Pubblichiamo l'intervento di Marco Carassi al Convegno "L'amministrazione digitale italiana a dieci anni dal CAD (2005-2015): e poi?", Varese 6 marzo 2015
Il CAD ha avuto una storia tormentata, iniziata negli anni Novanta del secolo scorso con norme frammentarie e confuse poi confluite nelle quattro versioni del Codice, da quella originaria del 2005, attraverso le modifiche del 2006 e 2009, fino a quella attualmente vigente del 2010.
Anche se la situazione attuale è caratterizzata da una certa farraginosità delle stratificazioni normative quasi fossero uscite da una stampante 3D operante a singhiozzo, tuttavia il quadro normativo in questi ultimi anni è andato molto migliorando e può essere complessivamente considerato una cornice accettabile all’interno della quale poter sviluppare utili esperienze applicative, dalle quali poter trarre eventualmente in futuro, in modo non improvvisato e non puramente teorico, suggerimenti anche per un chiarimento e una semplificazione della normativa in materia.
In realtà non c’è dubbio che si è a lungo ecceduto nella produzione di normativa tecnica di dettaglio, facilmente superata dall'evoluzione delle tecnologie e si è trascurato di evidenziare il ruolo che dovrebbe essere svolto dall'archivista nel governare razionalmente tutte le fasi di vita dell'archivio, pur con tutte le necessarie collaborazioni specialistiche. Al contrario si sono moltiplicate le responsabilità per la gestione documentale, per la conservazione digitale, per la sicurezza dei sistemi informativi, per il trattamento dei dati personali, quasi che fosse necessario moltiplicare le figure professionali, anziché chiarire gli obiettivi da raggiungere. Si è solo previsto che ove tali funzioni siano svolte da persone diverse, esse debbano agire “d’intesa” (art. 7, c.1 DPCM 3 dicembre 2013 sulla conservazione). Mentre si è trascurato il problema della applicazione delle norme e delle risorse per ciò indispensabili, a cominciare dalla scarsa consapevolezza dei dirigenti della Pubblica Amministrazione sui problemi della transizione (banalmente identificati sovente con la sola smaterializzazione dei documenti) per finire con la sottovalutazione del nodo strategico della disponibilità di personale adeguatamente formato e aggiornato.
Prima di esaminare le relazioni tra i due aspetti sintetizzati nella metafora del bicchiere mezzo pieno e mezzo vuoto, si premette una sintesi di alcune delle principali novità del CAD ultima versione.
L’applicabilità del CAD anche ai privati è chiarita (art. 2, c. 3) con riferimento al documento informatico, le firme elettroniche, i certificatori e i gestori di PEC, alla formazione e conservazione di “libri e scritture” su supporti informatici (artt. 20 – 39), alla formazione, gestione e conservazione dei documenti informatici (artt. 40, 43, 44), alla trasmissione telematica dei documenti (artt. 45 – 49). Le comunicazioni tra imprese e PA si debbono svolgere esclusivamente per via telematica (art. 5bis) e per tale via devono essere erogati i servizi dello sportello unico per le attività produttive (art. 10). Regioni ed Enti locali “digitalizzano la loro azione amministrativa” (art. 14, c. 2 ter). Tale azione va di pari passo con la riorganizzazione dei processi, tenendo conto degli “effettivi risparmi” (art. 15, c. 2bis). Ogni PA centrale individua un ufficio dirigenziale generale per il coordinamento della digitalizzazione dell’azione e per la sicurezza informatica (art. 17). Il valore probatorio del documento informatico è liberamente valutabile “tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità” (art. 20, c. 1bis), il rispetto delle regole tecniche ex art. 71 consente di opporre a terzi la data e l’ora del documento informatico (art. 20, c. 3) e di soddisfare gli obblighi di conservazione ed esibizione previsti dalla legge (art. 20, c. 5bis).
Il documento informatico con firma elettronica si presume riconducibile al titolare della firma salvo prova contraria (art. 21, c. 2). Sono disciplinate le copie informatiche di documento analogico (art. 22), le copie analogiche di documenti informatici (art. 23), i duplicati e le copie informatiche di documenti informatici (art. 23 bis). E’ consentita la conservazione della copia informatica in luogo dell’originale analogico, purché prodotta secondo le regole tecniche (art. art. 23 ter, c. 1); sulle copie analogiche di documento informatico è apposto a stampa un contrassegno che consenta la verifica automatica della conformità e provenienza (art. 23 ter, c. 5: si tratta del glifo sulla cui affidabilità però si nutrono seri dubbi). L’art. 2712 del Codice civile sul valore delle riproduzioni meccaniche non disconosciute da colui contro il quale sono prodotte, è integrato con la previsione anche delle riproduzioni informatiche (art. 23 quater). La firma elettronica autenticata dal notaio o da altro pubblico ufficiale autorizzato è riconosciuta ai sensi dell’art. 2703 del Codice civile (art. 25, c.1). Se al documento informatico autenticato deve essere allegato un documento analogico, il pubblico ufficiale può allegare copia informatica autenticata (art. 25, c. 4). I certificati qualificati di rilascio della firma elettronica possono contenere informazioni sulla qualità del titolare della firma, come poteri di rappresentanza, cariche istituzionali o limiti d’uso del certificato, e possono essere resi disponibili anche in rete (art. 28, c. 3bis). Alle firme basate su certificati qualificati rilasciati in altri paesi dell’UE deve essere attribuito in Italia pari valore (art. 29, c. 8). La viglianza sui certificatori di firme e sui gestori di PEC è affidata a DigitPA, ora AGID (art. 31). La mancata comunicazione dei disservizi da parte dei certificatori comporta l’applicazione di sanzioni a loro carico (art. 32 bis). Qualora il titolare di firma voglia far uso di pseudonimi, il certificatore è tenuto a conservare i dati della reale identità per venti anni (art. 33). Il titolare della firma deve conoscere con chiarezza quali sono i documenti da firmare, tranne nel caso della procedura automatica di firma nel qual caso deve però conoscere e consentire alla applicazione della procedura stessa (art. 35). Qualora cessi l’attività del certificatore senza indicazione di sostituto, nelle funzioni del medesimo subentra DigitPA, ora AGID (art. 37). Si conferma che l’obbligo di protocollare ex art. 53 del DPR 445/2000 include le comunicazioni prevenute o inviate alle o dalle caselle istituzionali di posta elettronica PEC nonché le istanze presentate conformemente alle regole tecniche ex art 71 (art. 40 bis). E’ fatto obbligo alle PA di rendere noti in automatico agli interessati i tempi di risposta e lo stato d’avanzamento delle pratiche (art. 41, c.1bis). Peraltro il fascicolo informatico alimentato dalle diverse amministrazioni coinvolte nel procedimento, deve essere “identificato”, cioè classificato e repertoriato secondo i principi di una corretta gestione documentale, e suddiviso in aree ad accesso differenziato di cui talune ad accesso diretto ai sensi della L. 241/1990 (art. 41, c.2bis). I documenti degli archivi riprodotti su supporti informatici sono rilevanti a tutti gli effetti di legge solo se la riproduzione e la conservazione nel tempo sono tali da garantire la conformità agli originali secondo le regole tecniche ex art. 71 (art. 43). Per la buona grestione dell’archivio sono necessarie “intese” tra il responsabile della conservazione dei documenti informatici, il responsabile del trattamento dei dati personali e il reponsabile del Servizio del protocollo elettronico, dei flussi documentali e dell’archivio da istituire ex art. 61 DPR 445/2000 (art. 44, c. 1bis). Il responsabile della conservazione elettronica può affidarla ad altri soggetti pubblici o privati “che offrono idonee garanzie organizzative e tecnologiche” (art. 44, c. 1 ter). I sistemi di gestione documentaria corrente e di conservazione a lungo termine o illimitata devono essere tenuti separati, ma possono entrambi essere gestiti all’interno del soggetto produttore (art. 5, c. 2 DPCM 3 dic. 2013 sulla conservazione digitale). Il responsabile della gestione documentale – o il coordinatore delle Aree organizzative omogenee - può, nelle PA, ricoprire anche l’incarico di responsabile della conservazione elettronica (art. 7, c.4 DPCM 3 dic. 2013 sulla conservazione digitale). Per diventare conservatori accreditati di documenti informatici, i soggetti privati con capitale sociale di almeno duecentomila euro possono fare domanda a DigitPA, ora AGID (art. 44 bis). La trasmissione di documenti tra PA via posta elettronica o tramite cooperazione applicativa richiede controlli sulla provenienza che si possono attuare verificando la firma elettronica qualificata o la segnatura di protocollo apposta ai sensi del DPR 445/2000 (art. 47). L’uso della PEC, che essendo solo un mezzo di trasmissione non ha potere di conferire validità al contenuto del documento trasmesso, consente l’opponibilità a terzi della data e dell’ora di trasmissione (art. 48), risultato che peraltro si può ottenere anche con il registro del protocollo elettronico delle PA che ha natura di atto pubblico e fa fede fino a querela di falso. Le PA hanno l’obbligo di dotarsi di adeguati piani di continuità operativa per evitare che situazioni di emergenza paralizzino durevolmente l’attività (art. 50 bis). L’eventuale constatazione della inesattezza di dati conservati nei propri archivi comporta per le PA l’obbligo di aggiornarli tempestivamente (art. 51, c. 2 bis), naturalmente – si potrebbe aggiungere - senza cancellare traccia storica del fatto che per un certo periodo l’attività è stata influenzata dalla presenza di dati sbagliati. Mediante pubblicazione in formati aperti, le PA consentono a utenti anche non identificati l’accesso ai dati pubblici di cui sono titolari (art. 52, c.1bis).
Per favorire la trasparenza, le PA pubblicano sui rispettivi siti i bandi di concorso, gli elenchi di procedimenti con i relativi tempi di espletamento e segnalano un indirizzo istituzionale PEC cui i cittadini possono scrivere (art. 54, cc. 1bis e 2ter). Moduli e formulari possono essere imposti all’utente come mezzo per rivolgere istanze solo se pubblicati sul sito istituzionale (art. 57). Nel rispetto della privacy, e con un regime speciale per i dati territoriali, le PA sono tenute a garantire accessibilità telematica reciproca alle rispettive banche dati (art. 58, cc. 2 e 3ter). Le basi di dati di interesse nazionale come i catasti, l’anagrafe, l’elenco dei contratti pubblici per finalità di controlli anticorruzione, il casellario giudiziale, il registro delle imprese, le pratiche di immigrazione e asilo, debbono costituire un sistema informativo unitario per ciascuna tipologia di dati (art. 60, cc. 2 e 3bis, e art. 62 bis). Se una istanza presentata alla PA proviene da una casella di posta elettronica PEC istituita previa identificazione del titolare, la trasmissione costituisce dichiarazione vincolante per il mittente, salvo casi previsti dalla normativa tributaria (art. 65, c. 1 lett. C bis). Con il coordinamento valutativo di DigitPA, ora AGID, mediante apposita banca dati è favorito il riuso tra le PA di soluzioni informatiche rivelatesi modelli replicabili (artt. 68 e 70). Il codice è integrato da regole tecniche da adottare con DPCM (art. 71). Quando più PA gestiscono servizi comuni in cooperazione applicativa tramite il Servizio pubblico di connettività, esse sono tenute a “mantenere distinti gli ambiti di competenza” (art. 78), cioè a non confondere i rispettivi apporti, anche dal punto di vista delle testimonianze archivistiche e delle responsabilità.
Se tale è il quadro della normativa vigente, complessivamente stabilizzata dopo dieci anni su risultati ragionevolmente accettabili (il bicchiere mezzo pieno), si deve tuttavia osservare che permangono numerose questioni aperte (il bicchiere mezzo vuoto).
In primo luogo si può osservare che è stata trascurata la connessione tra la normativa in materia di documenti digitali e quella di tutela del patrimonio archivistico pubblico che nasce come bene culturale digitale nativo. Vi sono infatti solo pochi frettolosi accenni nelle regole tecniche dove si ricorda che sono “fatte salve” le competenze del Ministero dei beni e delle attività culturali e del turismo (ad es. l’art. 5, c. 3 e l’art. 9, cc. 1 e 2 DPCM 3 dicembre 2013 sulla conservazione digitale). Il CAD ha abrogato varie norme del DPR 445/2000, ma ha confermato quelle fondamentali connesse all’art. 61 sul Servizio per la gestione informatica dei documenti, dei flussi documentali e degli archivi, ovvero Servizio per la gestione documentale, che è la prima garanzia di tutela degli archivi pubblici, in quanto deve essere affidato ad un responsabile di adeguata professionalità tecnico-archivistica. Parimenti il CAD ha lasciato sussistere l'obbligo del manuale di gestione e di conservazione dei documenti (che deve comprendere il piano di sicurezza informatica) già istituito dal DPCM 31 ottobre 2000, art. 5, ora disciplinato dagli artt. 5 – 8 del DPCM 3 dicembre 2013 sul protocollo informatico.
