Determinazione AGID 25.06.2021, n. 455
Adozione del Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici e relativi allegati, ai sensi dell'art. 34, comma 1bis, lett. b).
Formula iniziale
Il Direttore Generale
Visti gli articoli 19 (Istituzione dell'Agenzia per l'Italia Digitale), 21 (Organi e statuto), 22 (Soppressione di DigitPA e dell'Agenzia per la diffusione delle tecnologie per l'innovazione; successione dei rapporti e individuazione delle effettive risorse umane e strumentali) del decreto- legge n. 83 del 22 giugno 2012, recante "Misure urgenti per la crescita del Paese", convertito, con modificazioni, nella legge n. 134 del 7 agosto 2012 e s.m.i. e l'articolo 14-bis (Agenzia per l'Italia digitale) del decreto legislativo n. 82 del 7 marzo 2005 (Codice dell'amministrazione digitale) e s.m.i.;
Visto il decreto del Presidente del Consiglio dei Ministri dell'8 gennaio 2014 (pubblicato sulla GURI n. 37 del 14 febbraio 2014), che ha approvato lo Statuto dell'Agenzia per l'Italia Digitale (AgID);
Visto il decreto del Presidente del Consiglio dei Ministri 9 gennaio 2015, pubblicato nella Gazzetta Ufficiale n. 82 del 9 aprile 2015, concernente la "Determinazione delle dotazioni delle risorse umane, finanziarie e strumentali dell'Agenzia per l'Italia digitale", adottato ai sensi dell'articolo 22, comma 6, del decreto-legge n. 83 del 2012;
Visto il decreto 20 aprile 2021 del Ministro per l'innovazione tecnologica e la transizione digitale, registrato dalla Corte dei Conti in data 28 aprile 2021 n.996, con il quale è confermato l'incarico di Direttore Generale dell'Agenzia per l'Italia digitale all'ing. Francesco Paorici, conferito con decreto del Presidente del Consiglio dei Ministri del 16 gennaio 2020, ai sensi dell'art.21, comma 2, del decreto legge 22 giugno 2012 n.83, convertito con modificazioni dalla legge 7 agosto 2012 n.134;
Visto l'art. 34, comma 1bis, lett. b), del decreto legislativo n. 82/2005, come integrato e modificato dall'art. 25, comma 1, lett. e), del decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, in base al quale le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici "affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati che possiedono i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida di cui all'art. 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, avuto riguardo all'esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione.";
Considerate le esigenze di integrare le disposizioni contenute nelle «Linee guida sulla formazione, gestione e conservazione dei documenti informatici», la cui applicazione è prevista a partire dal 1° gennaio 2022, e di fissare nuove regole per l'individuazione dei requisiti per la fornitura dei servizi di conservazione dei documenti informatici e il definitivo superamento della procedura di accreditamento dei conservatori;
Determina
1. di adottare il Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici e i relativi allegati, che formano parte integrante della presente determinazione;
2. di autorizzare la pubblicazione del suddetto Regolamento e dei relativi allegati sulla sezione Trasparenza del sito istituzionale di AgID.
3. di autorizzare la pubblicazione del comunicato di adozione del suddetto Regolamento e dei relativi allegati sulla Gazzetta Ufficiale.
Allegato - Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici
Premessa
Il Decreto Semplificazione (D.L. 76/2020), convertito con Legge n. 120/2020, ha apportato numerose modifiche al Codice dell'amministrazione digitale (CAD), tra cui alcune relative al servizio di conservazione dei documenti informatici. In particolare l'articolo 34, comma 1-bis, prevede che:
"Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici:
a) all'interno della propria struttura organizzativa;
b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati che possiedono i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida di cui all'art 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, avuto riguardo all'esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione.".
La conservazione dei documenti informatici per conto delle pubbliche amministrazioni da parte di soggetti esterni deve, quindi, uniformarsi - nel rispetto della disciplina europea - alle Linee guida sulla formazione, gestione e conservazione dei documenti informatici nonché ad un regolamento, adottati entrambi dall'Agenzia per l'Italia digitale (AgID), che segnano il superamento del precedente meccanismo di accreditamento dei conservatori.
In quest'ottica, il presente regolamento determina i nuovi criteri per la fornitura del servizio di conservazione dei documenti informatici, fissando in un apposito allegato i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione necessari per la fornitura del servizio, ad integrazione quanto già definito nell'ambito delle Linee guida sulla formazione, gestione e conservazione del documento informatico, emanate a settembre 2020.
Il regolamento prevede, altresì, l'istituzione di un marketplace per i servizi di conservazione quale sezione autonoma del Cloud Marketplace cui possono iscriversi i soggetti, pubblici e privati, che intendono erogare il servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni. L'iscrizione al marketplace non è obbligatoria ma i conservatori che intendono partecipare a procedure di affidamento da parte delle pubbliche amministrazioni devono ugualmente possedere i requisiti previsti nel presente regolamento e sono sottoposti all'attività di vigilanza di AgID.
Articolo 1 - Oggetto ed ambito di applicazione
1) Il presente regolamento e i relativi allegati individuano, nel rispetto della disciplina europea e in attuazione dell'art. 34, comma 1-bis, lett. b) del decreto legislativo 7 marzo 2005, n. 82 (d'ora in poi "CAD"), i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione che devono possedere i soggetti, pubblici e privati, ai fini dello svolgimento del servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni. Restano esclusi i servizi di conservazione a lungo termine disciplinati dal Codice dei Beni Culturali e le conseguenti attività di vigilanza e sanzionamento.
2) Ai sensi degli artt. 34 e 44 del CAD, e in conformità alle Linee guida di AgID sulla formazione, gestione e conservazione del documento informatico, la conservazione dei documenti informatici deve avvenire in modo che:
a) il sistema di conservazione assicuri, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità;
b) i soggetti, pubblici o privati, che erogano il servizio di conservazione per conto delle pubbliche amministrazioni, offrano idonee garanzie organizzative, tecnologiche e di protezione dei dati personali e assicurino la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione.
3) Il presente regolamento e i relativi allegati, per le finalità indicate al comma 1, definiscono, altresì, la procedura per l'iscrizione al marketplace dei "servizi di conservazione" quale sezione autonoma del Cloud Marketplace.
Articolo 2 - Requisiti di qualità, di sicurezza e organizzazione
1) I soggetti che intendono erogare il servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni devono possedere i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione specificati all'interno dell'allegato A al presente regolamento, denominato "Requisiti per l'erogazione del servizio di conservazione per conto delle pubbliche amministrazioni".
2) Il possesso dei predetti requisiti è condizione per l'iscrizione nella sezione "servizi di conservazione" del Cloud Marketplace di cui all'art. 3 del presente regolamento.
Articolo 3 - Istituzione di un marketplace per i servizi di conservazione
1) I soggetti, pubblici o privati, che intendono erogare il servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni possono richiedere l'iscrizione al marketplace per i servizi di conservazione, che sarà istituito da AgID come sezione autonoma del Cloud Marketplace, disciplinato dalle Circolari AgID n. 2 e n. 3 del 9 aprile 2018.
2) L'iscrizione alla sezione servizi di conservazione del Cloud Marketplace non è obbligatoria. Le amministrazioni possono avvalersi di conservatori non iscritti nel rispetto di quanto previsto all'articolo 7 del presente regolamento.
Articolo 4 - Iscrizione al marketplace per i servizi di conservazione e verifica dei requisiti
1) Il conservatore interessato all'iscrizione alla sezione "servizi di conservazione" del Cloud Marketplace provvede a trasmettere apposita richiesta secondo le modalità previste dalle Circolari AgID n. 2 e n. 3 del 9 aprile 2018 per l'iscrizione al Cloud Marketplace.
2) AgID provvede sulla richiesta di iscrizione entro trenta giorni dalla sua ricezione a seguito di verifica formale della documentazione prevista dall'allegato A e dall'allegato B al presente regolamento.
3) In caso di documentazione erronea o incompleta AgID comunica al conservatore interessato i motivi che ostano all'accoglimento della richiesta di iscrizione. In tal caso, il termine di trenta giorni di cui al comma precedente è sospeso e inizia nuovamente a decorrere dalla ricezione della documentazione richiesta al conservatore interessato.
4) L'Agenzia potrà verificare in ogni momento il possesso dei requisiti previsti per l'iscrizione nella sezione autonoma del Cloud Marketplace, secondo le modalità previste dal regolamento recante le modalità per la vigilanza ai sensi dell'art. 14-bis comma 2, lett. i) e per l'esercizio del potere sanzionatorio ai sensi dell'art. 32-bis del d. lgs. 7 marzo 2005, n. 82 e successive modificazioni. Le verifiche potranno essere avviate anche sulla base di segnalazioni formali indirizzate all'Agenzia da parte dell'Amministrazione cliente/utente del servizio di conservazione. L'Agenzia si riserva la facoltà di avvalersi di soggetti terzi per l'espletamento delle attività di verifica. Qualora durante le attività di verifica dovessero emergere elementi relativi a possibili violazioni della normativa sulla privacy, l'Agenzia ne informa tempestivamente il Garante per la protezione dei dati personali.
5) Il conservatore interessato si impegna a comunicare tempestivamente all'Agenzia ogni evento che modifichi il rispetto dei requisiti di cui all'allegato A al presente regolamento, in un momento successivo alla richiesta di iscrizione alla sezione "servizi di conservazione" del Cloud Marketplace. In ogni caso, spetta al Conservatore assicurarsi che la validità delle certificazioni persista per tutta la durata dell'iscrizione.
Articolo 5 - Cancellazione dal marketplace
1) L'Agenzia, nel caso di:
a) insussistenza, al momento della richiesta di iscrizione, di almeno uno dei requisiti di cui all'allegato A, accertata a seguito della verifica di cui all'art. 4, comma 4;
b) perdita di almeno uno dei requisiti di cui all'allegato A;
c) riscontro da parte dei competenti organi di violazioni di norme relative al servizio di conservazione;
comunica al conservatore il preavviso di cancellazione dalla sezione "servizi di conservazione" del Cloud Marketplace con previsione di un termine di 30 giorni per le eventuali controdeduzioni. Nel caso di infruttuoso esperimento del termine o mancato accoglimento delle controdeduzioni presentate, l'Agenzia procede, con provvedimento motivato, alla cancellazione del conservatore interessato dalla sezione "servizi di conservazione" del Cloud Marketplace disponendo in ordine alla relativa pubblicità del provvedimento.
2) Nei casi di cui al comma 1, il conservatore non può presentare una nuova richiesta di iscrizione se non siano venute meno le cause che hanno determinato la cancellazione.
3) Restano ferme le sanzioni comminabili da AgID ai sensi dell'art. 32-bis del CAD.
Articolo 6 - Durata dell'iscrizione al marketplace dei servizi di conservazione
1) Salvo i casi di cancellazione, l'iscrizione alla sezione "servizi di conservazione" del Cloud Marketplace ha durata pari a 48 mesi a decorrere dalla data di iscrizione.
2) Nei 60 giorni precedenti alla scadenza dell'iscrizione, il conservatore provvede a fornire, tramite la piattaforma AgID dedicata, le informazioni e la documentazione qualora modificate, e una dichiarazione che attesta che non è occorso altro o, in assenza di modifiche, alcun evento che abbia modificato il rispetto dei requisiti di cui all'allegato "A" al presente regolamento. Per effetto della corretta acquisizione tramite la piattaforma AgID dedicata, delle informazioni, della documentazione e della dichiarazione di cui al periodo precedente, l'iscrizione è rinnovata automaticamente per ulteriori 48 mesi.
3) L'Agenzia si riserva di effettuare le verifiche previste all'articolo 4, comma 4, del presente regolamento.
Articolo 7 - Verifica dei requisiti dei conservatori non iscritti al marketplace
1) Le amministrazioni che affidano il servizio di conservazione dei documenti informatici a soggetti non iscritti nella sezione "servizi di conservazione" del Cloud Marketplace hanno l'obbligo di trasmettere ad AgID i relativi contratti entro trenta giorni dalla stipula affinché l'Agenzia possa svolgere le attività di verifica dei requisiti generali nonché dei requisiti di qualità, di sicurezza e organizzazione di cui all'allegato A al presente regolamento.
2) L'Agenzia, fatte salve le sanzioni comminabili ai sensi dell'art. 32-bis del CAD, comunica senza indugio l'esito delle verifiche di cui al comma precedente all'amministrazione interessata che adotterà i provvedimenti conseguenti.
Articolo 8 - Schema per la stesura del piano di cessazione del servizio di conservazione
1) Il piano di cessazione, che deve essere allegato alla richiesta di iscrizione alla sezione "servizi di conservazione" del Cloud Marketplace, fa parte degli elementi di valutazione del possesso dei requisiti ed è valutato in base alla sua conformità ai contenuti indicati nell'allegato B.
2) Entro il ventesimo giorno da ogni eventuale modifica o integrazione, la nuova versione del piano di cessazione deve essere trasmesso ad AgID per l'approvazione.
3) Il Conservatore di documenti informatici che intende cessare l'attività di conservazione avvia tale procedura dandone comunicazione ad AgID e all'amministrazione committente almeno 60 giorni prima della data di cessazione.
4) La comunicazione, predisposta in formato elettronico e firmata digitalmente dal legale rappresentante del conservatore, è trasmessa con strumenti idonei alla verifica della consegna ed è corredata dal documento di programmazione delle attività di cessazione.
5) Lo schema riportato nell'allegato B ha lo scopo di guidare il conservatore di documenti informatici nella stesura del piano di cessazione, garantendo omogeneità di struttura e completezza delle informazioni necessarie per la corretta conduzione delle attività per la cessazione del servizio di conservazione.
Articolo 9 - Disposizioni transitorie e finali
1) Il presente regolamento è pubblicato sulla sezione Trasparenza del sito istituzionale dell'AgID, e della pubblicazione è data notizia sulla Gazzetta Ufficiale.
2) Il presente regolamento entra in vigore il 1° gennaio 2022 e, a partire da quella data, è abrogata la circolare AgID 10 aprile 2014, n. 65 "Modalità per l'accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici".
3) I contratti in essere alla data di entrata in vigore del presente regolamento, rimangono validi sino al termine di scadenza previsto, fatta salva la facoltà dell'amministrazione di verificare il possesso dei requisiti di cui all'allegato A al presente regolamento e richiedere ai conservatori di acquisire, entro un congruo termine, uno o più requisiti eventualmente mancanti.
Allegato A - Requisiti per l'erogazione del servizio di conservazione per conto delle pubbliche amministrazioni
Finalità e principi generali
Il presente allegato individua i requisiti generali nonché i requisiti di qualità, sicurezza e organizzazione che devono possedere i soggetti, pubblici e privati, ai fini dello svolgimento del servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni.
Il soggetto che intende erogare il servizio di conservazione per conto delle pubbliche amministrazioni deve avvalersi di un sistema di conservazione che assicuri e garantisca quanto previsto dalle Linee guida sulla formazione, gestione e conservazione dei documenti informatici e dall'art. 44, comma 1ter, del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni (Codice dell'Amministrazione Digitale - CAD).
Chi intende fornire i servizi di conservazione in modalità cloud per conto delle pubbliche amministrazioni deve possedere, oltre ai requisiti prescritti nel presente allegato, anche la qualificazione prevista dall'art. 4 della Circolare AgID n. 3 del 9 aprile 2018.
I requisiti individuati nel presente allegato devono essere posseduti per l'accesso e la permanenza nel marketplace dei servizi di conservazione o, per i conservatori non iscritti al marketplace, per la partecipazione alle procedure di affidamento.
Requisiti per i servizi di Conservazione
Requisiti generali
RG1. Il servizio di conservazione espone opportune Application Programming Interface (API) di tipo SOAP e/o REST associate alle funzionalità di versamento e esibizione; può documentare eventuali ulteriori API sviluppate nel proprio manuale.
RG2. Il servizio di conservazione è integrato con il Servizio Pubblico di Identità Digitale o Carta di Identità Elettronica o altre identità digitali europee notificate;
RG3. La struttura descrittiva dell'indice del pacchetto di archiviazione del sistema di conservazione è conforme allo standard UNI 11386 Standard SInCRO, Supporto all'Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali;
RG4. Il servizio erogato è conforme al modello di riferimento OAIS Reference Model for an Open Archivial Information System definito nello standard ISO 14721;
RG5. Il servizio erogato è conforme allo standard ISO 16363 Space data and information transfer systems - Audit and certification of trustworthy digital repositories;
RG6. Fino al 31/12/2022, il servizio erogato dovrà essere conforme allo standard ETSI TS 101 533-1, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni. Il requisito del supporto della TS 101 533-1 si considera soddisfatto se il conservatore è conforme alla TS 119 511.
RG7. Il servizio erogato è conforme allo standard ETSI EN 319 401, con l'adozione di criteri derivanti dallo standard ETSI TS 119 511 e da tutte le norme richiamate applicabili;
RG8. Il Conservatore deve possedere una descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate, delle procedure di gestione e di evoluzione delle medesime, delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull'integrità degli archivi con l'evidenza delle soluzioni adottate in caso di anomalie. Inoltre, deve possedere una descrizione delle procedure di accesso, ricerca, recupero e uso, e loro monitoraggio degli archivi nel rispetto della normativa sulla protezione dei dati personali.
RG9. Il Conservatore deve possedere o deve rappresentare di aver avviato il processo per la certificazione alla norma UNI 37001 riguardo l'anticorruzione policy, ovvero il sistema di gestione per la prevenzione della corruzione.
