Come gestire la responsabilità della corretta conservazione dei documenti informatici
La conservazione dei documenti informatici coinvolge diversi attori con specifiche responsabilità. Il titolare dei documenti resta il principale responsabile, anche in caso di outsourcing. Il Responsabile della conservazione, figura chiave, gestisce il sistema di conservazione e può delegare funzioni, mantenendo la responsabilità complessiva. Le Regole tecniche definiscono attività e competenze del Responsabile, sottolineando l’importanza della sicurezza e riservatezza dei dati. La normativa delinea un quadro complesso di obblighi e ruoli per garantire una corretta conservazione digitale.
Obblighi di conservazione digitale secondo il Codice dell’amministrazione digitale
Per delineare l’assetto di ruoli e responsabilità nelle attività relative alla conservazione dei documenti informatici, occorre innanzitutto chiarire che tale obbligo dovrà essere assolto dal soggetto che ha prodotto il documento o da colui che, per legge, deve custodirlo.
In tema di documento informatico, il Codice dell’amministrazione digitale (D.Lgs. n. 82/2005) stabilisce che i documenti degli archivi, le scritture contabili, la corrispondenza e ogni atto, dato o documento di cui è prescritta la conservazione per legge o regolamento, se riprodotti su supporti informatici, sono validi e rilevanti a tutti gli effetti di legge, a patto che la riproduzione e la conservazione nel tempo siano effettuate in modo da garantire la conformità dei documenti agli originali. Inoltre, il CAD dispone che i documenti informatici, di cui è prescritta la conservazione per legge o regolamento, debbano essere conservati in modo permanente con modalità digitali, nel rispetto delle regole tecniche.
Responsabilità del titolare nella conservazione dei documenti informatici
La responsabilità della conservazione ricade, quindi, direttamente sul soggetto che, per legge o regolamento, è tenuto a garantirla. La responsabilità del titolare dei documenti informatici sulla corretta conservazione degli stessi è stata ribadita più volte anche dall’Agenzia delle Entrate, con specifico riferimento ai documenti fiscalmente rilevanti.
Nella Risoluzione 161/E del 9 luglio 2007, ad esempio, si è precisato che “in tutti i casi in cui il contribuente affida, in tutto o in parte, il processo di conservazione a soggetti terzi continuerà a rispondere nei confronti dell’Amministrazione finanziaria della corretta tenuta e conservazione delle scritture contabili e di tutti i documenti fiscalmente rilevanti. Eventuali inadempienze del soggetto incaricato della conservazione non potranno essere opposte all’Amministrazione finanziaria per giustificare irregolarità o errori nella tenuta e nella conservazione della contabilità o, più in generale, di tutti i documenti rilevanti ai fini tributari […]”.
Pertanto, il conferimento a terzi dell’incarico di effettuare la conservazione a norma dell’art. 44 e ss. del CAD non incide sugli obblighi di corretta tenuta e conservazione di libri, registri, scritture, fatture e di tutti i documenti prescritti dalla normativa fiscale, che continuano a gravare sul contribuente.
Sanzioni e responsabilità nella conservazione dei documenti informatici
Eventuali inadempienze dei suddetti obblighi che diano luogo all’applicazione di sanzioni sono, dunque, addebitate al soggetto tenuto al rispetto delle prescrizioni in materia di corretta gestione e conservazione dei documenti.
Con particolare riguardo al ruolo del Responsabile della conservazione dei documenti informatici, il Codice dell’amministrazione digitale stabilisce all’art. 44 (commi 1-bis e 1-ter) che “il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, […]” e che lo stesso “può chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione […] ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche”.[1]
Modalità di conservazione dei documenti informatici e ruolo del Responsabile
La conservazione a norma dei documenti, dunque, può essere svolta – sempre sotto la gestione del Responsabile – o all’interno della struttura organizzativa del soggetto titolare o “affidandola, in modo totale o parziale, ad altri soggetti pubblici o privati” che, sulla scorta dell’art. 5 delle Regole tecniche, di cui al DPCM 3 dicembre 2013, offrano idonee garanzie organizzative e tecnologiche, come l’essere accreditati come conservatori presso l’Agenzia per l’Italia digitale.
La gestione, in piena responsabilità e autonomia, del sistema di conservazione spetta dunque sempre al Responsabile della conservazione dei documenti informatici: sia qualora la conservazione venga svolta internamente alla struttura organizzativa del soggetto produttore dei documenti informatici da conservare, sia quando venga affidata, in modo totale o parziale, ad altri soggetti pubblici o privati (Conservatori) che offrano idonee garanzie organizzative e tecnologiche.
Competenze e collocazione del Responsabile della conservazione
Vengono così confermate e sottolineate la complessità e la responsabilità connesse a tale ruolo che, rendendo necessarie varie e differenti competenze (informatiche, giuridiche, archivistiche), deve essere affidato a soggetti apicali all’interno della struttura che ha la responsabilità di conservare i documenti informatici prodotti.
È opportuno sottolineare che – come peraltro specificato dall’Agenzia delle Entrate nella Circolare 36/2006 – già dalla sola analisi dell’art. 44 del CAD pare evincersi la “naturale” collocazione del ruolo del Responsabile della conservazione dei documenti informatici all’interno della struttura organizzativa del titolare dei documenti conservati, o comunque della riferibilità di tale ruolo in seno a un “rapporto qualificato” (un socio, un amministratore, o comunque un soggetto che ricopre una posizione apicale) o comunque di fiducia con la società, l’associazione o l’ente titolare dei documenti[2] (come, ad esempio, un consulente esterno di fiducia dello stesso soggetto titolare dei documenti, ma tale soluzione è ipotizzabile solo per i soggetti privati).[3]
Conflitto di interessi e deleghe nella conservazione dei documenti informatici
Diversamente, alla luce dell’assetto di responsabilità delineato dalla normativa, non risulta corretto che il Responsabile della conservazione nominato dal titolare abbia in essere un rapporto di lavoro anche con il soggetto Conservatore esterno, in quanto in tale eventualità potrebbe risultare difficile escludere, in linea generale, la potenziale sussistenza di un conflitto di interessi nell’esecuzione dei compiti e delle funzioni del Responsabile della conservazione dei documenti informatici. In tal senso, analizzando con attenzione la formulazione letterale e la tecnica normativa con cui sono state redatte le nuove Regole tecniche, è possibile cogliere altri indizi circa la configurazione del ruolo del Responsabile della conservazione.
Tale figura, infatti, sempre sotto la propria responsabilità, può delegare lo svolgimento del processo di conservazione o parte di esso, ad altri soggetti di specifica esperienza e competenza. La delega (atto che solitamente prevede l’esistenza di un rapporto strutturato a priori tra il delegante e il delegato) dovrà essere formalizzata indicando tutte le specifiche funzioni e competenze affidate al delegato.
Outsourcing: i ruoli del Responsabile della conservazione dei documenti informatici
Pur potendo spogliarsi di tutte le funzioni legate al processo di conservazione, quindi, il Responsabile resta comunque responsabile dell’intero processo. Anche laddove venga scelto di affidare la conservazione all’esterno della struttura, tale affidamento dovrà essere effettuato mediante contratto o convenzione e dovrà prevedere l’obbligo del rispetto del Manuale di conservazione predisposto dal Responsabile.
Anche in questo caso, quindi, la norma tecnica dev’essere letta alla luce della normativa primaria che riconosce al Responsabile la possibilità di affidare all’esterno il sistema e, tale affidamento, non permette comunque di spogliarsi della propria responsabilità, quantomeno nei termini di eventuale culpa in eligendo e culpa in vigilando.
Attività e competenze del Responsabile della conservazione: riservatezza e sicurezza
Si sottolinea che con l’introduzione delle Regole tecniche approvate con il DPCM 3 dicembre 2013, sono state specificate le attività di competenza del Responsabile della conservazione dei documenti informatici, che “è colui che definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità e autonomia, in relazione al modello organizzativo adottato”. Peraltro, le Regole tecniche stabiliscono che tali attività vengano svolte d’intesa con il Responsabile della sicurezza e dei sistemi informativi (oltre che con il Responsabile della gestione documentale, ove nominato).
In effetti, punto cardine della trattazione negoziale è anche quello relativo alla riservatezza dei dati e delle attività svolte dal Conservatore per l’azienda o l’ente che affida in outsourcing la conservazione: si pensi alla massa di documenti, dati, e informazioni che “migrano” dalla struttura titolare al Conservatore, affinché quest’ultimo possa attuare le operazioni a cui è preposto. Trattandosi poi di attività aventi ad oggetto molto spesso servizi informatici, non trascurabile risulta essere anche l’aspetto della sicurezza: il titolare dovrà, in tal senso, imporre al fornitore, laddove già lo stesso non vi abbia espressamente provveduto, l’adozione di misure di sicurezza tali da tutelare l’attività da accessi non autorizzati o manomissioni che comportino conseguenze quali distruzione e perdita dei dati.
Le stesse regole tecniche prevedono, infatti, che il Conservatore esterno assuma ex lege il ruolo di Responsabile esterno del trattamento dei dati, così come previsto dal Codice in materia di protezione dei dati personali.
Note
- È utile ricordare che secondo l’art. 2 comma 3 del Codice dell’amministrazione digitale queste specifiche disposizioni relative alla conservazione dei documenti informatici si applicano anche ai privati e non solo alle pubbliche amministrazioni.
- O, per riprendere la fattispecie esaminata dalla Agenzia delle Entrate nella Circolare 36/2006, “il contribuente diverso da persona fisica”.
- In effetti, la nomina a Responsabile della conservazione di un consulente esterno è in ogni caso da escludersi per le pubbliche amministrazioni alla luce dell’espressa previsione del comma 3 dell’art. 5 delle Regole tecniche di cui al DPCM 3 dicembre 2013, nel quale si stabilisce, ribadendo la delicatezza e la complessità di tale ruolo, che “nelle pubbliche amministrazioni, il ruolo del Responsabile della conservazione dei documenti informatici è svolto da un dirigente o da un funzionario formalmente designato”.
A cura di Sarah Ungaro, Digital&Law Department Studio Legale Lisi – Ufficio di Presidenza ANORC
Articolo pubblicato sulla rivista ICT Security – Gennaio/Febbraio 2016