Le Linee Guida sulla Formazione, gestione e conservazione dei documenti informatici non sono mere indicazioni di massima. Le aziende sono obbligate a essere conformi a quanto in esse stabilito. Questo il monito di Luciano Quartarone, CISO & Data Protection Officer di Archiva che indica in una superficiale lettura della regolamentazione una delle principali cause di rischio che corrono le organizzazioni italiane nella di gestione documentale.
L’articolo 2 comma 3 del CAD – Codice Amministrazione Digital dell’AgID (Agenzia per l’Italia Digitale) lo esprime chiaramente: “Le disposizioni del presente Codice e le relative Linee Guida concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli articoli 43 e 44 (…) si applicano anche ai privati, ove non diversamente previsto”. A conferma di questo, nelle Linee Guida Paragrafo 1.10 si legge: “Come precisato dal Consiglio di Stato – nell’ambito del parere reso sullo schema di decreto legislativo del correttivo al CAD, n. 2122/2017 del 10.10.2017 – le Linee Guida adottate da AGID, ai sensi dell’art. 71 del CAD, hanno carattere vincolante e assumono valenza erga omnes”.
Indice degli argomenti
Quali rischi derivano dal non applicare la legislazione?
Con la gestione documentale le aziende si devono porre l’obiettivo di mantenere memoria di tutte le attività svolte, ma per farlo occorre rispettare la legislazione. Ciò permette di evitare varie tipologie di rischio: organizzativo, di processo, ma anche economico. “Spesso i nostri clienti – racconta Quartarone – hanno tonnellate di documenti che vogliono dematerializzare. Non è corretto pensare che basti usare uno scanner per risolvere il problema. Infatti, limitarsi alla scansione non si traduce nell’averli conservati in modo corretto. Si tratta, anzi, di un comportamento rischioso per le aziende che non possono più contare sul valore probatorio della documentazione se digitalizzata in modo errato”.
Il principale effetto negativo derivante dal non essere conforme alla normativa riguarda l’impatto probatorio del documento erroneamente dematerializzato, e cioè il fatto che il documento non abbia lo stesso valore dell’originale. Questo determina l’urgenza di produrre prove a supporto in caso di contenzioso. La mancata conservazione secondo norma può comportare poi sanzioni amministrative; la possibilità di accertamento induttivo può avere impatto penale in senso estensivo (si può imputare, per esempio, l’occultamento o la distruzione di documenti contabili).
Lo stesso accade quando sono prodotti contratti firmati con firma elettronica, oppure se si adopera la Posta Elettronica Certificata – PEC: se si stampano tali materiali si interrompe la catena di validità della firma, nel caso non sia stato progettato un processo corretto.
Una questione di organizzazione
Predisporre un processo di gestione documentale elettronica non si traduce nel solo fatto di adottare innovative tecnologie, significa realizzare, disegnare e poi implementare un modello nuovo di attività, un modello che sia conforme alla normativa, oltre che ovviamente il più efficiente possibile. “La prima cosa – sottolinea Luca Lonardi, Direttore Maxwell Consulting società del gruppo Archiva – è identificare con chiarezza quali sono i documenti che effettivamente servono e vanno conservati a norma”.
Tra le attività principali previste dalle Linee Guida, si impone la nomina di un Responsabile della Conservazione, figura professionale fondamentale in tutte le aziende sia private sia pubbliche. Si tratta del professionista incaricato di coordinarsi con i responsabili della gestione documentale laddove nominato e con i responsabili della sicurezza e del trattamento dei dati personali e dei sistemi IT.
Serve poi redigere il Manuale di Conservazione. In esso, sono definite tutte le caratteristiche e i requisiti del sistema di conservazione, oltre che ai principi seguiti per conservare i vari documenti in base alle loro caratteristiche.
L’importanza delle certificazioni di processo in ambito gestione documentale
L’AgID dichiara espressamente che “la finalità dello strumento certificazione di processo è quella di incentivare e facilitare la digitalizzazione dei flussi informativi…”. Il modello di certificazione di processo deve quindi includere due elementi: una procedura tecnologica che garantisca la corrispondenza della forma e del contenuto di copia e originale e la descrizione (e certificazione) del processo.
Premesso che, in generale, la certificazione attesta che una specifica attività, o un determinato prodotto, rispetta i requisiti che l’organizzazione si è data oppure i requisiti di una norma specifica, essa è sempre una procedura con cui una terza parte indipendente dà assicurazione scritta che un prodotto, un servizio, un processo è conforme ai requisiti specificati.
Le certificazioni permettono quindi di ridurre la probabilità di non raggiungere gli obiettivi specifici di una organizzazione.
In riferimento al ciclo di digitalizzazione documentale, il processo “dovrà essere certificato da organismo terzo in accordo agli standard ISO 9001 e ISO/IEC 27001, con campo di applicazione specifico per i servizi di progettazione e dematerializzazione massiva di documenti”. “Le aziende private – aggiunge Quartarone – possono contare sulla ISO 15499 e ISO 23081in ambito record management, in quanto Le norme sono state pensate proprio per ottimizzare le struttura organizzativa nel suo complesso al fine di un miglioramento costante e continuo dell’azienda”. La ISO/IEC 27001 norma il sistema di gestione della sicurezza delle informazioni e la ISO/IEC 27002, uno standard complementare, offre gli strumenti per comprendere e implementare controlli di sicurezza delle prime
Quali soluzioni possibili?
Le soluzioni applicative per gestire in piena conformità i processi documentali esistono. I migliori player di mercato sono in grado di supportare le aziende nella loro quotidiana gestione (sicura) dei documenti. È il caso di Archiva: la sua è una proposta tecnologica, consulenziale e di servizio che pone il documento – quale punto di partenza per interpretare i flussi di lavoro ed evolvere il business. E non solo.
“Archiva – ricorda Lonardi – è in possesso delle competenze relative a tutte le certificazioni a cui abbiamo accennato, e questo consente di farci carico in outsourcing dei processi delle aziende in outsourcing, offrendo skill e tecnologie anche per implementare una filiera sicura in cui scambiare i documenti senza pericoli di compromissioni. In particolare, Maxwell è un validissimo supporto per le organizzazioni che vogliono implementare le ISO sul record management. Non è semplice, infatti in generale, calare nella propria realtà quanto definito dalle singole norme vigenti e poi impostare un processo alla luce del quadro completo di leggi da seguire. Basti ricordare che, in questo contesto, va tenuto inoltre presente il GDPR. I processi devono essere armonizzati anche rispetto a quest’ultimo”.
@RIPRODUZIONE RISERVATA
