Per farla breve: la risposta è SÌ. Di sicuro non è una cosa semplice per le amministrazioni pubbliche che non possiedo un reparto IT preposto, ma non è impossibile. In questo breve articolo mi occuperò della normativa, quindi, andremo a vedere perché le amministrazioni pubbliche (comune, regione, scuola, ecc.) possono sviluppare tutto lo stack della gestione documentale, internamente, senza affidare il servizio a terzi. Nel prossimo articolo mi concetrerò sull'aspetto tecnico. Il testo di riferimento è il CAD (Codice dell'Amminitrazione Digitale), questo testo regolamenta le procedure delle amministrazioni pubbliche, non è valevole per le aziende private, tengo a precisare questo in quanto alcune aziende private (poche per fortuna) rivendono prodotti che sono pensati e sviluppati per aziende private.
Questo è un articolo divulgativo e non tecnico, quindi cercherò di usare un linguaggio semplice per quanto sia possibile, invece, quando userò termini tecnici farò riferimento a questo glossario. Per "tutto lo stack della gestione documentale" si intende tutto, compresa la conservazione; tengo a precisare questo perché molti tendono a dividere in due parti la problematica in quanto affidano a terzi la sola conservazione.
Articolo 44 del CAD (Codice dell'Amministrazione Digitale)
Come detto, il testo di riferimento è il CAD, nello specifico l'articolo 44 (aggiornato il 06 Ottobre 2016): "Requisiti per la gestione e conservazione dei documenti informatici".
Nell'art. 44 vengono definite le caratteristiche che deve avere tutto lo stack della gestione documentale. L'articolo 44 del CAD stabilisce quali sono le caratteristiche che la gestione documentale deve obbligatoriamente soddisfare, sia se la gestione viene effettutata internamente o se viene affidata a terzi. Il punto j) dell'art. 44 stabilisce che le amministrazioni pubbliche possono scegliere tra il servizio interno o affidare a terzi lo stesso.
L'articolo punto per punto
1. Il sistema di gestione informatica e conservazione dei documenti informatici della pubblica amministrazione assicura:
Viene stabilito che tutti i seguenti punti sono obbligatori.
a) l'identificazione certa del soggetto che ha formato il documento e dell'amministrazione o dell'area organizzativa omogenea di riferimento di cui all'articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
Per documento non si intende soltanto il classico PDF (o ODT, ecc.), ma anche una serie di informazioni estrapolate da un database e che successivamente vengono visualizzate in maniera unitaria, questo magari lo approfondirò in un altro post, altrimenti rischio di essere molto prolisso.
Per quanto riguarda la provenienza del documento, lo stesso deve essere associato in maniera certa alla persona (fisica o giuridica) o dall'amministrazione che l'ha prodotto, attualmente la certezza si ha dall'invio tramite PEC e/o firma digitale. In futuro (presumibilmente entro Dicembre 2018) l'invio del "documento" avviene anche tramite i servizi di istanze online di ogni singola amministrazione con accesso tramite SPID da parte dell'utenza, quindi, si capisce che la soluzione tecnica che si andrà a scegliere (software in parole povere) deve essere modulare in modo che supporti in futuro questa funzionalità.
Il "documento" in entrata deve essere associato ad un'anagrafica in modo che l'amministrazione possa sempre risalire alla persona (fisica, giuridica, amministrazione, area organizzativa, ecc.) che ha fornito il documento. Inoltre, come per gli attuali software gestionali (norma vecchia), per poter garantire la ricostruzione dell'iter burocratico (ribadito nel punto d), ogni utenza che accede alla gestione documentale deve corrisponde ad una sola persona fisica. Ad esempio per una scuola non devono esistere utenze tipo "responsabile protocollo", o "segreteria", o "responsabile dematerializzazione" utilizzate da più persone, ma utenze del tipo "mario.rossi@istruzione.it" con il ruolo (o permessi) di responsabile di protocollo, "maria.bianchi@istruzione.it" con il ruolo di responsabile della dematerializzazione, "bianca.verdi@istruzione.it" con i ruoli protocolo e segreteria, ecc. con varie combinazioni, questo anche nell'ottica dell'accesso tramite SPID. Questo aspetto è ribadito in maniera specifica anche nel punto i) dell'articolo 44, quindi, non è interpretabile in nessuna altra maniera.
