|
Decreto del Presidente del Consiglio dei Ministri 31 ottobre
2000
(G. U. 21.11.2000, serie generale, n. 272)
Regole tecniche per il protocollo informatico di
cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428
IL PRESIDENTE DEL CONSIGLIO DEI
MINISTRI
Visto l'art. 15 comma 2, della
legge 15 marzo 1997, n. 59, e successive modificazioni ed integrazioni;
Visto l'art. 17, comma 19, della legge 15 maggio 1997, n. 127 e successive
modificazioni ed integrazioni;
Visti gli articoli 4, 6 e 17 del decreto del Presidente della Repubblica 20
ottobre 1998, n. 428;
Visto il decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni
ed integrazioni;
Visto il decreto legislativo 12 febbraio 1993, n. 39;
Visto l'art. 1, lettera h) del decreto del Presidente del Consiglio dei
Ministri dell'8 maggio 2000, recante delega di funzioni in materia di
innovazione tecnologica e dei sistemi informatici e telefonici al Ministro per
la funzione pubblica sen. prof. Franco Bassanini;
Sentita l'Autorità per l'informatica nella pubblica amministrazione;
Decreta:
Titolo I
Ambito di applicazione, definizioni ed obiettivi di adeguamento delle
pubbliche amministrazioni
Art. 1 - Ambito
di applicazione
1. Il presente decreto stabilisce le
regole tecniche, i criteri e le specifiche delle informazioni previste nelle
operazioni di registrazione di protocollo, di cui all'art. 4, comma 4, del
decreto del Presidente della Repubblica 20 ottobre 1998, n. 428, nonché il
formato e la struttura delle informazioni associate al documento informatico, di
cui all'art. 6, comma 5, del medesimo decreto.
2. Il presente decreto stabilisce
altresì le regole tecniche, i criteri e le specifiche delle informazioni
previste, delle operazioni di registrazione e del formato dei dati relativi ai
sistemi informatici per la gestione dei flussi documentali, di cui all'art.
17, comma 1, del decreto del Presidente della Repubblica 20 ottobre 1998, n.
428.
Art. 2 -
Definizioni
Ai fini del presente decreto si
intendono per:
a) "decreto del Presidente della Repubblica n. 428/1998", il decreto
del Presidente della Repubblica 20 ottobre 1998, n. 428;
b) "decreto n. 29/1993", il decreto legislativo 3 febbraio 1993, n.
29, e successive modificazioni ed integrazioni;
c) "legge n. 127/1997", la legge 15 maggio 1997, n. 127, e successive
modificazioni ed integrazioni;
d) "decreto del Presidente della Repubblica n. 513/1997", il decreto
del Presidente della Repubblica 10 novembre 1997, n.513;
e) "delibera AIPA 24/98", la deliberazione 30 luglio 1998, n. 24, dell'Autorità
per l'informatica nella pubblica amministrazione recante regole tecniche per l'uso
di supporti ottici;
f) "funzionalità minima", la componente del sistema di protocollo
informatico che rispetta i requisiti di operazioni ed informazioni minime di cui
all'art. 7 del decreto del Presidente della Repubblica n. 428/1998;
g) "funzionalità aggiuntive", le ulteriori componenti del sistema di
protocollo informatico necessarie alla gestione dei flussi documentali, alla
conservazione dei documenti nonché alla accessibilità delle informazioni;
h) "sistema di classificazione", lo strumento che permette di
organizzare tutti i documenti secondo un ordinamento logico con riferimento alle
funzioni e alle attività dell'amministrazione interessata;
i) "funzionalità interoperative", le componenti del sistema
finalizzate a rispondere almeno ai requisiti di interconnessione di cui all'art.
11 del decreto del Presidente della Repubblica n. 428/1998;
l) "sessione di registrazione", ogni attività di assegnazione delle
informazioni nella operazione di registrazione di protocollo effettuata secondo
le modalità previste dall'art. 4, comma 3, del decreto del Presidente della
Repubblica n. 428/1998;
m) "responsabile del servizio", il responsabile del servizio per la
tenuta del protocollo informatico, per la gestione dei flussi documentali e
degli archivi di cui all'art. 12 del decreto del Presidente della Repubblica
n. 428/1998;
n) "area organizzativa omogenea", un insieme di funzioni e di
strutture, individuate dall'amministrazione, che opera su tematiche omogenee e
che presenta esigenze di gestione della documentazione in modo unitario e
coordinato ai sensi dell'art. 2, comma 2, del decreto del Presidente della
Repubblica n. 428/1998;
o) "ufficio utente" di una area organizzativa omogenea, un ufficio
dell'area stessa che utilizza i servizi messi a disposizione dal sistema di
protocollo informatico;
Art. 3 -
Obiettivi di adeguamento delle pubbliche amministrazioni
1. Le pubbliche amministrazioni di
cui al decreto n. 29/1993 perseguono, ciascuna nell'ambito del proprio
ordinamento, nel tempo tecnico necessario, e comunque entro i termini indicati
dall'art. 21 del decreto del Presidente della Repubblica n. 428/1998, i
seguenti obiettivi di adeguamento organizzativo e funzionale:
a) l'individuazione delle aree organizzative omogenee e dei relativi uffici di
riferimento ai sensi dell'art. 2 del decreto del Presidente della Repubblica
n. 428/1998;
b) la nomina del responsabile del servizio per la tenuta del protocollo
informatico, della gestione dei flussi documentali e degli archivi, ai sensi
dell'art. 12 del decreto del Presidente della Repubblica n. 428/1998, e
conseguentemente la nomina di un suo vicario, per casi di vacanza, assenza o
impedimento del primo su proposta del medesimo;
c) l'adozione, dopo la nomina del responsabile del servizio e sulla sua
proposta, del manuale di gestione di cui all'art. 5 del presente decreto;
d) la definizione, su indicazione del responsabile del servizio, dei tempi,
delle modalità e delle misure organizzative e tecniche finalizzate alla
eliminazione dei protocolli di settore e di reparto, dei protocolli multipli,
dei protocolli di telefax, e, più in generale, dei protocolli diversi dal
protocollo informatico previsto dal decreto del Presidente della Repubblica n.
428/1998.
Art. 4 -
Obiettivi e compiti particolari del responsabile del servizio
1. In attuazione dell'art. 12 del
decreto del Presidente della Repubblica n. 428/1998, le pubbliche
amministrazioni di cui al decreto n. 29/1993 provvedono a definire le
attribuzioni del responsabile del servizio in modo da assicurargli, in
particolare, il compito di:
a) predisporre lo schema del manuale di gestione di cui all'art. 5 del
presente decreto, che deve essere adottato dalle pubbliche amministrazioni di
cui al decreto n. 29/1993 ai sensi dell'art. 2, comma 1, lettera c),
del presente decreto;
b) proporre i tempi, le modalità e le misure organizzative e tecniche di cui
all'art. 3, comma 1, lettera d), del presente decreto;
c) predisporre il piano per la sicurezza informatica relativo alla formazione,
alla gestione, alla trasmissione, all'interscambio, all'accesso, alla
conservazione dei documenti informatici d'intesa con il responsabile dei
sistemi informativi automatizzati e con il responsabile della sicurezza dei dati
personali di cui alla legge 31 dicembre 1996, n. 675, e successive modificazioni
ed integrazioni, e nel rispetto delle misure minime di sicurezza previste dal
regolamento di attuazione emanato con decreto del Presidente della Repubblica 28
luglio 1999, n. 318, in attuazione dell'art. 15, comma 2, della citata legge
n. 675/1996.
Art. 5 - Manuale
di gestione
1. Il manuale di gestione descrive
il sistema di gestione e di conservazione dei documenti e fornisce le istruzioni
per il corretto funzionamento del servizio.
2. Nel manuale di gestione sono
riportati, in particolare:
a) la pianificazione, le modalità e le misure di cui all'art. 3, comma 1,
lettera d), del presente decreto;
b) il piano di sicurezza dei documenti informatici di cui all'art. 4, comma 4,
del presente decreto;
c) le modalità di utilizzo di strumenti informatici per lo scambio di documenti
all'interno ed all'esterno dell'area organizzativa omogenea;
d) la descrizione del flusso di lavorazione dei documenti ricevuti, spediti o
interni, incluse le regole di registrazione per i documenti pervenuti secondo
particolari modalità di trasmissione, tra i quali, in particolare, documenti
informatici di fatto pervenuti per canali diversi da quelli previsti dall'art.
15 del presente decreto, nonché fax, raccomandata, assicurata;
e) l'indicazione delle regole di smistamento ed assegnazione dei documenti
ricevuti con la specifica dei criteri per l'ulteriore eventuale inoltro dei
documenti verso aree organizzative omogenee della stessa amministrazione e/o
verso altre amministrazioni;
f) l'indicazione delle unità organizzative responsabili delle attività di
registrazione di protocollo, di organizzazione e tenuta dei documenti all'interno
dell'area organizzativa omogenea;
g) l'elenco dei documenti esclusi dalla registrazione di protocollo, ai sensi
dell'art. 4, comma 5, del decreto del Presidente della Repubblica n. 428/1998;
h) l'elenco dei documenti soggetti a registrazione particolare e le relative
modalità di trattamento;
i) il sistema di classificazione, con l'indicazione delle modalità di
aggiornamento, integrato con le informazioni relative ai tempi, ai criteri e
alle regole di selezione e conservazione, anche con riferimento all'uso di
supporti sostitutivi;
l) le modalità di produzione e di conservazione delle registrazioni di
protocollo informatico ed in particolare l'indicazione delle soluzioni
tecnologiche ed organizzative adottate per garantire la non modificabilità
della registrazione di protocollo, la contemporaneità della stessa con l'operazione
di segnatura ai sensi dell'art. 6 del decreto del Presidente della Repubblica
n. 428/1998, nonché le modalità di registrazione delle informazioni annullate
o modificate nell'ambito di ogni sessione di attività di registrazione;
m) la descrizione funzionale ed operativa del sistema di protocollo informatico
con particolare riferimento alle modalità di utilizzo;
n) i criteri e le modalità per il rilascio delle abilitazioni di accesso
interno ed esterno alle informazioni documentali;
o) le modalità di utilizzo del registro di emergenza ai sensi dell'art. 14
del decreto del Presidente della Repubblica n. 428/1998, inclusa la funzione di
recupero dei dati protocollati manualmente.
3. Il manuale di gestione è reso
pubblico dalle pubbliche amministrazioni di cui al decreto n. 29/1993 secondo le
modalità previste dai singoli ordinamenti. Esso può altresì essere reso
accessibile al pubblico per via telematica ovvero su supporto informatico o
cartaceo.
Titolo II
Il sistema di protocollo informatico
Art. 6 -
Funzionalità
1. Il sistema di protocollo
informatico comprende almeno la "funzionalità minima".
2. Le pubbliche amministrazioni di
cui al decreto n. 29/1993 valutano l'opportunità di acquisire o realizzare le
funzionalità aggiuntive sulla base del rapporto tra costi e benefici nell'ambito
dei propri obiettivi di miglioramento dei servizi e di efficienza operativa.
3. Le funzionalità aggiuntive
condividono con la funzionalità minima almeno i dati identificativi dei
documenti.
Art. 7 -
Requisiti minimi di sicurezza dei sistemi di protocollo informatico
1) Il sistema operativo dell'elaboratore,
su cui viene realizzato il sistema di protocollo informatico, deve assicurare:
a) l'univoca identificazione ed autenticazione degli utenti;
b) la protezione delle informazioni relative a ciascun utente nei confronti
degli altri;
c) la garanzia di accesso alle risorse esclusivamente agli utenti abilitati;
d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da
ciascun utente, in modo tale da garantirne la identificazione.
2. Il sistema di protocollo
informatico deve consentire il controllo differenziato dell'accesso alle
risorse del sistema per ciascun utente o gruppo di utenti.
3. Il sistema di protocollo
informatico deve consentire il tracciamento di qualsiasi evento di modifica
delle informazioni trattate e l'individuazione del suo autore.
4. Le registrazioni di cui ai commi
1, lettera d), e 3 del presente articolo devono essere protette da
modifiche non autorizzate.
5. Al fine di garantire la non
modificabilità delle operazioni di registrazione, il contenuto del registro
informatico di protocollo, almeno al termine della giornata lavorativa, deve
essere riversato su supporti informatici non riscrivibili e deve essere
conservato da soggetto diverso dal responsabile del servizio appositamente
nominato da ciascuna amministrazione.
6. La Autorità per l'informatica
nella pubblica amministrazione compila e mantiene aggiornata la lista dei
sistemi operativi disponibili commercialmente che soddisfano i requisiti minimi
di sicurezza e la rende pubblica sul proprio sito internet.
Art. 8 -
Annullamento delle informazioni registrate in forma non modificabile
1. Fra le informazioni generate o
assegnate automaticamente dal sistema e registrate in forma non modificabile l'annullamento
anche di una sola di esse determina l'automatico e contestuale annullamento
della intera registrazione di protocollo.
2. Delle altre informazioni,
registrate in forma non modificabile, l'annullamento anche di un solo campo,
che si rendesse necessario per correggere errori intercorsi in sede di
immissione di dati, deve comportare la rinnovazione del campo stesso con i dati
corretti e la contestuale memorizzazione, in modo permanente, del valore
precedentemente attribuito unitamente alla data, l'ora e all'autore della
modifica; così analogamente per lo stesso campo, od ogni altro, che dovesse poi
risultare errato.
3. Le informazioni originarie,
successivamente annullate, vengono memorizzate secondo le modalità specificate
nell'art. 5, comma 1, del decreto del Presidente della Repubblica n. 428/1998.
Art. 9 - Formato
della segnatura di protocollo
1. Le informazioni apposte o
associate al documento mediante la operazione di segnatura di cui all'art. 6,
comma 1, del decreto del Presidente della Repubblica n. 428/1998 sono espresse
nel seguente formato:
a) codice identificativo dell'amministrazione;
b) codice identificativo dell'area organizzativa omogenea;
c) data di protocollo secondo il formato individuato in base alle previsioni di
cui art. 18 secondo comma del presente decreto;
d) progressivo di protocollo secondo il formato specificato all'art. 8 del
decreto del Presidente della Repubblica n. 428/1998.
Titolo III
Formato e modalità di trasmissione dei documenti informatici tra pubbliche
amministrazioni
Art. 10 -
Principi generali
1. Le amministrazioni pubbliche di
cui al decreto n. 29/1993, ai fini della trasmissione di documenti informatici
soggetti alla registrazione di protocollo e destinati ad altra amministrazione,
adottano i formati e le modalità definiti nel presente titolo.
2. Le amministrazioni pubbliche di
cui all'art. 1 primo comma decreto legislativo n. 39/1993
realizzano nei propri sistemi di protocollo
informatico, oltre alla "funzionalità minima", anche funzionalità
interoperative che rispondono almeno ai requisiti di accesso di cui all'art.
11 del decreto del Presidente della Repubblica n. 428/1998.
Art. 11 - Indice
delle amministrazioni pubbliche e delle aree organizzative omogenee
1. Per facilitare la trasmissione
dei documenti informatici tra le amministrazioni è istituito l'indice delle
amministrazioni pubbliche e delle aree organizzative omogenee .
2. L'indice è destinato alla
conservazione e alla pubblicazione dei dati di cui all'art. 12, comma 1, del
presente decreto relativi alle pubbliche amministrazioni di cui al decreto n.
29/1993 ed alle loro aree organizzative omogenee.
3. L'indice delle amministrazioni
di cui al comma 2 è gestito da un sistema informatico accessibile tramite un
sito internet in grado di permettere la consultazione delle informazioni in esso
contenute da parte delle amministrazioni e di tutti i soggetti pubblici o
privati anche secondo una modalità compatibile con il protocollo LDAP definito
nella specifica pubblica RFC 1777 e successive modificazioni o integrazioni.
4. Il sistema informatico di cui al
comma 3 assicura altresì la conservazione dei dati storici relativi alle
variazioni intercorse nell'indice delle amministrazioni e delle rispettive
aree organizzative omogenee, onde consentire il corretto reperimento delle
informazioni associate ad un documento protocollato anche a seguito delle
variazioni intercorse nella struttura delle aree organizzative omogenee dell'amministrazione
mittente o destinataria del documento.
Art. 12 -
Informazioni sulle amministrazioni e le aree organizzative omogenee
1. Ciascuna pubblica amministrazione
di cui al decreto n. 29/1993 che intenda trasmettere documenti informatici
soggetti alla registrazione di protocollo deve accreditarsi presso l'indice di
cui all'art. 11 del presente decreto fornendo almeno le seguenti informazioni
identificative relative alla amministrazione stessa:
a) denominazione della amministrazione;
b) codice identificativo proposto per la amministrazione;
c) indirizzo della sede principale della amministrazione;
d) elenco delle proprie aree organizzative omogenee.
2. L'elenco di cui al comma 1,
lettera d), comprende, per ciascuna area organizzativa omogenea:
a) la denominazione;
b) il codice identificativo;
c) a casella di posta elettronica dell'area prevista dall'art. 15, comma 3
del presente decreto;
d) il nominativo del responsabile del servizio per la tenuta del protocollo
informatico, per la gestione dei flussi documentali e degli archivi;
e) la data di istituzione;
lf) a eventuale data di soppressione;
g) l'elenco degli uffici utente dell'area organizzativa omogenea.
3. Il codice associato a ciascuna
area organizzativa omogenea è generato ed attribuito autonomamente dalla
relativa amministrazione.
Art. 13 - Codice
identificativo della amministrazione
1. Il codice identificativo della
amministrazione viene attribuito a seguito della richiesta di accreditamento
della amministrazione nell'indice delle amministrazioni pubbliche e delle aree
organizzative omogenee di cui all'art. 11 del presente decreto.
2. Il codice identificativo della
amministrazione coincide con il codice identificativo proposto di cui all'art.
12, comma 1, lettera b) qualora esso risulti univoco.
Art. 14 -
Modalità di aggiornamento dell'indice delle amministrazioni
1. Ciascuna amministrazione comunica
tempestivamente all'indice ogni successiva modifica delle informazioni di cui
all'art. 12, del presente decreto e la data di entrata in vigore delle
modifiche.
2. Con la stessa tempestività
ciascuna amministrazione comunica la soppressione ovvero la creazione di una
area organizzativa omogenea specificando tutti i dati previsti dall'art. 12,
comma 2, del presente decreto.
3. Le amministrazioni possono
comunicare ciascuna variazione nell'insieme delle proprie aree organizzative
omogenee di cui ai commi 1 e 2 anche utilizzando i servizi telematici offerti
dal sistema informatico di gestione dell'indice delle amministrazioni
pubbliche.
Art. 15 -
Modalità di trasmissione e registrazione dei documenti informatici
1. Lo scambio dei documenti soggetti
alla registrazione di protocollo è effettuato mediante messaggi conformi ai
sistemi di posta elettronica compatibili con il protocollo SMTP/MIME definito
nelle specifiche pubbliche RFC 821-822, RFC 2045-2049 e successive modificazioni
o integrazioni.
2. Ad ogni messaggio di posta
elettronica ricevuto da una area organizzativa omogenea corrisponde una unica
operazione di registrazione di protocollo. Detta registrazione si può riferire
sia al corpo del messaggio sia ad uno o più dei file ad esso allegati.
3. Ciascuna area organizzativa
omogenea istituisce una casella di posta elettronica adibita alla
protocollazione dei messaggi ricevuti. L'indirizzo di tale casella è
riportato nell'indice delle amministrazioni pubbliche.
4. I messaggi di posta elettronica
ricevuti da una amministrazione che sono soggetti alla registrazione di
protocollo, vengono indirizzati, preferibilmente, alla casella di posta
elettronica della area organizzativa omogenea destinataria del messaggio.
5. L'eventuale indicazione dell'ufficio
utente, ovvero del soggetto, destinatario del documento, va riportata nella
segnatura di protocollo secondo le modalità ed i formati previsti agli articoli
18 e 19 del presente decreto.
6. Ciascuna amministrazione
stabilisce autonomamente le modalità di inoltro ed assegnazione dei documenti
al singolo ufficio utente e le descrive nel manuale di gestione.
7. Qualora un documento informatico
pervenga ad un ufficio utente di una area organizzativa omogenea per canali
diversi da quello previsto al comma 1, è responsabilità dell'ufficio
stabilire, secondo quanto previsto dal manuale di gestione di cui al precedente
art. 5, comma 2, lettera d), se il documento sia soggetto alla
registrazione di protocollo ovvero a registrazione particolare di cui all'art.
4, comma 5, del decreto del Presidente della Repubblica n. 428/1998.
8. In aggiunta alle modalità di cui
al presente titolo le amministrazioni possono utilizzare altre modalità di
trasmissione di documenti informatici purché descritte nel manuale di gestione.
Art. 16 -
Leggibilità dei documenti
1. Ciascuna amministrazione
garantisce la leggibilità nel tempo di tutti i documenti trasmessi o ricevuti
adottando i formati previsti all'art. 6, comma 1, lettera b), della
delibera AIPA n. 24/98 ovvero altri formati non proprietari.
Art. 17 -
Impronta del documento informatico
1. Nell'effettuare l'operazione
di registrazione di protocollo dei documenti informatici l'impronta di cui all'art.
4, comma 1, lettera f), del decreto del Presidente della Repubblica n.
428/1998 va calcolata per tutti i file inclusi nel messaggio di posta
elettronica.
2. La generazione dell'impronta si
effettua impiegando la funzione di hash, definita nella norma ISO/IEC
10118-3:1998, Dedicated Hash-Function 3, corrispondente alla funzione
SHA-1.
Art. 18 -
Segnatura di protocollo dei documenti trasmessi
1. I dati relativi alla segnatura di
protocollo di un documento trasmesso da una area organizzativa omogenea sono
contenuti, un'unica volta nell'ambito dello stesso messaggio, in un file,
conforme alle specifiche dell'Extensible Markup Language (XML) 1.0
(raccomandazione W3C 10 febbraio 1998), compatibile con un file DTD (Document
Type Definition) reso disponibile attraverso il sito internet di cui all'art.
11, comma 3 del presente decreto. Il file contiene le informazioni minime di cui
al comma 1 del successivo art. 19. Le ulteriori informazioni definite al comma 2
del predetto articolo sono incluse nello stesso file.
2. L'Autorità per l'informatica
definisce ed aggiorna periodicamente con apposita circolare gli standard, le
modalità di trasmissione, il formato e le definizioni dei tipi di informazioni
minime ed accessorie comunemente scambiate tra le pubbliche amministrazioni e
associate ai documenti protocollati; ne cura la pubblicazione attraverso il
proprio sito internet.
3. Per l'utilizzo di strumenti di
firma digitale o di tecnologie riferibili alla realizzazione e gestione di una
PKI, si applicano le regole di interoperabilità definite con la circolare
AIPA/CR/24 del 19 giugno 2000.
Art. 19 -
Informazioni da includere nella segnatura
1. Oltre alle informazioni
specificate all'art. 9 le informazioni minime previste comprendono:
a) l'oggetto;
b) il mittente;
c) il destinatario o i destinatari.
2. Nella segnatura di un documento
protocollato in uscita da una Amministrazione possono essere specificate
opzionalmente una o più delle seguenti informazioni:
a) indicazione della persona o dell'ufficio all'interno della struttura
destinataria a cui si presume verrà affidato il trattamento del documento;
b) indice di classificazione;
c) identificazione degli allegati;
d) informazioni sul procedimento e sul trattamento.
3. Qualora due o più
amministrazioni stabiliscano di scambiarsi informazioni non previste tra quelle
definite al comma precedente, le stesse possono estendere il file di cui al
comma 1 dell'art. 18, nel rispetto delle indicazioni tecniche stabilite dall'Autorità
per l'informatica, includendo le informazioni specifiche stabilite di comune
accordo.
Art. 20 -
Realizzazione dell'indice delle amministrazioni
1. La realizzazione ed il
funzionamento dell'indice di cui all'art. 12 del presente decreto sono
affidati al Centro tecnico di cui all'art. 17, comma 19, della legge n.
127/1997.
Art. 21 -
Adeguamento delle regole tecniche
1. Le regole tecniche sono adeguate
con cadenza almeno biennale a decorrere dalla data di entrata in vigore del
presente decreto per assicurarne la corrispondenza con le esigenze dettate
dall'evoluzione delle conoscenze scientifiche e tecnologiche.
Il presente decreto entra in vigore
il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale
della Repubblica Italiana.
Roma, 31 ottobre 2000
p. Il Presidente: Bassanini
|
Pagina stampabile
