Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Distruzione_certificata

  • Login to see the comments

  • Be the first to like this

Distruzione_certificata

  1. 1. LA DISTRUZIONE CERTIFICATA Liliana Vezzolla – UNIGE matr. S2173382
  2. 2. 1 INDICE 1 Introduzione .......................................................................................................................................... 2 1.1.1 Quale futuro per le fatture? ..................................................................................................... 2 1.1.2 Considerazioni preliminari...................................................................................................... 3 2 Dematerializzazione.............................................................................................................................. 4 3 La distruzione........................................................................................................................................ 6 3.1 I soggetti......................................................................................................................................... 6 3.2 L’oggetto ........................................................................................................................................ 7 3.3 I principi ......................................................................................................................................... 7 3.4 Cenni sul sistema di normazione.................................................................................................... 8 3.5 Cenni sullo standard DIN 66399.................................................................................................... 9 3.5.1 Applicazione dello standard DIN alla distruzione di documenti cartacei............................. 10 4 La distruzione in loco.......................................................................................................................... 10 5 Il documento distrutto diventa rifiuto: differenziare come valore aggiunto ....................................... 10 6 Conclusioni, best practice e modello ideale alla luce delle attuali normative .................................... 11 6.1 Catena di custodia del processo di distruzione certificata............................................................ 12 Bibliografia ................................................................................................................................................. 12 Sitografia..................................................................................................................................................... 13 Siti esaminati per le ricerche sul panorama commerciale delle imprese esercenti l’attività di distruzione certificata................................................................................................................................................. 13
  3. 3. 2 1 INTRODUZIONE Il Diritto che si esprime attraverso la Dottrina e la Giurisprudenza, lungi dall’essere una scienza esatta come la Matematica, ci offre interessanti prospettive di valutazione della varie situazioni in cui si incorre nella vita quotidiana al fine ultimo di prendere la decisione più opportuna nel rispetto delle leggi. Il passaggio da analogico a digitale è di fatto una rivoluzione globale che investe innumerevoli campi dell’attività umana. Nello specifico l’attività amministrativa di un’azienda è caratterizzata dalla produzione di una moltitudine di documenti che testimoniano le varie operazioni svolte nell’esercizio dell’impresa; parte della documentazione è soggetta a scadenza, e qui osserviamo l’intreccio delle normative in relazione alla natura del documento, i.e. esso sia una fattura, un fax, od altro documento cartaceo. Diversi Professionisti, considerata la complessità della materia, optano ancora per la stampa di libri contabili, con la bollatura1 laddove prevista; la transizione verso la conservazione sostitutiva pare ancora lenta considerando la prevalenza del ricorso a supporti analogici. Per alcune classi di documenti contenenti dati personali, è opportuno tenere ben presente che essi soggiacciono alla normativa sulla Privacy, più precisamente al D.lgs. 196/2003. Tale ovvia considerazione ricorre pressoché immancabilmente sui siti dei fornitori di servizi di distruzione certificata2 , l’art. 43 del summenzionato Decreto legislativo cita espressamente la distruzione come parte del processo della vita di un documento Ai fini del presente codice si intende per: a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; 1.1.1 Quale futuro per le fatture? L’interoperabilità4 auspicata dal Codice dell’Amministrazione digitale peraltro traspare in merito alla questione sulla fatturazione elettronica5 , come si evince anche dal portale dell’Agenzia delle Entrate che, tra le linee guida, riporta: 1 Procedure molto semplici come la richiesta alla competente ufficio dell’Agenzia delle Entrate rendono anche la pratica della bollatura analogica ormai superata http://www.agenziaentrate.gov.it/wps/content/Nsilib/Nsi/Home/CosaDeviFare/Dichiarare/Pagamento+virtuale+imposta+bollo/ Informazioni+generali+pagvirtualebollo/ 2 Distruzione certificata è di fatto un concetto commerciale che sottende il rilascio di un certificato di avvenuta distruzione di documenti che attesta l’ottemperanza a rigorose procedure per garantire la protezione dei dati su supporti cartacei durante il processo di distruzione. Non a caso i termini “Sicurezza” e “Privacy” ricorrono immancabilmente sulle pagine web dei fornitori di questo tipo di servizi. 3 DLgs. 30 giugno 2003 n. 196, “Codice in materia di protezione dei dati personali” in G.U. n. 174 del 29.7.2003, s.o. n. 123 4 E. BASSOLI, Fondamenti di diritto della comunicazione elettronica, Amon Edizioni, 2014, 105 5 http://www.agenziaentrate.gov.it/wps/content/Nsilib/Nsi/Documentazione/Fatturazione+elettronica+PA+-+Regole+generali/
  4. 4. 3 In ogni caso, già dal 6 dicembre 2013, le PA possono cominciare volontariamente a ricevere le fatture elettroniche, loro destinate, attraverso il Sistema di Interscambio. L’Agenzia delle Entrate, a partire dal 2016, metterà a disposizione uno strumento per generare le fatture elettroniche ma di fatto già da diversi anni, grazie alla stampa in formato PDF6 , le aziende si scambiavano tali fattispecie di documenti; come osservato da ANORC, non si ravvisa dunque la necessità di implementare (e conseguentemente di impegnare risorse pubbliche) un sistema per generare documenti funzionali anche per la conservazione7 . 1.1.2 Considerazioni preliminari La presente tesina, alla luce dell’esperienza professionale della sottoscritta insieme alle considerazioni sulla normativa, intende esplorare alcuni aspetti dottrinali e giurisprudenziali per delineare un processo che possa essere il più rispettoso delle leggi vigenti. In particolare si esplora il campo della distruzione di dati su supporti cartacei di piccole e medie imprese8 . Ancora è importante sottolineare che, alla luce dei progressi in materia, si può ricorrere all’archiviazione sostitutiva, il ricorso a tale prassi genera di conseguenza una rivalutazione della gestione dei rischi correlati al tipo di conservazione. La valutazione dei rischi in caso di stoccaggio di materiale cartaceo prende in considerazione vari aspetti, tra i quali citiamo il carico di incendio, le normative per la prevenzione incendi, l’equipaggiamento e l’allestimento dei locali (collari antincendio, vernici ignifughe, porte tagliafuoco da REI 120 – 180 etc.). In caso di conservazione sostitutiva osserviamo un’apprezzabile diminuzione di rischi fisici ed un aumento di rischi logici correlati sia al software sia all’hardware dedicati allo storage dei dati. 6 A mio modesto parere, per quanto concerne l’invio per esempio di fatture e note di credito, sarebbe sufficiente la firma elettronica digitale tramite invio con la PEC le fatture generate originariamente in formato PDF. Con la firma digitale si attesta la paternità del documento e con l’invio tramite PEC la certezza della spedizione e ricezione del documento. Aggiungo che se si potesse ideare un sistema che contestualmente produca un flusso relativo all’imposta sul documento snellirebbe gli accertamenti tributari e le procedure di liquidazione dell’IVA all’Erario. 7 Prassi comune adottata è l’invio di fatture in formato elettronico per la successiva stampa del relativo documento analogico, registrazione e conservazione. Peraltro tale prassi non dà garanzie circa l’unicità del documento, ci si trova insomma ad uso che di fatto ha consentito alle aziende il risparmio delle spese postali per l’invio delle fatture ed il ribaltamento dei costi di riproduzione analogica in capo al debitore. Vedasi a proposito quanto evidenziato nella Circolare 18/E del 24 giugno 2014 dell’Agenzia delle Entrate, in recepimento della direttiva 45/2010/UE del 13 luglio 2010. http://www.agenziaentrate.gov.it/wps/file/nsilib/nsi/documentazione/provvedimenti+circolari+e+risoluzioni/circolari/archivio+ circolari/circolari+2014/giugno+2014/circolare+n18e+del+24+giugno+2014/cir18e+del+24+06+14.pdf 8 Per una definizione di piccole e medie imprese vedasi la Raccomandazione 2003/361/CE pubblicata su GU C 118 del 20.5.2003 Articolo 2 Effettivi e soglie finanziarie che definiscono le categorie di imprese 1. La categoria delle microimprese delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone il cui fatturato annuo non supera i 50 milioni di EUR oppure il cui totale di bilancio annuo non supera i 43 milioni di EUR. 2. Nella categoria delle PMI si definisce piccola impresa un'impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR. 3. Nella categoria delle PMI si definisce microimpresa un'impresa che occupa meno di 10 persone e realizza un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di EUR http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:IT:PDF
  5. 5. 4 Innanzi tutto è opportuno differenziare le varie classi di documenti9 e tracciare un quadro delle categorie che si incontrano:  Documenti10 fiscali11 , tributari (fatture attive passive, note spese, estratti conto bancari)12  Gestione del personale  Materiale pubblicitario e promozionale13 Per ciò che concerne l’attività di distruzione dei documenti, ritengo che il principio ispiratore possa affondare le radici nella diligenza primamente, concetto che unitamente alla correttezza (art. 1175 e 1176 del Codice civile) rappresenta il comportamento ideale del soggetto che si assume la responsabilità della distruzione. 2 DEMATERIALIZZAZIONE La Dematerializzazione è il fine ultimo del processo che include la corretta distruzione documentale. Ad oggi l’ente di riferimento della materia è L’Agid14 (Agenzia per l’Italia digitale), istituito con il D.L. giugno 2012, n. 83 rubricato come “Misure urgenti per la crescita del Paese” (GU n.147 del 26-6-2012 - Suppl. Ordinario n. 129), che ha sostituito la DigitPA. In particolare osserviamo la definizione di dematerializzazione: Con “dematerializzazione” si indica il progressivo incremento della gestione documentale informatizzata - all’interno delle strutture amministrative pubbliche e private - e la conseguente sostituzione dei supporti tradizionali della documentazione amministrativa in favore del documento informatico. A fini prudenziali è raccomandabile effettuare un processo di dematerializzazione dei documenti15 giunti a scadenza prima della loro distruzione. 9 Per documenti analogici si intendono quelli formati utilizzando grandezze fisiche che assumono valori continui, quali i documenti che si materializzano su supporti cartacei o su pellicole fotografiche, cinematografiche, microfiche o su microfilm, su lastre o pellicole radiologiche, su cassette e nastri magnetici audio o video. Il processo di conservazione elettronica dei documenti G. MANDÒ, D. MANDÒ, Manuale dell’imposta sul valore aggiunto, Wolters Kluwer Italia srl, 2012, 657) 10 D.M. 23 gennaio 2004 Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione in diversi tipi di supporto. (Gazzetta Ufficiale 3 febbraio 2004, n. 27) 11 L’art. 2220 del codice civile specifica a proposito della Conservazione delle scritture contabili: Le scritture devono essere conservate per dieci anni dalla data dell'ultima registrazione. Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti al quale, con il D.L. 10 giugno 1994, n. 357 (Gazzetta Ufficiale - serie generale - n. 135 dell'11 giugno 1994), coordinato con la legge di conversione 8 agosto 1994, n. 489 (in questa stessa Gazzetta Ufficiale alla pag. 4), recante: "Disposizioni tributarie urgenti per accelerare la ripresa dell'economia e dell'occupazione, nonché' per ridurre gli adempimenti a carico del contribuente". (GU Serie Generale n.186 del 10-8-1994) All'articolo 2220 del codice civile è aggiunto, in fine, il seguente comma "Le scritture e documenti di cui al presente articolo possono essere conservati sotto forma di registrazioni su supporti di immagini, sempre che le registrazioni corrispondano ai documenti e possano in ogni momento essere rese leggibili con mezzi messi a disposizione dal soggetto che utilizza detti supporti". 12 Le fatture, le offerte, gli ordini etc., sono dati importanti a livello commerciale e strategico, la loro tutela è necessaria. 13 Conservare materiale cartaceo non necessario aumenta potenzialmente i rischi in materia di prevenzione incendi. 14 http://www.agid.gov.it/agenda-digitale/pubblica-amministrazione/gestione-procedimenti-amministrativi/dematerializzazione 15 Permangono alcune eccezioni, i.e. alcuni documenti di natura doganale, come specificato dall’art. 2 Comma 2 del D.M. 23 gennaio 2004 Modalità di assolvimento degli Obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione in diversi tipi di supporto. (Pubblicato nella G.U. n. 27 del 3 febbraio 2004), dalla Circolare 5/D dell’Agenzia delle Dogane e dalla circolare 36/E del 6 dicembre 2006 emessa dall’Agenzia delle Entrate.
  6. 6. 5 Il D.P.C.M.16 del 13 novembre 2014 rappresenta, nel panorama normativo, una svolta auspicata17 da più parti, esso detta le regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici e in esso ritroviamo i riferimenti normativi al D.P.R. 445/2000 (Testo unico sulle disposizioni legislative e regolamentari in materia di documentazione amministrativa)18 , al D.lgs. 85/200519 (Codice dell’amministrazione digitale), D.lgs. 196/2003 (Codice in materia di protezione dei dati personali) tra gli altri e non meno importanti sono il parere tecnico dell’Agenzia per l’Italia digitale e il parere del Garante per la protezione dei dati personali. In particolare all’art. 3, C.1 lett. b) si riferisce a In particolare l’articolo 2 comma 2 del D.M. 23 gennaio 2004 recita Il presente decreto non si applica alle scritture e ai documenti rilevanti ai fini delle disposizioni tributarie nel settore doganale, le accise e delle imposte di consumo di competenza dell'Agenzia delle dogane. La circolare 5D dell’Agenzia delle Dogane del 25 gennaio 2005, avente come oggetto D.M. 23/1/2004 recante “modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione in diversi tipi di supporto”. Campo di applicazione, specifica che Sono pervenuti quesiti da parte di numerosi operatori del settore che chiedono di conoscere se l'esclusione prevista dall'art. 2, comma 2 del D.M. in oggetto: (Il presente decreto non si applica alle scritture e ai documenti rilevanti ai fini delle disposizioni tributarie nel settore doganale, delle accise e delle imposte di consumo di competenza dell'Agenzia delle Dogane), riguardi anche i documenti commerciali emessi per l'addebito dei corrispettivi relativi alle somministrazioni indicate nell'art. 1 del D.M. 24/10/2000 n. 370.(…) Tali documenti, emessi o pervenuti in qualunque formato, non rientrano tra la base documentale principale relativa al rapporto giuridico d’imposta che intercorre tra il soggetto attivo della potestà impositiva ed il soggetto obbligato al versamento di imposta, come invece rientra la dichiarazione annuale di consumo. Infine l’Agenzia delle Entrate - Circolare 36/E del 6 dicembre 2006 riporta la seguente dicitura: 2.documenti Rilevanti ai fini tributari - Le disposizioni del decreto si applicano alle scritture contabili, ai libri, ai registri e, in generale, a ogni documento rilevante ai fini tributari, fatta eccezione per le scritture ed i documenti rilevanti ai fini delle disposizioni tributarie nel settore doganale, delle accise e delle imposte di consumo di competenza dell'Agenzia delle dogane, ai sensi dell'articolo 2, comma 2, del decreto. 