Photo by Cristina Gottardi on Unsplash

Documenti digitali, perché conservarli nel pacchetto di archiviazione

di Giovanni Manca, vice presidente Anorc – Cantiere Documenti digitali

In merito alla conservazione a norma di legge come prescritta dal Codice Dell’ Amministrazione Digitale (CAD), DL 82/2005 e dalle specifiche Regole Tecniche, DPCM 03-12-2013, ci si è posti la domanda se un Pacchetto di Archiviazione (PdA) debba necessariamente essere una struttura informativa fisicamente autoconsistente, contenente, cioè, uno o più Pacchetti di Versamento (PdV) e il relativo file Indice (IPdA) conformemente allo standard UNISInCRO.

In altre parole:

  • E’ lecito ed è qualitativamente apprezzabile che i documenti informatici conservati siano solo riferiti all’interno degli IPdA e quindi che la struttura informatica dei PdA possa non contenere fisicamente gli oggetti che devono essere conservati?
  • Nel caso di risposta positiva alla domanda precedente (i.e.: PdA costruiti con strutture informatiche non auto consistenti), è lecito ed è qualitativamente apprezzabile che i documenti oggetto di conservazione non siano presenti nel sistema di conservazione ma memorizzati in altri sistemi esterni al sistema di conservazione oggetto di certificazione AGID?

Il PdA è definito dalle Regole Tecniche (DPCM 3/12/2013 allegato 1) come

pacchetto informativo composto dalla trasformazione di uno o più pacchetti di versamento secondo le specifiche contenute nell’allegato 4 del presente decreto e secondo le modalità riportate nel manuale di conservazione.

Secondo l’allegato 4 delle stesse Regole Tecniche, facendo riferimento allo standard UNI SInCRO 11386 dell’ottobre 2010, definisce il PdA come

unità logica elementare, risultato finale di un processo di conservazione sostitutiva. Il VdC (Volume di Conservazione), normativamente sinonimo di PdA, è composto logicamente da:

  • uno o più file ai quali si applica unitariamente il processo di conservazione sostitutiva;
  • l’indice di conservazione (IdC), normativamente sinonimo di IPdA;
  • gli indici di conservazione antecedenti se l’indice di conservazione attuale è stato originato da questi.

In aggiunta ai precedenti elementi, il VdC può contenere ulteriori componenti, per lo più con finalità di carattere gestionale.

Oggetti memorizzati nel sistema di conservazione

Considerata la definizione che viene data dallo standard UNISInCRO, si può configurare la possibilità che il PdA sia un’entità logica, ossia il sistema di conservazione mediante la produzione dell’IPdA abbia i riferimenti necessari per la ricostruzione in fase di generazione di un Pacchetto di Distribuzione (PdD) dell’esatto contenuto dichiarato nell’IPdA stesso. Quindi il sistema di conservazione, analizzato il contenuto dell’IPdA è in grado di generare un PdD contenente tutti i file citati nell’indice stesso.

Tale eventualità si realizza, ad esempio, nel caso in cui il documento ed eventualmente il file relativo ai metadati siano conservati dal sistema di conservazione all’interno del file system del sistema di conservazione, senza quindi generare necessariamente un PdA fisico, ma lasciando la sua ricostruzione solo in fase di generazione di un PdD.

Se tale possibilità sembra quindi ammessa dalla definizione data dallo standard UNISInCRO, sembra invece meno evidente se si considera la definizione di PdA enunciata dalle Regole Tecniche, dove invece viene definito il PdA come

pacchetto informativo composto dalla trasformazione di uno o più pacchetti di versamento.

In questo caso l’elemento “fisico” del PdA sembra più evidente, quasi a sottolineare la necessità di assoluta autoconsistenza del PdA in qualunque momento, indipendentemente dalla produzione di un PdD. In tale caso infatti si avrebbe certamente una esatta coincidenza del PdA e del PdD (art 9 comma 1 lettera h del DPCM 3/12/2013) in ogni momento e non come effetto di un’operazione di riaggregazione successiva alla generazione del PdA (quindi in caso di richiesta del PdD) e reiterata nel tempo.

Si deve inoltre considerare quanto richiesto dall’art. 3 c. 3:

Il sistema di conservazione garantisce l’accesso all’ oggetto conservato, per il periodo prescritto dalla norma, indipendentemente dall’evolversi del contesto tecnologico.

Si ritiene che tale requisito sia pienamente soddisfatto nella misura in cui il PdA sia reso indipendente dalla tecnologia, non solo di produzione, ma anche da quella di conservazione stessa. Nel caso invece in cui non ci sia la produzione “fisica” di un PdA, si potrebbe ricorrere nell’eventualità che la tecnologia sia necessaria per riaggregare parti diverse di un PdA.

Di questi aspetti si ha sempre più consapevolezza tant’è che le gare più importanti che vengono pubblicate indicano che i documenti devono essere contenuti all’interno del PdA e non semplicemente riferiti (si veda, ad esempio, la gara della Regione Lombardia Enti Sanitari Capitolato tecnico pag. 38: Ogni PdA deve contenere documenti afferenti a un’unica macro tipologia documentale di tipo 1”).

Oggetti conservati memorizzati esternamente al sistema di conservazione

Secondo le norme vigenti, come evidenziato dagli estratti qui di seguito riportati, non risulta possibile che gli oggetti da conservare siano riferiti negli IPdA, ma non siano presenti nel sistema di conservazione oggetto di certificazione AGID e che siano memorizzati in sistemi esterni. DPCM 3/12/2013 Regole tecniche in materia di conservazione:

3 comma 1 “In attuazione di quanto previsto dall’art. 44, comma 1, del Codice, il sistema di conservazione assicura, dalla presa in carico dal produttore di cui all’art. 6 fino all’eventuale scarto, la conservazione, tramite l’adozione di regole, procedure e tecnologie, dei seguenti oggetti in esso conservati, garantendone le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità: i documenti informatici e i documenti amministrativi informatici con i metadati ad essi associati di cui all’allegato 5 al presente decreto; […].”

Commento – L’art. 3 delinea una precisa modalità:

  • presa in carico dal produttore, quindi se i documenti restano presso il produttore non vi è evidentemente presa in carico;
  • il sistema di conservazione assicura la conservazione degli oggetti in esso conservati e quindi non possono essere conservati altrove;
  • è il sistema di conservazione che deve garantire le 5 caratteristiche elencate, quindi se il sistema nel quale sono effettivamente presenti gli oggetti non è sotto il controllo del sistema di conservazione, è evidente che quest’ultimo non sia nemmeno in grado di garantire la reperibilità nel tempo, ancor meno essere certo del mantenimento di autenticità e integrità.

3 comma 2 “Le componenti funzionali del sistema di conservazione assicurano il trattamento dell’intero ciclo di gestione dell’oggetto conservato nell’ambito del processo di conservazione.”

Commento – E’ evidente come nel caso in cui il documento riferito sia esterno al sistema di conservazione, le componenti non assicurano il trattamento dell’intero ciclo, in particolare conservano mediante il ricorso ad un sistema terzo.

3 comma 3 “Il sistema di conservazione garantisce l’accesso all’oggetto conservato, per il periodo prescritto dalla norma, indipendentemente dall’evolversi del contesto  tecnologico.”

Commento – E’ evidente come in questo caso il sistema di conservazione non sia in grado di garantire l’accesso all’oggetto conservato, ed inoltre non è in grado di assicurare tale accesso indipendentemente dall’evolversi del contesto tecnologico, perché non rientra nelle sue possibilità controllare l’indipendenza tecnologica di applicativi terzi.

5 comma 1 “Il sistema di conservazione opera secondo modelli organizzativi esplicitamente definiti che garantiscono la sua distinzione logica dal sistema di gestione documentale, se esistente.”

E’ evidente come nel caso in specie non ci sia distinzione logica (soprattutto logica non tanto fisica), in quanto il sistema di conservazione è dipendente logicamente dal sistema di produzione o gestione.

10 comma 1 “Fermi restando gli obblighi previsti in materia di esibizione dei documenti dalla normativa vigente, il sistema di conservazione permette ai soggetti autorizzati l’accesso diretto, anche da remoto, al documento informatico conservato, attraverso la produzione di un pacchetto di distribuzione selettiva secondo le modalità descritte nel manuale di conservazione.”

Commento – Se i documenti non sono presenti nel sistema di conservazione, è chiaro come l’accesso in caso di esibizione non sia DIRETTO, ma necessariamente veicolato da un sistema terzo rispetto al sistema di conservazione stesso.

9 comma 1 lett. h “Ai fini della interoperabilità tra sistemi di conservazione, la produzione dei pacchetti di distribuzione coincidenti con i pacchetti di archiviazione.”

Commento – Nel caso di migrazione da un sistema di conservazione ad un altro, il PdD prodotto dal primo, dovendo essere coincidente con il PdA risulterebbe mancante dei documenti conservati.

Quindi nel contesto in cui i documenti non siano conservati nel sistema di conservazione, non si otterrebbe alcun risparmio di spazio fisico e quindi economico, ma semplicemente uno spreco di risorse in quanto l’obiettivo archivistico viene eluso e le norme completamente disattese: di fatto non si sta conservando.

Lo scopo della conservazione è garantire la portabilità del patrimonio documentale nel tempo e nello spazio (interoperabilità), in questo scenario:

  • che garanzie avrebbe un sistema di conservazione che gestisce i PdA senza includere i documenti oggetto della conservazione stessa ?
  • che garanzia ha il Responsabile della Conservazione (RdC) e il l’Azienda titolare dei documenti di recuperare un documento da un sistema di conservazione che dovrebbe essere soggetto a controlli di qualità ISO e governativi (AgID) molto rigidi, quando il patrimonio da conservare non è presente in quel sistema ma è inserito in sistemi esterni che non rispondono a nessun controllo e certificazione?
  • come è possibile produrre Copie di Sicurezza? Anch’esse mantengono al sicuro i riferimenti senza alcuna garanzia sul mantenimento dei documenti da conservare?
  • come è possibile produrre Pacchetti di Distribuzione?

Aspetti ontologici

Il conservato – Se si deve conservare qualcosa, si conserva quella cosa e auspicabilmente anche le informazioni che mi aiutano a comprenderne il significato, il valore e che mi aiutano a recuperarla, ma anzitutto conservo quella cosa. Nella soluzione “senza documenti nel PdA” non conservo la “cosa” ma solo le informazioni su come era quella cosa in un dato momento (metadati e impronta dello studio alla data della marca temporale del PdA). E’ come conservare la mappa di un tesoro con elenco puntale di consistenza dello stesso, ma non conservare il tesoro.

Il conservatore – Nella soluzione “senza documenti nel PdA”, viene spostato ciò che costituisce anche giuridicamente l’aspetto più rilevante della conservazione in capo alla responsabilità di un sistema diverso da quello di conservazione. Di fatto, il ruolo fondamentale del conservatore è garantire la trasmissione nel tempo dei documenti assicurandone integrità, leggibilità, autenticità, ecc.. Nella soluzione “senza documenti nel PdA” il conservatore non fa questo. Trasmette nel tempo le informazioni sui documenti, ma questi ultimi sono affidati alla responsabilità di chi gestisce il sistema esterno. Cioè il conservatore non fa il conservatore, perché non è lui a conservare.

Aspetti giuridici

Esibizione e costi imprevedibili – Facciamo il caso tipico del togato o del carabiniere che arriva alla porta del titolare del patrimonio documentale e ne chiede un’esibizione producibile in giudizio. Un sistema di conservazione che conserva i documenti, sarà in grado di produrre un PdD pienamente in grado di sostenersi in giudizio, per certezza del contenuto, della sua storia di conservazione, della sua storia di trattamento da parte del sistema di conservazione. Un perito dovrebbe faticare non poco per opporsi agli effetti giuridici di tale esibizione. Nella soluzione “senza documenti nel PdA” il PdD non sarebbe auto consistente, avrebbe bisogno di essere integrato con l’oggetto stesso dell’esibizione, cioè il documento (sempre un’assurdità: chi esibisce di fatto non esibisce ciò che gli è stato chiesto di esibire). Ma il documento che garanzie avrebbe di poter tracciare in modo conforme alla norma, certezza del contenuto, storia di conservazione e dei trattamenti subiti? Nessuna garantita. Qualcuna forse, a patto di – costose – perizie sul sistema esterno. E un perito di parte avversa avrebbe sicuramente molta più facilità nell’obiettare all’affidabilità, quale prova dello studio prodotto. Così i rischi di dover affrontare spese cospicue per resistere in giudizio e per sopravvivere al giudizio cominciano già a delinearsi.

Aspetti organizzativi ed economici

Un sistema di conservazione che conservi ciò che deve conservare (cioè anzitutto i documenti), deve consentire l’interoperabilità, in altre parole la libertà per il titolare del patrimonio documentale di dismettere un sistema di conservazione e di migrare verso un sistema diverso.

Su questo si gioca e si giocherà sempre più la qualità e credibilità dei diversi competitori sul mercato. Si tratta di spese che nessuno ha messo a budget in corso di primo affidamento del servizio e oggi, che si presentano sempre più spesso sostituzioni di conservatori, si rivelano anche importanti.

Un buon sistema di conservazione è quello che garantisce la maggiore indipendenza tecnologica dei PdA che produce (un ottimo sistema di conservazione è quello che costruisce PdA tecnologicamente indipendenti da qualsiasi sistema di conservazione). A questo i conservatori sono richiamati da norme, standard e prassi.

Nello scenario di conservazione dei documenti esternamente al sistema di conservazione, il problema è spostato dal conservatore (che non conserva) al gestore del sistema esterno. Diventa anche quello infatti un punto “di ricambio” critico. Chi assicura il titolare che il passaggio da un gestore di PACS ad un altro, consenta l’inalterabilità del legame con i PdA del sistema di conservazione?

In un sistema di conservazione “con documenti” il punto critico è uno; nel sistema “senza documenti” sono due, cioè si raddoppia il rischio. E si raddoppiano i costi al cambio di un singolo fornitore.

Analisi dei rischi e mitigazione del rischio

Fatta un’analisi dei rischi a cui il titolare si espone nello scenario della soluzione “senza documenti nel PdA”, è inevitabile che il rischio risulti di livello massimo per gravità e di livello non certo minimo per eventualità. Diventa quindi indispensabile adottare misure organizzative e tecnologiche adeguate per mitigarlo. Pare che ontologicamente, giuridicamente, organizzativamente ed economicamente, l’unica mitigazione efficace sia affidare la conservazione dei documenti all’omonimo sistema.

Conclusione

A seguito dalla trattazione sopra esposta, si conclude che non è assolutamente lecito per un sistema di conservazione creare PdA che abbiano al loro interno solo i riferimenti degli oggetti conservati, i quali però sono memorizzati su sistemi esterni al sistema di conservazione stesso.

Anche per quanto riguarda i sistemi di conservazione che producono PdA con all’interno solo i riferimenti di documenti da conservare, i quali però pur essendo all’interno del sistema di conservazione sono fisicamente esterni al PdA stesso, si conclude che:

  • permangono molti dubbi sul fatto che sia rispettata la normativa, come precedentemente descritto, infatti tale scenario contravviene:
    • all’art. 9, c.1 lett. h che richiede la coincidenza del PdA e del PdD poiché si deve necessariamente considerare tale coincidenza continuativa nel tempo e non legata ad un processo di aggregazione reiterabile nel tempo;
    • al mancato adempimento del requisito di piena indipendenza tecnologica richiesta dall’art. 3 c. 3.
  • a prescindere dalle considerazioni normative, la qualità archivistica e ontologica di questi sistemi di conservazione è sicuramente inferiore ai sistemi che creano e gestiscono PdA auto consistenti, che al loro interno contengono fisicamente gli oggetti conservati.

 

 

Foto di Cristina Gottardi