Docs Italia beta

Documenti pubblici, digitali.

Linee guida sulla formazione, gestione e conservazione dei documenti informatici
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

4. Conservazione

4.1. Sistema di conservazione

Nella Pubblica Amministrazione, il sistema di gestione documentale trasferisce al sistema di conservazione, ai sensi dell’art. 44, comma 1-bis, del CAD [1],:

  1. i fascicoli informatici chiusi e le serie informatiche chiuse, trasferendoli dall’archivio corrente o dall’archivio di deposito;
  2. i fascicoli informatici e le serie non ancora chiuse trasferendo i documenti in essi contenuti sulla base di specifiche esigenze dell’ente, con particolare attenzione per i rischi di obsolescenza tecnologica.

Il sistema di conservazione assicura, dalla presa in carico fino all’eventuale scarto, la conservazione dei seguenti oggetti digitali in esso conservati, tramite l’adozione di regole, procedure e tecnologie, garantendone le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità:

  1. i documenti informatici e i documenti amministrativi informatici con i metadati ad essi associati[STRIKEOUT:;]
  2. le aggregazioni documentali informatiche (fascicoli e serie) con i metadati ad esse associati contenenti i riferimenti che univocamente identificano i singoli oggetti documentali che costituiscono le aggregazioni medesime, nel rispetto di quanto indicato per le Pubbliche Amministrazioni nell’articolo 67, comma 2, del DPR 445/2000 [2] e art. 44, comma 1-bis, CAD;
  3. gli archivi informatici con i metadati associati.

Il sistema di conservazione garantisce l’accesso all’oggetto conservato per il periodo previsto dal piano di conservazione del titolare dell’oggetto della conservazione e dalla normativa vigente, o per un tempo superiore eventualmente concordato tra le parti, indipendentemente dall’evoluzione del contesto tecnologico.

Il sistema di conservazione è logicamente distinto dal sistema di gestione documentale.

Gli elenchi degli standard, delle specifiche tecniche e dei formati utilizzabili quali riferimento per il sistema di conservazione sono riportati negli allegati 2 “Formati di file e riversamento” e 4 “Standard e specifiche tecniche”.

[1]
L’art. 44, comma 1-bis, del CAD prevede che: “Il sistema di gestione

dei documenti informatici delle pubbliche amministrazioni è gestito da un responsabile che opera d’intesa con il dirigente dell’ufficio di cui all’articolo 17 del presente Codice, il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, ove nominato, e con il responsabile del sistema della conservazione dei documenti informatici delle pubbliche amministrazioni, nella definizione e gestione delle attività di rispettiva competenza. Almeno una volta all’anno il responsabile della gestione dei documenti informatici provvede a trasmettere al sistema di conservazione i fascicoli e le serie documentarie anche relative a procedimenti non conclusi”.
[2]
L’art. 67, comma 2, del TUDA prevede che: “Il trasferimento deve

essere attuato rispettando l’organizzazione che i fascicoli e le serie avevano nell’archivio corrente”.

4.2. Pacchetti informativi

Gli oggetti della conservazione sono trattati dal sistema di conservazione in pacchetti informativi che si distinguono in:

  1. pacchetti di versamento;
  2. pacchetti di archiviazione;
  3. pacchetti di distribuzione.

L’interoperabilità tra i sistemi di conservazione dei soggetti che svolgono attività di conservazione è garantita dall’applicazione delle specifiche tecniche del pacchetto di archiviazione definite dalla norma UNI 11386 - Standard SInCRO - Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali.

Il Titolare dell’oggetto della conservazione utilizza, già al momento della formazione, le modalità e i formati individuati nel manuale di conservazione in conformità con le presenti Linee Guida.

4.3. Modelli organizzativi della conservazione

Il processo di conservazione può essere svolto all’interno o all’esterno della struttura organizzativa dell’ente.

Le Pubbliche Amministrazioni realizzano il processo di conservazione ai sensi dall’art. 34, comma 1-bis, del CAD [3], fatte salve le competenze del Ministero per i beni e le attività culturali ai sensi del decreto legislativo 22 gennaio 2004, n. 42.

Le Pubbliche Amministrazioni possono esternalizzare il servizio di conservazione solo attraverso l’affidamento ad un conservatore accreditato. I requisiti del processo di conservazione, le responsabilità e i compiti del responsabile della conservazione e del responsabile del servizio di conservazione, e le loro modalità di interazione sono formalizzate nel manuale di conservazione del Titolare dell’oggetto della conservazione e nelle specifiche del contratto o della convenzione di servizio. Tali modalità trovano riscontro anche nel manuale di conservazione del conservatore accreditato.

[3]
L’art. 34, comma 1-bis, del CAD prevede che: “Le pubbliche

amministrazioni possono procedere alla conservazione dei documenti informatici:

  1. all’interno della propria struttura organizzativa;

b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati accreditati come conservatori presso l’AgID”.

4.4. Conservatori accreditati

I conservatori accreditati sono soggetti pubblici e privati che svolgono attività di conservazione e che ottengono, previa domanda di accreditamento ad AGID, il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza.

L’AGID ha predisposto un modello di manuale di conservazione e piano della sicurezza per i soggetti che intendono accreditarsi come conservatori.

Il conservatore accreditato individua i seguenti profili professionali nella propria struttura organizzativa:

  • Responsabile del servizio di conservazione;
  • Responsabile della funzione archivistica di conservazione;
  • Responsabile della protezione dei dati personali;
  • Responsabile della sicurezza dei sistemi per la conservazione;
  • Responsabile dei sistemi informativi per la conservazione;
  • Responsabile dello sviluppo e della manutenzione del sistema di conservazione.

4.5. Ruoli e responsabilità

I ruoli individuati nel processo di conservazione sono:

  1. titolare dell’oggetto della conservazione;
  2. produttore dei PdV;
  3. utente abilitato;
  4. responsabile della conservazione
  5. conservatore.

Nelle Pubbliche Amministrazioni, il ruolo di produttore del PdV è svolto da persona interna alla struttura organizzativa.

L’utente abilitato può richiedere al sistema di conservazione l’accesso ai documenti per acquisire le informazioni di interesse nei limiti previsti dalla legge e nelle modalità previste dal manuale di conservazione.

Nelle Pubbliche Amministrazioni il responsabile della gestione documentale o il coordinatore della gestione documentale, ove nominato, svolge il ruolo di produttore di PdV e assicura la trasmissione del pacchetto di versamento al sistema di conservazione, secondo le modalità operative definite nel manuale di conservazione.

Nel caso di affidamento a terzi, il produttore di PdV provvede a generare e trasmettere al sistema di conservazione i pacchetti di versamento nelle modalità e con i formati concordati con il conservatore e descritti nel manuale di conservazione del sistema di conservazione. Provvede inoltre a verificare il buon esito della operazione di trasferimento al sistema di conservazione.

4.6. Responsabile della conservazione

Il responsabile della conservazione opera secondo quanto previsto dall’art. 44, comma 1-quater, del CAD [4].

Nella Pubblica Amministrazione, il responsabile della conservazione:

  1. è un ruolo previsto dall’organigramma del Titolare dell’oggetto di conservazione;
  2. è un dirigente o un funzionario interno formalmente designato e in possesso di idonee competenze giuridiche, informatiche ed archivistiche;
  3. può essere svolto dal responsabile della gestione documentale o dal coordinatore della gestione documentale, ove nominato.

Per i soggetti diversi dalla Pubblica Amministrazione, il ruolo del responsabile della conservazione può essere svolto da un soggetto esterno all’organizzazione, in possesso di idonee competenze giuridiche, informatiche ed archivistiche, purché terzo rispetto al Conservatore al fine di garantire la funzione del Titolare dell’oggetto di conservazione rispetto al sistema di conservazione.

Il responsabile della conservazione definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia.

Il responsabile della conservazione, sotto la propria responsabilità, può delegare lo svolgimento delle proprie attività o parte di esse a uno o più soggetti, che all’interno della struttura organizzativa, abbiano specifiche competenze ed esperienze. Tale delega, riportata nel manuale di conservazione, deve individuare le specifiche funzioni e competenze delegate.

In particolare, il responsabile della conservazione:

  1. definisce le politiche di conservazione e i requisiti funzionali del sistema di conservazione, in conformità alla normativa vigente e tenuto conto degli standard internazionali, in ragione delle specificità degli oggetti digitali da conservare (documenti informatici, aggregazioni informatiche, archivio informatico), della natura delle attività che il Titolare dell’oggetto di conservazione svolge e delle caratteristiche del sistema di gestione documentale adottato;
  2. gestisce il processo di conservazione e ne garantisce nel tempo la conformità alla normativa vigente;
  3. genera e sottoscrive il rapporto di versamento, secondo le modalità previste dal manuale di conservazione;
  4. genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti dal manuale di conservazione;
  5. effettua il monitoraggio della corretta funzionalità del sistema di conservazione;
  6. effettua la verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità e della leggibilità dei documenti informatici e delle aggregazioni documentarie degli archivi;
  7. al fine di garantire la conservazione e l’accesso ai documenti informatici, adotta misure per rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, per ripristinare la corretta funzionalità; adotta analoghe misure con riguardo all’obsolescenza dei formati;
  8. provvede alla duplicazione o copia dei documenti informatici in relazione all’evolversi del contesto tecnologico, secondo quanto previsto dal manuale di conservazione;
  9. adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione come previsto dal par. 4.11;
  10. assicura la presenza di un pubblico ufficiale, nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l’assistenza e le risorse necessarie per l’espletamento delle attività al medesimo attribuite;
  11. assicura agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza;
  12. provvede per le amministrazioni statali centrali e periferiche a versare i documenti informatici, le aggregazioni informatiche e gli archivi informatici, nonché gli strumenti che ne garantiscono la consultazione, rispettivamente all’Archivio centrale dello Stato e agli archivi di Stato territorialmente competenti, secondo le tempistiche fissate dall’art. 41, comma 1, del Codice dei beni culturali [5];
  13. predispone il manuale di conservazione di cui al par. 4.7 e ne cura l’aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti.

Nel caso in cui il servizio di conservazione venga affidato ad un conservatore accreditato, le attività suddette o alcune di esse, ad esclusione della lettera m), potranno essere affidate al responsabile del servizio di conservazione.

Si precisa che il nominativo ed i riferimenti del responsabile della conservazione devono essere indicati nelle specifiche del contratto o della convenzione di servizio con il Conservatore accreditato nel quale sono anche riportate le attività affidate al responsabile del servizio di conservazione.

[4]
L’art. 44, comma 1-quater, del CAD prevede che: “Il responsabile

della conservazione, che opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi, può affidare, ai sensi dell’articolo 34, comma 1-bis, lettera b), la conservazione dei documenti informatici ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative, e tecnologiche e di protezione dei dati personali. Il responsabile della conservazione della pubblica amministrazione, che opera d’intesa, oltre che con i responsabili di cui al comma 1-bis, anche con il responsabile della gestione documentale, effettua la conservazione dei documenti informatici secondo quanto previsto all’articolo 34, comma 1-bis”.
[5]
L’art. 41, comma 1, del Codice dei beni culturali prevede che: “Gli

organi giudiziari e amministrativi dello Stato versano all’archivio centrale dello Stato e agli archivi di Stato i documenti relativi agli affari esauriti da oltre trent’anni, unitamente agli strumenti che ne garantiscono la consultazione. Le liste di leva e di estrazione sono versate settant’anni dopo l’anno di nascita della classe cui si riferiscono. Gli archivi notarili versano gli atti notarili ricevuti dai notai che cessarono l’esercizio professionale anteriormente all’ultimo centennio”.

4.7. Manuale di conservazione

Il manuale di conservazione deve illustrare dettagliatamente l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione.

Il manuale di conservazione è un documento informatico che riporta, almeno:

  1. i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione, descrivendo in modo puntuale, in caso di delega, i soggetti, le funzioni e gli ambiti oggetto della delega stessa;
  2. la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione;
  3. la descrizione delle tipologie degli oggetti digitali sottoposti a conservazione, comprensiva dell’indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di oggetti e delle eventuali eccezioni;
  4. la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento, comprensiva della predisposizione del rapporto di versamento;
  5. la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione;
  6. la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione;
  7. la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione e di evoluzione delle medesime;
  8. la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie;
  9. la descrizione delle procedure per la produzione di duplicati o copie;
  10. i tempi entro i quali le diverse tipologie di oggetti digitali devono essere trasferite in conservazione ed eventualmente scartate, qualora, nel caso delle Pubbliche Amministrazioni, non siano già indicati nel piano di conservazione allegato al manuale di gestione documentale;
  11. le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche quali sono i casi per i quali è previsto il suo intervento;
  12. le normative in vigore nei luoghi dove sono conservati gli oggetti digitali.

Le Pubbliche Amministrazioni sono tenute a redigere, adottare con provvedimento formale e pubblicare sul proprio sito istituzionale il Manuale di conservazione, ossia un documento informatico che descrive il sistema di conservazione. La pubblicazione è realizzata in una parte chiaramente identificabile dell’area “Amministrazione trasparente” prevista dall’art. 9 del d.lgs. 33/2013.

In caso di affidamento del servizio di conservazione ad un conservatore accreditato, le Pubbliche Amministrazioni possono descrivere nel proprio manuale anche le attività del processo di conservazione affidate al conservatore accreditato, in conformità con il contenuto del manuale di conservazione predisposto da quest’ultimo, o rinviare, per le parti di competenza, al manuale del conservatore accreditato.

Resta fermo l’obbligo in carico alla Pubblica Amministrazione di individuare e pubblicare i tempi di versamento, le tipologie documentali trattate, i metadati, le modalità di trasmissione dei PdV e le tempistiche di selezione e scarto dei propri documenti informatici.

Resta ferma inoltre la competenza del Ministero per i beni e le attività culturali in materia di tutela dei sistemi di conservazione sugli archivi pubblici e privati che rivestono interesse storico particolarmente importante, così come disciplinato dalla normativa sui beni culturali.

4.8. Processo di conservazione

Il trasferimento dell’oggetto di conservazione nel sistema di conservazione avviene generando un PdV nelle modalità e con il formato previsti dal manuale di conservazione di cui al paragrafo 4.7.

Il processo di conservazione prevede:

  1. l’acquisizione da parte del sistema di conservazione del PdV per la sua presa in carico;
  2. la verifica che il PdV e gli oggetti digitali contenuti siano coerenti con le modalità previste dal manuale di conservazione e con quanto indicato nell’ allegato 2 “Formati di file e riversamento” relativo ai formati;
  3. il rifiuto del PdV, nel caso in cui le verifiche di cui alla lettera b) abbiano evidenziato delle anomalie. Il numero massimo di rifiuti è stabilito nell’ambito di un contratto o convenzione e non può essere inferiore a 3, oltre il quale il conservatore non è più tenuto ad accettare quell’oggetto in conservazione. Tale misura serve a sensibilizzare il Produttore nella fase di predisposizione del PdV;
  4. la generazione, anche in modo automatico, del rapporto di versamento relativo ad uno o più pacchetti di versamento, univocamente identificato dal sistema di conservazione e contenente un riferimento temporale, specificato con riferimento al Tempo universale coordinato (UTC), e una o più impronte, calcolate sull’intero contenuto del pacchetto di versamento, secondo le modalità descritte nel manuale di conservazione;
  5. l’eventuale sottoscrizione del rapporto di versamento con la firma digitale o firma elettronica qualificata o avanzata apposta dal responsabile della conservazione o dal responsabile del servizio di conservazione, ove prevista nel manuale di conservazione;
  6. la preparazione, la sottoscrizione con firma digitale o firma elettronica qualificata o avanzata del responsabile della conservazione o dal responsabile del servizio di conservazione con il sigillo elettronico qualificato o avanzato del titolare dell’oggetto di conservazione o del conservatore accreditato e la gestione del pacchetto di archiviazione sulla base delle specifiche della struttura dati contenute nell’allegato 4 “Standard e specifiche tecniche” e secondo le modalità riportate nel manuale di conservazione;
  7. la preparazione e la sottoscrizione con firma digitale o firma elettronica qualificata o avanzata del responsabile della conservazione o del responsabile del servizio di conservazione, oppure l’apposizione del sigillo elettronico qualificato o avanzato, secondo le modalità indicate nel manuale di conservazione, del pacchetto di distribuzione ai fini dell’esibizione richiesta dall’utente;
  8. ai fini della interoperabilità tra sistemi di conservazione, i pacchetti di distribuzione possono contenere parte, uno o più i pacchetti di archiviazione;
  9. la produzione di duplicati informatici o di copie informatiche effettuati su richiesta degli utenti in conformità a quanto previsto dalle presenti linee guida;
  10. la produzione di copie informatiche tramite attività di riversamento al fine di adeguare il formato alle esigenze conservative di leggibilità nel tempo in base alle indicazioni previste dall’allegato 2 “Formati di file e riversamento”;
  11. l’eventuale scarto del pacchetto di archiviazione dal sistema di conservazione alla scadenza dei termini di conservazione previsti dalla norma o secondo quanto indicato dal piano di conservazione del Titolare dell’oggetto di conservazione e le procedure descritte nel successivo paragrafo 4.12;
  12. nel caso degli archivi pubblici o privati, che rivestono interesse storico particolarmente importante, l’eventuale scarto del pacchetto di archiviazione avviene previa autorizzazione del MIBAC rilasciata al Titolare dell’oggetto della conservazione secondo quanto previsto dalla normativa vigente in materia e al successivo paragrafo 4.12.

Nel caso di affidamento a terzi del servizio di conservazione le modalità sono indicate nei manuali del Titolare dell’oggetto di conservazione e del conservatore accreditato e concordate tra le parti.

4.9. Infrastrutture

Fatto salvo quanto previsto dal Codice dei beni culturali, i sistemi di conservazione delle Pubbliche Amministrazioni e i sistemi di conservazione dei conservatori accreditati, ai fini della vigilanza da parte dell’Agenzia per l’Italia digitale su questi ultimi, prevedono la materiale conservazione dei dati e delle copie di sicurezza sul territorio nazionale e garantiscono un accesso ai dati presso la sede del Titolare dell’oggetto di conservazione e misure di sicurezza conformi a quelle stabilite dalle presenti linee guida.

Le componenti tecnologiche hardware e software utilizzate dai sistemi di conservazione delle Pubbliche Amministrazioni e dei conservatori accreditati sono segregate fisicamente e logicamente per i servizi di cui all’art. 29 del CAD [6]. Qualora i servizi vengano erogati in modalità cloud, il servizio deve essere qualificato come previsto dalla Circolare Agid n. 3 del 9 aprile 2019 e, conseguentemente, essere presente nel “Catalogo dei servizi Cloud per la PA qualificati” (https://cloud.italia.it/marketplace/supplier/market/index.html).

[6]
L’art. 29, comma 1, del CAD prevede che: “I soggetti che intendono

fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata o di gestore dell’identità digitale di cui all’articolo 64 presentano all’AgID domanda di qualificazione, secondo le modalità fissate dalle Linee guida. I soggetti che intendono svolgere l’attività di conservatore di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee guida”

4.10. Modalità di esibizione

Fermi restando gli obblighi previsti in materia di esibizione dei documenti dalla normativa vigente, il sistema di conservazione permette ai soggetti autorizzati l’accesso diretto, anche da remoto, agli oggetti digitali conservati, attraverso la produzione di pacchetti di distribuzione secondo le modalità descritte nel manuale di conservazione. Nel caso di affidamento esterno del servizio di conservazione tali modalità sono concordate tra le parti e indicate nei rispettivi manuali.

4.11. Sicurezza del sistema di conservazione

Nelle Pubbliche Amministrazioni, il responsabile della conservazione, di concerto con il responsabile della sicurezza e con il responsabile della transizione digitale, acquisito il parere del responsabile della protezione dei dati personali, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, mettendo in atto opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, ai sensi dell’art. 32 del Regolamento (UE) 2016/679 [7], e in aderenza alle linee guida emanate dall’Agenzia per l’Italia digitale con riferimento alle misure minime di sicurezza in ambito ICT “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.

Le suddette misure sono descritte nel manuale di conservazione di cui al par. 4.7, ove è predisposta altresì la proceduta da adottarsi in caso di violazione dei dati personali ai sensi degli artt. 33-34 del Regolamento (UE) 2016/679 [8].

Nel caso di affidamento esterno del servizio di conservazione misure di sicurezza sono descritte nel manuale del conservatore.

I soggetti privati appartenenti ad organizzazioni che già adottano particolari regole di settore per la sicurezza dei sistemi informativi adeguano il sistema di conservazione a tali regole. Gli altri soggetti possono adottare quale modello di riferimento le regole di sicurezza indicate dall’articolo 51 del CAD [9] e dalle suddette linee guida emanate dall’Agenzia per l’Italia digitale in merito alle misure minime di sicurezza in ambito ICT.

[7]
L’art. 32 del Regolamento (UE) 2016/679 prevede che: “1. Tenendo

conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

  1. la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
[8]
Gli artt. 33 e 34 del Regolamento (UE) 2016/679 prevedono,

rispettivamente, la procedura di notifica di una violazione dei dati personali all’autorità di controllo e quella di comunicazione di una violazione dei dati personali all’interessato.
[9]
L’art. 51, comma 2, del CAD, prevede che: “I documenti informatici

delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta”.

4.12. Selezione e scarto dei documenti informatici

I documenti informatici e le aggregazioni documentali informatiche possono essere oggetto di selezione e scarto nel sistema di conservazione nel rispetto della normativa sui beni culturali.

Nel sistema di conservazione, la selezione e lo scarto dei pacchetti di archiviazione sono definiti dal Titolare dell’oggetto di conservazione e, nel caso delle Pubbliche Amministrazioni, secondo quanto indicato dal piano di conservazione. Nel caso di affidamento esterno del servizio di conservazione le modalità operative sono concordate dal Titolare dell’oggetto di conservazione e dal Conservatore.

Il responsabile della conservazione genera l’elenco dei pacchetti di archiviazione contenenti i documenti destinati allo scarto e, dopo aver verificato il rispetto dei termini temporali stabiliti dal piano di conservazione, lo comunica al responsabile della gestione documentale o del coordinatore della gestione documentale, ove nominato. In caso di affidamento esterno del servizio di conservazione l’elenco dei pacchetti di archiviazione contenenti i documenti destinati allo scarto è generato dal responsabile del servizio di conservazione e trasmesso al responsabile della conservazione che a sua volta, verificato il rispetto dei termini temporali stabiliti dal piano di conservazione, lo comunica al responsabile della gestione documentale o del coordinatore della gestione documentale.

Nel caso degli archivi pubblici e degli archivi privati, dichiarati di interesse storico particolarmente importante, l’autorizzazione è rilasciata dalla Direzione generale Archivi, secondo quanto previsto dalla normativa vigente in materia di beni culturali.

Le proposte di scarto di pacchetti di archiviazione contenenti documenti e/o dati sottratti alla libera consultabilità devono essere autorizzate dal Ministero dell’interno.

Il Titolare dell’oggetto di conservazione, una volta ricevuta l’autorizzazione, che può essere concessa anche solo su una parte dell’elenco proposto, procede alla distruzione dei pacchetti di archiviazione.

Nel caso di affidamento esterno del servizio di conservazione, il Titolare dell’oggetto di conservazione, una volta ricevuta l’autorizzazione, che può essere concessa anche solo su una parte dell’elenco proposto, provvede a trasmetterlo al conservatore affinché provveda alla distruzione dei pacchetti di archiviazione.

L’operazione di scarto viene tracciata sul sistema mediante la produzione di metadati che descrivono le informazioni essenziali sullo scarto, inclusi gli estremi della richiesta di nulla osta allo scarto e il conseguente provvedimento autorizzatorio.

Al termine delle operazioni di distruzione dal sistema di conservazione dei pacchetti di archiviazione scartati, il Titolare dell’oggetto di conservazione notifica l’esito della procedura di scarto agli organi preposti alla tutela come già indicato in precedenza. Analoga comunicazione è inviata al Ministero dell’interno in caso di eliminazione di pacchetti di archiviazione contenenti documenti e/o dati di carattere riservato.

Tale operazione avrà completa efficacia solo al momento del completo aggiornamento delle copie di sicurezza del sistema.

I documenti e le aggregazioni documentali informatiche sottoposti a scarto nel sistema di conservazione devono essere distrutti anche in tutti i sistemi gestiti dal Titolare dell’oggetto di conservazione.