La transizione dall'analogico al digitale ha reso peraltro evidenti i limiti della tradizione italiana del policentrismo, per non dire polverizzazione, della conservazione archivistica pubblica (con la sola eccezione degli uffici statali, tenuti invece al versamento negli Archivi di Stato), già discutibile per gli archivi analogici sempre più sovente abbandonati senza cura professionale in depositi inadeguati, ma tanto più inattuabile per gli archivi informatici, dove il decentramento conservativo è pressochè impossibile.
I termini previsti per i versamenti agli Archivi di Stato recentemente ridotti da 40 a 30 anni rimangono inapplicabili agli archivi elettronici, dove occorrerebbe programmare acquisizioni tempestive di insiemi organici di documenti anche se in parte ancora in trattazione. Ad esempio il protocollo elettronico è, come noto, un documento a compilazione progressiva che richiede conservazione sicura giorno per giorno, ma può subire - solo in aggiunta - integrazioni e annotazioni per parecchio tempo e poi richiede archiviazione illimitata dell’intera annata di registrazioni. Anche i fascicoli ibridi richiederebbero ragionamenti particolari per assicurarne la conservazione coerente nel tempo, data la natura e le esigenze diverse dei loro componenti. Le basi di dati e il materiale web richiedono a loro volta criteri di conservazione da approfondire, così come particolari categorie di documenti quali i progetti architettonici e impiantistici disegnati direttamente al computer con software appositi.
Come negli archivi analogici si prevede il versamento delle aggregazioni documentarie insieme con i loro strumenti originari di registrazione e gestione, così anche per gli archivi digitali occorrerà studiare i modi per acquisire in parallelo, e possibilemente in automatico, i necessari metadati, il cui nucleo minimo è richiamato dalle regole tecniche (art. 41, c. 2 ter CAD e art. 3, c. 9 DPCM 13 novembre 2014 sui documenti informatici). Ma potrebbe essere necessario ragionare sullo sfoltimento dei metadati ai fini della conservazione illimitata, poiché se manca una buona guida dei processi essi hanno la tendenza ad accumularsi in modo esponenziale specialmente nelle prime fasi di vita dei documenti (ad es. tutte le registrazioni degli accessi di sola lettura).
La necessità di anticipare quanto più possibile le decisioni in merito alla conservazione illimitata o di lungo periodo, relativamente alle funzioni di testimonianza e ai tempi programmati di conservazione, deriva dal fatto che tali decisioni possono essere meglio prese nella fase di formazione delle unità archivistiche, al fine di non mandare in conservazione singole unità decontestualizzate. Se un pacchetto a conservazione temporanea contiene documenti con scadenze diverse, varrà per tutti il termine maggiore, ma entro certi limiti possono essere coordinate le esigenze concettuali di salvaguardia dei legami originari tra documenti e l’esigenza pratica di avere aggregazioni con scadenze uniformi.
Un tema sul quale occorrerà riflettere è anche quello dell’opportunità di far ricorso a sistemi archivistici di registrazione e datazione a preferenza di più costosi e meno stabili sistemi tecnologici di marcatura temporale.
Rimangono da risolvere i problemi di conservazione dei diversi modi di chiudere con una firma elettronica i pacchetti informativi, a seconda che la firma sia apposta sui singoli documenti, oppure sia una firma automatica su sezioni di un flusso di documenti, come il flusso di coscienza nell’Ulisse di Joyce, o ancora sia una firma apposta su insiemi di documenti presentati con un elenco che consente verifiche delle singole entità.
L’uso di tecnologie di cifratura e di compressione dovrà peraltro essere oggetto di analisi in relazione alla diminuzione da loro indotta della trasportabilità e tracciabilità delle unità archivistiche.