Requisiti di Qualità
RQ1. Il Conservatore deve possedere la certificazione ISO 9001 sistemi di gestione per la qualità - requisiti, rilasciata specificatamente per i servizi di conservazione di documenti informatici; in alternativa è possibile possedere la certificazione ISO 20000 Informatione tecnology - service management - service management system requirement;
RQ2. Il Conservatore dettaglia le procedure per garantire la corretta cessazione e migrazione del servizio di conservazione secondo quanto previsto dall'allegato B, piano di cessazione;
RQ3. Il Conservatore deve rendere disponibile, su richiesta, un account di test utilizzabile da AgID per effettuare ogni tipo di verifica che si renderà necessaria per il mantenimento della qualificazione.
Requisiti di sicurezza
RS1. Il Conservatore deve possedere la certificazione ISO 27001 Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti, rilasciata specificatamente per i servizi di conservazione di documenti informatici;
RS2. Il Conservatore sottopone le componenti del sistema di conservazione ai test OWASP avendole sviluppate in applicazione delle linee guida per lo sviluppo del software sicuro nella Pubblica Amministrazione emanate da AgID. Il Conservatore, in aggiunta, può anche sottoporre le componenti ai test VA-PT;
RS3. Il Conservatore garantisce che i servizi offerti sono soggetti ad opportuni processi di gestione della continuità operativa (business continuity) in cui sono previste azioni orientate al ripristino dell'operatività del servizio e dei dati da esso gestiti al verificarsi di eventi catastrofici/imprevisti, specificando l'applicazione delle buone pratiche presenti nello standard ISO/IEC 22313.
Requisiti di organizzazione
RO1. Il Conservatore deve possedere le competenze necessarie per l'erogazione dei servizi di conservazione e nello specifico almeno le figure professionali come di seguito elencate, il cui dettaglio è contenuto in Appendice al seguente documento:
- Responsabile servizio di conservazione;
- Responsabile della funzione archivistica di conservazione.
RO2. Il Conservatore deve possedere una polizza assicurativa (o certificato provvisorio impegnativo) stipulata per la copertura dei rischi dell'attività e dei danni causati a terzi, rilasciata da una società di assicurazioni abilitata esercitare nel campo dei rischi industriali a norma delle vigenti disposizioni, con una copertura minima di euro 1.000.000 per annualità assicurativa con un minimale di euro 300.000 per sinistro;
RO3. Il Conservatore, se soggetto privato, deve essere iscritto nel registro delle imprese, o equivalente registro valido in ambito europeo, da una data non inferiore a novanta giorni rispetto a quella di presentazione della domanda;
RO4. Il Conservatore garantisce che il servizio di conservazione è conforme agli obblighi e agli adempimenti previsti dalla normativa europea e italiana in materia di protezione dei dati personali;
RO5. Il Conservatore indica nella scheda di iscrizione la localizzazione dei data center utilizzati per erogare anche i servizi specificando quando la localizzazione sia all'interno del territorio nazionale, all'interno della UE o extra UE;
RO6. Il Conservatore, in caso di localizzazione dei data center in territorio extra UE, è tenuto ad effettuare una Consultazione preventiva al Garante per la privacy ai sensi dell'articolo 36 del Regolamento (UE) 2016/679 (GDPR);
RO7. Il Conservatore deve possedere il manuale di conservazione comprensivo del piano di sicurezza aggiornato con la descrizione del modello organizzativo;
RO8. Il Conservatore deve svolgere una verifica periodica della conformità alle normative ed agli standard.
Appendice
Profili professionali
Responsabile del servizio di conservazione:
- Definizione e attuazione delle politiche complessive del sistema di conservazione, nonché del governo della gestione del sistema di conservazione;
- definizione delle caratteristiche e dei requisiti del sistema di conservazione in conformità alla normativa vigente;
- corretta erogazione del servizio di conservazione all'ente produttore;
- gestione delle convenzioni, definizione degli aspetti tecnico-operativi e validazione dei disciplinari tecnici che specificano gli aspetti di dettaglio e le modalità operative di erogazione dei servizi di conservazione.
Responsabile della funzione archivistica di conservazione:
- Definizione e gestione del processo di conservazione, incluse le modalità di trasferimento da parte dell'ente produttore, di acquisizione, verifica di integrità e descrizione archivistica dei documenti e delle aggregazioni documentali trasferiti, di esibizione, di accesso e fruizione del patrimonio documentario e informativo conservato;
- definizione del set di metadati di conservazione dei documenti e dei fascicoli informatici;
- monitoraggio del processo di conservazione e analisi archivistica per lo sviluppo di nuove funzionalità del sistema di conservazione;
- collaborazione con l'ente produttore ai fini del trasferimento in conservazione, della selezione e della gestione dei rapporti con il Ministero dei beni e delle attività culturali per quanto di competenza.
