i professionisti della digitalizzazione documentale - anorc professionisti digitalizzazione... ·...
TRANSCRIPT
PROMUOVONO:
I professionisti della
digitalizzazione documentale
Studio a cura del Digital & Law Department
2
Il Manager della governance
digitale o Chief Digital Officer
(CDO)
OPEN DATA, TRASPARENZA E PUBBLICITÀ LEGALE ONLINE •Responsabile Open Data (o Open Data Manager)
•Responsabile della trasparenza e della pubblicità legale online
GESTIONE ELETTRONICA DEI DOCUMENTI •Responsabile della formazione e gestione elettronica dei documenti
•Responsabile della conservazione digitale
TRATTAMENTO DEI DATI PERSONALI NEI SISTEMI DI GESTIONE DOCUMENTALE •Responsabile del tramento dei dati personali nei sistemi di gestione documentale
I Professionisti della digitalizzazione documentale
3
Indice
1. Premessa
2. Compiti e attività specifiche dei professionisti della digitalizzazione documentale
2.1. Profili europei ICT secondo lo schema Europeo e-CF
2.2. Skill e formazione dei professionisti della digitalizzazione documentale
3. La figura di coordinamento dei professionisti della digitalizzazione documentale.
Conoscenze e abilità del Manager della governance digitale o CDO
3.1. Ambiti di intervento del Manager della governance digitale o CDO
4. Ambiti di intervento dei profili di responsabilità tecnica
4.1. Open Data, trasparenza e pubblicità legale online
4.2. Gestione elettronica dei documenti
4.3. Trattamento dei dati personali nei sistemi di gestione documentale
5. Profili di responsabilità tecnica
5.1. Open Data, trasparenza e pubblicità legale online
5.1.1. Responsabile Open Data (o Open Data Manager)
5.1.2. Responsabile della trasparenza e della pubblicità legale online
6.2. Gestione elettronica dei documenti
6.2.1. Responsabile della formazione e gestione elettronica dei documenti
6.2.2. Responsabile della conservazione digitale
6.3. Trattamento dei dati personali nei sistemi di gestione documentale
6.3.1. Responsabile del trattamento dei dati personali nei sistemi di gestione
documentale
4
1. Premessa
Questo documento, frutto del lavoro degli organi delle Associazioni ANORC e ANORC Professioni
che lo promuovono e del supporto degli stakeholder del mercato e delle istituzioni coinvolte, ha lo
scopo di portare all’attenzione di UNINFO una figura professionale complessa e multidisciplinare,
che per competenza si colloca all’interno degli European ICT Professional Profiles e rientra tra le
figure professionali non regolamentate operanti nel settore ICT, secondo quanto stabilito dalla
norma tecnica UNI 11506.
Si ritiene che la norma qui proposta debba essere sviluppata come parte della norma multi-parte
che è in corso di elaborazione presso UNINFO APNR ICT. La norma multi-parte è destinata ad
accogliere tutte le norme relative ai profili professionali ICT. La sua parte 1 deriva dal risultato della
trasposizione in norma UNI del CWA 16458.
Le figure professionali che proponiamo, rappresentano l’evoluzione dei profili CWA di seconda
generazione, pertanto l’attività di normazione tecnica di seguito proposta si inserisce all’interno
della Commissione UNINFO APNR-ICT e nel gruppo di lavoro finalizzato all’individuazione dei
profili di terza generazione, come stabilito dal documento del CEN “European ICT Professional
Profiles”.
L’obiettivo è quello di supportare il corretto riconoscimento delle competenze dei Professionisti
della digitalizzazione documentale tra le attività professionali non regolamentate operanti nel
settore ICT, al fine di definire e-skills e deliverable utilizzati dagli attori per gestire correttamente il
processo di digitalizzazione e informatizzazione nei suoi aspetti tecnici, fattuali, manageriali e
organizzativi all’interno di amministrazioni pubbliche, enti, aziende e studi professionali.
Secondo quanto individuato dai Profili ICT europei, data la natura manageriale e multidisciplinare
in cui i Professionisti della digitalizzazione documentale operano, i profili professionali individuati si
inseriscono nel quadro delle competenze specificate dal documento di riferimento ufficiale CEN
“European e-Competence Framework version 2.0”, dal documento “European ICT Professional
Profiles (CWA 16458:2012)” e dalla recente versione del Framework 3.0.; tali competenze sono
applicate secondo quanto stabilito dalla norma tecnica UNI 11506, che definisce i requisiti relativi
all’attività professionale delle figure che operano in ambito ICT, indipendentemente dalle modalità
lavorative e dalla tipologia del rapporto di lavoro.
Secondo tale norma UNI, infatti, vengono individuati i criteri generali delle figure professionali
operanti nel settore dell’ICT, stabilendo i requisiti fondamentali per l’insieme di conoscenze, abilità
e competenze che le contraddistinguono. Detti requisiti, si precisa, sono individuati a partire dai
compiti e dalle attività specifici identificati, in termini di conoscenze, abilità e competenza in
conformità al Quadro europeo delle qualifiche (European Qualifications Framework – EQF).
Partendo da questa premessa normativa sulla competenze, il quadro di riferimento europeo
individua 23 profili generici ICT, strutturati in sei famiglie che coprono l’intero processo di business
dell’ICT.
Affinché i Profili europei siano facilmente adattabili all’ambiente di lavoro - a tutte le organizzazioni
ICT, indipendentemente dalla loro dimensione, dalla loro struttura e dalle loro politiche “make or
buy” - è possibile scomporre gli European ICT Profiles e applicarli nei contesti specifici nazionali
per supportare la genesi di nuovi profili con lo scopo di soddisfare i requisiti degli utenti.
Per attivare questo processo è necessario individuare le definizioni di competenze di alto profilo e
svilupparle per generare competenze specifiche per i profili di terza generazione.
5
I professionisti della digitalizzazione documentale rappresentano l’evoluzione dei profili ICT di
seconda generazione, con specifico riferimento alla digitalizzazione del processo di gestione
informativo e documentale, dividendosi in 6 profili ICT che operano in tre macro aree di
competenza (Open Data e trasparenza, gestione elettronica dei documenti, trattamento dei dati
personali).
Si precisa, infine, che le figure professionali che si propongono rientrano tra le competenze ICT
inerenti alla realizzazione tecnica e fattuale degli strumenti informatici utilizzati per la
digitalizzazione all’interno di PA, aziende e studi professionali.
Nello specifico i Professionisti della digitalizzazione documentale esprimono le competenze
di 6 profili professionali, di cui uno di coordinamento strategico (Manager della governance
digitale o CDO – Chief Digital Officer) e 5 profili di responsabilità tecnica verticalizzati per
materia e su attività specifiche inerenti a una parte del processo di digitalizzazione informativa e
documentale (Responsabile Open Data, Responsabile della trasparenza e della pubblicità legale
online, Responsabile della formazione e gestione elettronica dei documenti, Responsabile della
conservazione digitale, Responsabile del trattamento dei dati personali nei sistemi di gestione
documentale). Il CDO deve innovare il sistema esistente favorendo la condivisione delle procedure
e dei modelli organizzativi. Ecco perché il professionista che ricopre questo ruolo deve spaziare tra
diversi ambiti: ICT, Customer Care, Project Management, e-Commerce, e-Gov.
A questo scopo il CDO sovrintende e coordina il modello organizzativo e procedurale della
digitalizzazione del processo di gestione informativo e documentale, garantendo le sue
competenze con riferimento ai compiti e alle attività specifiche individuati nel paragrafo 4 della
norma tecnica 11506 e riferiti alle singole competenze e-CF riportate nel paragrafo seguente.
Per tale motivo riteniamo di proporre tali figure sotto la normazione della 11506 sulle figure
professionali operanti nel settore ICT – APNR.
2. Compiti e attività specifiche dei professionisti della digitalizzazione documentale
Come individuato e definito nel CWA 16234 – Dimensione 1 dell’e-CF 2.0, le attività di riferimento
per le figure professionali operanti nel settore ICT fanno capo ai seguenti 5 macro-compiti:
esercizio, supporto, gestione, sviluppo & implementazione, pianificazione strategica &
progettazione.
I professionisti della digitalizzazione documentale si inseriscono con approccio circolare in ognuno
di questi macro compiti, associando a ognuno di essi un insieme di attività specifiche che loro
devono svolgere affinché tutto il processo venga gestito correttamente.
A questo scopo il Manager della governance digitale o CDO ha il compito di pianificare le strategie,
gestire il processo e i responsabili in esso coinvolti (quindi gli stessi professionisti della
digitalizzazione documentale che a diversi livelli gestiscono una parte del processo), supporta il
sistema inteso come l’insieme delle risorse umane, tecnologiche ed economiche del sistema di
digitalizzazione informativo e documentale, sviluppa e implementa le attività nell’ottica della
razionalizzazione, dell’efficacia e dell’efficienza, semplificando procedure e procedimenti,
garantendo il rispetto della normativa.
6
Il Manager della governance digitale o CDO si occupa del coordinamento di tutti gli aspetti che
riguardano il digitale, compresa la verifica dell’idoneità degli SLA allegati ai contratti IT, le attività di
internal audit sui processi di sicurezza delle informazioni, privacy e conservazione e il
coordinamento dei rapporti tra le diverse aree (sistemi informativi, legal, governance, archivi,
sicurezza, 231 e privacy) per gli aspetti che gli competono.
Affinché tutto il processo di gestione di digitalizzazione informativa e documentale si svolga in
modo ottimale tutti i Professionisti della digitalizzazione documentale devono garantire per ogni
aspetto da loro gestito:
- fruibilità delle informazioni;
- interoperabilità dei sistemi;
- preservation e/o dissemination come criterio di scelta dei formati;
- pubblicità e trasparenza di dati e documenti;
- corretto trattamento dei dati personali.
Compito peculiare del Manager della governance digitale o CDO è poi nello specifico quello di
assicurare, all’interno di aziende e PA, il corretto flusso delle informazioni, dei dati e dei documenti,
garantendone riutilizzo e condivisione nel rispetto delle norme, coordinandosi con i Professionisti
della digitalizzazione documentale che operano su una parte del sistema.
Il Manager della governance digitale o CDO sviluppa le sue abilità, competenze e professionalità,
in ambito multidisciplinare. Il CDO, infatti, può coordinare e supervisionare altri profili ICT su tutti gli
aspetti di digitalizzazione informativa e documentale, aggiungendo a quelle da questi già espresse
ulteriori competenze tecniche e giuridiche, più prettamente manageriali e di coordinamento
- RESPONSABILE OPEN DATA
- RESPONSABILE DELLA TRASPARENZA E DELLA PUBBLICITÀ LEGALE ONLINE
- RESPONSABILE DELLA FORMAZIONE E GESTIONE ELETTRONICA DEI DOCUMENTI
- RESPONSABILE DELLA CONSERVAZIONE
- RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI NEI SISTEMI DI GESTIONE DOCUMENTALE
Il Manager della governance digitale o CDO
7
2.1. Profili europei ICT secondo lo schema Europeo e-CF
Tra i profili CWA di seconda generazione, da cui sviluppare le nuove professionalità (ovvero i
professionisti della digitalizzazione documentale) su genesi di terza generazione, sono individuati i
seguenti:
- il Chief Information Officer (sviluppa e mantiene i Sistemi informativi in conformità con il
business e le esigenze dell’organizzazione);
- l’ICT Consultant (favorisce la comprensione di come le nuove tecnologie ICT aggiungano valore
al Business);
- l’ICT Operation Manager (gestisce attività, persone e risorse complessive per le operazioni ICT);
- l’ICT Security Manager (gestisce la politica di sicurezza dei Sistemi Informativi);
- il Project Manager (gestisce progetti per raggiungere la performance ottimale conforme alle
specifiche originali);
- il Quality Assurance Manager (assicura che i sistemi informativi siano prodotti secondo le
politiche aziendali-qualità, rischi, Service Level Agreement);
- il Service Manager (pianifica, implementa e gestisce la consegna della soluzione).
A essi corrisponde l’insieme delle competenze, abilità e conoscenze e-CF descritte nella
Dimensione 2 del CWA 16234, specifiche per singolo profilo, di cui le nuove figure da noi proposte
recepiscono le abilità per applicarle al contesto specifico della digitalizzazione informativa e
documentale.
Per le attività relative ai 5 macro-compiti (e-CF dimensione 1) prendiamo come base di
riferimento le seguenti competenze e-CF appartenenti ai profili sopra riportati (e-CF
dimensione 2):
A1. Allineamento delle strategie SI e di Business
A2. Gestione dei Livelli di Servizio (eCF 3.0 verificare inserimento SLA)
A3. Sviluppo del Business Plan
A4. Pianificazione del Prodotto e di Progetto
A7. Osservatorio Tecnologico – Monitoraggio Trend tecnologici (eCF 3.0)
A8. Sviluppo sostenibile (eCF 3.0)
A9. Innovazione (eCF 3.0)
B5. Produzione della Documentazione (eCF 3.0)
C2. Supporto del cambiamento
C3. Erogazione del servizio
C4. Gestione del problema
D1. Sviluppo della Strategia della Sicurezza Informatica
8
D2. Sviluppo della Strategia della Qualità ICT
D3. Fornitura dei servizi di Formazione (eCF 3.0)
D8. Gestione del Contratto
D9. Sviluppo del Personale
D10. Gestione dell’informazione e della Conoscenza
D11. Identificazione dei Fabbisogni (eCF 3.0)
E2. Gestione del Progetto e del Portafoglio
E3. Gestione del Rischio
E4. Gestione della Relazione
E5. Miglioramento del Processo
E6. Gestione della Qualità ICT
E7. Gestione del Cambiamento del Business
E8. Gestione della Sicurezza dell’Informazione
E9. IS Governance (eCF 3.0)
Titolo del Profilo I professionisti della digitalizzazione documentale
Descrizione sintetica
Assumono un ruolo trasversale di natura manageriale, possiedono competenze informatiche e giuridiche in diversi ambiti e conoscono a fondo i principi della corretta gestione dei sistemi informativi e dei flussi documentali.
Missione
Per assolvere i compiti di loro competenza i Professionisti della digitalizzazione documentale operano su tre macro aree: 1 - Open Data, trasparenza e pubblicità legale online; 2 - Gestione elettronica documentale; 3 - Trattamento dei dati personali nei sistemi di gestione documentale).
Deliverable* Accountable Responsible Contributor
* Paragrafo 2.2. I concetti base: e-Competence e deliverable - Tabella 2 – European ICT Professional Profiles CWA
Modello ICT
Definizione del
processo ICT
Strategia
sicurezza
informazioni
Base di
Modello di
dati
Strategia e
implementazi
one ICT
Politica
Qualità ICT
Proposta
integrazione
nuova
tecnologia
Piano gestione
rischi
Programma
9
conoscenza e
informazione
Piano di
progetto
formazione
Piano di
budget
e-competence (e-CF
dimensione 2)
A1. Allineamento delle strategie SI e di Business
A2. Gestione dei Livelli di Servizio (eCF 3.0 verificare inserimento SLA)
A3. Sviluppo del Business Plan
A4. Pianificazione del Prodotto e di Progetto
A7. Osservatorio Tecnologico – Monitoraggio Trend tecnologici (eCF 3.0)
A8. Sviluppo sostenibile (eCF 3.0)
A9. Innovazione (eCF 3.0)
B5. Produzione della Documentazione (eCF 3.0)
C2. Supporto del cambiamento
C3. Erogazione del servizio
C4. Gestione del problema
D1. Sviluppo della Strategia della Sicurezza Informatica
D2. Sviluppo della Strategia della Qualità ICT
D3. Fornitura dei servizi di Formazione (eCF 3.0)
D8. Gestione del Contratto
D9. Sviluppo del Personale
D10. Gestione dell’informazione e della Conoscenza
D11. Identificazione dei Fabbisogni (eCF 3.0)
E2. Gestione del Progetto e del Portafoglio
E3. Gestione del Rischio
E4. Gestione della Relazione
E5. Miglioramento del Processo
E6. Gestione della Qualità ICT
E7. Gestione del Cambiamento del Business
E8. Gestione della Sicurezza dell’Informazione
10
E9. IS Governance (eCF 3.0)
2.2. Skill e formazione dei professionisti della digitalizzazione documentale
SKILL FORMAZIONE*
Competenze individuate sulla base degli e-CF del documento del CEN – European ICT
Professional Profiles
Conoscenza della normativa vigente in materia di gestione documentale
Conoscenza dei principali strumenti informatici
Spiccate doti manageriali e conoscenza dei processi amministrativi e dei flussi aziendali
Capacità di lavorare in team
Diploma o laurea (triennale o magistrale) in qualunque disciplina
In assenza di laurea esperienza in ruolo analogo di almeno 5 anni
* Vedi Norma tecnica UNI 11506 (Figure professionali operanti nel settore ICT), Paragrafo
6.2 - Organizzazione che effettua la valutazione e/o convalida
L’organizzazione che effettua la valutazione e/o convalida dei risultati dell’apprendimento deve:
- avere i requisiti di indipendenza, imparzialità, trasparenza, competenza e assenza di
conflitti di interesse1;
- assicurare l’omogeneità delle valutazioni;
- assicurare la verifica dell’aggiornamento professionale;
- definire, adottare, e rispettare un proprio sistema di qualità documentato e un proprio
codice deontologico;
1 Tali requisiti si intendono assolti dagli organismi certificati delle persone, operanti in conformità alla Norma ISO/IEC 17024 e - per
fornire ulteriore garanzia al mercato - accreditati secondo il Regolamento Europeo 765/08.
11
3. La figura di coordinamento dei professionisti della digitalizzazione documentale
Conoscenze e abilità del Manager della governance digitale o CDO
Il Manager della governance digitale o CDO rappresenta una figura apicale e strategica all’interno
dei processi di digitalizzazione che vedono coinvolte amministrazioni pubbliche, aziende e studi
professionali. Egli, negli enti pubblici e privati, di fatto sovrintende e coordina la realizzazione
tecnica e fattuale degli strumenti informatici inerenti alla digitalizzazione dei processi di gestione
informativi e documentali e di tutti i processi a essi associati o riferibili.
Il Manager della governance digitale o CDO svolge un ruolo di supervisione e coordinamento di
tutti i flussi informativi e documentali, sia in entrata che in uscita, è in grado di attuare l’intero
processo della gestione di informazioni, dati e documenti. In funzione di questa attività si occupa
della razionalizzazione in termini procedurali dei flussi informativi e documentali informatici,
favorendo le comunicazioni e la condivisione della conoscenza tra i diversi uffici/settori e il
coordinamento dei diversi responsabili.
Il CDO modella e gestisce i flussi di documenti e/o dati e/o informazioni (dalla produzione,
all'eventuale comunicazione o pubblicazione, sino alla corretta conservazione nel tempo) e ne
favorisce la "stabilizzazione informatica", anche ai fini di una loro validità giuridica, coordinandosi
con le diverse figure coinvolte nel processo. Si occupa, inoltre, di garantire il corretto trattamento di
tutti i dati personali presenti nei flussi informativi e documentali di un'azienda, PA o studio
professionale, di coordinare l’implementazione delle procedure per il controllo, l'accesso, il
trattamento e la comunicazione dei dati personali e di vigilare sulla corretta applicazione di tali
procedure.
Suo compito è quindi quello di coordinare e garantire in termini organizzativi e tecnici il
raggiungimento del maggior livello possibile di riservatezza e sicurezza dei dati personali, con
strumenti elettronici e non.
È una figura strategica manageriale che occupa una posizione di supporto all'alta direzione,
coordinandosi con tutti i principali ruoli organizzativi e occupandosi della “reingegnerizzazione” e
semplificazione in termini digitali di tutti i processi informativi e documentali.
Questa figura, dunque, svolge un ruolo estremamente delicato, anche in ragione del moltiplicarsi
delle informazioni, dei dati, dei documenti e delle tipologie di utilizzo degli stessi determinato
dall'avvento delle tecnologie digitali.
3.1. Ambiti di intervento del Manager della governance digitale o CDO
Considerata l’elevata trasversalità di questa figura, possiamo distinguere tre ambiti del processo in
cui essa opera, declinando le sue specifiche competenze e responsabilità nei vari ruoli che può
coordinare.
Nella gestione dell’intero processo, quindi, il Manager della governance digitale o CDO può
sovrintendere e coordinare l’intero processo informativo e documentale oppure assumere
operativamente diversi ruoli e così operare d’intesa con i vari addetti e/o incaricati dei singoli
aspetti del sistema informativo e del flusso documentale.
12
Il Manager della governance digitale o CDO riveste una funzione apicale all’interno sia di aziende
private sia di amministrazioni pubbliche e di enti a partecipazione statale: pertanto deve essere in
grado di coordinare e gestire l’intero processo di gestione informativo e documentale attraverso
capacità manageriali di natura organizzativa, operativa e di controllo, svolgendo un ruolo di
coordinamento con i processi paralleli già esistenti e le diverse aree di competenza; lo stesso deve
coordinarsi con tutti i profili tecnici incaricati che operano nei diversi passaggi dell’intero processo
di digitalizzazione informativo e documentale, come ad esempio il Responsabile dell’accessibilità, il
Responsabile dello sviluppo e della manutenzione del sistema di gestione e di conservazione, il
Responsabile dei sistemi informativi legati ai sistemi di gestione documentale e di conservazione e
il Responsabile della sicurezza dei sistemi di conservazione.
Per assolvere i compiti caratterizzanti l'attività professionale, il profilo del Manager della
governance digitale o CDO si struttura su tre macro aree (Open data, trasparenza e pubblicità
legale online, gestione elettronica dei documenti, trattamento dei dati personali nei sistemi di
gestione documentale). A tale ruolo afferiscono altre 5 figure professionali verticalizzate sulla base
di specifiche competenze.
Il Manager della governance digitale o CDO, infatti, può sovrintendere l'intero processo,
sussumendo o avocando a sé i diversi ruoli oppure coordinandone l'attività.
