Teutas - Diritto & Tecnologia

Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428


pubblicata nella Gazzetta Ufficiale n. 272 del 21 novembre 2000

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Visto l’Articolo 15 comma 2, della legge 15 marzo 1997, n. 59, e successive modificazioni ed integrazioni;

Visto l’Articolo 17, comma 19, della legge 15 maggio 1997, n. 127 e successive modificazioni ed integrazioni;

Visti gli articoli 4, 6 e 17 del decreto del Presidente della Repubblica 20 ottobre 1998, n. 428;

Visto il decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni ed integrazioni;

Visto il decreto legislativo 12 febbraio 1993, n. 39;

Visto l’Articolo 1, lettera h) del decreto del Presidente del Consiglio dei Ministri dell’8 maggio 2000, recante delega di funzioni in materia di innovazione tecnologica e dei sistemi informatici e telefonici al Ministro per la funzione pubblica sen. prof. Franco Bassanini;

Sentita l’Autorità per l’informatica nella pubblica amministrazione;



Decreta:



Titolo I Ambito di applicazione, definizioni ed obiettivi di adeguamento delle pubbliche Amministrazioni



Articolo 1. Ambito di applicazione

1. Il presente decreto stabilisce le regole tecniche, i criteri e le specifiche delle informazioni previste nelle operazioni di registrazione di protocollo, di cui all’Articolo 4, comma 4, del decreto del Presidente della Repubblica 20 ottobre 1998, n. 428, nonché il formato e la struttura delle informazioni associate al documento informatico, di cui all’Articolo 6, comma 5, del medesimo decreto.

2. Il presente decreto stabilisce altresì le regole tecniche, i criteri e le specifiche delle informazioni previste, delle operazioni di registrazione e del formato dei dati relativi ai sistemi informatici per la gestione dei flussi documentali, di cui all’Articolo 17, comma 1, del decreto del Presidente della Repubblica 20 ottobre 1998, n. 428.



Articolo 2 - Definizioni

1. Ai fini del presente decreto si intendono per:

a. “decreto del Presidente della Repubblica n. 428/1998”, il decreto del Presidente della Repubblica 20 ottobre 1998, n. 428;

b. “decreto n. 29/1993”, il decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni ed integrazioni;

c. “legge n. 127/1997”, la legge 15 maggio 1997, n. 127, e successive modificazioni ed integrazioni;

d. “decreto del Presidente della Repubblica n. 513/1997”, il decreto del Presidente della Repubblica 10 novembre 1997, n.513;

e. “delibera AIPA 24/98”, la deliberazione 30 luglio 1998, n. 24, dell’Autorità per l’informatica nella pubblica amministrazione recante regole tecniche per l’uso di supporti ottici;

f. “funzionalità minima”, la componente del sistema di protocollo informatico che rispetta i requisiti di operazioni ed informazioni minime di cui all’Articolo 7 del decreto del Presidente della Repubblica n. 428/1998;

g. “funzionalità aggiuntive”, le ulteriori componenti del sistema di protocollo informatico necessarie alla gestione dei flussi documentali, alla conservazione dei documenti nonché alla accessibilità delle informazioni;

h. “sistema di classificazione”, lo strumento che permette di organizzare tutti i documenti secondo un ordinamento logico con riferimento alle funzioni e alle attività dell’amministrazione interessata;

i. “funzionalità interoperative”, le componenti del sistema finalizzate a rispondere almeno ai requisiti di interconnessione di cui all’Articolo 11 del decreto del Presidente della Repubblica n. 428/1998;

l. “sessione di registrazione”, ogni attività di assegnazione delle informazioni nella operazione di registrazione di protocollo effettuata secondo le modalità previste dall’Articolo 4, comma 3, del decreto del Presidente della Repubblica n. 428/1998;

m. “responsabile del servizio”, il responsabile del servizio per la tenuta del protocollo informatico, per la gestione dei flussi documentali e degli archivi di cui all’Articolo 12 del decreto del Presidente della Repubblica n. 428/1998;

n. “area organizzativa omogenea”, un insieme di funzioni e di strutture, individuate dall’amministrazione, che opera su tematiche omogenee e che presenta esigenze di gestione della documentazione in modo unitario e coordinato ai sensi dell’Articolo 2, comma 2, del decreto del Presidente della Repubblica n. 428/1998;

o. “ufficio utente” di una area organizzativa omogenea, un ufficio dell’area stessa che utilizza i servizi messi a disposizione dal sistema di protocollo informatico;



Articolo 3 - Obiettivi di adeguamento delle pubbliche amministrazioni

1. Le pubbliche amministrazioni di cui al decreto n. 29/1993 perseguono, ciascuna nell’ambitodel proprio ordinamento, nel tempo tecnico necessario, e comunque entro i termini indicati dall’Articolo 21 del decreto del Presidente della Repubblica n. 428/1998, i seguenti obiettivi di adeguamento organizzativo e funzionale:

a. l'individuazione delle aree organizzative omogenee e dei relativi uffici di riferimento ai sensi dell’Articolo 2 del decreto del Presidente della Repubblica n. 428/1998;

b. la nomina del responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi, ai sensi dell’Articolo 12 del decreto del Presidente della Repubblica n. 428/1998, e conseguentemente la nomina di un suo vicario, per casi di vacanza, assenza o impedimento del primo su proposta del medesimo;

c. l'adozione, dopo la nomina del responsabile del servizio e sulla sua proposta, del manuale di gestione di cui all’Articolo 5 del presente decreto;

d. la definizione, su indicazione del responsabile del servizio, dei tempi, delle modalità e delle misure organizzative e tecniche finalizzate alla eliminazione dei protocolli di settore e di reparto, dei protocolli multipli, dei protocolli di telefax, e, più in generale, dei protocolli diversi dal protocollo informatico previsto dal decreto del

Presidente della Repubblica n. 428/1998.



Articolo 4 - Obiettivi e compiti particolari del responsabile del servizio

1. In attuazione dell’Articolo 12 del decreto del Presidente della Repubblica n. 428/1998, le pubbliche amministrazioni di cui al decreto n. 29/1993 provvedono a definire le attribuzioni del responsabile del servizio in modo da assicurargli, in particolare, il compito di:

a. predisporre lo schema del manuale di gestione di cui all’Articolo 5 del presente decreto, che deve essere adottato dalle pubbliche amministrazioni di cui al decreto n. 29/1993 ai sensi dell’Articolo 2, comma 1, lettera c), del presente decreto;

b. proporre i tempi, le modalità e le misure organizzative e tecniche di cui all’Articolo 3, comma 1, lettera d), del presente decreto;

c. predisporre il piano per la sicurezza informatica relativo alla formazione, alla gestione, alla trasmissione, all’interscambio, all’accesso, alla conservazione dei documenti informatici d’intesa con il responsabile dei sistemi informativi automatizzati e con il responsabile della sicurezza dei dati personali di cui alla legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni, e nel rispetto delle misure minime di sicurezza previste dal regolamento di attuazione emanato con decreto del Presidente della Repubblica 28 luglio 1999, n. 318, in attuazione dell’Articolo 15, comma 2, della citata legge n. 675/1996.



Articolo 5 - Manuale di gestione

1. Il manuale di gestione descrive il sistema di gestione e di conservazione dei documenti e fornisce le istruzioni per il corretto funzionamento del servizio.

2. Nel manuale di gestione sono riportati, in particolare:

a. la pianificazione, le modalità e le misure di cui all’Articolo 3, comma 1, lettera d), del presente decreto;

b. il piano di sicurezza dei documenti informatici di cui all’Articolo 4, comma 4, del presente decreto;

c. le modalità di utilizzo di strumenti informatici per lo scambio di documenti all’interno ed all’esterno dell’area organizzativa omogenea;

d. la descrizione del flusso di lavorazione dei documenti ricevuti, spediti o interni, incluse le regole di registrazione per i documenti pervenuti secondo particolari modalità di trasmissione, tra i quali, in particolare, documenti informatici di fatto pervenuti per canali diversi da quelli previsti dall’Articolo 15 del presente decreto,

nonché fax, raccomandata, assicurata;

e. l’indicazione delle regole di smistamento ed assegnazione dei documenti ricevuti con la specifica dei criteri per l’ulteriore eventuale inoltro dei documenti verso aree organizzative omogenee della stessa amministrazione e/o verso altre amministrazioni;

f. l’indicazione delle unità organizzative responsabili delle attività di registrazione di protocollo, di organizzazione e tenuta dei documenti all’interno dell’area organizzativa omogenea;

g. l’elenco dei documenti esclusi dalla registrazione di protocollo, ai sensi dell’Articolo 4, comma 5, del decreto del Presidente della Repubblica n. 428/1998;

h. l’elenco dei documenti soggetti a registrazione particolare e le relative modalità di trattamento;

i. il sistema di classificazione, con l’indicazione delle modalità di aggiornamento, integrato con le informazioni relative ai tempi, ai criteri e alle regole di selezione e conservazione, anche con riferimento all’uso di supporti sostitutivi;

l. le modalità di produzione e di conservazione delle registrazioni di protocollo informatico ed in particolare l’indicazione delle soluzioni tecnologiche ed organizzative adottate per garantire la non modificabilità della registrazione di protocollo, la contemporaneità della stessa con l’operazione di segnatura ai sensi dell’Articolo 6 del decreto del Presidente della Repubblica n. 428/1998, nonché le modalità di registrazione delle informazioni annullate o modificate nell’ambito di ogni sessione di attività di registrazione;

m. la descrizione funzionale ed operativa del sistema di protocollo informatico con particolare riferimento alle modalità di utilizzo;

n. i criteri e le modalità per il rilascio delle abilitazioni di accesso interno ed esterno alle informazioni documentali;

o. le modalità di utilizzo del registro di emergenza ai sensi dell’Articolo 14 del decreto del Presidente della Repubblica n. 428/1998, inclusa la funzione di recupero dei dati protocollati manualmente.

3. Il manuale di gestione è reso pubblico dalle pubbliche amministrazioni di cui al decreto n. 29/1993 secondo le modalità previste dai singoli ordinamenti. Esso può altresì essere reso accessibile al pubblico per via telematica ovvero su supporto informatico o cartaceo.



Titolo II Il sistema di protocollo informatico



Articolo 6 - Funzionalità

1. Il sistema di protocollo informatico comprende almeno la “funzionalità minima”.

2. Le pubbliche amministrazioni di cui al decreto n. 29/1993 valutano l’opportunità di acquisire o realizzare le funzionalità aggiuntive sulla base del rapporto tra costi e benefici nell’ambito dei propri obiettivi di miglioramento dei servizi e di efficienza operativa.

3. Le funzionalità aggiuntive condividono con la funzionalità minima almeno i dati identificativi dei documenti.



Articolo 7 - Requisiti minimi di sicurezza dei sistemi di protocollo informatico

1. Il sistema operativo dell’elaboratore, su cui viene realizzato il sistema di protocollo informatico, deve assicurare:

a. l’univoca identificazione ed autenticazione degli utenti;

b. la protezione delle informazioni relative a ciascun utente nei confronti degli altri;

c. la garanzia di accesso alle risorse esclusivamente agli utenti abilitati;

d. la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da garantirne la identificazione.

2. Il sistema di protocollo informatico deve consentire il controllo differenziato dell’accesso alle risorse del sistema per ciascun utente o gruppo di utenti.

3. Il sistema di protocollo informatico deve consentire il tracciamento di qualsiasi evento di modifica delle informazioni trattate e l’individuazione del suo autore.

4. Le registrazioni di cui ai commi 1, lettera d), e 3 del presente articolo devono essere protette da modifiche non autorizzate.

5. Al fine di garantire la non modificabilità delle operazioni di registrazione, il contenuto del registro informatico di protocollo, almeno al termine della giornata lavorativa, deve essere riversato su supporti informatici non riscrivibili e deve essere conservato da soggetto diverso dal responsabile del servizio appositamente nominato da ciascuna amministrazione.

6. La Autorità per l'informatica nella pubblica amministrazione compila e mantiene aggiornata la lista dei sistemi operativi disponibili commercialmente che soddisfano i requisiti minimi di sicurezza e la rende pubblica sul proprio sito internet.



Articolo 8 - Annullamento delle informazioni registrate in forma non modificabile

1. Fra le informazioni generate o assegnate automaticamente dal sistema e registrate in forma non modificabile l’annullamento anche di una sola di esse determina l’automatico e contestuale annullamento della intera registrazione di protocollo.

2. Delle altre informazioni, registrate in forma non modificabile, l’annullamento anche di un solo campo, che si rendesse necessario per correggere errori intercorsi in sede di immissione di dati, deve comportare la rinnovazione del campo stesso con i dati corretti e la contestuale memorizzazione, in modo permanente, del valore precedentemente attribuito unitamente alla data, l’ora e all’autore della modifica; così analogamente per lo stesso campo, od ogni altro, che dovesse poi risultare errato.

3. Le informazioni originarie, successivamente annullate, vengono memorizzate secondo le modalità specificate nell’Articolo 5, comma 1, del decreto del Presidente della Repubblica n. 428/1998.



Articolo 9 - Formato della segnatura di protocollo

1. Le informazioni apposte o associate al documento mediante la operazione di segnatura di cui all’Articolo 6, comma 1, del decreto del Presidente della Repubblica n. 428/1998 sono espresse nel seguente formato:

a. codice identificativo dell’amministrazione;

b. codice identificativo dell’area organizzativa omogenea;

c. data di protocollo secondo il formato individuato in base alle previsioni di cui Articolo 18 secondo comma del presente decreto;

d. progressivo di protocollo secondo il formato specificato all’Articolo 8 del decreto del Presidente della Repubblica n. 428/1998.



Titolo III Formato e modalità di trasmissione dei documenti informatici tra pubbliche amministrazioni



Articolo 10 - Principi generali

1. Le amministrazioni pubbliche di cui al decreto n. 29/1993, ai fini della trasmissione di documenti informatici soggetti alla registrazione di protocollo e destinati ad altra amministrazione, adottano i formati e le modalità definiti nel presente titolo.

2. Le amministrazioni pubbliche di cui all’Articolo 1 primo comma decreto legislativo n. 39/1993 realizzano nei propri sistemi di protocollo informatico, oltre alla “funzionalità minima”, anche funzionalità interoperative che rispondono almeno ai requisiti di accesso di cui all’Articolo 11 del decreto del Presidente della Repubblica n. 428/1998.



Articolo 11 - Indice delle amministrazioni pubbliche e delle aree organizzative omogenee

1. Per facilitare la trasmissione dei documenti informatici tra le amministrazioni è istituito l’indice delle amministrazioni pubbliche e delle aree organizzative omogenee .

2. L’indice è destinato alla conservazione e alla pubblicazione dei dati di cui all’Articolo 12, comma 1, del presente decreto relativi alle pubbliche amministrazioni di cui al decreto n. 29/1993 ed alle loro aree organizzative omogenee.

3. L’indice delle amministrazioni di cui al comma 2 è gestito da un sistema informatico accessibile tramite un sito internet in grado di permettere la consultazione delle informazioni in esso contenute da parte delle amministrazioni e di tutti i soggetti pubblici o privati anche secondo una modalità compatibile con il protocollo LDAP definito nella specifica pubblica RFC 1777 e successive modificazioni o integrazioni.

4. Il sistema informatico di cui al comma 3 assicura altresì la conservazione dei dati storici relativi alle variazioni intercorse nell’indice delle amministrazioni e delle rispettive aree organizzative omogenee, onde consentire il corretto reperimento delle informazioni associate ad un documento protocollato anche a seguito delle variazioni intercorse nella struttura delle aree organizzative omogenee dell’amministrazione mittente o destinataria del documento.



Articolo 12 - Informazioni sulle amministrazioni e le aree organizzative omogenee

1. Ciascuna pubblica amministrazione di cui al decreto n. 29/1993 che intenda trasmettere documenti informatici soggetti alla registrazione di protocollo deve accreditarsi presso l'indice di cui all'Articolo 11 del presente decreto fornendo almeno le seguenti informazioni identificative relative alla amministrazione stessa:

a. denominazione della amministrazione;

b. codice identificativo proposto per la amministrazione;

c. indirizzo della sede principale della amministrazione;

d. elenco delle proprie aree organizzative omogenee.

2. L’elenco di cui al comma 1, lettera d), comprende, per ciascuna area organizzativa omogenea:

a. la denominazione;

b. il codice identificativo;

c. la casella di posta elettronica dell’area prevista dall’Articolo 15, comma 3 del presente decreto;

d. il nominativo del responsabile del servizio per la tenuta del protocollo informatico, per la gestione dei flussi documentali e degli archivi; e) la data di istituzione; f) la eventuale data di soppressione; g) l’elenco degli uffici utente dell’area organizzativa omogenea.

3. Il codice associato a ciascuna area organizzativa omogenea è generato ed attribuito autonomamente dalla relativa amministrazione.



Articolo 13 - Codice identificativo della amministrazione

1. Il codice identificativo della amministrazione viene attribuito a seguito della richiesta di accreditamento della amministrazione nell’indice delle amministrazioni pubbliche e delle aree organizzative omogenee di cui all'Articolo 11 del presente decreto.

2. Il codice identificativo della amministrazione coincide con il codice identificativo proposto di cui all'Articolo 12, comma 1, lettera b) qualora esso risulti univoco.



Articolo 14 - Modalità di aggiornamento dell’indice delle amministrazioni

1. Ciascuna amministrazione comunica tempestivamente all'indice ogni successiva modifica delle informazioni di cui all'Articolo 12, del presente decreto e la data di entrata in vigore delle modifiche.

2. Con la stessa tempestività ciascuna amministrazione comunica la soppressione ovvero la creazione di una area organizzativa omogenea specificando tutti i dati previsti dall’Articolo 12, comma 2, del presente decreto.

3. Le amministrazioni possono comunicare ciascuna variazione nell’insieme delle proprie aree organizzative omogenee di cui ai commi 1 e 2 anche utilizzando i servizi telematici offerti dal sistema informatico di gestione dell’indice delle amministrazioni pubbliche.



Articolo 15 - Modalità di trasmissione e registrazione dei documenti informatici

1. Lo scambio dei documenti soggetti alla registrazione di protocollo è effettuato mediante messaggi conformi ai sistemi di posta elettronica compatibili con il protocollo SMTP/MIME definito nelle specifiche pubbliche RFC 821-822, RFC 2045-2049 e successive modificazioni o integrazioni.

2. Ad ogni messaggio di posta elettronica ricevuto da una area organizzativa omogenea corrisponde una unica operazione di registrazione di protocollo. Detta registrazione si può riferire sia al corpo del messaggio sia ad uno o più dei file ad esso allegati.

3. Ciascuna area organizzativa omogenea istituisce una casella di posta elettronica adibita alla protocollazione dei messaggi ricevuti. L’indirizzo di tale casella è riportato nell’indice delle amministrazioni pubbliche.

4. I messaggi di posta elettronica ricevuti da una amministrazione che sono soggetti alla registrazione di protocollo, vengono indirizzati, preferibilmente, alla casella di posta elettronica della area organizzativa omogenea destinataria del messaggio.

5. L’eventuale indicazione dell’ufficio utente, ovvero del soggetto, destinatario del documento, va riportata nella segnatura di protocollo secondo le modalità ed i formati previsti agli articoli 18 e 19 del presente decreto.

6. Ciascuna amministrazione stabilisce autonomamente le modalità di inoltro ed assegnazione dei documenti al singolo ufficio utente e le descrive nel manuale di gestione.

7. Qualora un documento informatico pervenga ad un ufficio utente di una area organizzativa omogenea per canali diversi da quello previsto al comma 1, è responsabilità dell’ufficio stabilire, secondo quanto previsto dal manuale di gestione di cui al precedente Articolo 5, comma 2, lettera d), se il documento sia soggetto alla registrazione di protocollo ovvero a registrazione particolare di cui all’Articolo 4, comma 5, del decreto del Presidente della Repubblica n. 428/1998.

8. In aggiunta alle modalità di cui al presente titolo le amministrazioni possono utilizzare altre modalità di trasmissione di documenti informatici purché descritte nel manuale di gestione.



Articolo 16 - Leggibilità dei documenti

1. Ciascuna amministrazione garantisce la leggibilità nel tempo di tutti i documenti trasmessi o ricevuti adottando i formati previsti all’Articolo 6, comma 1, lettera b), della delibera AIPA n. 24/98 ovvero altri formati non proprietari.



Articolo 17 - Impronta del documento informatico

1. Nell’effettuare l’operazione di registrazione di protocollo dei documenti informatici l’impronta di cui all’Articolo 4, comma 1, lettera f), del decreto del Presidente della Repubblica n. 428/1998 va calcolata per tutti i file inclusi nel messaggio di posta elettronica.

2. La generazione dell’impronta si effettua impiegando la funzione di hash, definita nella norma ISO/IEC 10118-3:1998, Dedicated Hash-Function 3, corrispondente alla funzione SHA-1.



Articolo 18 - Segnatura di protocollo dei documenti trasmessi

1. I dati relativi alla segnatura di protocollo di un documento trasmesso da una area organizzativa omogenea sono contenuti, un’unica volta nell’ambito dello stesso messaggio, in un file, conforme alle specifiche dell’Extensible Markup Language (XML) 1.0 (raccomandazione W3C 10 febbraio 1998), compatibile con un file DTD (Document Type Definition) reso disponibile attraverso il sito internet di cui all’Articolo 11, comma 3 del presente decreto. Il file contiene le informazioni minime di cui al comma 1 del successivo Articolo 19. Le ulteriori informazioni definite al comma 2 del predetto articolo sono incluse nello stesso file.

2. L’Autorità per l’informatica definisce ed aggiorna periodicamente con apposita circolare gli standard, le modalità di trasmissione, il formato e le definizioni dei tipi di informazioni minime ed accessorie comunemente scambiate tra le pubbliche amministrazioni e associate ai documenti protocollati; ne cura la pubblicazione attraverso il proprio sito internet.

3. Per l'utilizzo di strumenti di firma digitale o di tecnologie riferibili alla realizzazione e gestione di una PKI, si applicano le regole di interoperabilità definite con la circolare AIPA/CR/24 del 19 giugno 2000.



Articolo 19 - Informazioni da includere nella segnatura

1. Oltre alle informazioni specificate all’Articolo 9 le informazioni minime previste comprendono:

a. l’oggetto;

b. il mittente;

c. il destinatario o i destinatari.

2. Nella segnatura di un documento protocollato in uscita da una Amministrazione possono essere specificate opzionalmente una o più delle seguenti informazioni:

a. indicazione della persona o dell’ufficio all’interno della struttura destinataria a cui si presume verrà affidato il trattamento del documento;

b. indice di classificazione;

c. identificazione degli allegati;

d. informazioni sul procedimento e sul trattamento.

3. Qualora due o più amministrazioni stabiliscano di scambiarsi informazioni non previste tra quelle definite al comma precedente, le stesse possono estendere il file di cui al comma 1

dell'Articolo 18, nel rispetto delle indicazioni tecniche stabilite dall’Autorità per l’informatica, includendo le informazioni specifiche stabilite di comune accordo.



Articolo 20 - Realizzazione dell’indice delle amministrazioni

1. La realizzazione ed il funzionamento dell’indice di cui all’Articolo 12 del presente decreto sono affidati al Centro tecnico di cui all’Articolo 17, comma 19, della legge n. 127/1997.



Articolo 21 - Adeguamento delle regole tecniche

1. Le regole tecniche sono adeguate con cadenza almeno biennale a decorrere dalla data di entrata in vigore del presente decreto per assicurarne la corrispondenza con le esigenze dettate dall'evoluzione delle conoscenze scientifiche e tecnologiche.

Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.



Roma, 31 ottobre 2000

p. Il Presidente: BASSANINI