• Curtir
Il ruolo del Responsabile della conservazione digitale dei documenti: professionalità necessaria e modelli organizzativi da seguire - Andrea Lisi
Próximos SlideShare
Carregando em...5
×

Il ruolo del Responsabile della conservazione digitale dei documenti: professionalità necessaria e modelli organizzativi da seguire - Andrea Lisi

  • 773 visualizações
Carregado em

Intervento dell'avv. Andrea Lisi, presidente ANORC, al workshop sulla "Conservazione sostitutiva" organizzato dalla Provincia di Bergamo e ANAI Lombardia. ...

Intervento dell'avv. Andrea Lisi, presidente ANORC, al workshop sulla "Conservazione sostitutiva" organizzato dalla Provincia di Bergamo e ANAI Lombardia.
Nembro, 14 maggio 2013

  • Full Name Full Name Comment goes here.
    Tem certeza que quer?
    Sua mensagem vai aqui
    Seja o primeiro a comentar
Sem downloads

Visualizações

Visualizações totais
773
No Slideshare
0
A partir de incorporações
0
Número de incorporações
0

Ações

Compartilhamentos
Downloads
38
Comentários
0
Curtidas
1

Incorporar 0

No embeds

Conteúdo do relatório

Sinalizado como impróprio Sinalizar como impróprio
Sinalizar como impróprio

Selecione a razão para sinalizar essa apresentação como imprópria.

Cancelar
    No notes for slide

Transcript

  • 1. Comune di Nembro, 14 maggio 2013
  • 2. Nessuno può fare a meno della Rete e in particolare di Internet. Maproprio la diffusione della Rete e il suo avvicinarsi ai cittadini e alleimprese anche con i servizi di “governo elettronico” richiede unasicurezza e affidabilità nei sistemi che sia adeguata allo scopo esoprattutto incardinata in regole che siano stabilite dalla normativa e nondalla buona volontà dei fornitori di servizi(Ing. Giovanni Manca, Presidente Comitato Saggi ANORC, esperto di firme elettroniche esicurezza informatica, Of Counsel dello Studio Legale Lisi)
  • 3. Ecco cosa ci circonda: una P.A. ormai DigitaleDIPENDENTI:- e-mail, pec, FEA e firma digitale-protocollazione informatica-archiviazione e gestione documentale-privacy e sicurezza informaticaDIPENDENTI:- e-mail, pec, FEA e firma digitale-protocollazione informatica-archiviazione e gestione documentale-privacy e sicurezza informaticaDestinatari del servizio:- pubblicità legale on line- trasparenza e accessibilità- formulari on line- Sportelli e procedimenti on lineDestinatari del servizio:- pubblicità legale on line- trasparenza e accessibilità- formulari on line- Sportelli e procedimenti on lineAltre PubblicheAmministrazioni o impreseAltre PubblicheAmministrazioni o impreseConnettivitàE-governmentE-procurementReti di P.A.La rivoluzione disegnata nelCodice dell’AmministrazioneDigitaleLa rivoluzione disegnata nelCodice dell’AmministrazioneDigitaleE-GOVDECERTIFICAZIONEDECERTIFICAZIONE
  • 4. E-marketplacesComunicazioni Digitali e Imprese:la chiave del successo nella Società dell’InformazioneDIPENDENTI (INTRANET)DIPENDENTI (INTRANET)CLIENTI/UTENTI (B2C)CLIENTI/UTENTI (B2C)Fornitori/imprenditori(extranet - B2B)Fornitori/imprenditori(extranet - B2B)Distretti industrialiFiliereConsorziGruppi di impreseP.A.D.servizi on line di comunicazione(email, sms, mms, siti web, blog, social etc.)
  • 5. Tutta la normativa nazionale, comunitaria e internazionale si èandata evolvendo verso un’articolata tutela del destinatario deiservizi della società dell’Informazione (cittadino/consumatore)Chi intende sviluppare servizi in rete, oltre a confrontarsi conun ordinamento di natura “anazionale”, deve predisporre glistrumenti organizzativi, tecnici e legali che consentano:- la riservatezza delle transazioni,- lautenticità e lidentificabilità delle parti,- la possibilità di dimostrare nel tempo la formazione di unavolontà negoziale delle parti,- la sicurezza e lintegrità dei dati e dei documenti in unsistema di conservazione digitale,- una adeguata informazione e protezione per il destinatariodel servizio.
  • 6. Quindi, oggi gestire correttamente i propridocumenti e le proprie informazioni rilevantisignifica adottare modelli e metodologie “anorma” finalizzati a garantire l’attribuibilità,l’integrità, l’autenticità, la sicurezza, lacorretta archiviazione e la conservazione neltempo al proprio patrimonio di dati digitaliQuindi, oggi gestire correttamente i propridocumenti e le proprie informazioni rilevantisignifica adottare modelli e metodologie “anorma” finalizzati a garantire l’attribuibilità,l’integrità, l’autenticità, la sicurezza, lacorretta archiviazione e la conservazione neltempo al proprio patrimonio di dati digitali
  • 7. 7Sistema di gestione e conservazioneinformatica dei documentiSviluppo diun sistemainformaticoAnalisiorganizzativaAnalisi deiprocessi digestione deiflussidocumentali-Mappaturaprocessi- Rilevazione ruolie responsabilitàReingegnerizzazionedi tutti i procedimenti- Ridefinizioni ruoli eresponsabilità- Analisi costi/beneficiChangeManagementFormazioneComunicazioneConservazionesostitutivaSicurezzainformaticaprivacyD. Lgs231/2001
  • 8. Il Responsabile della ConservazioneÈ il custode dell’autenticità del documento privo di pesoAutenticazione:- PEC- VPN e SPC- EDI- Aree RiservateAutenticazione:- PEC- VPN e SPC- EDI- Aree RiservateFirma Digitale:- Autenticità- Integrità- Conservazione- Sicurezza- E-mailingFirma Digitale:- Autenticità- Integrità- Conservazione- Sicurezza- E-mailing
  • 9. Another bit in the wall?Verba volant, scripta manent?Caio Titus nella Società Digitale
