Il binomio CAD e privacy nella gestione documentale della pubblica amministrazione

Il Codice per l’amministrazione digitale (D.lgs. 82/2005) definisce le norme riguardanti l’informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese, fatta eccezione per alcune specifiche funzioni attinenti a materie quali la difesa e la sicurezza nazionale.

Tale norma, che è stata oggetto di numerosi aggiornamenti (gli ultimi con il D.L. 19/2024), si applica:

1. alla Pubblica Amministrazione e ai soggetti collegati (gestori di servizi pubblici e società a controllo pubblico);
2. in parte ai soggetti del settore privato, in primo luogo riguardo alla dematerializzazione dei documenti, alla firma digitale, alla conservazione digitale e alla sicurezza informatica.

Con riguardo alla gestione documentale, al Codice si affiancano le Linee guida dell’Agenzia per l’Italia Digitale (AgID) sulla formazione, gestione e conservazione dei documenti informatici, che hanno natura vincolante e valenza erga omnes.

CAD e privacy nella gestione documentale: quali relazioni

È a tale coppia di disposizioni che di seguito si fa riferimento unitario (CAD) per trattare, con riguardo alla PA, le principali previsioni sulla gestione documentale e le interrelazioni con la privacy.

La gestione documentale definita dal CAD attiene all’intero ciclo di vita dei documenti, dalla formazione, allo scambio e utilizzo nei processi, alla conservazione a norma sino allo scarto al termine previsto, nel rispetto della normativa sui beni culturali.

Ecco i punti prioritari che ciascuna PA deve considerare e applicare:

1. Architettura del processo di gestione e conservazione documentale. Un ruolo centrale del sistema è assegnato al Responsabile della gestione documentale, tenuto in primo luogo all’elaborazione del Manuale di gestione documentale, d’intesa con il Responsabile della conservazione documentale (entrambi i ruoli possono essere assegnati alla medesima persona, comunque interna alla PA) e con il Responsabile della transizione digitale, acquisendo il parere del DPO (Data Protection Officer). Sul lato archiviazione, è nella responsabilità del citato Responsabile della conservazione l’elaborazione del Manuale di conservazione: anche qui il CAD prevede l’interazione del Responsabile della conservazione con il DPO e “con il responsabile della sicurezza e con il responsabile dei sistemi informativi”. Ciò a garanzia che i diversi aspetti del sistema, da quello tecnico a quello normativo fino a quello privacy siano considerati nella loro interrelazione e presidiati. Il disegno del processo deve poi tradursi in una procedura IT strutturata in maniera tale da garantire l’efficace svolgimento dei processi documentali in condizioni di sicurezza e permanenza nel tempo.
2. Piano di sicurezza. I documenti informatici delle pubbliche amministrazioni devono essere gestiti con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta. Il CAD si sofferma, quindi, sull’esigenza di garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture. A tal riguardo le Linee guida dell’AgID prevedono che le PA sono tenute ad ottemperare alle misure minime di sicurezza ICT per le pubbliche amministrazioni emanate dalla stessa AgID con Circ. 2/2017. Le citate misure minime dovranno, quindi, essere tenute presenti in primis nell’elaborazione dei citati manuali e nell’impostazione dell’infrastruttura IT. Anche per la produzione del piano di sicurezza deve essere acquisito il parere del DPO.
3. Trasmissione di documenti fra le PA. Le comunicazioni di documenti tra le pubbliche amministrazioni è previsto che avvengano mediante l’utilizzo della posta elettronica o in cooperazione applicativa, ovvero mediante interazione tra i sistemi informatici dei soggetti partecipanti, per garantire l’integrazione dei metadati, delle informazioni, dei processi e procedimenti amministrativi. Al fine di tutelare la riservatezza dei dati sensibili (da intendere dati particolari: il vigente art. 46 del Codice riporta la denominazione precedente al GDPR che ha mutato la loro denominazione) o giudiziari viene previsto che i documenti informatici da trasmettere ad altre PA possono contenere dati della specie i) in base a legge o a regolamento e ii) purché indispensabili per il perseguimento delle finalità per le quali sono acquisiti.
4. Metadati. L’allegato 5 alle Linee guida AgID, inerente ai metadati, fornisce indicazioni flessibili sulle informazioni che devono accompagnare i documenti informatici e che ciascuna PA potrà adattare al proprio assetto e definire nel Manuale di gestione documentale. Facendo cenno al recente intervento del Garante privacy sui metadati della posta elettronica e alla consultazione pubblica poi avviata al riguardo, occorre tener presente che tale manuale è il documento in cui poter  anche definire le modalità da seguire per le fattispecie in cui la posta elettronica “personale” – qualora ve ne sia l’esigenza – debba confluire nel sistema documentale dell’organizzazione corredata dei  relativi metadati. Un eventuale fine tuning di quanto oggi previsto nei manuali vigenti potrà quindi essere realizzato a valle della conclusione della consultazione avviata dal Garante.
5. Trasparenza. È posto in capo alle PA l’onere di pubblicare, nella sezione Amministrazione trasparente dei loro portali, sia il Manuale per la gestione documentale sia il Manuale per la conservazione. Inoltre, come specificato nel nuovo Piano triennale per l’informatica nella PA (2024/2026), le PAdovranno alimentare, nella predetta sezione dedicata alla trasparenza, anche i provvedimenti di nomina del Responsabile della gestione documentale (entro il 2025) e del Responsabile per la conservazione documentale (entro il 2026).

La DPIA nei sistemi di gestione documentale

In parallelo alla realizzazione del sistema di gestione documentale occorre che ciascuna PA, nel proprio assetto tecnico-regolamentare, consideri le norme sulla privacy a partire dalla valutazione d’impatto.