16 DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 13 novembre 2014 Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23- ter, 40, comma 1, 41, e 71, comma 1, del Codice dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005. (15A00107) (GU Serie Generale n.8 del 12-1-2015) 17 http://www.forumpa.it/pa-digitale/il-documento-informatico-ha-finalmente-le-sue-regole-e-adesso-vanno-rispettate 18 L’art 6 del D.P.R., 28 dicembre 2000, n. 445 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa. (Testo A). (Gazzetta Ufficiale n.42 del 20-2-2001 - Suppl. Ordinario n. 30) recita: Riproduzione e conservazione di documenti 1. Le pubbliche amministrazioni ed i privati hanno facoltà di sostituire, a tutti gli effetti, i documenti dei propri archivi, le scritture contabili, la corrispondenza e gli altri atti di cui per legge o regolamento * prescritta la conservazione, con la loro riproduzione su supporto fotografico, su supporto ottico o con altro mezzo idoneo a garantire la conformità dei documenti agli originali. 2. Gli obblighi di conservazione ed esibizione dei documenti di cui al comma 1 si intendono soddisfatti, sia ai fini amministrativi che probatori, anche se realizzati su supporto ottico quando le procedure utilizzate sono conformi alle regole tecniche dettate dall'Autorità per l'informatica nella pubblica amministrazione. 3. I limiti e le modalità tecniche della riproduzione e dell'autenticazione dei documenti di cui al comma 1, su supporto fotografico o con altro mezzo tecnico idoneo a garantire la conformità agli originali, sono stabiliti con decreto del Presidente del Consiglio dei Ministri. 4. Sono fatti salvi i poteri di controllo del Ministero per i beni e le attività culturali sugli archivi delle amministrazioni pubbliche e sugli archivi privati dichiarati di notevole interesse storico, ai sensi delle disposizioni del Capo II del decreto legislativo 29 ottobre 1999, n. 490 19 l’Art. 91 del D.lgs. 7 marzo 2005, n. 82 Codice dell'amministrazione digitale. (Gazzetta Ufficiale n.112 del 16-5-2005 - Suppl. Ordinario n. 93), abroga l’articolo 6 del D.P.R. 28 dicembre 2000, n. 445: Abrogazioni 1. Dalla data di entrata in vigore del presente testo unico sono abrogati: a) il decreto legislativo 23 gennaio 2002, n. 10; b) gli articoli 1, comma 1, lettere t), u), v), z), aa), bb), cc), dd), ee), ff), gg), hh), ii), ll), mm), nn), oo); 2, comma 1, ultimo periodo; 6; 8; 9; 10; 11; 12; 13; 14; 17; 20; 22; 23; 24; 25; 26; 27; 27-bis; 28; 28-bis; 29; 29-bis; 29-ter; 29-quater; 29- quinquies; 29-sexies; 29-septies; 29-octies; 36, commi 1, 2, 3, 4, 5 e 6; 51; del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (Testo A);
  7. 7. 6 Acquisizione di un documento informatico per via telematica o su supporto informatico, acquisizione della copia per immagine su supporto informatico di un documento analogico, acquisizione delle copia informatica di un documento analogico 3 LA DISTRUZIONE I SOGGETTI Nel processo ideale che si intende descrivere in questa tesina i soggetti sono da una parte l’impresa titolare dei documenti e l’impresa alla quale questi sono consegnati per la distruzione. L’impresa titolare avrà al suo interno un Responsabile della conservazione20 , che lavorerà21 di concerto con il Titolare del trattamento22 e l’eventuale Responsabile del trattamento dei dati. Queste figure identificano la documentazione scaduta e/o la documentazione che intendono dematerializzare23 , a questo proposito è opportuno rimandare a quanto indicato all’art. 4 del D.M.E.F. del 14 giugno 2014, in particolare all’art. 4: Obblighi da osservare per la dematerializzazione di documenti e scritture analogici rilevanti ai fini tributari 1. Ai fini tributari il procedimento di generazione delle copie documenti e scritture analogici avviene ai sensi dell'art. 22, comma 3, del decreto legislativo 7 marzo 2005 n.82, determina con l'apposizione della firma elettronica qualificata, della firma digitale ovvero della firma elettronica basata sui certificati rilasciati dalla Agenzie fiscali. La conservazione avviene secondo le modalità di cui all'art. 3 del presente decreto. 20 Per un’esaustiva e puntuale definizione di questa figura, la quale è strategica per ogni impresa, rimandiamo a ciò che indica l’ANORC Il Responsabile della conservazione digitale dei documenti è un digital document and information manager (o, per usare una definizione più diffusa in Europa, un digital preservation officer), una figura apicale e strategica per ogni ente pubblico, azienda o studio professionale. (http://www.anorc.it/anorc_professioni/responsabili_conservazione.php), o ancora fare riferimento alla Deliberazione CNIPA 11/2004, 19 febbraio 2004 e Note esplicative Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali (Gazzetta Ufficiale 9 marzo 2004, n. 57) disponibile all’indirizzo http://www.agid.gov.it/sites/default/files/circolari/deliberazione-cnipa-19-02- 04_0.pdf 21 È opportuno, per completezza, distinguere i documenti unici dai documenti non unici, come specificato all’art. 23 commi 3 e 4 del D.lgs 82/2005 e i relativi disposizioni circa la loro conservazione sostitutiva: 4. Le copie su supporto informatico di documenti originali non unici formati in origine su supporto cartaceo o, comunque, non informatico sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte se la loro conformità all'originale è' assicurata dal responsabile della conservazione mediante l'utilizzo della propria firma digitale e nel rispetto delle regole tecniche di cui all'articolo 71. 5. Le copie su supporto informatico di documenti, originali unici, formati in origine su supporto cartaceo o, comunque, non informatico sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte se la loro conformità all'originale è' autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite ai sensi dell'articolo 71. 22 S’intende ovviamente il Titolare così come definito dal D.lgs. 196/2003 23 D.M.E.F. del 17 giugno 2014 (Gazzetta Ufficiale Serie Generale n.146 del 26 giugno 2014) Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto - articolo 21, comma 5, del decreto legislativo n. 82/2005. (14A04778)
  8. 8. 7 2. Ai fini fiscali, la conformità all'originale delle copie informatiche e delle copie per immagine su supporto informatico di documenti analogici originali unici, è autenticata da un notaio o da altro pubblico ufficiale a ciò' autorizzato, secondo le modalità di cui all'art. 22, comma 2, del decreto legislativo 7 marzo2005 n.82, e delle relative regole tecniche. 3. La distruzione di documenti analogici, di cui è obbligatoria la conservazione, è consentita soltanto dopo il completamento della procedura di cui ai precedenti commi. La società o l’ente che si occupa del processo di distruzione deve possedere requisiti tecnici e professionali al fine di curare il processo e tutelare i dati che si vanno a distruggere. Molte aziende che si occupano di recupero carta e smaltimento, con gli scenari aperti dall’introduzione da una parte del Decreto Legislativo n. 196/2003 e con la sempre più massiccia diffusione di una cultura volta alla dematerializzazione24 , hanno colto un’occasione di business. Non a caso grandi realtà come l’AMSA di Milano25 hanno sviluppato accanto al trattamento dei rifiuti la distruzione documentale affiancandovi in ultimo la certificazione. L’OGGETTO L’oggetto della distruzione è il documento analogico su supporto cartaceo che soddisfa i seguenti requisiti in base alle normative vigenti:  Prescrizione dell’obbligatorietà di conservazione  Cessazione del trattamento ai sensi del D.lgs. 196/2003 Dopo la verifica in fase preliminare dei requisiti di cui sopra si esegue la valutazione del ricorso alla conservazione sostitutiva come previsto dalla normativa vigente per tutta o parte della documentazione. La Digital Forensic ci offre ottimi spunti procedurali, sarebbe opportuno redigere un documento che descriva tutto l’iter procedurale, in altre parole provvedere alla redazione di una catena di custodia al fine di certificare in maniera sostanziale il processo di conferimento dei documenti e loro distruzione, soprattutto nel malaugurato caso che le informazioni che si vanno a distruggere per imperizia, incuria, imprudenza o perfino dolo o siano rese pubbliche o siano carpite da soggetti terzi non autorizzati. I PRINCIPI Alla luce di quanto considerato, il processo di distruzione si basa su tre principi:  Conoscenza  Prudenza  Necessità 24 I riferimenti alla tutela ambientale ricorrono molto spesso tra le aziende del settore al fine di sensibilizzare gli utenti al processo di dematerializzazione, sarebbe interessante approfondire anche le tematiche legate al consumo energetico per la gestione dei datacenter ove si può decidere di archiviare i dati nelle prospettive future di un massiccio ricorso a tale procedura. 25 http://www.amsa.it/gruppo/cms/amsa/imprese/pero/servizipersonalizzati/distruzionedocumenti.html - peraltro osservo nella pagina di cui al link che si fa riferimento al DPS (documento programmatico di sicurezza) di cui l’obbligo è stato abrogato, vedasi anche le considerazioni nel testo del corso -E. BASSOLI, Fondamenti di diritto della comunicazione elettronica, 2014, 479
  9. 9. 8 La conoscenza della normativa in merito al trattamento delle tipologie di documenti e dei loro termini di scadenza, verifica di assenza di contenziosi od altri procedimenti per i quali i documenti costituiscono elementi probatori26 . In ogni caso è auspicabile optare per conservazione sostitutiva, ovvero provvedere ad un processo di digitalizzazione che produca documenti leggibili come i documenti unici e non unici che si vanno a distruggere. Il Decreto Ministeriale del 23 gennaio 2004 riporta chiaramente le definizioni di documento e in estrema sintesi detta la regola fondamentale alla quale attenersi: i documenti analogici laddove abbiano subito un processo di digitalizzazione al termine del quale i corrispondenti documenti informatici siano come quanto definito all’art. 1 C. 2 lett. a) Documento statico non modificabile”: documento informatico redatto in modo tale per cui il contenuto risulti non alterabile durante le fasi di accesso e di conservazione nonché immutabile nel tempo; a tal fine il documento informatico non deve contenere macroistruzioni o codice eseguibile, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati; La prudenza nel trattamento dei dati contenuti nei documenti, le fatture, le offerte possono costituire dai preziosi ai fini della concorrenza, la loro protezione salvaguarda l’attività aziendale. Altro aspetto, che riguarda specificamente il trattamento dei dati personali, attiene ad ogni documento dell’area delle Risorse umane, sia esso una busta paga, sia esso un certificato di analisi mediche27 . Non si può non ricadere nella disciplina della tutela dei dati personali in molti casi. La necessità di dover distruggere i documenti per ottimizzare lo spazio, per non aumentare i costi relativi alla giacenza di documenti cartacei il cui carico è rilevante ai fini delle normative per la prevenzione incendi e sicurezza sul lavoro28 (considerare le dimensioni degli archivi, le scaffalature e la loro conformità ai carichi di peso per esempio). CENNI SUL SISTEMA DI NORMAZIONE A livello europeo il CEN29 (European Committee for standardization) è un’associazione posta al vertice di una struttura che comprende gli enti di normazione; esso è ufficialmente riconosciuto da Unione Europea 26 Ovviamente per non ricadere nel reato di occultamento e distruzione di scritture contabili per esempio, in particolare l’art. 4 del D.lgs. 10 marzo 2000, n. 74 Nuova disciplina dei reati in materia di imposte sui redditi e sul valore aggiunto, a norma dell'articolo 9 della legge 25 giugno 1999, n. 205. (Gazzetta Ufficiale Serie Generale n.76 del 31-3-2000) recita: Occultamento o distruzione di documenti contabili 1. Salvo che il fatto costituisca più' grave reato, è punito con la reclusione da sei mesi a cinque anni chiunque, al fine di evadere le imposte sui redditi o sul valore aggiunto, ovvero di consentire l'evasione a terzi, occulta o distrugge in tutto o in parte le scritture contabili o i documenti di cui è obbligatoria la conservazione, in modo da non consentire la ricostruzione dei redditi o del volume di affari. 27 I dati idonei a rivelare lo stato di salute sono considerati sensibili, come previsto dall’art. 4 C.1 lett. d) D.lgs. 196/2003: dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; 28 DLgs. 9 aprile 2008 n. 81 - Testo coordinato con il D.lgs. 3 agosto 2009, n. 106 (Gazzetta Ufficiale n. 101 del 30 aprile 2008 -Suppl. Ordinario n. 108) - Decreto integrativo e correttivo: Gazzetta Ufficiale n. 180 del 05 agosto 2009-Suppl. Ordinario n. 142/L 29 https://www.cen.eu/Pages/default.aspx
  10. 10. 9 e EFTA (European Free Trade Association) e promuove l’implementazione di standard da applicarsi alla produzione. Ogni paese europeo ha il suo ente di normazione, in Italia è il caso dell’UNI ed in Germania è il caso del DIN, la sinergia tra norme di tali istituti e leggi è spesso ravvisabile. In estrema sintesi il CEN produce le norme (riconoscibili dal prefisso EN-) e qualora esse siano recepite dagli istituti di normazione nazionali, le stesso saranno codificate EN-prefisso ente nazionale- n. norma, per esempio avremo la norma EN UNI 1571330 e la norma EN DIN 32757. CENNI SULLO STANDARD DIN 66399 Molte aziende del settore fanno riferimento alla norma EN DIN31 32757-1, superata dalla pubblicazione nell’ottobre 2012 dalla norma 6639932 . Tali norme definiscono i livelli di sicurezza per la distruzione dei documenti. In particolare è definita una scala con tanto di misure di pezzatura del materiale di risulta al termine del processo di triturazione, tale da rendere i documenti inintelligibili né sia possibile materialmente ricostituire in alcun modo il documento originale. La norma EN DIN 3275733 -1 identificava sei livelli di sicurezza da adottare in base al tipo di documento, la norma 66399 ne identifica sette, inoltre vi sono tre classi di protezione e sei tipi di supporti. Merita menzione anche lo standard (recepito anche dall’UNI) 1571334 di cui riporto l’abstract: This European Standard gives recommendations for the management and control of confidential material destruction, to ensure that such material is disposed of securely and safely. The recommendations apply to a company’s main business premises and any holding sites. 30 A questo proposito, la ricerca presso il database CEN riporta, alla voce dello standard 15713: Secure destruction of confidential material - Code of practice - This European Standard gives recommendations for the management and control of confidential material destruction, to ensure that such material is disposed of securely and safely. The recommendations apply to a company’s main business premises and any holding sites. Lo standard 15713 a sua volta rimanda ancora alla categoria di riferimento EN 50131-1:2006 Alarm systems - Intrusion and hold-up systems 31 DIN Sigla del tedesco Deutsche Industrie Norm o anche Deutscher Industrie Normenausschuss («Norma industriale tedesca», o «Commissione tedesca per la normalizzazione nell’industria»), che nel linguaggio industriale designa le norme di unificazione adottate in Germania. Con tale sigla si indica anche un metodo (quello appunto adottato dalle norme tedesche) per la determinazione della potenza di un motore a combustione interna (www.treccani.it) 32 http://www.nia.din.de/cmd?level=tpl-art- detailansicht&committeeid=54738935&artid=155420083&languageid=en&subcommitteeid=54771182&bcrumblevel=4, in particolare è interessante l’abstract: Standard series DIN 66399 "Office machines - Destruction of data carriers" consists of the following parts: Part 1: Principles and definitions, Part 2: Requirements for equipment for destruction of data carriers. It applies for machines and facilities the intended use of which is to destruct information media containing sensitive information in a way that reproduction of the information displayed is either impossible or fairly difficult. Part 1 specifies the principles and definitions in the field of destruction of data carriers. Part 2 specifies the requirements for equipment for safe destruction of data carriers. The standards have been prepared by Working Committee NA 043-01-51 AA "Vernichten von Datenträgern" ("Destruction of data carriers"). 33 A titolo di esempio vedasi all’indirizzo http://www.ordineavvocati.napoli.it/public/AllegatiConvenzioni/20110519121140716M.V.%20Security%20data.pdf la proposta della ditta M.V. Security Data, prot. 2011/006534 Ordine degli Avvocati di Napoli che fa riferimento alla norma DIN summenzionata 34 http://standards.cen.eu/dyn/www/f?p=204:110:0::::FSP_PROJECT,FSP_ORG_ID:28393,6244&cs=1DD64D533F64DCB474 C533E6E37405D06
  11. 11. 10 3.5.1 Applicazione dello standard DIN alla distruzione di documenti cartacei I supporti classificati dalla norma DIN 66399 sono 6, i documenti cartacei sono la categoria n.1 Le classi di protezione sono tre (1,2,3) in ordine progressivo in base alla pericolosità della messa in circolazione dei dati e dalla loro confidenzialità. I Livelli di sicurezza sono sette e sono il prodotto dell’interpolazione tra i supporti contenenti i dati le classi di protezione, tali livelli costituiscono dunque una griglia valutativa della gestione del rischio e del grado di pezzatura del materiale, ad esempio nel nostro caso la carta, dovrà risultare al termine del processo di distruzione.35 4 LA DISTRUZIONE IN LOCO Una volta completato, se valutato come opportuno, da parte dell’azienda, il processo di dematerializzazione e quindi passaggio dei dati analogici su supporti digitali, una buona soluzione è rappresentata, in caso di grandi quantità di archivi e della disponibilità di spazio per le opportune attrezzature, alla distruzione in loco36 . Tale procedura presuppone un’adeguata formazione del personale della società terza che fornisce i mezzi per la distruzione, idoneità dei locali ove effettuare la distruzione37 . 5 IL DOCUMENTO DISTRUTTO DIVENTA RIFIUTO: DIFFERENZIARE COME VALORE AGGIUNTO L’intreccio normativo, il quale, come abbiamo visto, comprende gli aspetti fiscali, tributari, civilistici, relativi alla Privacy ed alla sicurezza sui luoghi di lavoro, si arricchisce dell’aspetto legato alla gestione del rifiuto. È bene distinguere il documento prima e dopo il processo di distruzione, ove per distruzione intendiamo il processo al termine del quale il supporto cartaceo contenente i dati è reso inintelligibile e resa impossibile 35 Riporto una nota di cui al Parere 03/2014 - WP 213 - http://www.privacy.it/grupripareri201403.html - che fa riferimento alle summenzionate norme DIN: Ad esempio, un distruggidocumenti di classe 2 con un livello di sicurezza P-4 o superiore secondo la classificazione DIN 66399 per i documenti cartacei. 36 Mi si consenta di citare l’esperienza professionale della sottoscritta a proposito di una distruzione in loco (14 luglio 2011) presso una nota multinazionale, in tale occasione si era provveduto a trasportare una trituratrice di dimensioni tali che hanno reso possibile la distruzione di 26 tonnellate di materiale cartaceo in 8 ore, alla fine del processo al cliente sono stati prodotti alcuni frammenti del materiale di risulta. La pezzatura si aggirava intorno ai 4mmx4mm ed il cliente si è ritenuto soddisfatto. Al termine della redazione del verbale di distruzione, il fornitore del macchinario, provvisto di opportune autorizzazioni per il trasporto rifiuti della classe CER relativa ha provveduto al trasporto per il corretto smaltimento, rilasciando copia del FIR (formulario di identificazione dei rifiuti). 37 Osserviamo che, in caso di distruzione presso impianto di terzi, il personale della società terza diventa Incaricato ai sensi del D.lgs. 196/2003.
  12. 12. 11 la sua ricostituzione in forma tale da poter rendere nuovamente disponibili i dati. Al termine del processo summenzionato si otterrà, di fatto38 un rifiuto che per la sua natura, dovrà essere opportunamente trattato. Le ditte specializzate dunque provvederanno, in ottemperanza alla normativa sui rifiuti, all’emissione dei documenti attestanti il corretto smaltimento del rifiuto (redazione del FIR – formulario di identificazione dei rifiuti con tutti i riferimenti, fra gli altri il codice CER che verosimilmente sarà il 15010139 ). 6 CONCLUSIONI, BEST PRACTICE E MODELLO IDEALE ALLA LUCE DELLE ATTUALI NORMATIVE In realtà non esiste una certificazione della distruzione documentale ma una prassi corrente di rilascio di certificazione da parte di società specializzate nel ritiro e trattamento. Nell’annoso percorso che il documento analogico sotto forma cartacea compie fino a giungere alla sua corretta distruzione entrano in gioco e si intrecciano diversi aspetti, l’aspetto tributario, amministrativo, la normativa sui rifiuti, la protezione dei dati. Per quanto concerne il conferimento di documenti presso terzi detto passaggio è cruciale sotto l’aspetto della sicurezza. Non a caso molte aziende del settore offrono soluzioni per imballaggi sigillati per il trasporto e la conservazione prima della distruzione materiale dei documenti cartacei, alcune aziende offrono infine anche servizi di riproduzione filmica del processo di distruzione40 La best practice risiede dapprima nell’individuare i documenti giunti a scadenza, provvedere alla cernita per un’eventuale digitalizzazione (principio prudenziale). A mio avviso la digitalizzazione41 dei documenti aventi rilevanza fiscale e civilistica è più che opportuna anche in caso siano trascorsi i termini di obbligatorietà e siano assenti contenziosi. Inoltre, alla luce di tutte le considerazioni sopra esposte, per alcuni dati per i quali non vi sia necessità di ulteriore conservazione (ravviso la categoria dei dati delle risorse umane, come le copie dei certificati di malattia per esempio) e non si ritenga necessaria la trasposizione in analogo documento digitale, la distruzione è un’occasione per eliminare dei rischi, peraltro il D.lgs. 196/2003, in particolare all’art. 16 recita: 38 È opportuno specificare che le buone pratiche prevedano, ove possibile, la separazione dei materiali degli archivi che si vanno a distruggere, nella fattispecie carta da plastica e metallo per esempio. 39 http://www.albonazionalegestoriambientali.it/Download/it/NormativaNazionale/013- DLGSa152_03.04.2006_AllDparteIV_AGG.pdf 40 Sorgono legittimi dubbi sempre sugli aspetti di sicurezza della privacy, come si può avere evidenza che il materiale portato in distruzione sia effettivamente quello conferito senza dare prova dell’intelligibilità dei documenti analogici prima della loro distruzione se non filmandone in parte in contenuto? 41 Circolare 36/E Agenzia Entrate del 6 dicembre 2006, art. 9: Distruzione dei documenti analogici. L'articolo 4, comma 4, del decreto disciplina la distruzione dei documenti analogici di cui è obbligatoria la conservazione. E' possibile distruggere il documento analogico solo una volta completato il processo di conservazione elettronica del documento stesso, ossia, solo dopo che il documento analogico sia stato memorizzato con le previste modalità e siano stati apposti dal responsabile della conservazione la firma elettronica qualificata e la marca temporale. Limitatamente ai documenti analogici originali unici, la distruzione degli stessi può' avvenire dopo l'apposizione del riferimento temporale e la sottoscrizione elettronica da parte di un pubblico ufficiale. Sono fatti salvi i poteri di controllo del Ministero per i beni e le attività culturali sugli archivi delle pubbliche amministrazioni, nonché su quelli privati di notevole interesse storico, ai sensi degli articoli 6, comma 4, del Testo Unico (in vigore fino al 31 dicembre 2005) e 43, comma 4, del Codice (in vigore dal 1 gennaio 2006).
  13. 13. 12 Cessazione del trattamento 1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: a) distrutti; b) ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; CATENA DI CUSTODIA DEL PROCESSO DI DISTRUZIONE CERTIFICATA Identificazione dei soggetti responsabili e relativi compiti da assolvere Soggetto Operazione Riferimento normativo Note Titolare del trattamento Verifica requisiti dei documenti D.lgs. 196/2003 Tutti i soggetti lavorano di concerto gli uni con gli altri, scambiano informazioni e si avvalgono del supporto di professionisti e consulenti (Commercialista, Tributarista, Consulente del Lavoro) Responsabile gestione del Personale Verifica i documenti analogici su supporto cartaceo giunti a scadenza, decide quali digitalizzare ai fini della conservazione sostitutiva. Norme civilistiche, fiscali, tributarie Titolare dell’impresa Verifica documentazione amministrativa, fiscale e tributaria giunta a scadenza, decide eventualmente quali documenti digitalizzare ai fini della conservazione sostitutiva Norme civilistiche, fiscali, tributarie Responsabile amministrativo e finanziario Responsabile della conservazione Cernita dei documenti destinati alla Digitalizzazione dal complesso dei documenti analogici di cui si è decisa la distruzione D.lgs. 196/2003 Fornitore del servizio di distruzione Ritiro in ottemperanza di tutte le misure idonee e preventive a preservare la riservatezza dei documenti D.lgs. 196/2003 – norme ambientali Il fornitore, al fine di evitare ogni rischio, osserverà rigidi criteri per la salvaguardia della privacy dei documenti Incaricato Persone fisiche che si occupano del trattamento. Esse debbono essere state adeguatamente formate per il compito da svolgere D.lgs. 196/2003 – D.lgs. 81/2008 BIBLIOGRAFIA G. MANDÒ, D. MANDÒ, Manuale dell’imposta sul valore aggiunto, Wolters Kluwer Italia srl, 2012 E. BASSOLI, Fondamenti di diritto della comunicazione elettronica, Amon Edizioni, 2014
  14. 14. 13 SITOGRAFIA http://archivio.cnipa.gov.it http://www.interlex.it http://www.agenziaentrate.gov.it http://www.gazzettaufficiale.it http://www.treccani.it http://www.anorc.it http://www3.istat.it http://www.commercialisti.it/Portal/Default.aspx http://www.anorc.it/notizia/345_Dal_cartaceo_al_digitale__l_eliminazione_legale_nel_CAD.html SITI ESAMINATI 42 PER LE RICERCHE SUL PANORAMA COMMERCIALE DELLE IMPRESE ESERCENTI L’ATTIVITÀ DI DISTRUZIONE CERTIFICATA www.distruzionedocumenti.com/ www.amsa.it/gruppo/cms/amsa/imprese/altri_comuni/servizipersonalizzati/distruzionedocumenti.html www.sicurdoc.it/distruzione-documenti.php www.centrodatisensibili.it › Servizi www.docout.es/distruzione-confidencial-certificata/ www.assanovara.it/servizi.../distruzione-certificata-archivi-e-documenti www.omtra.com/distruzione-documenti-in-sicurezza/ memory.uno/servizi/gestione.../distruzione-certificata-dati-sensibili/ www.digiwebuno.it/index.php?...id...distruzione-certificata.. www.s-eco.net/materiale-cartaceo-e-toner/raccolta-distribuzione-documenti-riservati www.vescovoromano.it/sito/index.php/.../servizi-di-distruzione-certificat... 42 Ricerca effettuata il 15/08/2015 con il motore di ricerca di Google

×