Approfondimento sul registro giornaliero di protocollo informatico

Registro-di-protocollo-approfondimentoA pochi giorni dall’entrata in vigore della legge per l’adeguamento dei sistemi di gestione documentale delle amministrazioni pubbliche, riguardo le Regole tecniche sul protocollo informatico, vengono sollevate le prime perplessità.

In un articolo di Forum PA, si sollevano alcune questioni sulla criticità delle istruzioni per la produzione e conservazione del Registro giornaliero di protocollo, estratto in maniera statica (per garantirne l’immodificabilità ed integrità nel tempo) ed inviato entro la giornata lavorativa successiva, senza la necessità di sottoscriverlo con firma digitale.

Nelle osservazioni, si fa riferimento al chiarimento pubblicato da AGID sulle disposizioni del DPCM 3 dicembre 2013, soffermandosi sulle istruzioni di conservazione del Registro giornaliero di protocollo.

Si riconosce l’utilità dei chiarimenti relativi la produzione del pacchetto di versamento, che viene posto a carico del Responsabile di gestione documentale o del Responsabile di protocollo informatico, e delle modalità e formato del pacchetto di versamento che devono essere concordate con il proprio Responsabile della Conservazione (e l’eventuale conservatore accreditato se il servizio è in outsourcing)e riportate nel Manuale di Conservazione.

Qualche perplessità si riferisce all’indicazione dei metadati indicati da AgID nel proprio documento “le istruzioni relative alla produzione e alla conservazione del Registro giornaliero di protocollo” che risultano di più rispetto a quelli previsti per i documenti informatici dell’allegato 5 dpcm 13 dicembre 2013 (Identificativo univoco e persistente, Data di chiusura, Oggetto, Soggetto produttore, Destinatario).

I “metadati minimi” previsti secondo il documento redatto da AgID sono:

  1. Identificativo univoco e persistente
  2. Data di chiusura (data di creazione del registro)
  3. Soggetto produttore (Operatore che ha prodotto il Registro – Nome, Cognome, Codice fiscale; qualora il registro è generato automaticamente dal sistema informatico, il nome dell’operatore può essere sostituito dall’indicazione della denominazione di tale sistema)
  4. Soggetto produttore 2 (Operatore che ha prodotto il Registro – Nome, Cognome, Codice fiscale)
  5. Destinatario (Nome, Cognome, Codice fiscale se disponibile)
  6. Impronta del documento informatico
  7. Codice identificativo dell’amministrazione (codice IPA)
  8. Denominazione dell’amministrazione
  9. Codice identificativo dell’area organizzativa omogenea
  10. Responsabile (Responsabile della gestione documentale o Responsabile del servizio per la tenuta del protocollo informatico – Nome, Cognome, Codice fiscale)
  11. Oggetto (descrizione della tipologia di registro; ad es. “Registro giornaliero di protocollo”, “Registro giornaliero delle modifiche di protocollo”, ecc.)
  12. Codice identificativo del registro
  13. Numero progressivo del registro
  14. Anno
  15. Numero della prima registrazione effettuata sul registro
  16. Numero dell’ultima registrazione effettuata sul registro
  17. Data della prima registrazione effettuata sul registro
  18. Data dell’ultima registrazione effettuata sul registro.

Inoltre le istruzioni AgID dedicano una sezione alla sottoscrizione del registro di protocollo.

Il registro di protocollo viene generato in modalità automatica e trasferito in forma statica al sistema di conservazione. Questa modalità non rende obbligatoria la firma elettronica per garantirne l’autenticità e immodificabilità, in quanto assicurata dal responsabile della gestione documentale.

Proprio su questo ragionamento si soffermano le riflessioni, in quanto le istruzioni di AgID richiamano correttamente il dpcm 14 novembre 2014, ma si riferiscono esclusivamente alle caratteristiche di immodificabilità e di integrità del documento, e non anche alle caratteristiche di  provenienza e autenticità che possono essere assicurate al documento solo da una firma digitale. La riferibilità al Responsabile della gestione documentale dell’amministrazione, nell’estrazione statica dei dati contenuti nel Registro giornaliero di protocollo, non risulta scontata. La non certa attribuzione della provenienza, in assenza della firma elettronica, risulta ancor più evidente nel momento in cui la conservazione non è “in House” ma affidata a soggetti accreditati esterni.

In questo caso il pacchetto di versamento può non essere sottoscritto da nessuno (in quanto non obbligatorio) e trasmesso al sistema di conservazione, dove il Responsabile della Conservazione (esterno all’ente) sottoscrive il pacchetto di archiviazione.

La domanda è:

Chi è responsabile di eventuali alterazioni dell’estrazione di dati relativa al registro giornaliero di protocollo inviato in conservazione?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *