Il presente capitolo individua le regole tecniche, i criteri e le specifiche delle informazioni previste nelle operazioni di registrazione e segnatura di protocollo, di cui agli articoli da 50 a 57 e da 61 a 66 del TUDA.
Il presente capitolo stabilisce inoltre le regole tecniche, i criteri e le specifiche delle informazioni previste nelle operazioni di registrazione e segnatura di protocollo di cui agli articoli 40-bis, 41 e 47 del CAD.
Al punto 3.1.3 si dice che “al termine della registrazione, il documento è identificato da un insieme di dati in forma elettronica che includono la classificazione e si integrano con il piano di fascicolazione”. Questo è molto semplice da ottenere per un documento formato da una pubblica amministrazione, ma nel caso di un documento acquisito, ad esempio nel caso di protocollazione in entrata di un documento, l’operatore che effettua la registrazione può non avere competenza del contenuto della comunicazione e non essere in grado di associare direttamente la registrazione a una classificazione o a un fascicolo dell’ente. Il periodo va chiarito perché così formulato lascia a intendere che la classificazione e la fascicolazione debbano avvenire forzatamente al momento della registrazione mentre già nel paragrafo successivo si richiamano le informazioni minime della registrazione di protocollo ai sensi dell’art. 53, comma 1, del TUDA, in cui non rientrano classificazione e fascicolazione.
Nella sezione 3.3.4. Archivio informatico manca il punto 1?
3.1.2, punto 2: sarebbe bene richiamare “gli idonei requisiti professionali o di professionalità tecnico archivistica acquisita a seguito di processi di formazione definiti secondo le procedure prescritte dalla disciplina vigente” (TUDA art. 61 comma 2) posseduti dalla figura del preposto al servizio per la gestione informatica dei documenti, dei flussi documentali e degli archivi; il possesso di competenze non dovrebbe essere richiesto solamente al coordinatore della gestione documentale.
3.1.4, “l’associazione o [non “e”] l’apposizione” (come da art. 55 TUDA)
3.1.5, punto 2: sono modificabili anche le informazioni relative a data e protocollo del documento ricevuto (TUDA art. 53 comma 1 lettera e). In generale, non è considerato il caso in cui vengano annullate le informazioni generate automaticamente dal sistema, contemplato invece dal DPCM del 3 dicembre 2013 sul protocollo informatico (art. 8 comma 1).
Nel punto 3.4 laddove si elencano le figure con cui il Responsabile della Gestione Documentale collabora, è presente il Responsabile dei Sistemi Informativi. Che però non è più figura prevista da nessuna norma, visto che la L. 39/93 che lo istituiva, è stata abrogata nel 2016.
Paragrafo 3.1.3
“La registrazione informatica dei documenti è garantita dall’insieme di dati in forma elettronica allegati o connessi al documento informatico al fine dell’identificazione univoca di tutti i documenti prodotti e acquisiti. Per la Pubblica Amministrazione vale quanto disposto ai sensi dell’articolo 53 comma 5 del TUDA”
–> l’articolo 53 del TUDA si riferisce esplicitamente alla registrazione di protocollo mentre qui sembra che ci riferisca anche ad altre registrazioni (quali?) anche in riferimento a quanto scritto nel paragrafo 2.1.1 a proposito di identificazione di documenti non registrati a protocollo “affidata alle funzioni del sistema di gestione documentale” e nel successivo paragrafo 3.3.3 in cui si fa riferimento alla “registrazione particolare”
“Al termine della registrazione, il documento è identificato da un insieme di dati in forma elettronica che includono la classificazione e si integrano con il piano di fascicolazione [inserire anche qui il riferimento all’art. 64 del TUDA?], definito dal Responsabile della gestione documentale di cui al paragrafo 3.4, nell’ambito del manuale di gestione”
Paragrafo 3.2
“Nel sistema di gestione documentale dell’AOO l’attività di classificazione guida la formazione dell’archivio mediante il piano di organizzazione delle aggregazioni documentali.”
–>che rapporto intercorre fra il piano di organizzazione delle aggregazioni documentali e il piano di fascicolazione?
Paragrafo 3.3.1
In una precedente versione della bozza si elencavano i metadati minimi da assocaire al fascicolo. In conformità con quanto fatto per il documento si è tolta l’elencazione dal testo delle linee guida ma nel caso dei fascicoli non si rimanda all’allegato. Inserirei rimando all’allegato 5 come fatto nei fascicoli.
ATTENZIONE (sarà approfondito in un commento sull’allegato 5): nei metadati del fascicolo si richeide di specificare se si tratta di fascicolo per affare, attivita’, persona o procedimento amministrativo, senza però dichiarare espressamente le differenze, soprattutto fra affare e procedimento, entità che in letteratura sono spesso assimilate (o,meglio, si usa riferirsi all’affare come realizzazione pratica/istanza di un procedimento, che invece è la sequenza logica di azioni da intraprendere per trattare e concludere l’affare. Talvolta poi con procedimento si intende sia lo schema logico che la sua realizzazione pratica/istanza)
Paragrafo 3.3.
Manca una definizione, anche nel glossario, di “repertorio”.
In sostanza si vuole dire che un elenco di registrazioni e/o dati non esiste di per se stesso ma si forma, volendo dinamicamente, quando si vuole visualizzarlo o presentarlo (ovviamente anche al fine di tenerne/conservarne una copia statica)?
Paragrafo 3.3.4*
L’archivio informatico - formato ai sensi del capo IV “Sistema di gestione informatica dei documenti” del DPR 445/2000 - deve prevedere, già nella sua fase di progettazione, continuità e rigore dovendo assicurare certezza e trasparenza all’attività giuridico amministrativa.
–> Un plauso per avere inserito questo passaggio! Ripeterlo esplicitamente in un testo di regolamentazione di natura vincolante aiuta non poco il lavoro dei records manager.
Come già segnalato all’elenco manca un primo punto e probabilmente uno o piu’ periodi che introducano l’elenco.
Quoto.
L’art. 10 del d.lgs. 39/1993 è abrogato dal d.lgs. 179/2016.
L’indicazione del responsabile dell’ufficio per la transizione al digitale appare sufficiente, anche prendendo spunto dall’art. 7 delle vigenti regole tecniche sulla conservazione, che recita: “Il responsabile della conservazione opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi che, nel caso delle pubbliche amministrazioni centrali, coincide con il responsabile dell’ufficio di cui all’art. 17 del Codice.…”
A norma del d.lgs. 39/1993 sembra che le amministrazioni non statali non abbiano mai avuto un responsabile dei sistemi informativi visto che le disposizioni del d.lgs 39/1993 “disciplinano la progettazione, lo sviluppo e la gestione dei sistemi informativi automatizzati delle amministrazioni dello Stato, anche ad ordinamento autonomo, e degli enti pubblici non economici nazionali, denominate amministrazioni ai fini del decreto medesimo.”
Paragrafo 3.5
Punto 8 lett. a. del contenuto del manuale di gestione: ricordare o inserire il contenuto dell’art. 44 comma 1-bis del CAD che prescrive l’invio in conservazione almeno annualmente?
REFUSO: in chiusura di periodo ci sono delle virgolette.
Paragrafo 3.9
Si fa riferimento a un piano generale della sicurezza definito nel glossario ma che non mi sembra essere disciplinato dalla normativa. Se esistono riferimenti normativi inserirli qui o nel glossario.
3.3.1, punto 4: se la sezione recupera i contenuti del CAD, art. 41 comma 2-ter (e allegato 5 delle Regole tecniche, sezione 4) e delle Linee guida sulla conservazione dei documenti informatici AgID, con “altre unità organizzative” devono intendersi anche quelle di altre amministrazioni, per recuperare la prescrizione del CAD secondo cui il fascicolo reca l’indicazione “delle altre amministrazioni partecipanti” (lettera b)?
3.3.2: i punti elenco da 2 a 8 sono erroneamente inseriti nel successivo paragrafo 3.3.4
3.5, primo paragrafo: il servizio è “per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi” (archivio considerato nella sua unitarietà e non solo archivio corrente).
CAPITOLO 3
All’interno del CAPITOLO 3 dedicato alla gestione documentale, o in un’altra sezione delle Linee guida, o anche in un eventuale ulteriore allegato, potrebbe essere un’idea l’inserimento di un PARAGRAFO dedicato alle modalità con cui un Sistema di gestione informatica dei documenti (software di protocollo informatico e gestione documentale) possa/potrà andare ad interfacciarsi con:
i 3 Indici nazionali previsti per i domicili digitali, ovvero quello dei professionisti e delle imprese (INI-PEC, art. 6-bis del CAD), quello delle Pubbliche Amministrazioni (IPA, art. 6-ter del CAD) e quello dedicato ai cittadini/persone fisiche, di prossima realizzazione (art. 6-quater del CAD);
la banca dati dell’Anagrafe Nazionale Popolazione Residente (ANPR), che conterrà i domicili digitali delle persone fisiche.
Quando diventerà “pienamente applicabile” l’art. 3-bis (comma 3-bis) del CAD infatti, soprattutto pensando questo aspetto in relazione alle persone fisiche (ma sarebbe in realtà già attuabile pensando ai professionisti), è auspicabile che le Pubbliche Amministrazioni abbiano dei sistemi di protocollo informatico che permettano loro di verificare nell’immediato se un cittadino/persona fisica è dotato di domicilio digitale, magari con una verifica fatta a partire dal codice fiscale dello stesso o con altre modalità tecniche che potranno essere definite) e, in caso affermativo, carichino in automatico nel metadato dedicato al destinatario il domicilio digitale di riferimento.
Non penso sia possibile e neanche serva inserire fin da subito le modalità tecniche che potranno essere previste, ma sarebbe già un aspetto molto interessante l’inserimento di una previsione, anche se per il momento generale e solo generica, di questo tipo.
CAPITOLO 3 – ULTERIORE COMMENTO
Nel CAPITOLO 3 dedicato alla Gestione documentale potrebbe essere un’idea anche quella di specificare formalmente in uno dei paragrafi, anche con un indicazione molto semplice, che un documento oggetto a registrazione di protocollo, in particolare un protocollo in uscita che prevede una spedizione ad uno o più destinatari deve essere spedito contestualmente alla registrazione di protocollo o quantomeno nella giornata solare in cui viene effettuata la registrazione. Questa indicazione ad oggi non mi risulta sia presente in alcuna delle norme dedicate al documento informatico e, seppur presumibilmente ovvia, secondo me male non farebbe esplicitarla, magari anche prevedendo un metadato dedicato.
PARAGRAFO 3.1.3
Nel secondo capoverso specificherei che vale solo per le Pubbliche Amministrazioni che i dati in forma elettronica includono la classificazione e si integrano con il piano di classificazione definito dal Responsabile della gestione documentale. Mentre per tutti gli altri soggetti basta quanto indicato a partire dall’inizio del secondo capoverso e fino, escluso, a “che includono […].
PARAGRAFO 3.1.4
Nel PARAGRAFO viene indicato che “la segnatura di protocollo è l’associazione e l’apposizione ai documenti amministrativi informatici in forma permanente e non modificabile di informazioni riguardanti i documenti stessi, […] utile alla sua identificazione univoca e certa”, riprendendo quanto previsto all’art. 55, comma 1, del DPR 445/2000 - Con la differenza che nell’art. 55 è prevista “l’associazione o l’apposizione”, con la congiunzione “o” invece di “e”. La congiunzione “o” peraltro è usata anche nel CAPITOLO 1 dell’allegato 6 “Comunicazione tra AOO di Documenti Amministrativi Protocollati”.
Nel PARAGRAFO 2.1.1 invece, in tema di identificazione dei documenti oggetto di registrazione di protocollo nelle PA, viene indicato “segnatura di protocollo univocamente accoppiata al documento”.
