrità e descrizione archivistica dei documenti e delle aggregazioni documentali trasferiti, di esibizione, di accesso e fruizione del patrimonio documentario e informativo conservato;

• definizione del set di metadati di conservazione dei documenti e dei fascicoli informatici;

• monitoraggio del processo di conservazione e analisi archivistica per lo sviluppo di nuove funzionalità del sistema di conservazione;

• collaborazione con l’ente produttore ai fini del trasferimento in conservazione, della selezione e della gestione dei rapporti con il Ministero dei beni e delle attività culturali per quanto di competenza.

About the Author

Marco Boni
Marco Boni
Ha ricoperto la posizione di responsabile dell’acquisizione di beni e servizi e delle attività economali a partire dal 1974, presso diverse aziende sanitarie. Da ultimo, sino al 2008, presso l’Azienda USL di Modena. Nel periodo agosto 2012 - luglio 2013 ha svolto le funzioni di provveditore a contratto presso l’Azienda USL di Rimini. Dal 1998 al 2004 è stato anche coordinatore amministrativo dell’unione di acquisto (prima in Italia, nell’ambito della pubblica amministrazione) realizzata tra le aziende sanitarie dell’area vasta Emilia nord. È stato consulente dell’Azienda Sanitaria Unica della Regione Marche per le attività di centralizzazione degli acquisti. Ha partecipato a gruppi di lavoro istituiti dalla Regione Emilia-Romagna per la predisposizione di normative e regolamenti di settore. Ha prodotto numerose pubblicazione sulle tematiche del public procurement. È co-autore del volume “L’acquisto dei farmaci in ospedale” I° e II° edizione – Aboutpharma Editore. È stato Presidente della Federazione delle Associazioni Regionali degli Economi Provveditori della sanità (FARE) dal 1993 al 2005. Ha svolto e svolge attività di consulenza e formazione, in ambito pubblico e privato. Giornalista pubblicista, è stato direttore responsabile delle rivista "TEME – Tecnica e metodologia economale". È articolista del “Sole 24 Ore Sanità", nonché direttore responsabile e articolista del periodico on line "News4market".