Le nuove linee guida AgID sulla formazione, gestione e conservazione dei documenti informatici: quali sono i nuovi adempimenti per i soggetti privati a partire da gennaio 2022

A decorrere dal primo gennaio 2022, sono entrate definitivamente in vigore le nuove linee guida sulla formazione, gestione, e conservazione dei documenti informatici (le “Linee Guida”) adottate dall’Agenzia per l’Italia digitale (“AgID”) a settembre 2020 (e aggiornate a maggio 2021), le quali hanno lo scopo di:

• aggiornare le regole tecniche in materia di formazione, protocollazione, gestione e conservazione dei documenti informatici, già precedentemente regolate dal DPCM 13 novembre 2014[1] e dal DPCM 3 dicembre 2013[2] – i quali risultano così entrambi abrogati;
• incorporare in un unico testo le regole tecniche e le circolari in materia.

In particolare, nell’ambito delle attività di conservazione dei documenti informatici, per i quali vige un obbligo di conservazione, le nuove Linee Guida prevedono nuovi adempimenti che dovranno essere posti in essere dai soggetti privati, anche qualora i soggetti privati abbiano deciso di demandare il processo di conservazione a un conservatore terzo, consentendo in questo caso, di affidare esternamente alcune attività individuate dalle Linee Guida stesse.

• La conservazione digitale: breve inquadramento

La conservazione digitale è un insieme di attività e procedure, regolamentate dalla legge[3], che consente di garantire nel tempo la validità legale dei documenti informatici di un’organizzazione e preservarli negli anni, a seguito di processi di digitalizzazione documentale (quindi, l’attività di formazione e gestione dei documenti in modalità informatica sin dalla loro origine) o dematerializzazione (intesa, invece, come la procedura che consente di convertire documenti cartacei in documenti informatici).

I documenti informatici possono, pertanto, essere sia i documenti che “nascono” informatici, anche in ragione di specifici obblighi normativi (come, ad esempio, le fatture elettroniche, i contratti firmati digitalmente, i messaggi di posta elettronica certificata etc.) sia copie informatiche di documenti analogici (realizzate, ad esempio, tramite una scansione dell'originale cartaceo).

Come previsto dalle disposizioni del Codice dell’Amministrazione Digitale (“CAD”), in particolare dall’art. 20, comma 5-bis, i documenti informatici devono essere oggetto di conservazione ed esibizione secondo specifiche regole tecniche affinché sia possibile soddisfare gli effetti di legge previsti (ad esempio, gli effetti probatori) e assicurare – con particolare riferimento ai fini tributari[4] – la loro autenticità, integrità, affidabilità, leggibilità e reperibilità.

La conservazione costituisce, quindi, un fattore fondamentale per la sostenibilità del processo di dematerializzazione, fornendo la garanzia tecnologica e giuridica che documenti e informazioni in formato digitale siano conservati nel lungo periodo, in modo integro, autentico e accessibile, come avviene per i documenti cartacei.

Inoltre, la conservazione digitale può essere svolta internamente all’organizzazione, previa adozione di appositi software e avendo maturato le opportune competenze, oppure affidando il servizio all’esterno a operatori specializzati. In questo secondo caso, risulta necessario orientarsi verso conservatori in possesso di elevati livelli in termini di qualità, sicurezza e organizzazione.

Infatti, sebbene l’utilizzo e la conservazione di documenti informatici da un lato permettano di conseguire notevoli vantaggi, dall’altro lato comportano una serie di rischi (ad esempio, di alterazione o di perdita di integrità). Per tale ragione, è necessario che i documenti informatici, una volta formati, vengano conservati secondo le specifiche regole e procedure dettate dalla normativa di riferimento e, in particolare, dalle Linee Guida.

• Le Linee Guida AgID e i nuovi adempimenti nell’ambito della conservazione digitale

Le Linee Guida sono entrate effettivamente in vigore il 1° gennaio 2022, hanno carattere vincolante e assumono valenza erga omnes.

I soggetti a cui si applicano le Linee Guida sono individuati ai sensi dell’art. 2, commi 2 e 3 del CAD e sono:

• le pubbliche amministrazioni, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione;
• i gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse;
• le società a controllo pubblico, (definite nel D.lgs. n. 175/2016, escluse le società quotate di cui all’articolo 2, comma 1, lettera p); e
• i soggetti privati, laddove le regole previste non si applichino espressamente alla Pubblica Amministrazione.

Inoltre, le Linee Guida contengono disposizioni che possono avere un’applicazione differenziata nel tempo sebbene tutte operative da inizio 2022: infatti i nuovi metadati obbligatori (di cui all’Allegato 5 delle Linee Guida), e cioè le parole chiave che permettono di ricercare un documento informatico inviato in un sistema di conservazione elettronica e che vanno associati al documento all’atto della sua formazione (con alcune eccezioni per i documenti a rilevanza fiscale), trovano applicazione per tutti i documenti che vengono prodotti dal 1° gennaio 2022 in avanti. Mentre gli obblighi di conservazione dei documenti in conformità alle nuove disposizioni devono essere rispettati anche con riferimento a documenti prodotti prima di gennaio 2022 (ad esempio, i documenti informatici prodotti o ricevuti dai contribuenti nel corso del 2020)[5].

Soffermandoci sui principali adempimenti che devono essere posti in essere dai soggetti privati (anche in caso di conservazione in outsourcing) al fine di effettuare una conservazione digitale dei documenti informatici nel rispetto delle nuove Linee Guida, occorre segnalare che le stesse hanno introdotto l’obbligo di:

1. a cura del titolare del documento informatico (i.e. la società);
2. redigere il manuale della conservazione e curarne l’aggiornamento;
3. adottare specifiche modalità per la gestione e conservazione dei documenti informatici (tenuto altresì conto della complessità della struttura organizzativa e della documentazione prodotta) e verificare le attività poste in essere dal conservatore terzo.

1. Il responsabile della conservazione

Conservare in modalità digitale necessita – obbligatoriamente – della nomina del responsabile della conservazione.

Per i soggetti privati, il ruolo del responsabile della conservazione dovrà essere ricoperto da una persona fisica che potrà essere interna all’organizzazione, purché appositamente designata, oppure anche da una persona esterna alla stessa in possesso di idonee competenze giuridiche, informatiche e archivistiche, purché terza rispetto al conservatore (quindi, la società a cui è stata affidata la conservazione in outsourcing) al fine di garantire la funzione del titolare dell’oggetto di conservazione (i.e. la società titolare dei documenti) rispetto al sistema di conservazione.

Il responsabile della conservazione deve essere in grado di gestire, organizzare e sovraintendere le diverse attività che compongono il processo di conservazione dei documenti informatici ed è il soggetto preposto a definire e attuare le politiche complessive del sistema di conservazione, governandone la gestione con piena responsabilità e autonomia (anche in caso di conservazione affidata in outsourcing).

Inoltre, le Linee Guida prevedono che il responsabile della conservazione, sotto la propria responsabilità, possa delegare lo svolgimento delle proprie attività o parte di esse a uno o più soggetti, che all’interno della struttura organizzativa, abbiano specifiche competenze ed esperienze. Tale delega, riportata nel manuale di conservazione, dovrà individuare le specifiche funzioni e competenze delegate.

Le Linee Guida definiscono, altresì, nel dettaglio tutti i compiti attribuiti al responsabile della conservazione.

Nel caso in cui il servizio di conservazione venga affidato a un conservatore terzo, le attività individuate dalle Linee Guida o alcune di esse, ad esclusione della predisposizione e aggiornamento del manuale della conservazione, potranno essere affidate al responsabile del servizio di conservazione, rimanendo in ogni caso inteso che la responsabilità giuridica generale sui processi di conservazione, non essendo delegabile, rimane in capo al responsabile della conservazione, chiamato altresì a svolgere le necessarie attività di verifica e controllo.

Il nominativo ed i riferimenti del responsabile della conservazione devono essere indicati nelle specifiche del contratto o della convenzione di servizio con il conservatore terzo nel quale sono anche riportate le attività affidate al responsabile del servizio di conservazione.

• Il Manuale di conservazione

Una delle maggiori novità introdotte con l’entrata in vigore delle Linee Guida prevede l’obbligo di redigere un manuale di conservazione, vale a dire un documento informatico che deve illustrare dettagliatamente, inter alia:

• l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi;
• il modello di funzionamento, la descrizione del processo, delle architetture e delle infrastrutture utilizzate;
• le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento del sistema di conservazione.

Come indicato sopra, il manuale della conservazione dovrà essere redatto e aggiornato a cura e da parte del responsabile della conservazione – in quanto attività non delegabile – anche nei casi in cui la conservazione sia stata affidata a un conservatore esterno (il quale, a sua volta, avrà l’obbligo di redigere il manuale del sistema di conservazione). Le informazioni che dovranno essere contenute nel manuale della conservazione sono espressamente previste dal punto 4.6 delle Linee Guida e in caso di esternalizzazione del servizio di conservazione, sarà necessario richiamare il manuale del sistema di conservazione redatto dal conservatore.

Inoltre, il manuale della conservazione in quanto documento informatico dovrà a sua volta essere conservato unicamente in modalità digitale.

• Attività di controllo

Nei casi in cui la conservazione digitale sia demandata a un conservatore esterno, e i compiti del responsabile della conservazione affidati al responsabile del servizio di conservazione (nei limiti di cui sopra), fermo restando che la responsabilità giuridica sui processi di conservazione rimane sempre a carico del responsabile della conservazione, a quest’ultimo viene richiesto di svolgere “le necessarie attività di verifica e controllo in ossequio alle norme vigenti sul servizi affidati in outsourcing dalle PA”.

In sostanza, anche nei casi in cui il servizio venga esternalizzato, il responsabile della conservazione deve:

1. verificare e controllare che i compiti elencati al punto 4.5 delle Linee Guida e delegati al responsabile del servizio di conservazione, vengano svolti in conformità alla normativa vigente e secondo le specifiche del contratto;
2. elaborare dei report attestanti i controlli svolti e il loro esito;
3. conservare digitalmente tali report, al fine di comprovare, qualora ve ne sia la necessità, che l’attività di controllo e verifica è stata eseguita in conformità a standard internazionali.

• Come adeguarsi e cosa succede in caso di violazione?

Il corretto adempimento degli obblighi sopra richiamati implica la necessità di porre in essere ulteriori misure, quali:

1. una mappatura interna dei documenti informatici - nonché delle copie informatiche di documenti analogici - predisposti dalle varie funzioni aziendali;
2. la redazione di specifiche istruzioni rivolte ai responsabili di funzione che possono generare documenti informatici per cui vige l'obbligo di conservazione;
3. l'individuazione di adeguate misure di sicurezza e chiavi di accesso al sistema di archiviazione;
4. il rispetto delle disposizioni dettate dalla normativa in materia di protezione dei dati personali, ivi incluso il Regolamento UE 2016/679 (“GDPR”), espressamente richiamato dalle Linee Guida, soprattutto in materia di adozione di adeguate misure di sicurezza, ex art. 32 del GDPR, e valutazione dei ruoli e delle responsabilità dei soggetti coinvolti (ivi inclusa, la nomina del soggetto esterno al quale è affidato il servizio di conservazione quale responsabile del trattamento ai sensi dell’art. 28 del GDPR).

Nonostante il CAD e le Linee Guida non prevedano sanzioni dirette in caso di mancato rispetto dei predetti obblighi, le sanzioni applicabili restano quelle previste in altre disposizioni normative in relazione a formazione, gestione e conservazione documentale, ad esempio ai fini tributari, nonché quelle espressamente previste dal GDPR.

[1] DPCM 13 novembre 2014 contenente “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici”.

[2] DPCM 3 dicembre 2013, contenente “Regole tecniche in materia di sistema di conservazione”.

[3] Si segnala che sia il codice civile che la normativa tributaria prevedono la possibilità di poter formare e conservare in modalità elettronica la documentazione contabile e tributaria.

[4] Per i documenti di rilevanza tributaria, le disposizioni di riferimento sono previste dal Decreto Ministeriale del Ministero dell’economia e delle Finanze del 17 giugno 2014, il quale disciplina le modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici e contiene molteplici richiami al CAD.

[5] La metadazione dei documenti fiscali e contabili risulta possibile anche in una fase successiva alla loro formazione: questo uno dei chiarimenti contenuti nel documento pubblicato il 17 dicembre 2021, da AgID, come risultato del Tavolo tecnico interistituzionale che ha visto coinvolte agenzia delle Entrate, Cndcec, Assosoftware, Anorc e Assoconservatori avvalendosi del supporto metodologico del Politecnico di Milano e di quello tecnico di Sogei. I chiarimenti forniti individuano soluzioni applicative per i documenti a rilevanza fiscale al fine di agevolare l’adeguamento alle Linee Guida.