Quando si parla di segnatura quindi sono usati i termini “associazione”, “apposizione” e, anche se in un unico caso, “accoppiata”. I concetti legati all’associare (o all’accoppiare) informazioni ad un documento informatico, anche in relazione alle descrizioni presenti nell’ALLEGATO 5 dedicato ai metadati, penso siano chiari e non ambigui, mentre a mio avviso meno chiaro e più soggetto a interpretazioni è il concetto di “apposizione”, soprattutto oggi visto che a differenza del passato si parla ormai sempre di documenti originali informatici. E, per come si può interpretare il termine, pensare di “apporre” qualcosa ad un documento informatico firmato digitalmente ritengo personalmente sia arduo, se non attraverso la cosiddetta “Firma grafica” prevista dal solo formato di firma PAdES, magari apposta attraverso l’utilizzo di un sigillo elettronico qualificato (mi piacerebbe personalmente come ipotesi, così come sta facendo il MIUR da parecchi mesi sui documenti protocollati in uscita, ma non so, e non credo, sia questa la ragione di tale formulazione).
Potrebbe essere un’idea prevedere nell’ALLEGATO 1 “Glossario dei termini e degli acronimi” la definizione di “Apposizione della segnatura di protocollo”, se l’intento fosse di esplicitare qualcos’altro rispetto a quello che si evince dal testo attuale, o semplicemente prevedere l’utilizzo del solo termine “associazione” (togliendo “apposizione” e cambiando “accoppiata”).
PARAGRAFO 3.1.4 - ULTERIORE COMMENTO 1
Sempre nel PARAGRAFO 3.1.4 potrebbe essere un’idea specificare direttamente nel testo delle Linee guida o al più nelle note a margine, cosa operativamente si vuole prevedere con le seguenti disposizioni:
“Le operazioni di segnatura e registrazione di protocollo sono effettuate contemporaneamente” - È una riformulazione, ma con lo stesso significato, del comma 2 dell’art. 55 del DPR 445/2000;
“L’assegnazione delle informazioni nelle operazioni di registrazione di protocollo è effettuata dal sistema in unica soluzione, con esclusione di interventi intermedi, anche indiretti, da parte dell’operatore, garantendo la completezza dell’intera operazione di modifica o registrazione dei dati.” - Tale disposizione è invece prevista dall’art. 53, comma 3, del DPR 445/2000 e non è riportata anche nelle Linee guida. Ritengo però sia strettamente connessa con le operazioni di registrazione e di segnatura di protocollo.
A mio avviso tali disposizioni, se non descritte più nel dettaglio, con magari qualche esempio pratico che in queste Linee guida ci sarebbe la possibilità di riportare, rischiano di generare qualche ambiguità o comunque molteplici, magari sottili ma potenzialmente sostanziali, interpretazioni da parte delle singole persone, così come dei singoli fornitori, rispetto a cosa dovrebbe avvenire nella pratica in un operazione materiale di protocollazione di un documento informatico effettuata tramite un sistema di gestione informatica dei documenti, ovvero un software di protocollo informatico e gestione documentale.
Per esempio, le operazioni, anche manuali, fatte quotidianamente da un operatore di una PA possono essere rappresentate, come meri titoli esemplificativi, nel modo seguente: inserimento metadati, protocollazione “staccando” un numero di protocollo, acquisizione/upload delle evidenze informatiche/file del documento principale e degli eventuali allegati, eventuali trasmissioni interne, eventuali spedizioni esterne, ecc… In serata poi il sistema di gestione dei documenti va a generare il registro giornaliero di protocollo contenente tutti i principali metadati, compresi i codici hash, di tutti i file acquisiti e protocollati in quel giorno, ed entro la giornata solare successiva tale registro giornaliero viene poi inviato/versato in conservazione tramite un conservatore accreditato.
Per quanto da me riportate sinteticamente e semplificate può emergere in tali operazioni quantomeno una domanda. L’operazione di acquisizione dei file è un’operazione che deve essere per forza fatta prima dell’assegnazione del numero di protocollo o può essere fatta anche subito dopo (nell’ordine di minuti/ore?), o quantomeno nella stessa giornata solare in cui è stato generato il numero di protocollo (e comunque prima della generazione automatica, tipicamente serale, del registro giornaliero di protocollo)? La domanda, forse banale e con risposta apparentemente scontata, l’ho voluta però porre perché si porta dietro quello che, di fatto, avviene ogni giorno in numerose PA e con diversi software di protocollo informatico presenti oggi sul mercato.
PARAGRAFO 3.1.4 - ULTERIORE COMMENTO 2
I concetti espressi nel mio precedente commento girano intorno al concetto principale di “registro giornaliero di protocollo”, ovvero a ciò che permette di avere e di garantire in tutto il processo documentale legato alla protocollazione, quantomeno dal punto di vista tecnico (visto che a livello civilistico è il protocollo stesso ad avere natura di “atto pubblico di fede privilegiata” con le conseguenze che ne derivano), la cosiddetta la validazione temporale dei documenti (da qui l’importanza della presenza di tutti i codici hash dei file nel registro stesso, inviato in conservazione entro le 24 ore). Nonostante questo però nelle presenti Linee guida tale registro viene citato solamente 1 volta, nel capitolo dedicato alla conservazione e non è mai preso come riferimento in relazione all’associazione di una data certa ai documenti informatici, operazione fondamentale nel loro ciclo di vita.
Sebbene il tema più generale della validazione temporale sia rimasto nel DPCM 22 febbraio 2013 “Regole tecniche sulle firme elettroniche” e non sia stato riportato nelle presenti Linee guida, ritengo che tali aspetti assumono comunque ulteriore importanza proprio in relazione a quanto disposto dall’art. 41 del DPCM 22 febbraio 2013, ovvero al fatto che “il riferimento temporale contenuto nella segnatura di protocollo” costituisce una delle modalità previste con cui si può associare una validazione temporale, ovvero una data certa, ai documenti informatici. Anche per questo motivo, essendo tale modalità probabilmente la modalità più in uso nelle PA per dare una validazione temporale ai documenti amministrativi informatici, sfrutterei il grande lavoro già fatto con queste Linee guida per inserire, specificandole nel dettaglio, le modalità con cui dover gestire adeguatamente la segnatura di protocollo e le operazioni stesse di protocollazione per essere sicuri di adempiere a quanto è previsto e associare ai documenti una validazione temporale.
Visto infine che non esiste una certificazione per i cosiddetti “sistemi di gestione informatica dei documenti” (software di protocollo informatico e gestione documentale), questo potrebbe essere un ulteriore motivo per cui possa risultare utile entrare maggiormente nel dettaglio rispetto agli aspetti operativi legati alla protocollazione (registrazione e segnatura), soprattutto in queste Linee guida dove si ha la possibilità di farlo con uno stile chiaro e fruibile.
Al punto 3.1.6, relativo ai “Requisiti minimi di sicurezza dei sistemi di protocollo informatico”, si afferma che: “In particolare, il sistema di protocollo informatico deve garantire: […]
c) il tracciamento permanente di qualsiasi evento di modifica delle informazioni trattate e l’individuazione del suo autore.
Il registro giornaliero di protocollo è trasmesso entro la giornata lavorativa successiva al sistema di conservazione, garantendone l’immodificabilità del contenuto”.
Non risulta chiaro come debba essere interpretato l’aggettivo “permanente” in relazione al tracciamento degli eventi di cui alla richiamata lettera c) del punto 3.1.6. In particolare, non è chiaro se i log debbano essere conservati per sempre o se il tracciamento debba essere sempre attivo. Considerando che la prima opzione contrasterebbe con la normativa in materia di trattamento di dati personali, la seconda sembra essere quella maggiormente accoglibile. In ogni caso, sarebbe opportuno un chiarimento sul punto.
Il cap. 3.1.1 indica come ambito di applicazione quello della PA ma nelle sezioni successive sono contenuti riferimenti a quelli che sembrano essere obblighi anche per i soggetti privati. Es. 3.5: alcuni punti, chiaramente riferiti solo alla PA (dove si usa l’acronimo AOO o la definzione “Ente”), si mischiano poi con altri che potrebbero riguardare anche i privati (2, 5,6,7,8.2). Il Cap. 3.7, ad esempio, è ben identificato. Cap. 3.1.3 par. 3: specificare che si tratta di un obbligo solo per la PA. 3.2: specificare che si tratta di documenti amministrativi informatici, ovvero solo di ambito PA.
