Secondo quanto sostenuto dall’Agenzia per l’Italia Digitale, in merito alla Dematerializzazione Documentale, la normativa italiana parla chiaro: per beneficiare appieno dei vantaggi economici e gestionali derivanti dalla gestione paper less dei processi a sostegno per percorsi assistenziali, le strutture sanitarie, pubbliche e private devono porsi il problema di garantire la piena conformità del loro sistema di gestione documentale alle disposizioni previste dalla normativa vigente.
A riguardo, il Codice dell’Amministrazione Digitale (di seguito CAD), D. Lgs. 7 marzo 2005 n. 82 e successive modificazioni, rappresenta il riferimento normativo principe in materia. Qui troviamo disciplinato tutto il processo di gestione del documento informatico, dalla sua creazione e autenticazione fino alla conservazione sostitutiva, unitamente alle misure atte a garantire la sicurezza e la validità legale dei documenti nel tempo.
A corollario assumono particolare rilevanza ulteriori provvedimenti tecnici piuttosto recenti quali il DPCM 22 febbraio 2013 recante le “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”, il DPCM 3 dicembre 2013 recante le “Regole tecniche in materia di sistema di conservazione costitutiva” e le “Regole tecniche in materia di documento informatico, gestione documentale e conservazione di documenti informatici” predisposte dall’AGID
Vediamo quindi, alla luce dei presenti provvedimenti, quali siano i principali contenuti normativi riguardo alla gestione del documento informatico, con particolare riferimento ai tre passaggi fondamentali della dematerializzazione documentale.
La validità giuridica di un documento informatico è condizionata anzitutto dall’osservanza di un insieme di prescrizioni che ne disciplinano la formazione. Parte di queste sono definite nelle “Regole tecniche in materia di documento informatico, gestione documentale e conservazione di documenti informatici” dell’AGID.
Altre, invece, trovano spazio in disposizioni particolari, definite per alcune tipologie documentali specifiche (è il caso ad esempio dei referti digitali o delle immagini diagnostiche). Ci limitiamo qui a dettagliare i riferimenti normativi ripromettendoci, considerata la vastità dell’argomento, di redigere in futuro, un articolo di focus ad hoc.
Il processo di autenticazione rappresenta un altro passaggio fondamentale per la garanzia della piena validità giuridica e del valore probatorio di un documento informatico.
Ai sensi di quanto definito dal CAD, il processo di autenticazione di un documento informatico consiste nell’associare al documento stesso i dati informatici (c.d. “metadati”) relativi alla sua redazione (autore e circostanze – anche temporali). Tali dati consentano quindi di assicurarne l’integrità, provenienza e paternità, nonché di attribuirne una data e un’ora certa opponibile a terzi.
In quest’ottica la legge assegna alle firme elettroniche e alle marche temporali un ruolo centrale nel processo di autenticazione dei documenti informatici. Vediamone le principali tipologie previste nell’ambito della Dematerializzazione Documentale.
Firma Digitale: attualmente sono quattro le firme elettroniche previste e normate dall’ordinamento italiano, ovvero la firma elettronica, la firma elettronica avanzata, la firma qualificata e la firma digitale. La più conosciuta, in particolar modo nel mondo sanitario, è sicuramente quest’ultima: la firma digitale. Si tratta di una tipologia di firma elettronica basata su un certificato qualificato, rilasciato da enti certificatori accreditati presso l’AGID, e su una coppia di chiavi crittografiche (Hash) che consentono al titolare, tramite la chiave privata, e al destinatario, tramite la chiave pubblica, di attestare la provenienza e l’integrità di un documento informatico.Tale tipologia di firma rappresenta, come riconosciuto dal CAD, l’equivalente elettronico della firma autografa e garantisce le caratteristiche di integrità (immodificabilità), autenticità (riconducibilità al firmatario) e non ripudio del documento informatico.
Firma Grafometrica: di interesse sempre più crescente, specie nel mondo sanitario, è anche la firma grafometrica (es: firma su tablet), un tipo di firma elettronica avanzata disciplinata per la prima volta con il sopra citato DPCM 22 febbraio 2013. Questa tipologia di firma apre interessanti prospettive soprattutto in merito all’usabilità degli strumenti di autenticazione digitale, rappresentando di fatto il punto di incontro tra l’informatica e la semplice riproduzione di un gesto umano già legato alla normale sottoscrizione dei documenti cartacei.
Marcatura temporale: è un altro dei passaggi fondamentali legati al processo di autenticazione e successiva conservazione del documento informatico. La marca temporale, rilasciata anch’essa da enti certificatori accreditati presso l’AGID e apposta sul documento informatico, è finalizzata ad associarne una data e un’ora certa opponibile a terzi, prolungando di fatto il valore del documento nel tempo, anche oltre la scadenza del certificato di sottoscrizione digitale.
Quando parliamo di Dematerializzazione Documentale, dobbiamo tenere a mente che i documenti informatici necessitano di essere inseriti in un sistema di conservazione sostitutiva al fine di assicurarne la validità, la leggibilità e reperibilità nel tempo.
A riguardo il riferimento normativo principale è rappresentato, oltre che dal CAD, dal DPCM 3 dicembre 2013, recante le “Regole tecniche in materia di sistema di conservazione”. Tale provvedimento, a dieci anni dalla Deliberazione n. 11/2004 del CNIPA, interviene a tracciare le caratteristiche del sistema di conservazione sostitutiva definendolo il sistema volto ad assicurare “la conservazione di tutti i documenti e fascicoli informatici con i relativi metadati”. All’interno del provvedimento si definiscono le regole, le procedure e le tecnologie idonee a garantirne le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità degli stessi. Operativamente tutto ciò si traduce con il Manuale della conservazione, documento anch’esso obbligatorio per legge, il cui fine è quello di illustrare dettagliatamente:
l’organizzazione
i soggetti coinvolti e i ruoli
il modello di funzionamento
la descrizione dei processi e delle infrastrutture utilizzate
le misure di sicurezza adottate
ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione stesso.
Infine, di particolare importanza nell’impianto legislativo del DPCM è il ruolo del Responsabile della Conservazione, figura obbligatoria alla quale spetta il compito di definire, con piena responsabilità ed autonomia, le politiche complessive del sistema di conservazione e la loro gestione.
Ad oggi, parlare di Dematerializzazione Documentale e di gestione del documento digitale risulta essere, oltre che complesso, anche di attualità. Per tale motivo, al fine di rendere l’argomento chiaro ed esaustivo, alcuni temi saranno oggetto di approfondimenti futuri, così da renderci disponibili per fornire eventuali specifiche a chi lo richiedesse.