b) la sicurezza e l'integrità del sistema e dei dati e documenti presenti;
Questo riguarda più un aspetto tecnico/organizzativo, lo tratterò in maniera approfondità in un atro articolo. Chi vuole approfondire subito può dare una lettura alle Linee guida sulla conservazione dei documenti informatici. Il rispetto di questo punto non riguarda l'adozione di uno specifico hardware o software, infatti esistono solo specifiche tecniche, ma riguarda la politica e la strategia adottata per svolgere le funzionalità richieste, si capisce facilmente che non viengono dematerializzati soltanto i documenti ma anche i processi. Scendendo brevemente nel tecnico, un aspetto trascurato da alcuni sistemi di conservazione è la conformità allo standard ISO 14721:2012 OAIS (raccomandato dal 2002 e che diventerà obbligatorio ad Aprile 2017) e nello standard ISO 15836:2009 - "Information and documentation - The Dublin Core metadata element set". Mi fermo qui altrimenti divento troppo prolisso. L'adozione di questi standard è stata una scelta obbligata in quanto: 1) essendo essi opensource viene garantita la longevità a tempo indefinito (specialmente nell'ottica dei tempi di conservazione, vedi punto j); 2) essendo essi open source viene rispettata la razionalizzazione delle risorse (vedi art. 68 del CAD); 3) essendo open source sono difficilmente attaccabili da azioni legali, il formato proprietario è più attaccabile a livello legale in quanto le specifiche e il funzionamento non sono pubbliche e di conseguenza non "normabili" (ne sa qualcosa il governo USA quando all'inizio di questo secolo ha iniziato il proprio processo di dematerializzazione).
c) la corretta e puntuale registrazione di protocollo dei documenti in entrata e in uscita;
Oltre alla disposizione dell'11 Ottobre 2015 non c'è nulla da dire. Nella disposizione dell'11 Ottobre 2015 vengono obbligate tutte le amministrazioni ad inviare in conservazione il registro giornaliero di protocollo entro la giornata lavorativa successiva (invece la conservazione dell'archivio dei documenti è annuale, lo vedremo poi alla lettera j) ).
Comunque, prevedo qualche sopresina nel formato del numero di protocollo, in futuro il numero di protocollo potrebbe coincidere con l'impronta crittografica del documento (es: ab34ebdf0934cba345 rappresentato da un QRCode) visto che lo standard OAIS già lo prevede. Teoria, ma che presto potrebbe diventare realtà in vista di una futura ulteriore automatizzazione, quindi, meglio pensarci prima se è possibile.
d) la raccolta di informazioni sul collegamento esistente tra ciascun documento ricevuto dall'amministrazione e i documenti dalla stessa formati;
Come detto al punto a) i documenti devono essere associati in modo da poter ricostruire l'iter burocratico. Molti potrebbero pensare alla classica organizzazione per cartelle, ma non è così, questo viene specificato al punto h).
e) l'agevole reperimento delle informazioni riguardanti i documenti registrati;
Riguarda il sistema di ricerca. Per dettagli tecnici: Linee guida sulla conservazione dei documenti informatici
f) l'accesso, in condizioni di sicurezza, alle informazioni del sistema, nel rispetto delle disposizioni in materia di tutela dei dati personali;
Come stabilito nel glossario l'accesso è: "Operazione che consente a chi ne ha diritto di prendere visione ed estrarre copia dei documenti informatica", quindi, in maniera automatizzata Guido Rossi (magari utilizzando SPID) deve poter accedere, visualizzare ed estrarre copia dei documenti che lo riguardano, sempre nel rispetto della tutela dei dati personali (N.B. la tutela dei dati personali è leggermente diversa dalla tutela della privacy).
g) lo scambio di informazioni, ai sensi di quanto previsto dall'articolo 12, comma 2, con sistemi di gestione documentale di altre amministrazioni al fine di determinare lo stato e l'iter dei procedimenti complessi;
È obbligatorio che il sistema di gestione documentale possa dialogare con altri sistemi di altre amministrazioni. Questo non significa che le due amministrazioni debbano usare lo stesso software, ma che i software delle amministrazioni abbiano una funzionalità che permetta loro il dialogo. Questa disposizione può sembrare complicata, in effetti non lo è, esistono protocolli di comucazione già standardizzati come descritto nelle Linee guida sulla conservazione dei documenti informatici.
Lo stesso protocollo di comunicazione, inoltre, si può inoltre utilizzare per la pubblicazione all'Albo Online dell'amministrazione (sito web), questo, per evitare storture illegali quali: i frame (non in linea con le norme sull'accessibilità); il collegamento tramite link ad un altro dominio minando così la validità legale del documento pubblicato, il documento ha validità legale solo se provenire dal dominio dell'amministrazione registrato su indicePA e non da un altro dominio.
h) la corretta organizzazione dei documenti nell'ambito del sistema di classificazione adottato;
Ogni documento avrà più associazioni (posso dire metainformazioni o metadati? :) ) come: l'anagrafica, il numero di protocolo, il numero di pratica, ecc. Poi sarà il software a presentare il "fascicolo" organizzato nella maniera più opportuna; questo modo di procedere è molto più flessibile rispetto al vecchio modo di organizzare i fascicoli. Ad es: "Visualizzazione del fascicolo personale" i documenti vengono organizzati dal software per quella determinata persona; "Tutte le istanza di ferie nell'anno 2016" i documenti vengono visualizzati per tipologia, in questo caso ferie nel 2016; ecc. Per chi vuole approfondire subito può leggere le specifiche minime dei metadati.
i) l'accesso remoto, in condizioni di sicurezza, ai documenti e alle relative informazioni di registrazione tramite un identificativo univoco
Principalmente per garantire l'accesso come al punto f). Da questo si capisce che il sistema di gestione documentale deve essere fruibile anche al di fuori dell'amministrazione. Non è specificata alcuna soluzione tecnica, ma di certo il metodo attualmente più diffuso è l'interfaccia web, specialmente dal punto di vista dell'utenza esterna e dall'accessibilità. Anche questo punto è un chiaro riferimento a SPID.
Infine arriviamo al nocciolo della questione, il punto j)
j) il rispetto delle regole tecniche di cui all'articolo 71.
La gestione documentale è soggetta alle regole tecniche dell'articolo 71 del CAD (ultimo aggiornamento 06 Ottobre 2016).
1-bis. Il sistema di gestione e conservazione dei documenti informatici è gestito da un responsabile che opera d'intesa con il dirigente dell'ufficio di cui all'articolo 17 del presente Codice, il responsabile del trattamento dei dati personali di cui all'articolo 29 del decreto legislativo 30 giugno 2003, n. 196, ove nominato, e con il responsabile del sistema della conservazione dei documenti informatici, nella definizione e gestione delle attività di rispettiva competenza. Almeno una volta all’anno il responsabile della gestione dei documenti informatici provvede a trasmettere al sistema di conservazione i fascicoli e le serie documentarie anche relative a procedimenti conclusi
L'articolo è chiaro, non è chiaro ciò che va sottoposto a conservazione ogni anno. In questo caso ci viene in aiuto il "Piano di conservazione e scarto per gli archivi delle Istituzioni scolastiche (massimario)" realizzato grazie al lavoro di revisione su un primo elaborato redatto dalla Provincia autonoma di Trento, condotto da un Gruppo di lavoro misto fra la Soprintendenza archivistica e l’Ufficio scolastico regionale del Piemonte e, successivamente, ulteriormente rivisto da un gruppo di lavoro istitutito presso la Direzione generale per gli archivi. Si capisce chiaramente che la quantità di dati da conservare è corposa, quindi bisogna regolarsi di conseguenza. Inoltre ricordo che il punto c) obbliga alla conservazione giornaliera del solo registro di protocollo.