**Cap. 3.5. comma 8 punto 2:**L’adozione di un manuale di gestione documentale non deve essere obbligatoria per i soggetti privati. I soggetti diversi dalle PA possono redigere un Manuale di Gestione Documentale ove ciò si renda necessario data la complessità della struttura organizzativa e della documentazione oggetto di archiviazione.
cap. 3.8 - selezione e scarto: All’interno dello stesso capitolo si passa da un contesto generalizzato (primo paragrafo) ad uno specifico (secondo paragrafo) ad un terzo che non fa più riferimento al contesto PA ma che non credo possa essere riferito ai soggetti privati. Eliminare l’ultima frase o ricondurla al solito ambito pubblico e agli archivi privati di interesse storico.
Proposta di modifica del primo capoverso del punto 3.1.4 (Formato della registrazione e della segnatura di protocollo) [la modifica proposta è riportata tra parentesi quadre]
La registrazione di protocollo è l’insieme dei metadati che il registro di protocollo deve memorizzare, per tutti i documenti ricevuti o spediti dalla Pubblica Amministrazione [e per tutti i documenti informatici che non rientrano tra le tipologie specificate dall’art. 53, c. 5 e che non sono oggetto di registrazione particolare da parte dell’amministrazione], al fine di garantirne l’identificazione univoca e certa. In merito, l’articolo 53, comma 1, del TUDA indica le informazioni che caratterizzano il registro di protocollo 8 , a cui si aggiungono le informazioni inerenti l’assegnazione interna all’amministrazione e la classificazione.
Motivazioni
Secondo quanto disposto dall’art. 53, c. 5 del TUDA, è obbligatoria la protocollazione non soltanto della corrispondenza ma anche di tutti i documenti informatici che non rientrano appunto tra le tipologie escluse dallo stesso comma o che sono oggetto di registrazione particolare.
L’integrazione proposta ritengo possa guidare le amministrazioni ad interpretare univocamente quanto previsto dall’art. 53, comma 5 del TUDA. Già il Gruppo di lavoro per la formulazione di proposte e modelli per la riorganizzazione dell’archivio dei Comuni, nella II ed. del "Piano di classificazione (= Titolario) per gli archivi dei Comuni italiani”, aveva espresso il proprio parere sulla sua interpretazione, manifestando “incertezza” e “perplessità” con riferimento all’esclusione dalla protocollazione degli atti preparatori interni e dei documenti già soggetti a registrazione particolare (vedi nota 26, pp. 11-12).
L’integrazione proposta è coerente con quanto da voi previsto al paragrafo 3.5, con riferimento alle informazioni che devono essere contenute nel Manuale di gestione relativamente al protocollo informatico e alle registrazioni particolari, alla lett. d)
Grazie
Proposta di modifica del paragrafo 3.5
Premesso che
“Fanno eccezione i documenti soggetti a registrazione particolare a cui comunque vengono associati l’insieme dei metadati previsti per il documento informatico immodificabile, come descritto nel manuale di gestione documentale”.
“con riferimento alle informazioni che devono essere contenute nel Manuale di gestione relativamente al protocollo informatico e alle registrazioni particolari, alla lett. e), in cui si specifica che ai documenti soggetti a registrazione particolare debbano essere associati almeno, (i) un riferimento univoco del documento, (ii) l’indicazione del soggetto (ente o persona) che ha formato il documento e (iii) i momenti temporali della sua registrazione e della sua eventuale pubblicazione”
Si propone la seguente modifica del testo contenuto nel paragrafo 3.5 [la modifica proposta è riportata tra parentesi quadre]
e. determinazione dei metadati da associare ai documenti soggetti a registrazione particolare individuati assicurando [almeno i metadati obbligatori previsti per il documento informatico dall’Allegato 5 alle presenti Linee Guida e l’eventuale data di pubblicazione dei documenti ] , almeno, (i) un riferimento univoco del documento, (ii) l’indicazione del soggetto (ente o persona) che ha formato il documento e (iii) i momenti temporali della sua registrazione e della sua eventuale pubblicazione ;
Grazie
Matteo Sisti