Su un binario parallelo occorre anche che ogni PA provveda per gli adempimenti di tenore amministrativo-gestionale, necessari per il governo dei rischi e dei controlli nonché per un corretto assetto della privacy.

Ci soffermiamo qui su due aspetti generali, che fungono da cornice per gli aspetti applicativi: l’Operational Risk Management (ORM) e il registro dei trattamenti.

L’Operational Risk Management

Laddove l’organizzazione si avvalga di uno strutturato sistema di gestione dei rischi quale il modello ORM, per analizzare e gestire i rischi operativi e i loro impatti – procedurale, reputazionale e patrimoniale – come andrà considerato il sistema di gestione documentale?

Atteso che la gestione documentale implica:

1. un sistema trasversale alla molteplicità dei processi svolti, in quanto contenitore e veicolo per le informazioni;
2. un sistema gestito sotto responsabilità centralizzata, prevista dalla legge, del Responsabile per la gestione documentale (lato creazione e gestione dei documenti) e del Responsabile per la conservazione (lato archiviazione finale e successiva epurazione elettronica), figure che possono come detto coesistere;
3. un sistema informativo basato su un applicativo strutturato logicamente in maniera unitaria;

se ne può trarre la conclusione che occorrerebbe definire un (macro)processo ORM dedicato alla gestione documentale rispetto al quale vagliare le minacce e le misure di mitigazione per la resilienza del sistema, sotto i profili della integrità, disponibilità e riservatezza.

Anziché un solo macro-processo, se si volesse dare separata enfasi al versante gestione documentale come anche a quello conservazione si potrebbe anche articolare l’intera gestione documentale in due (sub)processi: il primo inerente alla creazione e scambio documentale e l’altro al versante archivistico.

Ovviamente, nell’ottica di una strutturata e coerente azione di risk management, siccome i processi tipici delle diverse strutture interne a un’organizzazione si avvarranno di documenti di diversa numerosità, tassonomia e grado di riservatezza, nell’ambito dei processi di competenza di ciascuna struttura, dovranno essere considerate anche le minacce individuate dal (trasversale) processo ORM dedicato alla gestione documentale, per la quota parte applicabile.

Se il sistema generale è correttamente impostato, saranno quindi valutate, per ciascun processo di business, minacce afferenti alla gestione documentale con un livello di rischio inerente non superiore allo zenit del processo “gestione documentale (e/o conservazione)” e con misure di mitigazione/sicurezza che devono essere già previste in quest’ultimo. Se così non fosse vorrebbe dire che il sistema difetterebbe di coerenza.

Peraltro, nulla osterebbe a che anche altre strutture definiscano un proprio specifico processo di gestione documentale tarato sulle proprie peculiarità che però, con riguardo all’infrastruttura IT, dovrebbe comunque assumere le valutazioni del (macro)processo “padre”.

Ciò però appare ammissibile solo in presenza di motivate esigenze di business al fine di non inflazionare – impattando quantomeno sul grado di efficienza del sistema – il sistema ORM complessivo: ad es. gestione di fascicoli inerenti a una tassonomia particolare di controparti, per numero o tipologia di operazioni, altrimenti non ci sarebbe motivo di una distinta “processualità”.

Gli aspetti privacy

Analogamente, sotto il profilo del trattamento dei dati personali, bisognerebbe considerare il sistema di gestione documentale come un unico (macro)trattamento, atteso che sarà la cornice che definisce le regole procedurali, le misure di sicurezza, l’interazione (ad es. le misure di controllo) con provider esterni / responsabili del trattamento.

Anche qui, la considerazione che il sistema di gestione documentale:

1. riguarda l’intero ciclo di vita dei documenti dalla creazione, all’archiviazione, all’epurazione una volta scaduti i termini di conservazione;
2. sia basato su una infrastruttura tecnologica gestita sotto supervisione centralizzata (i due Responsabili per la gestione documentale e il Responsabile per la conservazione);

fa propendere per una formalizzazione nel registro di un solo trattamento.

In maggior misura che in ambito ORM rileva il fatto che, se è vero che ogni struttura dell’organizzazione si avvale del sistema documentale, ciascuna di esse lo fa con le proprie tipicità: ma ciò, comunque, dovrà avvenire sempre nel quadro delle procedure e misure di sicurezza stabilite dal titolare in sede di valutazione d’impatto privacy (DPIA) e “scolpite” poi nel registro.

Per quanto attiene all’informativa privacy, potrebbe esservene una sugli aspetti generali della gestione documentale e altre di settore tarate sui singoli trattamenti oppure si potrebbe varare una informativa unitaria. Importante è che le informazioni siano rese in maniera comprensibile agli interessati con riguardo alle caratteristiche dei trattamenti che li riguardano.

Di contro, se il registro dei trattamenti fosse alimentato con un (sub)trattamento di gestione documentale per ogni struttura/processo, si moltiplicherebbe le dimensione del registro senza apportare maggior valore segnaletico ed anzi con il rischio di difformità locali.

In definitiva, dare evidenza unitaria può consentire di apprezzare in misura maggiore l’impatto trasversale delle minacce che possono ledere la gestione documentale.

Conclusione

Quello che andrà evitato è di tralasciare di considerare non solo la centralità della gestione documentale nei due ambiti ORM e privacy, ma addirittura non considerarla (magari anche solo perché la gestione è assegnata in outsourcing).

Il pericolo non è solo quello di non essere compliant con le norme di riferimento ma di perdere la capacità di gestire i rischi della gestione informatica dei documenti, fra cui quello cyber, sempre più insidioso e con un fronte di attacco maggiore quanto più si dovesse ricorrere a soluzioni in cloud.

Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono ad alcun titolo l’Istituto pubblico ove presta servizio.