Allegato B - Piano di cessazione del servizio di conservazione dei documenti digitali
1. Introduzione
Il presente Allegato B al Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici stabilisce le modalità per la stesura e la gestione del piano di cessazione del servizio di conservazione sia nel caso di cessazione volontaria che involontaria.
1.1 Requisiti del piano di cessazione
Il documento Technical Specification (TS), pubblicato da ETSI con l'identificativo ETSI TS 119 511, sui requisiti di policy e sicurezza per i trust service providers (TSP) che offrono servizi di conservazione a lungo termine delle firme digitali o, in generale, di dati che usano tecniche di firma digitale, al paragrafo 7.12 stabilisce i requisiti che riguardano il processo di cessazione, richiamando quelli indicati nella norma ETSI EN 319 401 paragrafo 7.12 relativi ai requisiti di policy generali per tutti i TSP, aggiungendo un ulteriore requisito che riguarda specificatamente i TSP che erogano servizi di conservazione di firma digitale o di dati che usano tecniche di firma digitale.
1.2 Tempistiche della procedura di cessazione
Il Conservatore di documenti informatici che intende cessare l'attività di conservazione avvia tale procedura dandone comunicazione ad AgID e all'Amministrazione committente almeno 60 giorni prima della data di cessazione.
La comunicazione, predisposta in formato elettronico e firmata digitalmente dal legale rappresentante del conservatore, è trasmessa con strumenti idonei alla verifica della consegna (es. PEC) ed è corredata dal documento di programmazione delle attività di cessazione.
1.3 Gestione del documento
Il piano di cessazione deve essere allegato alla domanda di iscrizione al marketplace per i servizi di conservazione dei documenti informatici. Il documento fa parte degli elementi di valutazione del possesso dei requisiti di qualità ed è valutato in base alla sua conformità ai contenuti indicati nei paragrafi successivi.
1.4 Schema del documento
Lo schema riportato in appendice ha lo scopo di guidare il conservatore di documenti informatici nella stesura del piano di cessazione garantendo omogeneità di struttura e completezza delle informazioni necessarie per la corretta conduzione delle attività per la cessazione del servizio di conservazione.
All'interno di ogni paragrafo è presente una descrizione sintetica delle informazioni da riportare.
Il piano di cessazione deve considerare sia il caso di cessazione volontaria che involontaria.
2. Appendice
Piano di Cessazione del Servizio di Conservazione
("Nome del soggetto")
Emissione del documento
| Azione | Data | Nominativo | Funzione |
|---|---|---|---|
| Redazione | |||
| Verifica | |||
| Approvazione |
Registro delle versioni e relative distribuzioni
| N°Ver/Rev/Bozza | Data emissione | Modifiche apportate | Osservazioni | Distribuito a |
|---|---|---|---|---|
1. Introduzione
Descrivere le finalità e gli argomenti contenuti nel documento.
Indicare i riferimenti delle organizzazioni e dei soggetti che sono responsabili della stesura e aggiornamento del documento e della sua esecuzione.
Indicare i riferimenti (nome, l'indirizzo di posta elettronica, il numero di telefono) del referente del documento e della sua area/ufficio.
2. Definizioni e acronimi
Riportare le definizioni dei termini utilizzati che possono essere fonte di ambiguità e gli acronimi presenti nel documento.
3. Riferimenti normativi
Si riporta di seguito un esempio di contenuto del paragrafo da aggiornare con le norme più recenti.
Normativa nazionale
- Decreto Legislativo 7 marzo 2005, n, 82, e s,m.i - Codice dell'Amministrazione Digitale (CAD);
- Linee guida sulla formazione, gestione e conservazione dei documenti informatici.
Normativa Europea
- Regolamento (UE) 2016/679 del Parlamento europeo del Consiglio, del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;
- Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014 (eIDAS), in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
Standard internazionali
- ISO/TR 18492 - Long-term preservation of electronic document-based information;
- ISO 14721 - Space data and information transfer systems - Open archival Information system (OAIS) - Reference model;
- UNI 11386 - Supporto all'Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali (SinCRO);
- ETSI TS 119 511;
- ETSI TS 119 512;
- ISAD (G) - General International Standard Archival Description.
- UNI ISO 31000 Gestione del rischio - Principi e linee guida.
