Linee Guida conservazione- Manuale di conservazione

Car* tutt*,
nelle Linee guida AGID del 2015 sulla conservazione dei documenti informatici (ex. DPCM dicembre 2013 - regole tecniche sistema di conservazione) era previsto e pacifico che la PA avrebbe potuto delegare la predisposizione del manuale di conservazione al responsabile del servizio di conservazione esterno. Con le linee guida di settembre 2020 (obbligatorie dal 01/01/2022) a pag. 35, al contrario, si prescrive che la PA non possa (più) delegare la predisposizione del manuale di conservazione al conservatore esterno. Cosa mi sfugge? Come fa ad es. una Scuola a redigere il manuale di conservazione del sistema di conservazione di Inforcert, per dire?
Grazie in anticipo a chi vorrà contribuire a fare un po’ di chiarezza.

probabilmente sarà come il documento dei valutazione dei rischi che viene redatto dal datore di lavoro ma poi è il RSPP che se ne occupa anche se formalmente rimane un documento elaborato dal datore.

Sono due manuali diversi.

Da cosa ho capito, la nuova normativa prevede il Manuale della conservazione a cura di chi offre il servizio ma deve esserci un manuale interno e la nomina del Responsabile della Conservazione del cliente. In sostanza ogni parte si prende le sue responsabilità, chi genera e chi conserva.

Sarei interessato anche io a capirne di più: sembra che la PA abbiamo l’obbligo di manutenere e pubblicare il manuale di conservazione ma non è chiara la posizione delle aziende private.
Poniamo il caso che io come privato realizzi un software che produce documenti per conto dei miei clienti che debbano essere posti in conservazione tramite servizio in outsourcing: come mi devo regolare?
Devo anche io predisporre un manuale ad uso interno che sia disponibile per AGID qualora mi venga richiesto?

Da quello che sono riuscito ad approfondire fino ad adesso la situazione è una netta divisione tra le responsabilità di chi genera i documenti e chi li conserva. Non è una novità esisteva già prima del 2019 ma si è sempre scaricato l’onere sul conservatore. Oggi il conservatore deve fornire il suo manuale della conservazione al cliente che deve integrare all’interno del proprio manuale della conservazione che analizza tutti i flussi e soprattutto nomina il Responsabile Interno della Conservazione. In poche parole il cliente deve essere responsabile di cosa invia ed il conservatore è responsabile di cosa conserva, Il problema è che hanno aumentato a dismisura il numero di campi da inviare in conservazione e qui inizia il delirio e la confusione.

Grazie per il tuo intervento!
Quando hai esposto è più o meno la stessa conclusione alla quale sono arrivato io. Presumo che quando parli dei campi da inviare tu alluda ai famosi metadati (allegato 5), problema che ho già gestito.
Però la casistica che ho esposto non mi è ancora chiara (e spero tu possa darmi qualche spunto in più).
Io software house (privata) concedo l’uso del mio gestionale a delle aziende private. Tramite questo software le aziende eseguono le seguenti operazioni

  • ricevono dei documenti digitali (es. fatture elettroniche) che io software house metto in conservazione per loro conto appoggiandomi a terzi accreditati (es. infocert)

  • producono dei documenti digitali (contabili e non) che io conservo per loro conto sempre appoggiandomi a terzi

Sulla base della tua risposta deduco che:

  • i terzi ai quali mi appoggio compilano sicuramente il manuale in quanto soggetto conservatore
  • io software house lo compilo dettagliando come consento ai miei clienti di generare i documenti, le procedure con cui li trasmetto, i controlli periodici etc. etc. demandando la parte di conservazione al soggetto conservatore.

i dubbi sono:

  • i miei clienti debbono a loro volta compilare il manuale ?

  • io software house sono responsabile dei pacchetti di versamento che genero per conto di chi usa il mio software ma come dovrei gestire i pacchetti che trasferisco solamente verso il conservatore (esempio le fatture elettroniche recapitate dallo SDI)?

Spero di non aver scritto castronerie , grazie

Da quello che so io è il tuo cliente che deve avere il Responsabile della conservazione nel senso che non sei tu a garantire se i dati trasmessi al conservatore sono giusti ma il titolare dei dati.
Funziona come nel GDPR ove tu devi essere un incaricato esterno nella gestione dei dati che rimangono sempre di proprietà e responsabilità del cliente che deve controllare se tutti i documenti sono stati generati e regolarmente conservati. In sostanza se manca una fattura in conservazione chi deve controllare ? E’ il cliente che non l’ha emessa oppure tu che non l’hai spedita oppure il conservatore che l’ha persa ? Bisogna definire i perimetri di responsabilità.

Concordo con te: il problmea è definire le rispettive responsabilità. La cosa però è piuttosto complessa e l’esempio che ti ho riportato evidenzia questo aspetto.
Se il processo è quello tipico, ovvero io produttore genero dei documenti informatici e li conservo tramite in provider X, abbiamo due figure ed un flusso abbastanza lineare: non c’è spazio per molti dubbi su come debba essere gestita la cosa.
Viceversa, nel caso da me dipinto, la gestione si complica non poco : il produttore (il cliente) ha la responsabilità sui dati che genera o non genera ma chi c’è l’hai sui dati genrati “indirettamente”? Per esempio se venissero certificati dei logs che reiguardano le operazioni degli utenti a chi sarebbe attribuibile la responsabilità? A questo punto presumo a chi ha realizzato il software visto che l’utente ne è produttore inconsapevole… E per la messa in conservazione di documenti provenienti dall’esterno? (es. fatture recapitate dallo SDI)?

La sensazione è sempre la solita: lavori fatti coi piedi (e se leggi in giro non sono il solo a pensarla così). Chiarimenti nulli o inconcludenti (le FAQ dell’agid fanno ridere).
Mi spiace denigrare il lavoro d’altri ma, come sempre, è stato imposto di allinearsi ad una normativa e l’ente preposto a svolto il compito in maniera banale e grossolana.

Una costante rimane, e a pensar male, dà risposta ad ogni perplessità: anche questa volta una flotta di aziende che fanno consulenza sul tema (iubenda e compagnia varia) si stanno fregando le mani pregustando gli introiti derivati dall’ennessima normativa scritta male e spiegata anche peggio.

Purtroppo sono abbastanza d’accordo con te. In un webinar che ho seguito tempo fa si faceva notare che la normativa nasce per la PA e poi esportata al privato con logiche che non sono applicabili.
Nel tuo esempio si evince l’esigenza di un’analisi di tutti i flussi e relative responsabilità.
Si tratta di andare a fare dei lavori di consulenza paurosi nel privato e spesso non graditi (per usare un eufemismo…) al cliente. Secondo me cambierà ancora qualcosa o semplicemente le aziende se ne fregano e punto. Se però nasce un problema allora la normativa scatta e quindi andiamo a discutere.

Il problema nascerà se qualcuno si inventerà di fare qualche controllo serio.
E’ lo stesso discorso della nuova normativa sui cookie : mi risulta che in Germania sia stata emessa una sanzione di diverse migliaia di Euro nei confronti di un sito che non si era ancora “allineato”.
Vero che partiranno verosimilmente dalle PA ma anche i privati non hanno di chè dormire sonni tranquilli… ti basta un competitor che voglia rompere le scatole e puoi incappare in problemi non banali. :pensive: