Art. 56 D.P.R. 445/2000 — (R) Operazioni ed informazioni minime del sistema di gestione informatica dei documenti

Commento

Standardizzazione delle funzioni

L'articolo 56 individua le operazioni e le informazioni minime che ogni sistema di gestione informatica dei documenti deve garantire. La finalità è di standardizzare le funzionalità a livello nazionale, evitando che le PA adottino sistemi disomogenei che ostacolerebbero l'interoperabilità. La norma costituisce il fondamento di un mercato dei sistemi di gestione documentale conforme a standard comuni, oggi declinati nelle linee guida AgID periodicamente aggiornate.

Operazioni minime

Le operazioni minime comprendono: registrazione di protocollo dei documenti in entrata, uscita e interni; classificazione secondo titolario; fascicolazione; segnatura; gestione del flusso documentale verso le unità organizzative competenti; gestione delle versioni di documenti; conservazione a norma; funzioni di ricerca, accesso e visualizzazione. Ogni operazione deve essere tracciata nel log di sistema, con timestamp e identificativo dell'operatore.

Informazioni minime sui documenti

Per ogni documento gestito, il sistema deve memorizzare le informazioni minime: identificativo univoco, tipologia, formato, dimensione, hash di integrità, data di creazione, data di acquisizione, mittente o autore, destinatari, oggetto, classificazione, fascicolo di appartenenza, segnatura di protocollo, stato del procedimento. Tali informazioni costituiscono i metadati documentali e sono essenziali per la ricerca, per la conservazione a lungo termine, per l'interoperabilità.

Ricostruzione storica

Il sistema deve consentire la ricostruzione storica di tutte le modifiche apportate ai documenti, ai metadati e alle registrazioni. Il principio dell'inalterabilità del registro di protocollo (articolo 53) si estende a tutto il sistema documentale: ogni intervento è tracciato, con possibilità di audit a posteriori. Tale requisito è essenziale per la fiducia nel sistema e per la tutela giurisdizionale, sia in caso di contenzioso amministrativo che di indagini penali. Le linee guida AgID prevedono requisiti tecnici stringenti sui log di sistema.

Funzioni di accesso e profilatura

Il sistema deve gestire i profili di accesso del personale interno secondo il principio del minimo privilegio: ogni utente può accedere solo ai documenti e alle funzioni necessarie all'esercizio del proprio ruolo. La profilatura tutela la riservatezza dei dati personali e protegge informazioni sensibili (sanitarie, giudiziarie, fiscali). Per i cittadini, il sistema deve offrire funzioni di accesso conformi alle regole del diritto di accesso (L. 241/1990) e dell'accesso civico generalizzato (D.Lgs. 33/2013), nei limiti delle riservatezze previste dalla legge.

Profili pratici e mercato

Nella prassi le PA italiane utilizzano sistemi di gestione documentale forniti da operatori di mercato (es. Maggioli, Dedagroup, Iride, Insiel, ecc.) ovvero soluzioni in cloud (es. SPC-Cloud). La conformità alle linee guida AgID è verificata attraverso l'iscrizione del fornitore all'elenco AgID dei conservatori accreditati e attraverso le certificazioni di sicurezza (ISO 27001, ETSI 319 401). L'evoluzione recente, accelerata dal PNRR, va verso modelli SaaS in cloud sovrano e verso l'integrazione nativa con la PDND, riducendo i costi di gestione per le PA di minori dimensioni e accelerando l'omogeneità del modello documentale nazionale.