1-ter. Il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione a quanto stabilito nel presente articolo ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche.
A) Il responsabile della conservazione può optare l'utilizzo di servizi terzi.
B) Oppure far certificare il processo interno ("la certificazione della conformità del relativo processo") se è conforme a quanto stabilito nel presente articolo. La certificazione del processo interno può essere effettuato da soggetti pubblici o privati, ma essi devono offrire le idonee garanzie organizzative e tecnologiche stabilite nell'articolo 44.
Conclusioni
Per una pubblica amministrazione è possibile gestire internamente documentazione e conservazione, ma è necessario che la stessa abbia all'interno personale capace di realizzare ciò. Prossimamente cercherò di scrivere un articolo sugli aspetti tecnici.
Nelle nostre scelte, a prescidere se si sceglie l'esternalizzazione o meno, bisogna considerare che i servizi devono essere conformi all'art. 44 del CAD, nel caso in cui si tratti di soluzioni commerciali bisogna tenere in considerazione tutto il Capo V del CAD - Sviluppo, acquisizione e riuso di sistemi informatici nelle Pubbliche Amministrazioni, in cui le pubbliche amministrazioni vengono obbligate al riuso del software open source (Art. 68):
- Le pubbliche amministrazioni acquisiscono programmi informatici o parti di essi nel rispetto dei principi di economicità e di efficienza, tutela degli investimenti, riuso e neutralità tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato: a) software sviluppato per conto della pubblica amministrazione;
b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
c) software libero o a codice sorgente aperto;
d) software fruibile in modalità cloud computing;
e) software di tipo proprietario mediante ricorso a licenza d'uso;
f) software combinazione delle precedenti soluzioni. 1-bis. A tal fine, le pubbliche amministrazioni prima di procedere all'acquisto, secondo le procedure di cui al codice di cui al decreto legislativo 12 aprile 2006 n. 163, effettuano una valutazione comparativa delle diverse soluzioni disponibili sulla base dei seguenti criteri: a) costo complessivo del programma o soluzione quale costo di acquisto, di implementazione, di mantenimento e supporto;
b) livello di utilizzo di formati di dati e di interfacce di tipo aperto nonché di standard in grado di assicurare l'interoperabilità e la cooperazione applicativa tra i diversi sistemi informatici della pubblica amministrazione;
c) garanzie del fornitore in materia di livelli di sicurezza, conformità alla normativa in materia di protezione dei dati personali, livelli di servizio tenuto conto della tipologia di software acquisito. 1-ter. Ove dalla valutazione comparativa di tipo tecnico ed economico, secondo i criteri di cui al comma 1-bis, risulti motivatamente l'impossibilità di accedere a soluzioni già disponibili all'interno della pubblica amministrazione, o a software liberi o a codici sorgente aperto, adeguati alle esigenze da soddisfare, è consentita l'acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d'uso. La valutazione di cui al presente comma è effettuata secondo le modalità e i criteri definiti dall'AgID .- Agli effetti del presente Codice legislativo si intende per: a) formato dei dati di tipo aperto, un formato di dati reso pubblico, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati stessi;
b) dati di tipo aperto, i dati che presentano le seguenti caratteristiche: 1) sono disponibili secondo i termini di una licenza che ne permetta l'utilizzo da parte di chiunque, anche per finalità commerciali, in formato disaggregato; (*) 2) sono accessibili attraverso le tecnologie dell'informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, in formati aperti ai sensi della lettera a), sono adatti all'utilizzo automatico da parte di programmi per elaboratori e sono provvisti dei relativi metadati;
come ultima opzione l'acquisto con licenza d'uso.
Vista la corposità dei documenti da sottoporre a conservazione lo spazio gioca un ruolo fondamentale.
SPID sarà a breve il principale metodo di autenticazione.