AgID - Agenzia per l’Italia Digitale
CIRCOLARE N. 65 del 10 aprile 2014
Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all'articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82.
Premessa
L’art. 44-bis del decreto legislativo 7 marzo 2005, n. 82 e s.m.i. (Codice dell’amministrazione digitale, di seguito "CAD") attribuisce all’ Agenzia per l’Italia Digitale (di seguito "Agenzia") il compito di accreditare "i soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi e intendono conseguire il riconoscimento dei requisiti del livello più elevato, in termini di qualità e sicurezza".
Il predetto articolo, al comma 2, stabilisce che ai conservatori si applichino " … in quanto compatibili, gli articoli 26, 27, 29, ad eccezione del comma 3, lettera a) e 31." riguardanti lo specifico ambito della firma digitale e della posta elettronica certificata.
Con DPCM del 3 dicembre 2013 (G.U. n. 59 del 12-3-2014 – Suppl. Ordinario n. 20) sono state emanate le "Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1 del CAD", in vigore dall’11 aprile 2014 (art. 14 comma 1).
In attuazione dell’art. 13 del DPCM 3 dicembre 2013, sopra richiamato, la presente Circolare definisce le modalità per l’accreditamento presso l’Agenzia e per la vigilanza dei soggetti di cui all’art. 44-bis del CAD che svolgono attività di conservazione dei documenti informatici (di seguito "conservatori") e intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e sicurezza.
1. Accreditamento dei conservatori
Sulla base delle disposizioni richiamate in premessa, possono richiedere l’accreditamento i conservatori di cui all’art. 44-bis del CAD che, al fine di conseguire tale riconoscimento, devono:
1. dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere l’attività di conservazione;
2. utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti: in particolare della competenza a livello gestionale, della
AgID - Agenzia per l’Italia Digitale 2
conoscenza specifica nel settore della gestione documentale e conservazione documenti informatici e che abbia dimestichezza con le procedure di sicurezza appropriate e che si attenga alle norme del CAD e al DPCM 3 dicembre 2013 recante le regole tecniche in materia di sistema di conservazione;
3. applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;
4. utilizzare sistemi affidabili e sicuri di conservazione di documenti informatici realizzati e gestiti in conformità alle disposizioni e ai criteri, standard e specifiche tecniche di sicurezza e di interoperabilità contenute nelle regole tecniche previste dal CAD;
5. adottare adeguate misure di protezione dei documenti idonee a garantire la riservatezza, l’autenticità, l’immodificabilità, l'integrità e la fruibilità dei documenti informatici oggetto di conservazione, come descritte nel manuale di conservazione, parte integrante del contratto/convenzione di servizio.
Il conservatore, se soggetto privato, in aggiunta a quanto previsto dai precedenti punti, deve inoltre:
1. avere forma giuridica di società di capitali e un capitale sociale di almeno 200.000 Euro;
2. garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e da parte dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'articolo 26 del decreto legislativo 1 settembre 1993, n. 385 recante "Testo unico delle leggi in materia bancaria e creditizia".
Le modalità per dimostrare il possesso dei requisiti sopra indicati, la documentazione richiesta ed i criteri di valutazione adottati per espletare il processo di accreditamento sono indicati in appositi documenti consultabili per via telematica, sul sito istituzionale dell’Agenzia.
Il conservatore può affidare ad altro conservatore accreditato le attività a supporto del processo di conservazione limitatamente a quelle che riguardano le infrastrutture per la memorizzazione, trasmissione ed elaborazione dei dati. Il Manuale di conservazione, descritto all’art. 8 del DPCM 3 dicembre 2013 in materia di sistema di conservazione di documenti informatici, deve descrivere le modalità con cui avviene tale affidamento. Inoltre, il conservatore deve fornire copia del contratto in virtù del quale il conservatore accreditato che mette a disposizioni le infrastrutture, si obbliga nei confronti del primo a fornire la propria infrastruttura oggetto dell’affidamento.
I conservatori che conseguono l’accreditamento ai sensi della presente Circolare sono iscritti
AgID - Agenzia per l’Italia Digitale 3
nell’elenco dei conservatori accreditati (di seguito "elenco"), pubblicato sul sito istituzionale dell’Agenzia, che esercita sugli stessi una attività di vigilanza, volta ad assicurare che siano mantenuti nel tempo i requisiti che hanno consentito l’iscrizione, pena la revoca dell’accreditamento e la conseguente cancellazione dall’elenco.
In caso vengano riscontrate difformità nel corso dell’attività di vigilanza, l’Agenzia comunica al conservatore le modalità e il termine per la loro risoluzione.
Qualora il conservatore non si adegui nel termine indicato, l’Agenzia, ove non sussistano adeguate motivazioni per prorogare il suddetto termine, dispone, con provvedimento motivato, la revoca dell’accreditamento e la conseguente cancellazione dall’elenco.
Il conservatore per il quale sia stato disposto un provvedimento di revoca non può presentare una nuova domanda di accreditamento se non siano cessate le cause che hanno dato luogo alla cancellazione dall’elenco e, in ogni caso, non prima che siano trascorsi 6 mesi dall’emissione del provvedimento di revoca.
Per espletare le attività di accreditamento dei conservatori e per svolgere le connesse funzioni di vigilanza, l’Agenzia si avvale di apposita struttura, istituita nell’ambito delle proprie dotazioni organiche, ovvero può avvalersi di terze parti qualificate.
2. Presentazione domanda
La domanda, redatta in lingua italiana e secondo lo schema pubblicato sul sito dell’Agenzia, deve essere predisposta in formato elettronico, o fornita in copia ai sensi dell’art. 22, comma 2, del CAD, sottoscritta con firma digitale, o firma elettronica qualificata, dal legale rappresentante del conservatore ed inviata alla casella di posta elettronica certificata all’indirizzo protocollo@pec.agid.gov.it. Con le medesime modalità deve essere predisposta la documentazione, atta a dimostrare il possesso dei requisiti richiesti, allegata alla domanda. Tale documentazione è elencata nel documento "Documentazione per l’accreditamento", pubblicato sul sito istituzionale dell’Agenzia.
Si applica quanto disposto dal D.P.R. 28 dicembre 2000, n. 445 e s.m.i. in materia di dichiarazioni sostitutive e di acquisizione d’ufficio delle informazioni e di tutti i dati e documenti che siano in possesso di pubbliche amministrazioni.
La domanda deve indicare:
la denominazione della società;
la sede legale;
AgID - Agenzia per l’Italia Digitale 4
le sedi operative;
il/i rappresentante/i legale/i;
il nominativo e i recapiti (numeri telefonici, indirizzo e indirizzo di PEC) di uno o più referenti tecnici cui rivolgersi in presenza di problematiche tecnico-operative che possono essere risolte per le vie brevi;
l'elenco dei documenti allegati, con preciso riferimento a quanto indicato nel documento "Documentazione per l’accreditamento".
3. Iter istruttorio della domanda
L'istruttoria relativa alle domande e la valutazione della documentazione prodotta sono effettuate dall’Agenzia ai sensi dell’art. 29, ad eccezione del comma 3,lettera a), del CAD. In particolare:
1. la domanda di accreditamento si considera accolta qualora non venga comunicato al conservatore il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa;
2. il termine di 90 giorni di cui al punto precedente, può essere sospeso una sola volta entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o completino la documentazione presentata e che non siano già nella disponibilità dell’Agenzia o che questa non possa acquisire autonomamente. Il periodo di sospensione si conclude al momento della ricezione della documentazione integrativa da presentare improrogabilmente entro centottanta giorni dalla data di sospensione;
3. l’Agenzia si riserva, secondo quanto previsto al precedente punto 2, di richiedere integrazioni alla documentazione presentata e di effettuare le opportune verifiche su quanto dichiarato;
4. l’attività istruttoria è svolta sulla base del documento "Requisiti di qualità e sicurezza per l’accreditamento", pubblicato sul sito istituzionale dell’Agenzia. L’Agenzia si riserva la facoltà di svolgere verifiche presso le strutture dedicate allo svolgimento del servizio di conservazione;
5. al termine dell'istruttoria, l’Agenzia accoglie la domanda ovvero la respinge, con provvedimento motivato, e ne dà apposita comunicazione al conservatore;
6. a seguito dell'accoglimento della domanda, l’Agenzia dispone l'iscrizione del conservatore nell’apposito elenco, ai fini dell'applicazione della disciplina in questione;
7. il conservatore accreditato può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni;
8. il conservatore la cui domanda sia stata respinta non può presentare una nuova domanda se non siano cessate le cause che hanno determinato il mancato accoglimento della precedente e non
AgID - Agenzia per l’Italia Digitale 5
prima di 6 mesi.
4. Elenco dei conservatori accreditati
L’elenco dei conservatori accreditati ai sensi della presente Circolare, pubblicato sul sito istituzionale dell’Agenzia, contiene per ogni soggetto iscritto le seguenti informazioni:
a) denominazione della società;
b) indirizzo della sede legale;
c) nominativo del rappresentante legale;
d) il manuale di conservazione del soggetto;
e) data di iscrizione;
f) stato dell’accreditamento (attivo, se in corso di validità, o revocato, nel caso in cui sia intervenuta la revoca con indicazione della data di revoca).
5. Vigilanza
Nell’ambito delle attività di vigilanza di cui all’articolo 31 del CAD, l’Agenzia verifica la persistenza del possesso dei requisiti previsti per l’accreditamento e della veridicità di quanto dichiarato nei documenti depositati.
La vigilanza è svolta attraverso l’esame della documentazione aggiornata in possesso dell’Agenzia, l’analisi dei documenti di riepilogo delle attività svolte dal conservatore accreditato, la verifica del possesso delle previste certificazioni del sistema di conservazione e l’esecuzione di verifiche ispettive da parte dell’Agenzia, o di soggetti terzi dalla stessa incaricati.
Ai fini della vigilanza, pertanto, il conservatore accreditato si obbliga a comunicare tempestivamente all’Agenzia ogni evento che modifichi i requisiti propri dell’accreditamento indicati nella documentazione in possesso dell’Agenzia.
A decorrere dal quadrimestre successivo alla data di iscrizione nell’elenco, il conservatore accreditato è obbligato a trasmettere all’Agenzia il rapporto quadrimestrale contenente i dati di riepilogo delle attività svolte, predisposto secondo le indicazioni riportate nel documento "Schema di rapporto quadrimestrale sulla conservazione", pubblicato sul sito istituzionale dell’Agenzia.
Alla scadenza del certificato ISO/IEC 27001 il conservatore accreditato si obbliga a trasmettere all’Agenzia il nuovo certificato rilasciatogli ed inoltre, nel corso di validità dello stesso, annualmente, le risultanze delle verifiche periodiche di mantenimento.
Almeno ogni 24 mesi, a partire dalla data comunicata dall’Agenzia, il conservatore accreditato deve
AgID - Agenzia per l’Italia Digitale 6
presentare un certificato di conformità del sistema di conservazione ai requisiti tecnici organizzativi stabiliti dall’Agenzia, rilasciato da un ente di certificazione accreditato da ACCREDIA, o da altro ente di Accreditamento firmatario degli accordi di Mutuo riconoscimento nello schema specifico. I suddetti requisiti tecnici organizzativi sono indicati nel documento "Requisiti di qualità e sicurezza per l’accreditamento", pubblicato sul sito istituzionale dell’Agenzia.
Per l’esecuzione delle verifiche ispettive, il conservatore accreditato si obbliga a prestare la massima collaborazione e a consentire l'accesso all’Agenzia, o a soggetti terzi dalla stessa incaricati, presso le strutture dedicate allo svolgimento del servizio di conservazione. L’Agenzia può disporre l’esecuzione delle verifiche ispettive, anche con breve preavviso, condotte secondo le modalità indicate in un apposito documento consultabile sul sito istituzionale dell’Agenzia.
L’Agenzia si riserva, inoltre, la facoltà di richiedere al conservatore accreditato ogni ulteriore documento correlato all’espletamento del processo di conservazione, che consideri necessario per poter svolgere le previste attività di vigilanza.
In caso vengano riscontrate difformità nel corso dell’attività di vigilanza, l’Agenzia indica al conservatore le modalità e il termine per la loro risoluzione. In caso di particolare gravità, o nel caso di mancato rispetto del termine assegnato per l’eliminazione delle difformità riscontrate, l’Agenzia dispone l’immediata revoca dell’accreditamento e la pubblicazione dell’informazione nell’elenco.
6. Disposizioni transitorie e finali
Ai soggetti che abbiano presentato la domanda di accreditamento ai sensi della Circolare DigitPA n. 59 del 29 dicembre 2011, prima dell’entrata in vigore del DPCM 3 dicembre 2013 in materia di sistema di conservazione di documenti informatici, è richiesto di integrare e completare la documentazione presentata entro centottanta giorni a decorrere dalla data di pubblicazione in Gazzetta Ufficiale della presente Circolare. La domanda di accreditamento si considera accolta qualora non venga comunicato all’interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della documentazione integrativa.
La presente Circolare, che sostituisce integralmente ed abroga la Circolare DigitPA n. 59/2011, entra in vigore alla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 10 aprile 2014
Il Direttore Generale
in qualità di Commissario straordinario
Agostino Ragosa
Nessun commento:
Posta un commento