  • 10. Bozza Regole tecniche del documento informatico e gestione documentaleBozza Regole tecniche del documento informatico e gestione documentaleVersione del 05/08/201Versione del 05/08/2011Art. 3 comma 1La formazione del documento informatico comprende le attività di cui alleseguenti principali tipologie:a) redazione tramite l’utilizzo di appositi strumenti software;b) acquisizione della copia per immagine su supporto informatico di undocumento analogico, acquisizione della copia informatica di un documentoanalogico, acquisizione per via telematica o su supporto informatico;c) registrazione informatica delle informazioni risultanti da transazioniinformatiche o dalla presentazione telematica di dati attraverso moduli oformulari resi disponibili all’utente;d) generazione o raggruppamento anche in via automatica di un insieme didati, provenienti da una o più basi dati anche appartenenti a più soggettiinteroperanti, secondo una struttura logica predeterminata e memorizzata informa statica. garaDefinizione di formazione di documento informaticoIntegrità e immodificabilità?Integrità e immodificabilità?il sistema di conservazione sigilla con firma digitale e marca temporale idocumenti informatici per loro natura «volubili»
  • 11. Quale è, quindi, lo scopo della normativa italianasulla digitalizzazione dei documenti?Quale è, quindi, lo scopo della normativa italianasulla digitalizzazione dei documenti?Garantire al Documento Informatico Amministrativo, Contabile e Fiscale:- La paternità (Firma Digitale o altri sistemi di identificazione)- L’integrità (Firma Digitale/Firma Elettronica Qualificata e FEA)- La trasmissibilità informatica (PEC o SPC o EDI)- la corretta gestione (archiviazione elettronica)- La “memorizzazione digitale” nel tempo (Firma Digitale, MarcaTemporale e Procedure di Sicurezza)attraverso unacomplessa procedura di gestione e conservazione nel temponeN.B.: DupliceDuplicefunzione dellafunzione dellafirma digitalefirma digitaleMassima attenzione aiformati documentali
  • 12. ART. 43 CAD (Riproduzione e conservazione dei documenti)1. I documenti degli archivi, le scritture contabili, lacorrispondenza ed ogni atto, dato o documento di cui e‘prescritta la conservazione per legge o regolamento, overiprodotti su supporti informatici sono validi e rilevanti a tuttigli effetti di legge, se la riproduzione e la conservazione neltempo sono effettuate in modo da garantire la conformita deidocumenti agli originali, nel rispetto delle regole tecnichestabilite ai sensi dellart. 71.3. I documenti informatici, di cui è prescritta la conservazioneper legge o regolamento, possono essere archiviati per leesigenze correnti anche con modalità cartacee e sonoconservati in modo permanente con modalità digitali, nelrispetto delle regole tecniche stabilite ai sensi dellart. 71.ART. 43 CAD (Riproduzione e conservazione dei documenti)1. I documenti degli archivi, le scritture contabili, lacorrispondenza ed ogni atto, dato o documento di cui e‘prescritta la conservazione per legge o regolamento, overiprodotti su supporti informatici sono validi e rilevanti a tuttigli effetti di legge, se la riproduzione e la conservazione neltempo sono effettuate in modo da garantire la conformita deidocumenti agli originali, nel rispetto delle regole tecnichestabilite ai sensi dellart. 71.3. I documenti informatici, di cui è prescritta la conservazioneper legge o regolamento, possono essere archiviati per leesigenze correnti anche con modalità cartacee e sonoconservati in modo permanente con modalità digitali, nelrispetto delle regole tecniche stabilite ai sensi dellart. 71.La conservazione digitale non è una scelta eventuale, ma un dovere!
  • 13. Dal “nuovo” Codice della Amministrazione Digitale …:Art. 44 (Requisiti per la conservazione dei documenti informatici)1. Il sistema di conservazione dei documenti informatici assicura:a) l’identificazione certa del soggetto che ha formato il documento edell’amministrazione o dell’area organizzativa omogenea di riferimento di cuiall’articolo 50, comma 4, del decreto del Presidente della Repubblica 28dicembre 2000, n. 445;b) l’integrità del documento;c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioniidentificative, inclusi i dati di registrazione e di classificazione originari;d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 deldecreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicatoin Allegato B a tale decreto.Chiave interpretativa per tutta la normativa sullaamministrazione digitale
  • 14. Dal “nuovo” Codice della Amministrazione Digitale:Art. 44, comma 1 bis (Requisiti per la conservazione dei documentiinformatici) - NEWIl sistema di conservazione è gestito da un responsabile che opera d’intesa con ilresponsabile del trattamento dei dati personali di cui all’articolo 29 del decretolegislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile delservizio per la tenuta del protocollo informatico, della gestione dei flussidocumentali e degli archivi di cui all’articolo 61 del decreto del Presidente dellaRepubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attivitàdi rispettiva competenza.Importante risulta la modifica allart. 44, sollecitata anche daANORC, con il nuovo comma 1-bis, sul sistema di conservazione deidocumenti informatici che ora vede tre figure:- il responsabile della conservazione- il responsabile della privacy- il responsabile della gestione dei flussi documentali e degli archivi
  • 15. L’ORGANIZZAZIONEL’ORGANIZZAZIONETITOLARERESPONSABILE DEIFLUSSI DOCUMENTALIE ARCHIVIRESPONSABILEPRIVACYRESPONSABILE DELLACONSERVAZIONEMANUALE DI GESTIONEFLUSSI DOCUMENTALIDPS E REGOLAMENTIINTERNIMANUALE DELLACONSERVAZIONEINCARICATO INCARICATO INCARICATOLa Governance del patrimonio informativo di una società o una PA:La Governance del patrimonio informativo di una società o una PA:Compliance normativa nella Società dell’InformazioneCompliance normativa nella Società dell’InformazioneIn strutture complesse gerarchiadi responsabili a più livelliResponsabilità “penale d’impresa
  • 16. Art. 66 comma TUDA (DPR 445/2000)(…)4. Le informazioni relative alla gestione informatica deidocumenti costituiscono parte integrante del sistema diindicizzazione e di organizzazione dei documenti che sonooggetto delle procedure di conservazione sostitutiva.
  • 17. 51. CAD Sicurezza dei dati.1. Le norme di sicurezza definite nelle regole tecniche di cuiallarticolo 71 garantiscono lesattezza, la disponibilità,laccessibilità, lintegrità e la riservatezza dei dati.2. I documenti informatici delle pubbliche amministrazionidevono essere custoditi e controllati con modalità tali daridurre al minimo i rischi di distruzione, perdita, accesso nonautorizzato o non consentito o non conforme alle finalità dellaraccolta.Non c’è conservazione senza sicurezza informatica
  • 18. Art. 50-bis - (Continuità operativa). - 1. In relazione ai nuovi scenari di rischio, alla crescentecomplessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologiadell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado diassicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normaleoperatività.2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzionidi continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almenoannuale il Parlamento.3. A tali fini, le pubbliche amministrazioni definiscono :a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive leprocedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il pianotiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contieneidonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano dicontinuità operativa con cadenza biennale;b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativadi cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamentodei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli diproduzione. DigitPA assicura l’omogeneità delle soluzioni tecniche idonee a garantire lasalvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costanteaggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informaannualmente il Ministro per la pubblica amministrazione e l’innovazione.4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi edettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere diDigitPA.”.In vigore dall’ aprile del 2012!
  • 19. E oggi, invece, Chi sta (e Come si stanno) conservandole nostre identità digitali, le informazioni, i nostri documenti informaticinelle PA locali e centrali e nei sistemi informativi aziendali?