Con specifico riferimento alle amministrazioni pubbliche il ruolo del Manager della governance
digitale o CDO sovrintende l’ufficio individuato dall’art. 17 del Codice dell’Amministrazione Digitale
(D.Lgs. 82/2005) e tra i suoi compiti rientra:
- la riorganizzazione strutturale e gestionale delle pubbliche amministrazioni volta al
perseguimento degli obiettivi di efficacia ed efficienza, anche attraverso il migliore e più esteso
utilizzo delle tecnologie dell'informazione e della comunicazione nell'ambito di una strategia
coordinata che garantisca il coerente sviluppo del processo di digitalizzazione;
- la razionalizzazione e semplificazione dei procedimenti amministrativi, delle attività gestionali, dei
documenti, della modulistica, delle modalità di accesso e di presentazione delle istanze da parte
dei cittadini e delle imprese, assicurando che l'utilizzo delle tecnologie dell'informazione e della
comunicazione avvenga in conformità alle prescrizioni tecnologiche definite nelle regole tecniche di
cui all' articolo 71 del CAD;
- la valutazione dei progetti di investimento in materia di innovazione tecnologica, tenendo conto
degli effettivi risparmi derivanti dalla razionalizzazione, nonché dei costi e delle economie che ne
derivano;
- la quantificazione annuale, ai sensi dell'articolo 27, del decreto legislativo 27 ottobre 2009, n.
150, dei risparmi effettivamente conseguiti.
Estendendo quanto stabilito da CWA 16458 e adottandone le definizioni e le competenze, la figura
professionale qui proposta costituisce un profilo definito di natura manageriale da cui scaturiscono
gli altri 5 profili di terza generazione coordinati e supervisionati dal CDO.
I 5 profili sono riportati nelle tabelle che seguono, insieme ai relativi riferimenti normativi del
rispettivo ambito di applicazione.
13
N.B. Si precisa che il CDO coordina e sovrintende direttamente (o indirettamente per il
tramite dei vari responsabili) l'intero modello organizzativo e procedurale nonché la
realizzazione tecnica e fattuale degli strumenti informatici nell'intero ciclo di produzione,
gestione, pubblicazione e conservazione di dati, informazioni e documenti informatici.
4. Ambiti di intervento dei profili di responsabilità tecnica 4.1. Open Data, trasparenza e pubblicità legale online
Responsabile dell’Open Data o Open Data Manager
Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico 2014
Responsabile della trasparenza e della pubblicità legale online
D.Lgs. 33/2013 – art. 43 (di norma coincide con il responsabile per la prevenzione della corruzione, di cui all'articolo 1, comma 7, della legge 6 novembre 2012, n. 190) Linee Guida del Garante nella sezione Responsabile della trasparenza e Responsabile della pubblicità online e del procedimento di pubblicazione Direttiva 8/2009 del Ministro per la pubblica amministrazione e l’innovazione - art. 5; Linee Guida siti web della PA (versione 2011), emanate ai sensi dell’art. 4 della Direttiva 8/09
APEC Transparency Standards on Government Procurement
4.2. Gestione elettronica dei documenti
OPEN DATA, TRASPARENZA E
PUBBLICITÀ LEGALE ONLINE
GESTIONE ELETTRONICA DEI
DOCUMENTI
TRATTAMENTO DEI DATI PERSONALI NEI
SISTEMI DI GESTIONE
DOCUMENTALE
Il Manager della governance digitale o CDO
14
Responsabile della formazione e gestione elettronica dei documenti
DPR 445/2000 - art. 61; DPCM 13 novembre 2014, comprensivo dei suoi allegati e degli standard ivi richiamati D. Lgs. 82/2005 Legge 241/1990 D.Lgs. 82/2005, art. 15, comma 1 e 2 Legge 183/2011, art. 15 – D.L. 5/2012 DPR 184/2006
Responsabile della conservazione digitale
D.Lgs. 82/2005 - art. 44; DPCM 3 dicembre 2013, comprensivo dei suoi allegati e degli standard in ivi richiamati Documento sulle figure professionali allegato alla Circolare AgID n. 65/2010 ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems – Requirements, Requisiti di un ISMS (Information Security Management System). ETSI TS 101 533-1 V1.3.1 (2012-04) Technical Specification, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 1: Requirements for Implementation and Management, ETSI TS 101 533-2 V1.3.1 (2012-04) Technical Report, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 2: Guidelines for Assessors, UNI_TR_11465-1_2012_IT Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni. UNI_TR_11465-2_2012_IT Linee guida per valutare sistemi sicuri e affidabili per la conservazione elettronica delle informazioni. ISO 16363 Audit and Certification of Trustworthy Digital Repositories2
4.3. Trattamento dei dati personali nei sistemi di gestione documentale
Responsabile del trattamento
dei dati personali nei sistemi di
gestione documentale
D.Lgs. 196/2003, art. 29
Direttiva 95/46/CE
Convenzione Europa dei diritti dell’uomo (CEDU)
Convenzione n. 198 del Consiglio d’Europa
Carta dei diritti fondamentali dell’Unione Europea
ISO/IEC 27001-2
ISO/IEC 27018:2014
2 Le norme nazionali e internazionali indicate nel corpo del presente documento si intendono riferite alla versione più recente emessa
dal rispettivo ente di normazione.
15
5. Profili di responsabilità tecnica
5.1. Open Data, trasparenza e pubblicità legale online
All’interno di questa unità la normativa prevede per la PA e gli enti partecipati le seguenti figure,
che possono essere estese anche alle aziende private:
5.1.1. Responsabile Open Data (o Open Data Manager)
Nell’ambito delle aziende ICT questa figura professionale risulta estremamente utile nella fase di
analisi dei dataset già messi a disposizione dalle amministrazioni pubbliche, in modalità Open
data, per la produzione di nuovi dati di tipo aperto attraverso un’organizzazione e razionalizzazione
dell’esistente, ossia di “dati mashup”, riferiti allo sviluppo di dataset complessi, prodotti a sostegno
di processi comunicativi, sociali o economici utili allo sviluppo di nuove strategie a supporto del
mercato.
Per altro verso, questa figura professionale risulta utile in tutte le aziende ICT che intendano offrire
i loro servizi alle amministrazioni pubbliche e agli enti partecipati, in quanto l’art. 52 del CAD,
comma 3, introduce una disposizione con cui si intende regolamentare la produzione di dati di tipo
aperto in tutte quelle gare per la fornitura di prodotti e/o servizi che comportino la raccolta e la
gestione di dati pubblici.
In effetti emerge come il legislatore abbia voluto in ogni caso riferirsi a un ampio spettro di forniture
che comportino la realizzazione non solo di prodotti e/o servizi che abbiano direttamente come
oggetto la gestione di dati pubblici, ma anche quelli che indirettamente producano dati pubblici.
Alla luce di tale analisi, si possono distinguere due diversi casi:
1) l’oggetto della fornitura riguarda prodotti e/o servizi che comportano indirettamente una
produzione di dati pubblici; in questo caso, il capitolato tecnico può prevedere clausole che
obblighino l’aggiudicatario della gara a:
- fornire all’amministrazione tali dati pubblici in forma disaggregata e, ove possibile, tabellare
consentendole di acquisire piena titolarità dei dati; i dati da richiedere all’aggiudicatario possono
essere specificati dall’amministrazione stessa in una clausola prevedendo le eventuali restrizioni
normative (e.g., norme sulla protezione dei dati personali) e/o di carattere industriale applicabili ai
dati;
- le modalità di acquisizione dei dati da parte dell’amministrazione (e.g., tempistiche e meccanismi
di trasferimento dall’aggiudicatario all’amministrazione);
- una descrizione puntuale dei dati pubblici prodotti ivi incluse le attività ed entità che hanno dato
origine alla produzione dei dati. L’amministrazione, una volta acquisite tali informazioni, si assume
l’onere di renderle pienamente disponibili sotto forma di dati di tipo aperto, secondo le
raccomandazioni contenute nelle “Linee guida sulla valorizzazione del patrimonio informativo
pubblico” (pubblicate dall’Agenzie per l’Italia digitale) e gli obiettivi individuati dall’agenda nazionale
per la valorizzazione del patrimonio informativo pubblico, al fine di incentivare il massimo riutilizzo
da parte di persone fisiche e giuridiche;
2) l’oggetto stesso della fornitura riguarda prodotti e/o servizi che prevedono la gestione diretta di
dati pubblici (come ad esempio la gestione di uno specifico sistema informativo); in questo caso,
nel capitolato tecnico possono essere inserite una serie di clausole che obblighino l’aggiudicatario
16
a produrre, a partire dall’oggetto della gara, anche dati di tipo aperto il più possibile disaggregati,
nel rispetto comunque di eventuali restrizioni normative (e.g., normativa sulla protezione dei dati
personali) e/o di carattere industriale applicabili. In questo caso, il capitolato può essere dettagliato
per richiedere espressamente:
- la produzione di dati in formato aperto minimo di livello tre, secondo il modello proposto dalle
presenti linee guida e tenuto conto dei principi di fruibilità, qualità, interoperabilità individuati
dall’agenda nazionale per la valorizzazione del patrimonio informativo pubblico;
- la produzione di metadati che accompagnano i dati aperti prodotti, secondo il modello per i
metadati proposto dalle presenti linee guida, includendo anche le indicazioni sulla specifica licenza
aperta da applicare ai dati ed ogni altra attività e/o entità che descriva come tali dati sono stati
originati (provenance);
- la pubblicazione dei dati aperti secondo specifiche indicazioni dell’amministrazione e comunque
tenendo conto delle raccomandazioni delle presenti linee guida;
- l’aggiornamento dei dati aperti, secondo la frequenza di aggiornamento individuata
dall’amministrazione;
- l’esportazione in formato aperto di ogni altro eventuale dato di reportistica generato.
In entrambi i casi diventa indispensabile per l’azienda dotarsi di una figura professionale che
possieda le specifiche competenze sul paradigma Open Data.
Per quanto riguarda le amministrazioni pubbliche e gli enti partecipati, questa figura viene
nominata all’interno del team Open Data e permette da un lato di localizzare le competenze
necessarie alla gestione delle attività Open Data entro un sistema autonomo di comunicazione e
funzionamento, e dall’altro di integrare i processi relativi alle attività di trasparenza in modo
parallelo e non seriale.
Il Responsabile Open Data deve possedere sia le capacità operative di controllo di tale sistema,
sia quelle amministrative di coordinamento con i processi paralleli già esistenti.
Insieme al suo team, conosce i dati dell’amministrazione nel loro insieme, redige linee guida
operative per lo scambio dati tra le diverse figure coinvolte e pianifica la strategia di apertura dei
dati raccolti e analizzati e le attività di diffusione degli stessi.
Infine, collabora e si coordina con il Responsabile della trasparenza (quest’ultimo istituito ai sensi
del D.lgs. n. 33/2013) al fine di rafforzare vicendevolmente gli obiettivi di massimo riutilizzo dei dati
pubblici di tipo aperto da un lato e di trasparenza dall’altro. Il Responsabile Open Data quindi
fornisce le indicazioni:
• sulle risorse informative a disposizione dell’amministrazione, definendo insieme al Responsabile
trasparenza una roadmap condivisa di produzione e pubblicazione dei dati per aree di
sovrapposizione (e.g. bilanci, bandi, concorsi, organigrammi, spesa pubblica, ecc.);
• tecnico-operative (e.g., “formati machine-readable”, modalità di gestione della pubblicazione dei
dati) per il rilascio dei dati della trasparenza in formato Open Data, coordinandosi con il
Responsabile trasparenza per identificare tutti quei dati per i quali tale paradigma è applicabile;
• su eventuali difficoltà tecnico-organizzative nel reperimento e nel rilascio dei dati.
17
N.B. Si precisa che il Responsabile Open Data coordina e sovrintende il modello
organizzativo e procedurale nonché la realizzazione tecnica e fattuale degli strumenti
informatici attraverso la localizzazione delle competenze necessarie alla gestione delle
attività Open Data entro un sistema autonomo di comunicazione e funzionamento da un
lato, e di integrazione dei processi relativi alle attività di trasparenza in modo parallelo e
non seriale, dall’altro.
5.1.2. Responsabile della trasparenza e della pubblicità legale online
All'interno di ogni amministrazione pubblica il Responsabile per la prevenzione della corruzione, di
cui all'articolo 1, comma 7, della legge 6 novembre 2012, n. 190, svolge, di norma, le funzioni di
Responsabile per la trasparenza e il suo nominativo è indicato nel Programma triennale per la
trasparenza e l'integrità. Il Responsabile svolge stabilmente un'attività di controllo
sull'adempimento da parte dell'amministrazione degli obblighi di pubblicazione previsti dalla
normativa vigente (D. Lgs. 33/2013), assicurando la completezza, la chiarezza e l'aggiornamento
delle informazioni pubblicate, nonché segnalando all'organo di indirizzo politico, all'Organismo
indipendente di valutazione (OIV), all'Autorità nazionale anticorruzione e, nei casi più gravi,
all'ufficio di disciplina i casi di mancato o ritardato adempimento degli obblighi di pubblicazione.
Il Responsabile provvede all'aggiornamento del Programma triennale per la trasparenza e
l'integrità, all'interno del quale sono previste specifiche misure di monitoraggio sull'attuazione degli
obblighi di trasparenza e ulteriori misure e iniziative di promozione della trasparenza in rapporto
con il Piano anticorruzione.
I dirigenti responsabili degli uffici dell'amministrazione garantiscono il tempestivo e regolare flusso
delle informazioni da pubblicare ai fini del rispetto dei termini stabiliti dalla legge.
Il Responsabile per la trasparenza controlla e assicura la regolare attuazione dell'accesso civico
sulla base di quanto stabilito dal presente decreto. In relazione alla loro gravità, il Responsabile
segnala i casi di inadempimento o di adempimento parziale degli obblighi in materia di
pubblicazione, previsti dalla normativa vigente, all'ufficio di disciplina, ai fini dell'eventuale
attivazione del procedimento disciplinare. Il responsabile segnala altresì gli inadempimenti al
vertice politico dell'amministrazione (OIV) ai fini dell'attivazione delle altre forme di responsabilità.
L'organo di indirizzo politico individua, di norma tra i dirigenti amministrativi di ruolo di prima fascia
in servizio, il responsabile della prevenzione della corruzione. Negli enti locali, il Responsabile
della prevenzione della corruzione è individuato, di norma, nel segretario, salva diversa e motivata
determinazione.
Collegate alle funzioni del Responsabile della trasparenza risultano essere, per competenza,
quelle del Responsabile della pubblicazione online o del procedimento di pubblicazione. In effetti la
pubblicazione di un documento su un sito web è un atto indipendente dalla produzione del
documento stesso, che rende disponibile un oggetto diverso rispetto ai singoli documenti originali
che lo compongono e la cui pubblicazione, in applicazione di disposizioni di legge o di
regolamento, può avere effetto di pubblicità legale.
Mentre la responsabilità della formazione dell’atto soggetto a pubblicità legale è del Responsabile
del procedimento che ha adottato l’atto - persona a capo dell’Ufficio o del Servizio che ne ha le
competenze -, la responsabilità della pubblicazione online è del Responsabile del procedimento di
18
pubblicazione, individuato dalla Direttiva n. 8/2009 del Ministro per la pubblica amministrazione e
l’innovazione.
Nello specifico, affinché il processo di pubblicazione online possa generare un prodotto atto ad
assolvere agli obblighi di pubblicità legale, è necessario che esso garantisca la conformità di
quanto pubblicato all’originale, l’autorevolezza dell’ente emanatore e del sito web, la validità
giuridica dei documenti e quindi la loro veridicità, efficacia e perdurabilità nel tempo. In particolare,
la pubblicazione online deve garantire:
• autorevolezza e autenticità del documento pubblicato;
• conformità all’originale, cartaceo o informatico;
• preservazione del grado di giuridicità dell’atto ossia non degradazione dei valori giuridici e
probatori degli atti pubblicati sul sito web;
• inalterabilità del documento pubblicato;
• possibilità nel tempo di conservazione a norma di legge del documento che ne preservi la validità
giuridica e probatoria.
A queste caratteristiche specifiche se ne aggiungono altre di carattere generale. In particolare,
secondo quanto stabilito dal Provvedimento del Garante per la protezione dei dati personali del 24
giugno 2010, ogni amministrazione deve provvedere a che le informazioni disponibili sul sito web
“siano pubblicate in un formato e con modalità tali da non consentirne la modificazione da parte
degli utenti della rete”, così da garantire l’integrità dei documenti pubblicati. Inoltre, anche nella
pubblicazione sull’Albo online devono essere rispettati i requisiti di accessibilità e usabilità validi
per qualsiasi documento pubblicato su un sito web, al fine di erogare servizi e fornire informazioni
che siano fruibili senza discriminazioni. Tali concetti sono stati ribaditi anche nelle "Linee guida in
materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi,
effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti
obbligati", provvedimento n. 243 del 15 maggio 2014.
Inoltre, sempre secondo il Garante per la per la protezione dei dati personali, l’albo online deve
assolvere all’obbligo della pubblicità legale, ma le Amministrazioni locali devono compiere una
selezione attenta dei dati personali da diffondere. Il Responsabile della pubblicazione online,
infatti, deve coordinarsi e operare d’intesa con il Responsabile del trattamento dei dati personali, il
Responsabile dell’accessibilità e il Responsabile della conservazione digitale.
Il Responsabile della pubblicità legale online deve assicurarsi che nel processo di pubblicazione:
1. I documenti siano caricati in formato elettronico idoneo.
2. I documenti siano pubblicati in un formato non modificabile da terzi per garantire
l’immodificabilità degli atti. Nello specifico i documenti siano redatti in formati atti a impedire
l’inserimento di macroistruzioni, codici nascosti, ecc., capaci di modificare la presentazione degli
atti, fatti o dati in essi rappresentati.
3. Tutti i documenti pubblicati siano firmati con firma elettronica qualificata o firma digitale da parte
del Responsabile del procedimento che ha generato l’atto o da parte del Responsabile del
procedimento di pubblicazione, secondo le modalità dettagliate nel seguito.
19
4. Per i documenti resi disponibili in formato non compatibile con l’accessibilità, oppure che
abbiano contenuti non conformi ai requisiti tecnici di accessibilità, siano forniti sommario e
descrizione degli scopi dei documenti stessi - in forma adatta a essere fruita con le tecnologie
compatibili con l’accessibilità - e siano indicate in modo chiaro le modalità di accesso alle
informazioni equivalenti a quelle presentate nei documenti digitali non accessibili.
5. I documenti restino in pubblicazione per tutto il periodo previsto dalla normativa di riferimento.
Tale periodo di pubblicazione è assicurato dal Responsabile del procedimento di pubblicazione
all’atto dell’inserimento dei documenti nell’albo online.
6. La consultazione dei documenti riporti all’utente, chiare e ben visibili:
a. l’Ente che ha pubblicato l’atto;
b. la data di pubblicazione;
c. la data di scadenza;
d. la descrizione (o oggetto);
e. la lista degli allegati consultabili, riferiti alla pratica.
7. L’albo online preveda dei meccanismi automatici per la pubblicazione e la
rimozione/archiviazione degli atti, in base alle informazioni inserite dal responsabile del
procedimento di pubblicazione all’atto del loro inserimento nell’albo online, cercando di ridurre al
minimo la necessità di rielaborare i documenti in momenti successivi.
8. Sia previsto un periodo standard di pubblicazione di 15 giorni che deve poter essere modificato
dal Responsabile del procedimento di pubblicazione, prolungandolo o riducendolo in base ai
diversi riferimenti normativi cui è soggetto il documento in pubblicazione.
9. Sia data la possibilità al Responsabile del procedimento di pubblicazione di autorizzare la
pubblicazione di atti per conto di Enti esterni. In tal caso, l’informazione deve essere riportata in
modo chiaro e ben visibile nel dettaglio del documento in fase di consultazione da parte dell’utente.
10. Tutti i documenti inseriti siano numerati in ordine cronologico in base alla data e l’ora di
inserimento nell’albo proprio. Il numero progressivo, univoco per anno, sia generato in automatico
dal sistema e sia immodificabile.
11. Assicuri la tutela e il costante aggiornamento del Repertorio delle pubblicazioni, contenente lo
storico degli atti pubblicati, dal quale si evincono le notifiche di ogni atto pubblicato.
N.B. Il Responsabile della trasparenza e della pubblicità legale online, nella specifico, si
occupa di presiedere e coordinare la realizzazione tecnica e fattuale degli strumenti
informatici utilizzati per svolgere stabilmente un'attività di controllo sull'adempimento da
parte dell'amministrazione degli obblighi di pubblicazione previsti dalla normativa vigente
sulla trasparenza, assicurando sia la completezza, la chiarezza e l'aggiornamento delle
informazioni pubblicate, sia la rispondenza a tutti gli obblighi di legge del processo di
pubblicazione online. A tale scopo è necessario che il documento sottoposto a tale
processo garantisca la conformità di quanto pubblicato all’originale, l’autorevolezza
dell’ente emanatore e del sito web, la validità giuridica dei documenti e quindi la loro
veridicità, efficacia e perdurabilità nel tempo.
20
5.2. Gestione elettronica dei documenti
All’interno di questa unità la normativa prevede per la PA, gli enti partecipati e le aziende private le
seguenti figure:
5.2.1. Responsabile della formazione e gestione elettronica dei documenti
Il Responsabile della formazione e gestione elettronica dei documenti si occupa di garantire la
corretta razionalizzazione dei processi e la semplificazione degli stessi, intesa come il processo di
reingegnerizzazione che consiste nell’analisi del workflow documentale, partendo dalla gestione
efficiente e razionale della multicanalità di accesso di informazioni, dati e documenti fino alla fase
di uscita e/o condivisione degli stessi.
Negli enti (pubblici e privati) sono presenti piattaforme e sistemi che possono essere utilizzati da
centinaia di migliaia di utenti per gestire informazioni, dati e documenti strutturati e non strutturati,
processati quotidianamente attraverso sistemi informativi (DMS, DB, Business Intelligence,
comunicazioni e informazioni etc.) e sistemi documentali (documenti contabili, corrispondenza
commerciale, contratti, etc.). Affinché i due sistemi possano essere gestiti correttamente, il
Responsabile della formazione e gestione elettronica dei documenti ha il compito di analizzare e
governare le modalità di acquisizione, gestione e distribuzione delle varie tipologie documentali,
razionalizzando i canali di accesso e di uscita (carta, ERP, email, web, postalizzazione elettronica,
SMS, etc.) nelle diverse fasi di creazione, condivisione, approvazione, emissione, consultazione
del workflow management.
In effetti l’informazione digitale giuridicamente rilevante è sempre più dinamica, spesso strutturata
e rappresentata da flussi di dati trasmessi in modalità multicanale. Pertanto la stessa risulta:
- sempre più spesso modificabile;
- non facilmente attribuibile;
- trasmessa su canali tendenzialmente insicuri;
- sottoposta al continuo cambiamento tecnologico;
- non sempre contenuta in un formato documentale idoneo alla dissemination e/o preservation.
L’estrema attenzione che il Responsabile della formazione e gestione elettronica dei documenti
deve avere per i formati documentali si evince anche dall’articolo 3 delle Regole tecniche sul
documento informatico (DPCM 13 novembre 2014), in base al quale il documento informatico è
formato in base a una delle seguenti modalità:
a) redazione tramite l’utilizzo di appositi strumenti software;
b) acquisizione di un documento informatico per via telematica o su supporto informatico,
acquisizione della copia per immagine su supporto informatico di un documento analogico,
acquisizione della copia informatica di un documento analogico;
c) registrazione informatica delle informazioni risultanti da transazioni o processi informatici o dalla
presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente;
21
d) generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni,
provenienti da una o più basi dati, anche appartenenti a più soggetti interoperanti, secondo una
struttura logica predeterminata e memorizzata in forma statica.
Ulteriori aspetti che il Responsabile della formazione e gestione elettronica dei documenti deve
amministrare sono la creazione dell’infrastruttura tecnologica, la sicurezza del sistema informativo
e documentale, l’interoperabilità dei formati, i diversi aspetti giuridici relativi alla formazione e alla
condivisione dei documenti nella realtà aziendale e/o amministrativa di riferimento.
Inoltre, è utile ricordare che il Responsabile della formazione e gestione elettronica dei documenti
in relazione alle attività più prettamente archivistiche e di garanzia del contesto documentale
relative alla gestione informatica degli stessi - intesa come l'insieme delle attività finalizzate alla
registrazione e segnatura di protocollo, nonché alla classificazione, organizzazione,
assegnazione, reperimento dei documenti amministrativi formati o acquisiti dalle amministrazioni,
nell'ambito del sistema di classificazione d'archivio adottato, effettuate mediante sistemi
informatici3 - dovrà acquisire le necessarie competenze oppure operare d’intesa con la figura
archivistica di riferimento dell’ente4.
N.B. Il Responsabile della formazione e gestione elettronica dei documenti deve possedere
competenze informatiche e giuridiche che consentano al sistema di gestione documentale
una realizzazione tecnica e fattuale in linea con le normative in vigore, al fine di semplificare
e rendere più efficienti le procedure.
5.2.2. Responsabile della conservazione digitale
Il Responsabile della conservazione digitale (figura che a livello internazionale è sussumibile nel
"Digital Document and Information Manager" o "Digital preservation officer"), per le sue
competenze specifiche sovraintende, coordina e supervisiona il sistema di conservazione digitale,
d'intesa con il Responsabile del trattamento dei dati personali (c.d. "Data Protection Officer") e,
ove previsto, con il Responsabile del servizio per la tenuta del protocollo informatico, della
gestione dei flussi documentali e degli archivi, per garantire politiche corrette di classificazione,
fascicolatura e archiviazione digitale e, in ogni caso, si coordina con altre figure individuate come
possibili interlocutrici nella gestione documentale, come il Responsabile dei sistemi informativi.
Il Responsabile della conservazione ha l'onere, inoltre, di definire le caratteristiche e i requisiti del
sistema di conservazione in funzione della tipologia dei documenti da conservare. Al fine di
garantire la conservazione e l'accesso ai documenti, egli adotta le misure idonee a rilevare
l'eventuale deterioramento dei sistemi di memorizzazione e delle registrazioni e, dove necessario,
3 Ai sensi dell’articolo 1 del Codice dell’Amministrazione Digitale (D.Lgs. 82/2005).
4 In particolare, ogni ente pubblico deve avere al suo interno il Responsabile della gestione documentale (o anche
definito Responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi) inteso come il dirigente o funzionario, comunque in possesso di idonei requisiti professionali o di professionalità tecnico archivistica, preposto al servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi, ai sensi dell’art. 61 del D.P.R. 28 dicembre 2000, n. 445, il quale produce il pacchetto di versamento ed effettua il trasferimento del suo contenuto nel sistema di conservazione (Allegato 1, DPCM 3 dicembre 2013). Tale figura può coincidere con la figura proposta, in questo caso le competenze informatiche dovranno essere integrate con le necessarie competenze archivistiche (eventualmente certificate secondo la norma UNI 11536). In alternativa, la stessa può essere una figura professionale autonoma che potrà utilmente integrarsi con la figura archivistica dell’ente, non sempre adeguatamente formata in ambito informatico, in modo da garantire il necessario collegamento archivistico a tutti i documenti e fascicoli informatici prodotti.
22
a ripristinarne la corretta funzionalità. Adotta inoltre analoghe misure nel caso di obsolescenza dei
formati dei documenti (DPCM 3/12/2013 all'art. 7, comma 1, lettera g).
Un altro compito dovrebbe essere quello di verificare che non si utilizzino formati soggetti a
ospitare "macroistruzioni, codici eseguibili o altri elementi, tali da attivare funzionalità che possano
modificare gli atti, i fatti o i dati nello stesso rappresentati" (DPCM 22/2/2013 articolo 4, comma 3).
Il Responsabile assicura la gestione del processo di conservazione e la conseguente garanzia che
nel tempo il processo sia conforme alla normativa.
È responsabile, altresì, dell'adozione delle misure necessarie per la sicurezza fisica e logica del
sistema preposto al processo di conservazione digitale, di assicurare la presenza di un pubblico
ufficiale nei casi in cui sia previsto il suo intervento e di verificare periodicamente, con cadenza non
superiore ai cinque anni, l'effettiva leggibilità e integrità dei documenti conservati.
Inoltre, è responsabile della definizione delle procedure di conservazione digitale, della costante
verifica della corretta esecuzione del processo di conservazione, della redazione del manuale di
conservazione (documento obbligatorio), delle comunicazioni agli organi competenti relative
all'archivio informatico oggetto della conservazione. Egli garantisce assistenza agli organi preposti
in caso di verifiche o richieste di informazioni, assicurando massima collaborazione e disponibilità
in sede di ispezione.
Il Responsabile deve altresì prontamente attivarsi al fine di porre rimedio a eventuali errori o
anomalie generatisi nel sistema di conservazione a lui affidato.
Il Responsabile, in ogni caso, deve garantire l'espletamento dei compiti previsti dalla normativa
vigente in materia (in particolare, dall'articolo 7 del DPCM 3 dicembre 2013) e l'osservanza dei
doveri derivanti dalle responsabilità allo stesso attribuite dall'articolo 44 del D.Lgs. 82/2005 (Codice
dell'Amministrazione Digitale) o dalle leggi vigenti in materia. Egli si impegna ad attivare per sé e i
propri collaboratori un processo di formazione continua in base alle novità introdotte da norme,
prassi, tecnologie e standard, nonché da regole tecniche in materia di formazione, trasmissione,
copia, duplicazione, riproduzione e validazione temporale dei documenti informatici, nonché in
materia di formazione e conservazione di documenti informatici delle amministrazioni pubbliche ai
sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41 e 71, comma 1, del Codice
dell'Amministrazione digitale e alle regole tecniche in materia di sistema di conservazione ai sensi
degli articoli 20, comma 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis, 71, comma 1 del
Codice dell'Amministrazione digitale.
N.B. Il Responsabile della conservazione digitale coordina e sovrintende la realizzazione
tecnica e fattuale degli strumenti informatici al fine di definire le caratteristiche e i requisiti
del sistema di conservazione in funzione della tipologia dei documenti da conservare.
5.3. Trattamento dei dati personali nei sistemi di gestione documentale
5.3.1. Responsabile del trattamento dei dati personali nei sistemi di gestione documentale
Il Responsabile del trattamento dei dati personali (figura che a livello internazionale è sussumibile
nel "Data Protection Officer"), per le sue competenze specifiche, sovraintende, coordina e
23
supervisiona la corretta gestione e la tutela dei dati personali in relazione alla natura dei dati e alle
modalità del trattamento, ivi compreso il profilo relativo alla sicurezza.
Il Responsabile del trattamento dei dati personali viene preposto dal Titolare del trattamento a
gestire e curare tutti gli adempimenti e le scadenze in materia di privacy e misure di sicurezza,
oltre che a garantire un continuo controllo sui dati e sulle informazioni (pubbliche o aziendali) e
l'applicazione corretta della normativa. Il Responsabile garantisce la definizione e
l'implementazione, anche tramite propri incaricati, delle procedure organizzative e tecniche per il
trattamento elettronico dei dati e per la conservazione elettronica delle informazioni rilevanti,
svolgendo attività quali:
cooperare alla definizione di precise procedure aziendali per il trattamento dei dati
personali e per la gestione dei flussi documentali digitalizzati;
garantire la trasparenza delle informazioni;
prescrivere istruzioni specifiche al fine di responsabilizzare chi tratta dati all'interno dei
sistemi di gestione documentale aziendale o dell'ente;
appurare, su determinati sistemi e banche dati, che vi sia la tracciabilità di ogni operazione;
appurare che sia mantenuto sempre il controllo costante sui sistemi aziendali o dell'ente.
Il Responsabile sovraintende al trattamento dei dati personali a lui affidato, affinché sia garantita la
scelta dei mezzi tecnici e organizzativi più adeguati ai fini di una corretta raccolta, registrazione,
organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione,
raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione
di dati personali (comuni, sensibili e/o giudiziari) contenuti negli archivi elettronici. Egli deve avere
cura che l'accesso agli stessi sia consentito solo ai soggetti autorizzati e deve garantire un efficace
riscontro a eventuali richieste di accesso ai dati personali da parte degli interessati al trattamento.
Il Responsabile del trattamento, inoltre, coordina e verifica che la struttura del Titolare abbia
adottato determinati adempimenti quali, a titolo esemplificativo e non esaustivo:
l'implementazione di idonei sistemi di autenticazione e di autorizzazione per gli incaricati in
funzione dei ruoli e delle esigenze di accesso ai dati oggetto di trattamento;
la dotazione di idonee credenziali di autenticazione da parte di soggetti che procedono al
trattamento dei dati personali (anche di natura sensibile) all'interno dell'azienda o dell'ente;
l'adozione di procedure per la disattivazione delle credenziali di autenticazione;
l'attuazione di un sistema affidabile di disaster recovery, back up e restore dei dati e delle
banche dati oggetto del trattamento.
Si possono, pertanto, riassumere i compiti e le funzioni del Responsabile nelle seguenti attività:
garantire che siano fornite informazioni e consigli al Titolare dei dati e alle strutture interne
alla sua organizzazione sugli obblighi in materia di corretto trattamento dei dati personali;
garantire che sia conservata la documentazione sulla privacy adottata dall'ente o
dall'azienda (Regolamenti interni, policy sulla sicurezza, Manuale privacy, etc.);
sorvegliare e sovraintendere all'attuazione delle politiche di protezione dei dati personali
all'interno della struttura titolare del trattamento (compresi la formazione del personale e gli
audit connessi);
garantire, laddove possibile, il rispetto dei principi della "privacy by design" (gestione della
protezione dei dati personali già nella fase di design del singolo componente tecnologico) e
24
della "privacy by default" (impedire la raccolta o la condivisione di qualsiasi dato personale
a un numero indefinito di persone senza il consenso esplicito dell'interessato);
garantire la conservazione della documentazione che attesta il modello organizzativo
adottato in ambito privacy e sicurezza;
garantire che siano correttamente inoltrate eventuali verifiche preliminari, comunicazioni o
notificazioni all'Autorità Garante;
controllare che le violazioni dei dati personali siano documentate, notificate e comunicate
agli organi competenti;
coadiuvare le funzioni aziendali preposte alla realizzazione di un privacy impact
assessment e mantenere la relativa documentazione (PIA Reports);
sovraintendere e garantire assistenza agli organi preposti in caso di verifiche o richieste di
informazioni, garantendo massima collaborazione e disponibilità in sede di ispezione.
In particolare, in relazione a quest'ultimo punto, il Responsabile del trattamento dei dati personali
deve essere il referente in caso di accertamenti e controlli da parte dell'Autorità Garante ai sensi
degli articoli 157, 158 e 159 del D.Lgs. n. 196/2003 (i quali, rispettivamente, prevedono che, per
l'espletamento dei propri compiti, il Garante possa richiedere al titolare, al responsabile,
all'interessato o anche a terzi di fornire informazioni e di esibire documenti). In base a ciò il
Responsabile del trattamento dei dati personali è colui che garantisce l'assistenza necessaria
durante le ispezioni e si coordina con gli uffici del Garante.
Il Responsabile del trattamento dei dati personali deve coordinarsi con tutti coloro che operano
nella gestione dei documenti informatici e degli archivi digitali, al fine di garantire la gestione delle
misure di sicurezza che siano idonee (articolo 31 del Codice), minime (articolo 34 e allegato B del
Codice) e necessarie (articolo 154, comma 1, lett. c) e d) del Codice) alla tutela del dato personale
oggetto del trattamento.
N.B. Il Responsabile del trattamento dei dati personali garantisce la realizzazione tecnica e
fattuale degli strumenti informatici per sovraintendere, coordinare e supervisionare la
corretta gestione e la tutela dei dati personali.
N.B.
Nota 1. Per i conservatori già accreditati da AgID o per quelli che intendono accreditarsi, i
profili professionali peculiari che devono essere presenti nella struttura organizzativa sono
individuati dall’allegato alla circolare AgID 65/2014 disponibile al link:
http://www.agid.gov.it/sites/default/files/documentazione/profili_professionali_per_la_conserva
zione.pdf
Nell’allegato alla Circolare vengono indicate le competenze ed esperienze associate a ciascun
ruolo e le principali attività svolte dal relativo profilo professionale.
Come per il Professionista della digitalizzazione documentale, anche per le figure individuate
da AgID, non si esclude la possibilità che più ruoli siano ricoperti da una stessa persona.