Di Sergio Sette
Introduzione
La conservazione dei documenti informatici prodotti e detenuti dalla Polizia Municipale di un comune italiano è un tema ancora oggi ampiamente dibattuto, specie per i risvolti legati alla protezione dei dati personali introdotti con l’entrata in vigore del GDPR.
Se non vi è dubbio che la gestione e la conservazione di questi documenti deve essere improntata al rispetto di rigorosi standard di sicurezza e la piena aderenza alla normativa sulla protezione dei dati personali, non va però dimenticato che la gestione documentale è un ambito strettamente normato a livello generale e che tali norme, spesso ahimè dimenticate, si applicano anche alla Polizia Municipale.
Premessa
Detto ciò, è necessario ricordare le principali normative in ambito di gestione dei documenti (informatici e non) della pubblica amministrazione:
- Innanzi tutto, è bene chiarire che i documenti prodotti da un Comune rappresentano, nella loro unitarietà, un archivio pubblico e che perciò, ai sensi dell’art. 10 del Codice dei Beni Culturali, sono un bene tutelato e soggetto ad obblighi conservativi; non solo, ai sensi degli articoli 20 e 21 del succitato Codice, non è possibile distruggere, anche solo parzialmente, i documenti dell’archivio se non previa autorizzazione allo scarto operata dalla Soprintendenza territorialmente competente.
- Il TUDA (DPR 445/2000) è ancora oggi la norma primaria, che prevede, in estrema sintesi che:
- Ogni Ente pubblico è tenuto ad istituire un servizio chiamato “tenuta del protocollo informatico, gestione dei flussi documentali e archivi“, gestito da un dirigente o funzionario qualificato. Questo servizio è responsabile di ogni decisione in tema di gestione documentale nonché sulla vigilanza delle disposizioni di legge in materia (art. 61, commi 1 e 3)
- L’Ente debba essere dotato di un sistema informatico per la gestione di TUTTI i documenti prodotti e/o ricevuti. In questo sistema, che deve essere unico in quanto costituente l’archivio informatico dell’Ente, i documenti (TUTTI) devono essere registrati nel protocollo generale e/o nei cosiddetti “registri particolari” – detti anche repertori – (art. 53, comma 5) ed organizzati in aggregazioni sotto forma di fascicoli o serie documentali (art. 64 e 65).
- Il CAD (Dlgs. 82/2005), che, in aggiunta a quanto stabilito dal TUDA, prescrive ulteriori adempimenti riguardo i documenti informatici, fra cui:
- L’obbligo di formare gli originali con strumenti informatici – sostanzialmente, cioè di produrre documenti con una firma digitale/qualificata (art. 40);
- L’obbligo di trasferire i fascicoli e le serie (ed ovviamente tutti i documenti in essi contenuti) almeno una volta l’anno, in un apposito sistema di conservazione, che è distinto, almeno logicamente, dal sistema di gestione documentale e che può essere fornito sotto forma di servizio erogato da terzi in possesso di adeguati requisiti (art. 44).
- Le Linee Guida per la Gestione Documentale e la Conservazione, emanate da Agid e che rappresentano i decreti attuativi per il CAD e il TUDA. Le Linee Guida, oltre a specificare i dettagli implementativi di molte norme di TUDA e CAD stabiliscono inoltre:
- L’obbligo, per le Amministrazioni, di nominare un Responsabile per la Gestione Documentale e un Responsabile per la Conservazione, definendone mansioni e responsabilità;
- L’obbligo per le Amministrazioni, di redigere e pubblicare il Manuale di Gestione Documentale, atto regolamentare che “fornisce le istruzioni per il corretto funzionamento del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi”; è in questo documento ed i suoi allegati, che si trovano le regole pratiche da seguire per attuare una corretta gestione documentale.
In buona sostanza, per gestire correttamente i propri documenti, compresa la loro conservazione compatibile con il GDPR, basterebbe seguire (e, prima ancora, conoscere) le norme sopra elencate.
Cosa conservare, dove conservarlo e per quanto tempo?
Prima di rispondere alla domanda è bene chiarire cose si intende con il termine “conservazione” nell’ambito dei documenti informatici.
Il termine, nella sua accezione comune, così come per altro, utilizzato in buona parte della normativa, è distinto dal concetto di ‘tenuta’, che si riferisce alla gestione attiva del documento, mentre la ‘conservazione’ è la fase successiva regolata dagli artt. 43 e 44 CAD e dalle Linee guida AGID.
Nel contesto del CAD invece, conservare significa trasferire i documenti nel sistema di conservazione. Infatti, all’art. 20, comma 5-bis, troviamo: “gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle Linee guida.”. In altri termini, in base a quanto previsto dal Capitolo 4 delle Linee Guida, la conservazione si esplica trasferendo i documenti nel Sistema di Conservazione secondo tempi e modalità ivi descritte.
Attenzione però, questo trasferimento deve avvenire dal sistema di gestione informatica dei documenti, in cui questi devono, in base alle norme sopra citate, tutti essere registrati e organizzati in fascicoli/serie. Sembra un dettaglio da poco, ma come chiarirò in seguito, è un fatto essenziale, che, specie nell’ambito della Polizia Municipale, viene nella quasi totalità dei casi ignorato.
A questo punto possiamo rispondere all’ultima parte della domanda: quanto tempo vanno conservati i documenti?
La risposta è oltre modo semplice: basterà guardare nel Manuale di Gestione documentale, cercare un allegato chiamato “Piano di Conservazione” (o “Massimario di scarto”) e verificare quanto indicato come tempo di conservazione per la specifica tipologia di documenti o di fascicolo.
Per i Comuni, un gruppo di lavoro istituito nel 2005, ha prodotto, fra le altre cose, anche un piano di Conservazione “standard”, che normalmente i Comuni adottano senza apportare particolari modifiche. Ad esempio, riguardo alle funzioni di Polizia Stradale troviamo quanto indicato nella figura qui sotto:
Figura 1 – i tempi di conservazione nel Piano di Conservazione “standard”
Insomma, tutto molto semplice, sempre ammesso che un Manuale di Gestione Documentale esista e sia corredato di tutti gli allegati previsti dalle Linee Guida.
E il GDPR?
È inoltre importante evidenziare che il principio di accountability (art. 5, par. 2 GDPR) impone alla PA di documentare e giustificare ogni scelta operativa in materia di trattamento, inclusa la gestione documentale. Il sistema di gestione documentale e quello di conservazione sono strumenti fondamentali per dimostrare l’adozione di misure tecniche e organizzative adeguate (art. 32 GDPR).
Come la mettiamo con il GDPR? Una volta terminato il trattamento (es. una volta che una sanzione è stata pagata) non dovrei eliminare i dati e i documenti relativi? O come minimo procedere alla loro anonimizzazione?
In realtà il combinato disposto fra gi articoli 10, 20 e 21 del Codice dei Beni Culturali e la lettera b) del comma 1 dell’art. 5 del GDPR (“un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali ”) ci dovrebbe certamente rassicurare.
Ciò premesso, è altresì chiaro che, trattandosi di dati personali e in alcuni casi anche sensibili, le modalità di tenuta e conservazione dei documenti della Polizia Municipale debba essere oggetto di particolare attenzione, specialmente a riguardo di quanto previsto dalla lettera f) del succitato art. 5, comma 1 del GDPR che prevede che i dati siano: “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).”
È su questo aspetto che probabilmente si rilevano le maggiori criticità.
L’importanza del sistema di gestione documentale
Quello che si rileva in moltissimi Comuni è il fatto che la maggior parte dei documenti prodotti/ricevuti della Polizia Municipale non è inserita nel sistema di gestione documentale dell’Ente. Questo per via di un’erronea lettura dell’art. 53 comma 5 del TUDA, nella parte dove esclude dall’obbligo di protocollazione tutti i documenti già “oggetto di registrazione particolare” o anche detti repertoriati.
Esclusione dell’obbligo di protocollazione non significa che non debbano essere inseriti nell’archivio (digitale) dell’Ente, ma semplicemente che la modalità con cui si registrano è diversa.
Invece che avvenire nel registro di protocollo (detto anche registro generale), questa avviene in un altro registro (registro particolare o repertorio) che, comunque, fa parte del sistema di gestione documentale. Se non bastasse il buonsenso (derivato dalla lettura consapevole della norma) lo dicono chiaramente le Linee Guida al paragrafo 3.1.3 dove viene espressamente detto che per le altre forme di registrazione vanno applicate, ove possibile, le stesse modalità previste per la registrazione di protocollo, cosa che, letta assieme anche al paragrafo 3.3 ci danno la certezza che questi registri, così come ogni altra struttura d’archivio (serie, fascicoli, ecc.) debbano essere gestiti nel sistema di gestione documentale dell’Ente e non nei software gestionali dell’Ente, che tuttavia non possono sostituirsi al sistema di gestione documentale e al sistema di conservazione come definiti dalle Linee guida AgID (che si autoproclamano “repertori”, senza esserlo), come invece troppo spesso avviene.
Purtroppo, questo accade anche per l’estrema riluttanza dei produttori di software per la Polizia Municipale di integrarsi nei sistemi di gestione documentale, incredibilmente, anche quando sono dello stesso produttore, rafforzando il sospetto che alla base vi siano motivi di convenienza commerciale piuttosto che tecnica.
Da ricordare inoltre che, contrariamente alla data di protocollo, la data di repertorio non costituisce riferimento temporale valido opponibile a terzi e che questo potrebbe avere ripercussioni anche gravi (es. perdita di validità della firma digitale); per tale motivo la tendenza è quella di protocollare, se digitali, anche i documenti repertoriati.
Il non gestire i documenti nel sistema di gestione documentale, oltre a non rispondere alla norma, espone anche ai rischi di non trattare i documenti correttamente in tema di sicurezza e riservatezza così come da art. 5 del GDPR.
È altresì necessario che la PA effettui una valutazione d’impatto (DPIA) ex art. 35 GDPR nei casi in cui la Polizia Municipale tratti dati particolarmente sensibili o giudiziari, come previsto anche dai provvedimenti del Garante.
Il sistema di gestione documentale, almeno sulla carta, possiede nativamente, proprio per via della puntuale normativa stessa che ne regola il funzionamento, quelle caratteristiche essenziali che il GDPR denomina privacy by design/default.
Cosa che nessun altro software può garantire allo stesso modo.
L’avere i documenti nel sistema di gestione documentale assicura inoltre la correttezza del loro trattamento per tutto il loro ciclo di vita, fino al trasferimento al sistema di conservazione, dotati di tutti i metadati, compresi quelli che ne assicureranno lo scarto, una volta scaduto il tempo di conservazione.
Riepilogo
Quanto sopra descritto si può così riassumere:
- La conservazione dei documenti della Polizia Municipale segue le stesse modalità e logiche previste per tutti i documenti presenti nell’archivio dell’Ente
- Logiche, modalità dettate dal TUDA, CAD e Linee Guida e regolamentate nel Manuale di Gestione Documentale ed in particolare, per quanto concerne i tempi di conservazione, dall’allegato Piano di Conservazione
- Ai sensi del combinato disposto degli articoli 10, 20, 21 del Codice dei Beni Culturali e della lettera b) del comma 1 dell’art. 5 del GDPR, è possibile prolungare il trattamento e non sono richieste azioni particolari sui documenti conservati
- E’ caldamente consigliabile, al di là dell’obbligo normativo, gestire l’intero ciclo di vita del documento (formazione/ricezione, registrazione, gestione e aggregazione in fascicoli/serie, invio al sistema di conservazione ed eventuale scarto) all’interno del sistema di gestione documentale e in quello di conservazione, a cui i software gestionali dovrebbero fare riferimento per reperire i documenti.