  • 20. Dematerializzazionee conservazionesostitutiva(C.A.D. e Del. CNIPAn. 11/2004)Attribuibilità eimmodificabilitàdel documentoSicurezza dellaconservazioneMisure disicurezza:BusinessContinuity, Backup, DisasterRecovery, eRestoreFirme Elettroniche/Digitali eRiferimentiTemporali susingoli documentiOutsourcing(art. 5 Del. CNIPA)Archiviazione ElettronicaConservazionedocumentoFirma digitale +Marca Temporalesul lotto didocumentiRiferimentotemporale/marcatemporaleFormazione del documentoo sua “riproduzionesostitutiva”
  • 21. ●È PREPOSTO DAI VERTICIÈ PREPOSTO DAI VERTICIAZIENDALI ALLA GESTIONE,AZIENDALI ALLA GESTIONE,SUPERVISIONE E CONTROLLOSUPERVISIONE E CONTROLLODELLA PRIVACYDELLA PRIVACY●DEFINISCE E IMPLEMENTA ILDEFINISCE E IMPLEMENTA ILMODELLO DI GESTIONE PRIVACYMODELLO DI GESTIONE PRIVACY●DEFINISCE MODALITA’ EDEFINISCE MODALITA’ ESTRUMENTI PER IL TRATTAMENTOSTRUMENTI PER IL TRATTAMENTO●NOMINA E IMPARTISCE ISTRUZIONINOMINA E IMPARTISCE ISTRUZIONIAGLI INCARICATIAGLI INCARICATI●NOMINA E DELEGA COMPITI ENOMINA E DELEGA COMPITI EFUNZIONI A RESPONSABILIFUNZIONI A RESPONSABILIESTERNIESTERNI●DEFINISCE E ADOTTA LE MISURE DIDEFINISCE E ADOTTA LE MISURE DISICUREZZASICUREZZA●REDIGE O AGGIORNA ILREDIGE O AGGIORNA ILDOCUMENTO PROGRAMMATICODOCUMENTO PROGRAMMATICOSULLA SICUREZZASULLA SICUREZZA●REFERENTE IN CASO DI ACCESSI,REFERENTE IN CASO DI ACCESSI,ISPEZIONI, CONTROLLIISPEZIONI, CONTROLLILe 2 figure a confronto:Le 2 figure a confronto:Il Responsabile privacyIl Responsabile privacy Il Responsabile della conservazioneIl Responsabile della conservazione●È PREPOSTO DAI VERTICIÈ PREPOSTO DAI VERTICIAZIENDALI ALLA GESTIONE,AZIENDALI ALLA GESTIONE,SUPERVISIONE E CONTROLLOSUPERVISIONE E CONTROLLO DELDELSISTEMA DI CONSERVAZIONESISTEMA DI CONSERVAZIONESOSTITUTIVASOSTITUTIVA●DEFINISCE E IMPLEMENTA ILDEFINISCE E IMPLEMENTA ILMODELLO DI CONSERVAZIONEMODELLO DI CONSERVAZIONESOSTITUTIVASOSTITUTIVA●DEFINISCE MODALITA’ EDEFINISCE MODALITA’ ESTRUMENTI PER IL TRATTAMENTOSTRUMENTI PER IL TRATTAMENTO●NOMINA E IMPARTISCE ISTRUZIONINOMINA E IMPARTISCE ISTRUZIONIAGLI INCARICATIAGLI INCARICATI●NOMINA E DELEGA COMPITI ENOMINA E DELEGA COMPITI EFUNZIONI A RESPONSABILI ESTERNIFUNZIONI A RESPONSABILI ESTERNI●DEFINISCE E ADOTTA LE MISURE DIDEFINISCE E ADOTTA LE MISURE DISICUREZZASICUREZZA●REDIGE O AGGIORNA ILREDIGE O AGGIORNA IL MANUALEMANUALEDELLA CONSERVAZIONEDELLA CONSERVAZIONESOSTITUTIVASOSTITUTIVA●REFERENTE IN CASO DI ACCESSI,REFERENTE IN CASO DI ACCESSI,ISPEZIONI, CONTROLLIISPEZIONI, CONTROLLI
  • 22. Dal Codice Privacy: Chi è il responsabile?Dal Codice Privacy: Chi è il responsabile?Art. 4 lett. g) "responsabile", la persona fisica, la persona giuridica, la pubblicaamministrazione e qualsiasi altro ente, associazione od organismo preposti daltitolare al trattamento di dati personaliArt. 29 - 1. Il responsabile e designato dal titolare facoltativamente. 2. Sedesignato, il responsabile e individuato tra soggetti che per esperienza,capacita ed affidabilita forniscano idonea garanzia del pieno rispetto dellevigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo allasicurezza. (scelta – due diligence)3. Ove necessario per esigenze organizzative, possono essere designatiresponsabili piu soggetti, anche mediante suddivisione di compiti(organizzazione)4. I compiti affidati al responsabile sono analiticamente specificati per iscrittodal titolare (contratto)5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite daltitolare il quale, anche tramite verifiche periodiche, vigila sulla puntualeosservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni(responsabilità)Allegato B - 25. Il titolare che adotta misure minime di sicurezza avvalendosi disoggetti esterni alla propria struttura, per provvedere alla esecuzione ricevedallinstallatore una descrizione scritta dellintervento effettuato che ne attesta laconformita alle disposizioni del presente disciplinare tecnico.
  • 23. Gli obblighi imposti al responsabile della conservazione (i qualipaiono essere prevalentemente tecnico-informatici, manageriali eorganizzativi e non più solo operativo-fisici), sono analiticamenteelencati al primo comma dell’art. 5 della deliberazione CNIPA n.11/2004 attengono ad ambiti eterogenei, che si sostanziano nelcompimento delle seguenti attività (tutte delegabili):• attività di programmazione e di natura esecutiva;• attività di mantenimento, di verifica e di controllo;• attività di documentazione e di studio normativo;• attività di protezione e sicurezza.
  • 24. I commi 2 e 3 dellarticolo 5 della deliberazione CNIPA consentono alresponsabile del procedimento di conservazione di delegare in tutto o inparte le proprie attività ad altri soggetti interni alla struttura e a soggetti terzi(cfr. art. 44 1ter CAD)Processo di outsourcingProcesso di outsourcingART. 12 5-bis CAD. Le pubbliche amministrazioni implementano econsolidano i processi di informatizzazione in atto, ivi compresi quelliriguardanti l’erogazione in via telematica di servizi a cittadini ed impreseanche con l’intervento di privati.
  • 25. Dal Codice della Amministrazione Digitale:Art. 44, comma 1 ter (Requisiti per la conservazione dei documentiinformatici)Il responsabile della conservazione può chiedere la conservazione dei documentiinformatici o la certificazione della conformità del relativo processo diconservazione a quanto stabilito dall’articolo 43 e dalle regole tecniche ivipreviste, nonché dal comma 1 ad altri soggetti, pubblici o privati, che offronoidonee garanzie organizzative e tecnologiche.Possibilità anche per la P.A. di affidare in outsourcing iprocessi di conservazione digitale e ottenere la “certificazionedi conformità” dei relativi processi!
  • 26. Un gruppo di ASL italiane decide di avviare un importante progetto digestione informatica e conservazione permanente di Referti e Immagini(sviluppate con un software ad hoc nei sistemi RIS e PACS) e di affidarne ilprocesso (previo Bando di Gara) ad una multinazionale che si avvale di unoutsourcer locale per sviluppare le dinamiche di gestione, disaster recovery,mirroring e conservazione. Si decide di evitare un salvataggio su supportiottici e di garantire la custodia attraverso un processo di conservazione su unarchivio centrale. Ma le difficoltà di trasmissione di dati non permettono ilprocesso di salvataggio in disaster recovery delle immagini…
  • 27. Alcuni server (compreso quello di mirroring) vanno in crash e le immaginidiagnostiche di interi mesi si perdono!I file risultano irrecuperabili!
  • 28. ClienteOutsourcerFatturazioneServizi di conservazione connomina quale responsabileesterno della conservazionesostitutivaServizi di conservazione connomina quale responsabileesterno della conservazionesostitutivaL’“esternalizzazione” di alcuniprocessi aziendali fortementespecializzati e complessii servizi in outsourcingVerifica e certificazionedei processiChi firma?Chicontrolla?Chi èresponsabile?
  • 29. Criteri di scelta di un buon responsabile:• la capacità di fornire una prestazione altamente qualificata e specifica;• l’esperienza del fornitore nella conservazione sostitutiva in generale e, inparticolare, per la specifica tipologia di documenti da conservare (nel caso,ad esempio, si tratti di documenti fiscalmente rilevanti da conservare, saràopportuno verificare la particolare esperienza del fornitore nellaconservazione sostitutiva di tali documenti);• la conoscenza ed il rispetto della normativa privacy, anche inconsiderazione della nuova formulazione dell’art. 44 del Codicedell’Amministrazione digitale;• l’ampiezza dei servizi offerti, tra i quali merita di essere attentamentevalutata anche l’offerta di applicazione dei modelli organizzativinell’azienda di cui al D. Lgs. 231/01;• il possesso di eventuali certificazioni sui servizi proposti;• il prezzo del servizio;• le referenze;Criteri di scelta di un buon responsabile:• la capacità di fornire una prestazione altamente qualificata e specifica;• l’esperienza del fornitore nella conservazione sostitutiva in generale e, inparticolare, per la specifica tipologia di documenti da conservare (nel caso,ad esempio, si tratti di documenti fiscalmente rilevanti da conservare, saràopportuno verificare la particolare esperienza del fornitore nellaconservazione sostitutiva di tali documenti);• la conoscenza ed il rispetto della normativa privacy, anche inconsiderazione della nuova formulazione dell’art. 44 del Codicedell’Amministrazione digitale;• l’ampiezza dei servizi offerti, tra i quali merita di essere attentamentevalutata anche l’offerta di applicazione dei modelli organizzativinell’azienda di cui al D. Lgs. 231/01;• il possesso di eventuali certificazioni sui servizi proposti;• il prezzo del servizio;• le referenze;
