Conservazione Digitale a Norma: Cosa sta Cambiando con le Nuove Regole AgID e GDPR nel 2025

Introduzione: Un quadro normativo in evoluzione

Il 2025 segna un punto di svolta significativo per la conservazione digitale a norma in Italia. Il quadro normativo sta attraversando un'importante fase di trasformazione, caratterizzata dalla convergenza di regolamentazioni nazionali ed europee che impongono nuovi standard e requisiti.

Le organizzazioni si trovano ad affrontare un contesto dove le disposizioni AgID, il Regolamento eIDAS 2.0 (Regolamento UE 2024/1183) e le interpretazioni evolute del GDPR si intrecciano, creando un sistema di regole più complesso ma potenzialmente più armonizzato.

Secondo uno studio dell'Osservatorio Digital B2b del Politecnico di Milano (2024), il 68% delle aziende italiane considera la conformità normativa sulla conservazione digitale una delle principali sfide IT del biennio 2024-2025. Questa preoccupazione è giustificata: le sanzioni per non conformità possono raggiungere il 4% del fatturato globale annuo in base al GDPR, mentre le nuove disposizioni di eIDAS 2.0 introducono ulteriori requisiti tecnici e organizzativi.

In questo articolo, analizzeremo le principali novità normative e il loro impatto pratico sulla gestione documentale, illustrando come le organizzazioni possono adeguarsi efficacemente alle nuove regole.

AgID e Conservazione Digitale: Gli aggiornamenti 2025

Il percorso evolutivo delle Linee Guida

Le Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici, operative dal 2022, stanno attraversando un'importante fase di aggiornamento per allinearsi al nuovo contesto europeo.

Dal primo trimestre 2025, AgID ha avviato un processo di revisione che prevede:

1. Semplificazione dei requisiti tecnici: Snellimento delle procedure per la verifica della validità dei documenti conservati
2. Maggiore flessibilità nei formati: Ampliamento del catalogo dei formati documentali ammessi per la conservazione a lungo termine
3. Convergenza con gli standard eIDAS: Allineamento dei requisiti nazionali con quelli definiti dal servizio "eArchiving" del Regolamento eIDAS 2.0

Tra le novità più rilevanti vi è la revisione del "Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici" che comporta l'aggiornamento dei requisiti per i conservatori accreditati.

Manuale di conservazione: Le nuove specifiche

Il Manuale di conservazione, documento fondamentale richiesto dall'AgID per descrivere il sistema di conservazione, subirà importanti modifiche nel 2025. Le nuove regole prevedono:

• Maggiore dettaglio sui controlli di integrità: Obbligo di documentare le procedure per verificare regolarmente l'integrità dei documenti conservati
• Monitoraggio più stringente: Specifiche più dettagliate sui sistemi di monitoraggio continuo e sulla gestione degli incidenti
• Documentazione dei processi di migrazione: Regole precise sulla documentazione dei processi di migrazione da un sistema di conservazione all'altro

"Il manuale di conservazione rappresenta lo strumento fondamentale per garantire la conformità ai requisiti normativi e la corretta gestione dei documenti informatici nel tempo", ha sottolineato AgID nelle recenti linee guida pubblicate a marzo 2025.

Marketplace dei servizi di conservazione

Dal 2023, AgID gestisce il Cloud Marketplace che include la sezione dedicata ai servizi di conservazione. Nel 2025, i requisiti per l'iscrizione a questo marketplace vengono aggiornati alla luce del Regolamento eIDAS 2.0:

• Capitale sociale minimo: Per garantire solidità ai fornitori di servizi, viene introdotto un requisito di capitale sociale minimo
• Certificazioni di sicurezza aggiuntive: Requisiti di certificazioni più stringenti in linea con gli standard europei
• Interoperabilità europea: Capacità di operare nel contesto europeo secondo i nuovi standard eIDAS

Questi aggiornamenti mirano a creare un ecosistema di fornitori in grado di rispondere alle sfide della conservazione documentale in un contesto sempre più transnazionale.

eIDAS 2.0: Cosa significa per la conservazione documentale

Il nuovo servizio fiduciario: eArchiving

Il Regolamento eIDAS 2.0 (Regolamento UE 2024/1183), entrato in vigore il 20 maggio 2024, rappresenta una svolta epocale per la conservazione digitale in Europa. Tra le principali novità, l'introduzione del servizio fiduciario qualificato "eArchiving" (archiviazione elettronica) che stabilisce per la prima volta standard europei comuni per la conservazione documentale.

L'eArchiving, come definito dall'articolo 45 del regolamento eIDAS 2.0, è "un servizio che garantisce la ricezione, la conservazione, la cancellazione e la trasmissione di dati elettronici o documenti elettronici, garantendo l'integrità, l'esattezza dell'origine e le caratteristiche legali dei dati per tutto il periodo di conservazione".

Per le organizzazioni italiane, ciò comporta:

1. Riconoscimento transfrontaliero: I documenti conservati secondo gli standard eArchiving saranno riconosciuti in tutta l'UE
2. Interoperabilità obbligatoria: I sistemi di conservazione dovranno essere interoperabili con quelli degli altri Stati membri
3. Standardizzazione dei metadati: Adozione di set di metadati comuni a livello europeo

Qualificazione dei conservatori come Trust Service Provider

Una delle novità più significative riguarda lo status dei conservatori, che dovranno diventare prestatori di servizi fiduciari qualificati (QTSP - Qualified Trust Service Provider) secondo il Regolamento eIDAS 2.0:

• Requisiti patrimoniali: Necessità di un capitale sociale minimo di 5 milioni di euro
• Procedure di supervisione: Controlli periodici da parte dell'organismo di vigilanza (AgID in Italia)
• Responsabilità oggettiva: Responsabilità diretta per danni causati da negligenza

Questo approccio, secondo gli esperti del settore, potrebbe portare a una significativa riduzione del numero di conservatori attualmente presenti sul mercato italiano, favorendo processi di consolidamento.

Timeline di implementazione

L'attuazione completa del Regolamento eIDAS 2.0 seguirà un percorso graduale:

• 2024 (Q2): Entrata in vigore del Regolamento
• 2025 (Q1-Q2): Pubblicazione degli atti di esecuzione con le specifiche tecniche
• 2026: Piena operatività dei nuovi requisiti per i servizi di eArchiving

Le organizzazioni hanno quindi un periodo transitorio per adeguarsi, ma è fondamentale avviare quanto prima una gap analysis rispetto ai nuovi requisiti.

GDPR e Data Retention: Nuovi obblighi e responsabilità

Il principio di limitazione della conservazione: Interpretazione evoluta

Il GDPR ha introdotto nel 2018 il principio di "limitazione della conservazione" (art. 5, par. 1, lett. e), stabilendo che i dati personali devono essere conservati per un periodo non superiore a quello necessario per le finalità del trattamento.

Nel 2025, questo principio viene interpretato in modo più stringente alla luce delle recenti sentenze della Corte di Giustizia dell'UE e dei provvedimenti delle autorità di controllo:

1. Necessità di criteri oggettivi: Non è più sufficiente indicare genericamente "per il tempo necessario alla finalità", ma occorrono criteri precisi e documentati
2. Valutazione d'impatto obbligatoria: Per i trattamenti che prevedono conservazione a lungo termine è richiesta una DPIA specifica
3. Audit periodici: Obbligo di verificare periodicamente la necessità di continuare a conservare i dati

Data Retention Policy: Requisiti aggiornati

Le organizzazioni devono adottare una Data Retention Policy strutturata che preveda:

• Classificazione dei documenti: Categorizzazione in base al contenuto e alla rilevanza dei dati personali
• Definizione dei periodi di conservazione: Tempistiche precise per ciascuna categoria documentale
• Procedure di cancellazione sicura: Metodologie certificate per garantire la definitiva eliminazione
• Documentazione delle scelte: Registrazione delle motivazioni che giustificano i periodi di conservazione

La policy deve considerare sia gli obblighi legali di conservazione (es. documenti fiscali per 10 anni) sia i diritti degli interessati, incluso il diritto all'oblio.

Conservazione differenziata: L'approccio a livelli

Un'importante novità del 2025 è l'adozione di un approccio differenziato alla conservazione:

1. Periodo di utilizzo attivo: Conservazione completa durante l'utilizzo corrente
2. Periodo di disponibilità limitata: Accesso ristretto solo a personale autorizzato
3. Archivio a lungo termine: Conservazione con misure di sicurezza rafforzate
4. Anonimizzazione: Per conservazione a fini statistici o di ricerca

Questo approccio consente di bilanciare le esigenze operative con la protezione dei dati personali, mantenendo la compliance normativa.

Impatti operativi: Le modifiche da implementare

Sistema di gestione documentale: Adeguamenti necessari

Per conformarsi alle nuove normative, le organizzazioni devono apportare modifiche sostanziali ai propri sistemi di gestione documentale:

1. Aggiornamento dei metadati: Implementazione dei nuovi set di metadati richiesti da eIDAS 2.0
2. Rafforzamento delle misure di sicurezza: Adozione di controlli più rigorosi sull'accesso ai documenti conservati
3. Implementazione della conservazione by design: Integrazione dei requisiti di conservazione fin dalla fase di progettazione dei documenti
4. Interoperabilità avanzata: Capacità di interfacciarsi con sistemi di conservazione europei

Questi adeguamenti richiedono non solo modifiche tecniche ma anche un ripensamento dei processi di lavoro.

Procedure di controllo e verifica

Le nuove regole impongono procedure di controllo più rigorose:

• Audit trail completo: Tracciamento di tutte le operazioni sui documenti conservati
• Verifiche periodiche di leggibilità: Controlli programmati sulla leggibilità a lungo termine
• Test di ripristino: Simulazioni di recupero da scenari di disaster recovery
• Verifica dei formati: Controlli sulla conformità dei formati ai nuovi standard

Conservazione ibrida e migrazione

Molte organizzazioni si trovano a gestire archivi ibridi (cartacei e digitali) o a dover migrare sistemi legacy. Le nuove norme prevedono:

• Regole per la dematerializzazione: Procedure certificate per la digitalizzazione di documenti cartacei
• Processi di migrazione documentati: Requisiti più stringenti per le migrazioni tra sistemi
• Conservazione delle evidenze: Obbligo di mantenere le prove di autenticità durante i passaggi

Ruoli e responsabilità: Le nuove figure professionali

Il Responsabile della Conservazione: Evoluzione del ruolo

Il ruolo del Responsabile della Conservazione si evolve significativamente con le nuove normative:

• Competenze certificate: Necessità di qualifiche professionali specifiche e certificazioni
• Responsabilità ampliate: Supervisione dell'intero ciclo di vita del documento
• Coordinamento con altre figure: Interazione con DPO, CISO e Responsabile Transizione Digitale

Per le PA rimane l'obbligo di nominare un Responsabile della Conservazione interno, mentre per i soggetti privati questa figura può essere esternalizzata, purché siano chiaramente definite responsabilità e deleghe.

Trust Service Provider Qualificato: Nuova figura per l'eArchiving

Con l'introduzione dell'eArchiving in eIDAS 2.0, emerge la figura del Trust Service Provider Qualificato per i servizi di conservazione:

• Requisiti organizzativi: Struttura dedicata con personale qualificato
• Requisiti tecnici: Infrastrutture certificate secondo gli standard europei
• Requisiti finanziari: Capitale sociale minimo e garanzie finanziarie
• Monitoraggio continuo: Procedure di verifica e controllo costante

Questa figura rappresenta un'evoluzione del conservatore accreditato AgID, con requisiti più stringenti e una dimensione europea.

Data Protection Officer: Ruolo nella conservazione

Il DPO assume un ruolo cruciale nella conservazione documentale, soprattutto per quanto riguarda:

• Definizione dei periodi di conservazione: Supporto nella determinazione dei tempi di retention
• Procedure di anonimizzazione: Validazione delle tecniche di anonimizzazione per l'archiviazione a lungo termine
• Gestione delle richieste di cancellazione: Supervisione delle procedure per garantire il diritto all'oblio
• Audit di compliance: Verifiche periodiche sulla conformità al GDPR

La collaborazione tra Responsabile della Conservazione e DPO diventa essenziale per garantire un approccio integrato alla conformità normativa.

Come possiamo aiutarti

Comarch Italia accompagna le organizzazioni nel percorso di adeguamento alle nuove normative sulla conservazione digitale con un approccio graduale e personalizzato. Le nostre soluzioni di Enterprise Content Management sono sviluppate seguendo un approccio di compliance by design, per facilitare l'adeguamento alle nuove disposizioni normative di eIDAS 2.0, Linee Guida AgID e GDPR.

I nostri servizi includono:

• Assessment di conformità normativa: Analisi dei gap rispetto alle nuove regole e pianificazione degli interventi necessari
• Implementazione di sistemi di conservazione conformi: Soluzioni modulari che si adattano alle esigenze specifiche di ogni organizzazione
• Servizi di conservazione qualificati: In linea con i regolamenti vigenti
• Supporto alla migrazione: Servizi di migrazione sicura da sistemi legacy o da altri conservatori

Perché scegliere Comarch:

• Esperienza consolidata: Oltre 15 anni di esperienza nella gestione documentale e conservazione a norma
• Team multidisciplinare: Professionisti con competenze tecniche, legali e di compliance
• Approccio europeo: Soluzioni già allineate agli standard eIDAS 2.0
• Certificazioni: ISO 27001, ISO 9001 e conformità alle normative di settore
• Scalabilità: Soluzioni che crescono con le vostre esigenze, dal piccolo studio professionale alla grande azienda

Contattaci per:

• Una valutazione gratuita del livello di conformità dei tuoi sistemi di conservazione
• Una demo delle nostre soluzioni di Enterprise Content Management
• Una consulenza sugli impatti di eIDAS 2.0 sulla tua organizzazione

CONTATTACI