Il tema della conservazione dei documenti informatici è attualissimo per gli Enti locali, ma spesso eccessivamente trascurato o del tutto ignorato: un grave errore, perché l’inottemperanza agli obblighi di conservazione ed esibizione dei documenti informatici conformemente alle Linee guida dell’AgID in vigore dal 1° gennaio 2022 (art. 20 c. 5 bis Codice dell’Amministrazione Digitale) potrebbe portare conseguenze in termini sanzionatori, ma anche problemi in eventuali contenziosi.
Che cosa si intende per conservazione dei documenti informatici (o conservazione sostitutiva)? La conservazione è l’attività volta a proteggere e custodire nel tempo gli archivi di documenti e dati informatici garantendone l’autenticità, l’integrità, l’affidabilità, la leggibilità e la reperibilità.
Nell’ambito del processo di transizione digitale delle Pubbliche Amministrazioni, il tema della tutela e della valorizzazione degli archivi informatici, anche con la nomina del responsabile della conservazione digitale, assume un significato estremamente attuale e interessante.
Peraltro, occorre evidenziare che la corretta gestione dei documenti informatici è essenziale anche per dimostrare la conformità al Regolamento Europeo per la Protezione dei Dati Personali 679/2016. Ricorderemo il principio di accountability sancito dall’articolo 25 del GDPR di cui tanto abbiamo discusso in questa rubrica: «tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati».
Ebbene, conservare i documenti informatici secondo le disposizioni del Codice dell’Amministrazione Digitale e delle linee guida AgID, seguendo tutto il ciclo di vita del documento e verificando che anche nella fase di archiviazione e conservazione questo non perda le sue caratteristiche di integrità, rappresenta senza dubbio una misura tecnica organizzativa in grado di proteggere i dati personali. Inoltre, una corretta conservazione del documento digitale consente di definire a priori e di controllare poi i tempi di data retention e quindi di conservazione del documento da parte del titolare del trattamento.
Anche questo è un tema cruciale di data protection che spesso viene del tutto ignorato e trascurato: ma se il dato viene conservato e indicizzato correttamente, secondo i principi e gli accorgimenti di cui abbiamo parlato, questo permetterebbe anche di eliminarlo una volta scaduto il tempo di conservazione (ad esempio i dieci anni previsti per legge per i documenti contabili). Conservare i documenti oltre il termine di conservazione significherebbe trattare ulteriormente i dati in esso contenuti (perché anche la conservazione è un trattamento!), in assenza di una valida base giuridica e quindi illegittimamente.
Ricordiamo in fatti che i dati, infatti, non possono essere conservati in eterno ma solo fino a quando sussiste la finalità per la quale sono stati raccolti, salva l’osservanza di obblighi derivanti dalla legge. Il dato che non ha più ragione di essere conservato, deve essere distrutto, secondo modalità che garantiscano la non ricostruibilità del documento stesso.
Ma torniamo alla nostra conservazione digitale.
In questo caso la norma di riferimento è il Codice dell’Amministrazione Digitale, che prevede la validità e rilevanza agli effetti di legge della registrazione su supporto informatico che sia conforme alle regole tecniche ed il pieno valore legale di un documento su supporto informatico se sono rispettate le relative tecniche di produzione e conservazione: in difetto, il documento perde la sua natura di equivalente al documento scritto, con la conseguenza che solo un giudizio potrà stabilirne la natura ed in giudizio essa verrà liberamente valutata dal Giudice.
Quali sono le garanzie che deve offrire un sistema di conservazione?
La prima: chi produce documenti informatici deve preoccuparsi che questi preservino nel tempo le loro caratteristiche di integrità, leggibilità e autenticità.
La seconda: per garantire una corretta conservazione dei documenti occorre osservare le regole tecniche attuative del codice dell’amministrazione digitale che individuano specifiche soluzioni tecnologiche, attuative di standard ISO.
Al momento, data la novità del tema, non ci sono pronunce a cui fare riferimento, ma in almeno una occasione la Cassazione si è espressa sul tema (sentenza sez. lavoro, 11/02/2019 n. 3912) stabilendo il principio per cui seguendo correttamente le norme del codice dell’amministrazione digitale e le norme regolamentari attuative, chi produce il documento si gioverà della sua piena prova in giudizio scegliendo dei sistemi che, per legge, sono in grado di garantire la leggibilità dei documenti. Non seguendo quanto disposto dal CAD, invece, rischia l’illeggibilità e di conseguenza l’inutilizzabilità in giudizio dei documenti informatici.
Questo deve far riflettere anche sul fatto che l’evoluzione tecnologica stessa finisce per rendere obsoleti i documenti digitali: i supporti possono diventare obsoleti, le firme digitali possono scadere, i formati possono non risultare più leggibili, anche “spostare” una pec non seguendo le regole tecniche rischia di privarle di qualsiasi valore legale.
La transizione dall’analogico al digitale quindi impone la conservazione digitale dei processi dell’Ente, per perseguire quelle caratteristiche di integrità, leggibilità, autenticità, immodificabilità del contenuto nel tempo in modo tale da poter contare sulla piena efficacia probatoria dei documenti. Un documento non conservato adeguatamente e non più leggibile è un documento di fatto inutilizzabile.
Occorre curare l’intero ciclo di vita del documento, dalla sua formazione all’archiviazione perché una conservazione digitale corretta assicura che il documento informatico rimanga integro e immodificabile, ne garantisce l’intellegibilità nel tempo e ne preserva l’efficacia probatoria in giudizio.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento