Amministrativo

Gestione e conservazione dei documenti informatici, obblighi e sanzioni del CAD estese ai soggetti privati

A decorrere dal 1° gennaio 2022 i soggetti privati devono dotarsi di un archivio che contenga documenti informatici della società per i quali vige obbligo di conservazione. Gli stessi devono dotarsi di specifiche regole per la gestione dello stesso e misure di sicurezza che ne garantiscano l'integrità ed un soggetto responsabile che vigili sul rispetto delle disposizioni normative

di Francesca Gaudino e Roberto Cursano*

l Decreto legislativo n. 82/2005 recante Codice dell'amministrazione digitale ("CAD") contiene le disposizioni che regolano l'informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese.

Sebbene le disposizioni del CAD si rivolgano in prima battuta alla Pubblica Amministrazione alcune di esse, a decorrere dal 1° gennaio 2022, si applicano anche ai soggetti privati. Tra queste ultime rientrano, in particolare, le disposizioni documenti informatici, riproduzione e conservazione di documenti informatici, come integrate dalle Linee Guida sulla formazione, gestione e conservazione dei documenti informatici ("Linee Guida") adottate dall'AgID nel maggio 2021, il cui carattere vincolante è stato peraltro confermato dal Consiglio di Stato nell'ambito del proprio parere n. 2122/2017 del 10 ottobre 2017.

L'applicabilità ai soggetti privati delle disposizioni del CAD e delle Linee Guida richiede a tutte le società di:
(i) adottare specifiche modalità per la gestione e conservazione dei documenti informatici ; (ii) individuare e nominare il Responsabile della conservazione documentale, e
(iii) adottare un Manuale di conservazione documentale.

In sostanza, al fine di conformarsi alle disposizioni sopra richiamate tutti i soggetti privati, caratterizzati da una certa complessità della struttura organizzativa e della documentazione prodotta, devono necessariamente dotarsi di un archivio informatico che contenga documenti informatici della società per i quali vige un obbligo di conservazione (es: scritture contabili o documenti la cui obbligatoria conservazione sia prevista dalla legge), nonché di specifiche regole per la gestione dello stesso, misure di sicurezza che ne garantiscano l'integrità ed un soggetto responsabile che vigili sul rispetto delle disposizioni normative.

Il corretto adempimento di tali obblighi implica una mappatura interna dei documenti informatici - nonché delle copie informatiche di documenti analogici (realizzate, ad esempio, tramite una scansione dell'originale cartaceo) - formati dalle varie funzioni aziendali, la redazione di specifiche istruzioni rivolte ai responsabili di funzione che possono generare documenti informatici per cui vige l'obbligo di conservazione e l'individuazione di adeguate misure di sicurezza e chiavi di accesso al sistema di archiviazione.

Il lavoro che già da anni è stato svolto dalle Pubbliche Amministrazioni attraverso la redazione dei manuali di conservazione è di aiuto per comprendere la natura degli obblighi per i soggetti privati, a cui ci si dovrà adeguare al più tardi entro il 27 settembre 2022, data di applicazione delle Linee Guida.

Nonostante CAD e le Linee Guida non prevedano sanzioni dirette in caso di mancato rispetto dei predetti obblighi, le sanzioni applicabili restano quelle previste in altre disposizioni normative in relazione a formazione, gestione e conservazione documentale.

Per fare degli esempi pratici, in caso di violazione di dette disposizioni potrebbe applicarsi l'articolo 9 del D.lgs. 471/1997, che sanziona la non corretta conservazione di scritture contabili, documenti e i registri previsti dalla legge tributaria. Altre rilevanti sanzioni sono previste da normative di settore, come ad esempio quelle relative ai controlli alle esportazioni. Inoltre, le previsioni delle Linee Guida in particolare acquisiscono rilevanza per l'applicazione delle sanzioni previste dal GDPR (Regolamento Generale per la protezione dei dati personali 2016/679).

Per quanto riguarda la formazione e gestione dei documenti informatici, le Linee Guida indicano alcuni requisiti, quali es. immodificabilità, integrità, disponibilità e riservatezza, che richiamano in sostanza i principi generali di correttezza e liceità del trattamento dei dati personali indicati dall'art. 5 GDPR. Da notare che la violazione di tali principi comporta l'applicazione della soglia più alta di sanzioni previste dal GDPR, ovvero 20 milioni di Euro o 4% del fatturato mondiale totale dell'esercizio precedente, se superiore.

Per quanto riguarda la conservazione dei documenti informatici, le Linee Guida prevedono una serie di misure volte a garantirne la confidenzialità e protezione, che possono considerarsi una specificazione deli obblighi di sicurezza previsti dal GDPR. In caso di violazione dei dati, il mancato rispetto delle Linee Guida potrebbe essere valutata come mancata adozione di misure di protezione adeguate, con le relative conseguenze in termini di responsabilità.

_____

*A cura degli Avv.ti Francesca Gaudino e Roberto Cursano, Baker McKenzie

Per saperne di piùRiproduzione riservata ©