I margini ampi di discrezionalità lasciati dal CAD e dalle Regole tecniche potranno essere colmati con integrazioni volontarie di procedure di conservazione, come quelle sviluppate dallo standard UNI Sincro del 2010, in parte ripreso dalle successive Regole tecniche sulla conservazione digitale del DPCM 3 dicembre 2013. L’obiettivo è quello di registrare in xml sia i dati minimi richiesti dalla normativa, sia quelli archivistici necessari per l’interoperabilità tra gestione corrente e conservazione illimitata, assicurando la necessaria flessibilità e granularità degli elementi descrittivi necessari.
Garantire l’interoperabilità è un interesse vitale del soggetto produttore perché la sua carenza rende difficili e costose le migrazioni verso nuovi sistemi, vincola ad un solo fornitore di servizi, e rende difficile l’accesso ai documenti.
Come sempre molto dipende dal modo come si fanno le cose. Ne è la riprova il confronto tra diversi manuali di conservazione redatti ai sensi dell’art. 8 DPCM 3 dicembre 2013: taluni infatti si riducono ai requisiti della sicurezza informatica e alle indicazioni recentemente previste dall’indice proposto dall’AGID, altri invece garantiscono un buon livello di coerenza con la fase di formazione e gestione dei documenti. E’ lo stesso problema qualitativo che si pone per i manuali di gestione dell’archivio (già previsti dall’abrogato DPCM 31 ottobre 2000 e ora confermati dall’art. 5 del DPCM 3 dicembre 2013 sul protocollo informatico). Ovviamente occorre evitare che il manuale di conservazione contraddica il manuale di gestione che disciplina formazione, gestione e conservazione dell’archivio nella sua interezza (ad es., il DPCM 3 dicembre 2013 sulla conservazione prevede all’art. 8, c. 2 lettera J, che il manuale di conservazione integri senza contraddirli i criteri di conservazione e scarto “già presenti nel manuale di gestione” documentale).
Molte altre questioni rimangono aperte, ma il quadro normativo attualmente raggiunto dopo una faticosa gestazione sembra consentire buone soluzioni organizzative e operative anche là dove lascia, forse opportunamente, il bicchiere normativo mezzo vuoto.
Premesso che l’attività di tutela degli organi periferici dell’Amministrazione archivistica non riesce, per le carenze in cui è stata da tempo lasciata, ad incidere con l’efficacia che sarebbe necessaria sulle difficoltà degli archivi italiani odierni, tuttavia la vera chiave del problema sembra essere ancora più a monte, nella scarsa consapevolezza generale della funzione che essi dovrebbero avere per la Pubblica Amministrazione, di efficacia operativa immediata, di garanzia giuridica e di testimonianza culturale. Questa distrazione è evidenziata, tra l’altro, dai gravi ritardi che si riscontrano presso molti Uffici ed Enti pubblici nell’istituzione e nel funzionamento adeguato del Servizio per la gestione documentale ex art. 61 DPR n. 445/2000.
Tale grave debolezza della PA in materia archivistica affiora anche nella incapacità di valutare costi e benefici delle innovazioni, con la conseguenza contradditoria di rinunciare a soluzioni più che opportune, per timore di non reggere lo sforzo organizzativo ed economico che sembrano implicare, oppure di lasciarsi trascinare in decisioni improvvide che comportano irrazionalità e sprechi talora anche molto rilevanti (tipico il caso di certi progetti faraonici di “smaterializzazione” di originali analogici esistenti, che non potranno comunque essere distrutti).
In definitiva tutte le debolezze si riassumono non solo nella carenza di risorse, ma ancor di più nella grave carenza di competenza specifica nel personale a vari livelli di responsabilità (inquietante ad esempio risulta che un recente manuale sulle competenze digitali del manager pubblico non parli mai di archivi).
Anziché dunque logorarsi ora per ottenere nuove norme, con il rischio che il legislatore faccia passi indietro, come talora gli capita, forse servirebbe sopratutto che ci si impegnasse all’applicazione delle buone norme esistenti e che buoni professionisti tecnico archivistici sperimentassero buone pratiche dalle quali poter sviluppare linee guida operative che consolidino il quadro normativo con la forza del contributo volontario e del consenso degli operatori.