4. Terze parti coinvolte
Indicare le terze parti coinvolte nell'assistere l'esecuzione della cessazione descrivendo il loro ruolo e l'ambito di competenza. Nel caso in cui ci si avvalga di tali soggetti per compiere operazioni che comportano il trattamento di dati personali, si evidenzia la necessità che tali soggetti siano individuati come Responsabili del trattamento, nel rispetto dei requisiti previsti dall'art. 28 del Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
5. Analisi dei rischi
Descrivere gli elementi dell'analisi dei rischi correlati al processo di cessazione previsto dal piano descrivendo gli eventi probabili che nel verificarsi possono produrre effetti indesiderati rilevanti e le eventuali azioni di mitigazione individuate da adottare.
Alcuni eventi possono derivare dalla gestione del sistema di conservazione nel corso dell'erogazione del servizio di conservazione e antecedente all'avvio del processo di cessazione, ad esempio:
- Grado di affidabilità dell'impianto tecnologico, livelli di aggiornamento e di sicurezza fisica e logica;
- attività di controllo continua;
- esecuzione di operazioni di migrazione per prevenire i rischi connessi all'obsolescenza HW/SW;
- presenza negli archivi di PDA non conformi o non più validi (MT scadute e non rinnovate);
Alcuni elementi di rischio del processo di cessazione possono invece essere:
- il grado di interoperabilità nei processi di migrazione ad altro sistema di conservazione;
- la leggibilità e autenticità dei dati migrati (rispettando i formati standard);
- la perdita di informazioni;
- azioni dolose da parte del personale interno.
Deve essere compiuta anche una valutazione specifica relativa ai rischi connessi al trattamento dei dati personali trattati nell'ambito del servizio, anche sulla base delle attività di analisi dei c.d. pacchetti di archiviazione (previste nel testo al paragrafo 7.5), in termini di tipologia di dati conservati (es: particolari categorie di dati personali o dati relativi a condanne penali e reati, contenuti nelle diverse tipologie documentali conservate).
La pianificazione dei rischi connessi alla cessazione dell'attività di conservazione dovrebbe prendere come riferimento di alto livello la norma UNI ISO 31000.
6. Programmazione delle attività di cessazione
Descrivere le modalità per la programmazione delle attività indicate nel capitolo successivo considerando le propedeuticità e stimando le durate.
La programmazione delle attività deve essere:
- predisposta, tenendo conto dei rischi correlati allo svolgimento delle attività;
- gestita, assegnando le risorse e le responsabilità di ogni attività, prevedendo che nel processo di cessazione sia coinvolto anche il responsabile per la protezione dei dati;
- monitorata e documentata.
Si può utilizzare una matrice delle assegnazioni responsabilità (RACI), in cui si individuano gli attori coinvolti, le fasi del processo e le responsabilità.
Indicare metodi e ruoli previsti per l'attività di verifica dell'esecuzione della programmazione delle attività di cessazione.
Rappresentare la programmazione con un Diagramma di GANTT o strumento analogo.
7. Descrizione del processo di cessazione
Nei paragrafi successivi sono riportate le principali attività di cui si compone il processo di cessazione che possono essere integrate/modificate sulla base dell'organizzazione e di esigenze specifiche del conservatore. Le descrizioni delle attività devono anche riportare le risorse utilizzate, i documenti in input, i documenti in output, la durata e la figura responsabile.
7.1 Avvio del processo
Indicare il processo di individuazione degli eventi potenziale causa di cessazione del servizio. Descrivere con una matrice di assegnazione delle responsabilità (tabella RACI) le attività e gli organi coinvolti per la valutazione degli eventi e per la decisione di avviare la procedura di cessazione e le modalità di comunicazione della decisione alle strutture preposte per la gestione delle fasi successive. Descrivere il processo di programmazione delle attività definendo le propedeuticità, i ruoli e le responsabilità e stimando le durate.
7.2 Comunicazione ai clienti del servizio
Indicare l'organo preposto alla comunicazione. Riportare i tempi, il contenuto e le modalità di comunicazione ai soggetti produttori dell'imminente cessazione del servizio di conservazione.
La comunicazione dovrà anche informare sulla possibilità da parte del cliente del servizio, se pubblica amministrazione, di avvalersi del conservatore, se proposto dal soggetto cessante, oppure di optare per il recupero e versamento a suo carico della documentazione conservata.
Per i clienti privati occorre indicare l'ulteriore opzione di continuare ad avvalersi del servizio senza che ci sia la presenza nel marketplace, previo accordo tra le parti.
7.3 Comunicazione ad AglD
Indicare l'organo preposto alla comunicazione. Riportare i tempi, il contenuto e le modalità di comunicazione ad AgID dell'imminente cessazione del servizio di conservazione.
7.4 Comunicazioni a eventuali terze parti coinvolte
Indicare l'organo preposto alla comunicazione. Riportare i tempi, il contenuto, l'elenco dei destinatari e le modalità di comunicazione dell'imminente cessazione del servizio di conservazione ai soggetti terzi.
7.5 Analisi preliminare dei pacchetti di archiviazione
Indicare i ruoli e responsabilità dell'attività. L'attività riguarda la mappatura degli archivi da rappresentare con elenchi di consistenza suddivisi per soggetti produttori in cui sono indicate almeno le seguenti informazioni: dimensioni complessive dei pacchetti di archiviazione, numero di documenti, numero di pagine e spazio di archiviazione, presenza di dati personali sensibili e sanitari associati alle diverse tipologie documentali. L'elenco di consistenza dovrà indicare, inoltre, la presenza di aggregazioni documentali per le quali è previsto un sistema di fascicolazione e di serie archivistiche. L'elenco di consistenza dovrà riportare, inoltre, il riferimento ad eventuali piani di classificazione e di scarto utilizzati per la gestione dei complessi documentari.
7.6 Trasferimento degli archivi di conservazione
Descrivere le procedure e gli aspetti tecnici e i tempi per la messa a disposizione degli archivi di conservazione.
Prevedere l'adozione di adeguate misure di sicurezza volte a garantire il rispetto dell'art. 32 del Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, avuto riguardo alla riservatezza, integrità e disponibilità dei dati contenuti nei documenti conservati.
Definire il processo di pianificazione delle attività di trasferimento degli archivi indicando le fasi che si prevedono, i tempi, i soggetti coinvolti e le responsabilità.
Si riporta di seguito un elenco non esaustivo delle attività da pianificare:
- Predisposizione della documentazione in cui sono definite le caratteristiche strutturali dei volumi da versare, le tipologie documentali, il contesto archivistico della documentazione versata, i metadati di conservazione e la struttura del sistema di conservazione che dovrà recepire i pacchetti versati;
- Verifica delle caratteristiche tecniche dei volumi da versare con particolare riferimento alle dimensioni e ai formati, definizione delle modalità di versamento al nuovo soggetto e delle responsabilità relative alla preparazione e manutenzione della struttura di interscambio;
- Valutazione delle tempistiche necessarie al download massivo dei pacchetti di archiviazione e condivisione delle tempistiche previste con il soggetto subentrante per il passaggio dei dati o caricamento nel sistema di interscambio e il versamento nel nuovo sistema di conservazione;
- Assegnazione e pianificazione delle attività ai soggetti coinvolti da entrambe le parti, verifica e approvazione del GANTT per il trasferimento.
7.7 Comunicazione delle modalità e tempistiche di trasferimento degli archivi
Descrivere le modalità e i contenuti della comunicazione da inviare ai soggetti produttori.
7.8 Predisposizione delle infrastrutture per la migrazione degli archivi
Descrivere le attività operative per la configurazione delle infrastrutture per la migrazione del contenuto degli archivi di conservazione.
7.9 Descrizione del processo di migrazione
Rappresentare il processo di migrazione degli archivi indicando le fasi previste e le relative descrizioni. Riportare anche le attività di controllo, da parte del conservatore cessante, sul contenuto degli archivi da trasferire al fine di dichiarare completata l'attività a cui seguirà la comunicazione al soggetto subentrante.
7.10 Trasferimento e presa in carico da parte del soggetto subentrante
Riportare la descrizione delle fasi previste per il trasferimento degli archivi al soggetto subentrante comprese le fasi di presa in carico e comunicazione del passaggio di responsabilità. Specificare le responsabilità di chi versa e chi riceve, le modalità di trasferimento e le tecnologie adottate, le tipologie di verifiche sugli archivi e le azioni previste a garanzia dei vincoli sulla privacy dei dati trasferiti.
8. Cancellazione degli archivi di conservazione
Indicare tempi e modalità di cancellazione dei dati di conservazione evidenziando le azioni a garanzia della sicurezza dell'operazione e specificando i passaggi comunicativi con i soggetti produttori. Specificare se è prevista la dismissione dell'infrastruttura di conservazione. Il conservatore cessante deve garantire l'accesso ai documenti e ai dati per un congruo periodo di tempo, da specificare precisamente, dopo la cessazione delle attività. Sono comprese le informazioni pertinenti relative a dati rilasciati e ricevuti dal conservatore, in particolare a fini di produzione di prove nell'ambito di procedimenti giudiziali e per assicurare la continuità del servizio. Indicare inoltre i ruoli coinvolti e le modalità di gestione della prova della distruzione degli archivi.