Deliberazione AIPA 23 novembre 2000, n. 51
(in GU 14 dicembre 2000, n. 291)

Regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni ai sensi dell'art. 18, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513

L'AUTORITA'

Vista la legge 24 ottobre 1977, n. 801;
Vista la legge 7 agosto 1990, n. 241;
Visto il decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni ed integrazioni;
Visto il decreto legislativo 12 febbraio 1993, n. 39;
Visto l'art. 2, comma 15, della legge 24 dicembre 1993, n. 537;
Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni;
Visto l'art. 15, comma 2, della legge 15 marzo 1997, n. 59;
Visto l'art. 18, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513;
Visto il decreto del Presidente della Repubblica 20 ottobre 1998, n. 428;
Visto il decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999;
Visto il decreto del Presidente della Repubblica 28 luglio 1999, n. 318;
Visto il decreto legislativo 29 ottobre 1999, n. 490;
D'intesa con l'amministrazione degli archivi di Stato; 

Delibera:

Di emanare le seguenti regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni ai sensi dell'art. 18, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513:

REGOLE TECNICHE IN MATERIA DI FORMAZIONE E CONSERVAZIONE DEI DOCUMENTI INFORMATICI DELLE PUBBLICHE AMMINISTRAZIONI.

Art. 1.
Ambito di applicazione

1. La presente deliberazione detta norme in materia di documenti informatici non classificati formati e conservati dalle pubbliche amministrazioni.
2. Le regole tecniche di cui al comma 1 sono adeguate periodicamente dall'Autorita' per l'informatica nella pubblica amministrazione alle esigenze istituzionali, organizzative, scientifiche e tecnologiche.

Art. 2.
Definizioni

1. Ai fini della presente deliberazione s'intende:
a) per amministrazioni pubbliche, tutte le amministrazioni previste dall'art. 1, comma 2, del decreto legislativo 3 febbraio 1993, n. 29;
b) per documento informatico, la rappresentazione informatica di atti, fatti e dati formati dalle amministrazioni pubbliche o, comunque, utilizzati ai fini dell'attivita' istituzionale ed amministrativa;
c) per formazione, il processo di generazione del documento informatico al fine di rappresentare atti, fatti e dati riferibili con certezza al soggetto e all'amministrazione che lo hanno prodotto o ricevuto. Esso reca la firma digitale, quando prescritta, ed e' sottoposto alla registrazione del protocollo o ad altre forme di registrazione previste dalla vigente normativa;
d) per conservazione, l'ordinata custodia di documenti informatici in modo da assicurarne l'integrita', l'affidabilita' e la consultabilita' nel tempo, anche attraverso idonei strumenti di ricerca;
e) per formato, la modalita' di rappresentazione del contenuto di un documento informatico;
f) per sicurezza, l'insieme delle misure organizzative e tecniche finalizzate ad assicurare, senza soluzione di continuita', l'integrita', la disponibilita' e la riservatezza dei documenti e degli archivi informatici;
g) per accesso, la consultazione autorizzata, anche per via telematica, degli archivi e dei documenti informatici, sia per la tutela di situazioni giuridicamente rilevanti da parte di chi ne abbia interesse, sia per le attivita' amministrative;
h) per archivio, l'insieme, organizzato e gestito in modo unitario per aree omogenee, costituito da uno o piu' supporti di memorizzazione, univocamente identificati, contenenti i documenti registrati.

Art. 3.
Requisiti dei documenti informatici

1. La formazione e la conservazione dei documenti informatici delle pubbliche amministrazioni devono essere effettuate secondo i seguenti requisiti:
a) identificabilita' del soggetto che ha formato il documento informatico e dell'amministrazione di riferimento;
b) sottoscrizione, quando prescritta, dei documenti informatici tramite la firma digitale ai sensi del decreto del Presidente della Repubblica 10 novembre 1997, n. 513;
c) idoneita' dei documenti ad essere gestiti mediante strumenti informatici e ad essere registrati mediante il protocollo informatico, ai sensi del decreto del Presidente della Repubblica 20 ottobre 1998, n. 428;
d) accessibilita' ai documenti informatici tramite sistemi informativi automatizzati;
e) leggibilita' dei documenti;
f) interscambiabilita' dei documenti.
2. I documenti informatici, muniti dei requisiti sopra detti, sono validi e rilevanti a tutti gli effetti di legge.
3. Nella formazione e conservazione dei documenti informatici le pubbliche amministrazioni applicano le norme in materia di semplificazione e razionalizzazione delle attivita' amministrative e dei procedimenti.
4. Le regole per la determinazione dei contenuti e della struttura dei documenti informatici sono definite dalla dirigenza, ai sensi dell'art. 3, comma 2, del decreto legislativo 3 febbraio 1993, n. 29, e con riferimento all'ordinamento delle rispettive amministrazioni.

Art. 4
Formato dei documenti informatici

1. I formati adottati devono possedere almeno i seguenti requisiti:
a) consentire, nei diversi ambiti di applicazione e per le diverse tipologie di trattazione, l'archiviazione, la leggibilita', l'interoperabilita' e l'interscambio dei documenti;
b) la non alterabilita' del documento durante le fasi di accesso e conservazione;
c) la possibilita' di effettuare operazioni di ricerca tramite indici di classificazione o di archiviazione, nonche' sui contenuti dei documenti;
d) l'immutabilita' nel tempo del contenuto e della sua struttura.
A tale fine i documenti informatici non devono contenere macroistruzioni o codice eseguibile, tali da attivare funzionalita' che possano modificarne la struttura o il contenuto;
e) la possibilita' di integrare il documento informatico con immagini, suoni e video, purche' incorporati in modo irreversibile e nel rispetto dei requisiti di cui alle lettere b) e d).

Art. 5.
Sottoscrizione di documenti informatici

1. Ai fini della sottoscrizione, ove prevista, di documenti informatici di rilevanza esterna, le pubbliche amministrazioni:
a) possono svolgere direttamente l'attivita' di certificazione ai sensi dell'art. 8 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, solo per i propri organi ed uffici. In questo caso hanno l'obbligo di iscriversi nell'elenco pubblico dei certificatori presso l'Autorita' per l'informatica nella pubblica amministrazione e devono attenersi alle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999;
b) possono emettere certificati di firma digitale solo per i propri organi ed uffici ai sensi dell'art. 8 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, utilizzando i servizi offerti dal centro tecnico o dai certificatori iscritti nell'elenco pubblico presso l'Autorita' per l'informatica nella pubblica amministrazione secondo la vigente normativa in materia di contratti pubblici. In questo caso non vi e' l'obbligo dell'iscrizione nel citato elenco pubblico.
2. Per la sottoscrizione di documenti informatici di rilevanza interna, le pubbliche amministrazioni possono emettere certificati di firma digitale secondo regole tecniche diverse da quelle di cui al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999.
3. Per la formazione e la gestione di documenti informatici per i quali non e' prevista la sottoscrizione, le pubbliche amministrazioni possono utilizzare sistemi elettronici di identificazione ed autenticazione nell'ambito della propria autonomia organizzativa e dei processi di razionalizzazione.
4. Per la formazione e la sottoscrizione dei documenti informatici, secondo quanto stabilito dal decreto del Presidente della Repubblica 10 novembre 1997 e dalle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, le pubbliche amministrazioni devono attenersi alle regole di interoperabilita' definite dalla circolare AIPA/CR/24 del 19 giugno 2000.

Art. 6.
Gestione dei documenti informatici

1. La gestione dei documenti informatici e le attivita' relative al protocollo informatico sono effettuate secondo i princi'pi stabiliti dal decreto del Presidente della Repubblica 20 ottobre 1998, n. 428, e le relative regole tecniche.

Art. 7.
Conservazione dei documenti informatici

1. Per la conservazione e la esibizione dei documenti informatici, avuto riguardo a quanto previsto dall'art. 6, comma 5, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, e dall'art. 61 del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, si applicano le regole tecniche emanate con deliberazione dell'Autorita' per l'informatica nella pubblica amministrazione 30 luglio 1998, n. 24, ai sensi dell'art. 2, comma 15, della legge 24 dicembre 1993, n. 537.
2. Per l'estensione della validita' del documento informatico si applica l'art. 60 del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999.

Art. 8.
Trasmissione dei documenti informatici

1. Per la trasmissione dei documenti informatici si applicano le regole tecniche di cui agli articoli 4, 6 e 17 del decreto del Presidente della Repubblica 20 ottobre 1998, n. 428, e successive modificazioni ed integrazioni.
2. Le pubbliche amministrazioni disciplinano autonomamente la trasmissione interna dei documenti informatici con riferimento al proprio ordinamento.

Art. 9.
Accesso ai documenti informatici

1. L'accesso ai documenti informatici e' regolato dalla legge 7 agosto 1990, n. 241, e successive modificazioni ed integrazioni, anche con riferimento al funzionamento della rete unitaria delle pubbliche amministrazioni.
2. Le pubbliche amministrazioni regolamentano, con riferimento al proprio ordinamento, l'accesso tramite sistemi informativi automatizzati per le attivita' di consultazione e di estrazione dei documenti.

Art. 10.
Sicurezza dei documenti informatici

1. Le pubbliche amministrazioni predispongono, entro dodici mesi dalla data di entrata in vigore della presente deliberazione, un piano per la sicurezza informatica relativo alla formazione ed alla conservazione dei documenti informatici.
2. Il piano fa parte del manuale di gestione di cui alle regole tecniche emanate ai sensi del decreto del Presidente della Repubblica 20 ottobre 1998, n. 428.
3. Il piano considera almeno i seguenti aspetti: analisi dei rischi, politiche di sicurezza, interventi operativi.
4. Il piano e' sottoposto a verifica ed aggiornato con cadenza almeno biennale.
5. Le pubbliche amministrazioni adottano le misure minime di sicurezza dei dati personali ai sensi dell'art. 15 della legge 31 dicembre 1996, n. 675, e del relativo regolamento di attuazione emanato con decreto del Presidente della Repubblica 28 luglio 1999, n. 318.