  • 30. • le garanzie tecnologiche e di sistema offerte dal fornitore in relazioneagli standard di sicurezza informatica, per esempio, in riferimento allaprotezione dei dati personali e delle informazioni scambiate. Per quantoconcerne la sicurezza informatica della globalità del sistema diconservazione, le norme ISO/IEC 27001 e 27002 e la specifica ETSI TS102 573 (“Policy requirements for trust service providers signing and/orstoring data for digital accounting”) dettano le condizioni per la gestione evalutazione di sistemi sicuri ed affidabili per la conservazione elettronicadelle informazioni. Si veda anche UNI SinCRO 11386:2011 (per garantirel’interoperabilità dell’indice di conservazione).• il livello di professionalità del personale;•le dimensioni ed il grado di umidità dei locali in cui sarannoconservati gli eventuali documenti analogici non distrutti in seguito alprocesso di conservazione, verificando preventivamente che siano statirispettati gli standard richiesti dalla normativa europea;• l’eventuale accreditamento del fornitore ex art. 44-bis del CAD, cosìcome modificato dal D.lgs. 235/2010.• le garanzie tecnologiche e di sistema offerte dal fornitore in relazioneagli standard di sicurezza informatica, per esempio, in riferimento allaprotezione dei dati personali e delle informazioni scambiate. Per quantoconcerne la sicurezza informatica della globalità del sistema diconservazione, le norme ISO/IEC 27001 e 27002 e la specifica ETSI TS102 573 (“Policy requirements for trust service providers signing and/orstoring data for digital accounting”) dettano le condizioni per la gestione evalutazione di sistemi sicuri ed affidabili per la conservazione elettronicadelle informazioni. Si veda anche UNI SinCRO 11386:2011 (per garantirel’interoperabilità dell’indice di conservazione).• il livello di professionalità del personale;•le dimensioni ed il grado di umidità dei locali in cui sarannoconservati gli eventuali documenti analogici non distrutti in seguito alprocesso di conservazione, verificando preventivamente che siano statirispettati gli standard richiesti dalla normativa europea;• l’eventuale accreditamento del fornitore ex art. 44-bis del CAD, cosìcome modificato dal D.lgs. 235/2010.
  • 31. Outsourcing…a cosa prestare attenzione?-Formati da utilizzare (art. 68 CAD)-Supporti idonei-Certificazione di processi-Modelli di disaster recovery-Modelli di business continuity-La copia della copia della copia…chi laeffettua?-Etc.
  • 32. I documenti del Buon Responsabile della Conservazione inoutsourcing- Contratto di Outsourcing per l’affidamento del servizio- Allegato A – Offerta Economica- Allegato B – Descrizione procedure operative e aspetti tecnici- Allegato C – Nomina a Responsabile del procedimento diconservazione- Allegato D – Nomina a Responsabile Esterno per il trattamento deidati personali- Allegato E – Manuale della conservazione dei documenti- Allegato F – Documento Programmatico sulla Sicurezza (o suoestratto)- Allegato G – Delega interna per il coordinamento delle funzioni nelprocedimento di conservazione- Allegato H – Deleghe operative interne- Contratto di Outsourcing per l’affidamento del servizio- Allegato A – Offerta Economica- Allegato B – Descrizione procedure operative e aspetti tecnici- Allegato C – Nomina a Responsabile del procedimento diconservazione- Allegato D – Nomina a Responsabile Esterno per il trattamento deidati personali- Allegato E – Manuale della conservazione dei documenti- Allegato F – Documento Programmatico sulla Sicurezza (o suoestratto)- Allegato G – Delega interna per il coordinamento delle funzioni nelprocedimento di conservazione- Allegato H – Deleghe operative interne
  • 33. un buon contratto di outsourcing dovrà prevedere:• la durata contrattuale ed eventuali proroghe, il periodo di start up delprogetto, le modalità di pagamento, un eventuale servizio di formazionedel personale;• condizioni di recesso e risoluzione per inadempimento (condescrizione di inadempimenti in materia di sicurezza, privacy,interruzione del servizio, mancato rispetto di termini di conservazione,omesso pagamento etc.);• descrivere nel dettaglio i servizi da fornire, specificando anche dalpunto di vista informatico la procedura da seguire per il processo diconservazione sostitutiva (e di eventuale emissione dei documenti);• definire nel dettaglio i sistemi di report informativi ed i resoconti delprocesso di conservazione e le stesse loro modalità di comunicazione(controllo telematico diretto in modalità remota, comunicazione con PECetc.);• stabilire le precise responsabilità dell’outsourcer ed eventuali penali,garanzie, indennità (con possibilità di polizza assicurativa);
  • 34. •definire con certezza i tempi di gestione delle anomalie e diassistenza tecnica;•prevedere i tempi di lavorazione (dalla emissione del documento,sino alla sua ricezione e registrazione nel sistema informatico, sinoalla sua conservazione);•etc.Tale contratto dovrà essere accompagnato da uno S.L.A. (ServiceLevel Agreement) che definirà più nel dettaglio le procedureinformatiche utilizzate e il rispetto di privacy e sicurezza informaticanell’esercizio del procedimento di archiviazione e conservazione.Le varie funzioni delegate in maniera opportuna andranno descritte nelManuale del Responsabile della Conservazione (la cui redazione,pur non obbligatoria, è caldamente consigliata anche perché, in caso diverifiche e controlli da parte degli organi competenti, questi ultimileggendo tale documento potranno ben comprendere le procedure diconservazione sostitutiva implementate e assicurarsi con facilità che lestesse siano effettuate regolarmente).
  • 35. Outsourcing…a cosa prestare attenzione?-Manuale e DPS: documenti che si parlano-Attenzione agli allegati tecnici… che siano coordinati con ilcontratto!-Specificate bene la fase di formazione del documento e lemodalità di trasmissione dei flussi- Definite i formati adatti alla conservazione e specificate leresponsabilità in caso di consegna di formati inadatti allaconservazione a lungo termine- Definite bene la fase eventuale di cessazione del servizio- Attenzione alle deleghe di firma in remoto sempre allo stessosoggetto conservatore- In caso di utilizzo di certificati di firma non italiani le procedurevanno verificate nel dettaglio e così i software di verifica dellafirma-Evitate i copia-incolla…piuttosto non fate il contratto!
  • 36. Titolare dei Documenti e dei Dati (nominaResponsabile interno della conservazione)Responsabile delprocedimento diconservazione(referente interno)Delegato al alcuni processi(back up, disaster recovery,verifiche, restore, procedureoperative etc.)Organismo di Vigilanzae CertificazioneUn possibile schema di esternalizzazione dei servizi di conservazione
  • 37. Andrea Lisi Copyright 2002-2012 Vietatadiffusione e duplicazione38Dal “nuovo” Codice della Amministrazione Digitale:Art. 44 bis (Conservatori accreditati) - NEW1. I soggetti pubblici e privati che svolgono attività di conservazione deidocumenti informatici e di certificazione dei relativi processi anche per conto diterzi ed intendono conseguire il riconoscimento del possesso dei requisiti dellivello più elevato, in termini di qualità e di sicurezza, chiedonol’accreditamento presso DigitPA.2. Si applicano, in quanto compatibili, gli articoli 26, 27, 29, ad eccezione delcomma 3, lettera a) e 31.3. I soggetti privati di cui al comma 1 sono costituiti in società di capitali concapitale sociale non inferiore a euro 200.000.Vi è la possibilità di far accreditare presso DigitPA (CircolareDigitPA n. 59 del 29 dicembre 2011) i propri processi diconservazione sotto il profilo della sicurezza e della qualità (nelrispetto, quindi, di una serie di misure di sicurezza che variano aseconda della tipologia del dato trattato e degli strumenti utilizzati).
  • 38. Avv. Andrea LisiDigital&Law Department Studio Legale Lisiwww.studiolegalelisi.itTel. 0832/256065 – Fax 0832/520140e.mail: andrealisi@studiolegalelisi.itGrazie per l’attenzione……e per contatti o ulteriori informazioni:e per contatti o ulteriori informazioni: