ATLANTI • 25 • 2015 • n. 1 La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida Maria GUERCIO, Ph.D. professor of archival science and records management, Sapienza University of Rome, Digilab, via dei Volsci 122, 00100 ROMA, Italy e-mail: mc9468@mclink.it Certification and Trusted Digital Repositories: the Role of Standards and Policies ABSTRACT The contribution discusses digital preservation issues with specific reference to the role of standards and policies relevant for digital repositories certification and auditing. The analysis will focus on the OAIS reference model and related standards at the basis of ISO 16363 and ISO 16919, their evolution in the last decade and the critical aspects still open (such as the development of accreditation bodies and the level of parameters for metrics and assessment). The role of policies for digital preservation is also examined as output from international research (InterPARES and APARSEN) and in the Italian legislation, briefly described as a case study. Key words: digital preservation, digital repository, certification, policy, information governance, OAIS La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida SINTESI Il contributo analizza il tema della conservazione digitale con specifico riferimento agli standard e alle linee guida recentemente approvati con lo scopo di gestire in modo adeguato e comparabile processi di valutazione, l'eventuale certificazione e la successiva verifica dei depositi che offrono servizi di conservazione digitale. Si con-siderano in questa sede, innanzitutto, i modelli di riferimento che costituiscono le basi per la certificazione (il modello OAIS da un lato e i principi di InterPARES). Si ricostruisce il percorso di ricerca e di riflessione che ha condotto all'approvazione degli attuali standard ISO 16363 e 16919 sulla conservazione e che è strettamente legato al lavoro condotto in Nordamerica dal Research Library Group e dagli archivi nazionali statunitensi (National Archives and Record Management). Si analizzano a questo proposito le criticità della fase attuale (assenza di auditor e di associazioni in grado di accreditare i necessari profili professionali, insufficiente sviluppo di una metrica per la comparazione dei requisiti indicati negli standard). Infine si discute, con riferimento alle raccomandazioni del progetto APARSEN, il ruolo cruciale di policy e linee guida per sostenere la qualità dei processi di conservazione. La normativa italiana di settore è brevemente analizzata in quanto specifico studio di casi. Parole chiave: conservazione digitale, deposito digitale, certificazione, policy, information governante, OAIS Certificiranje in zaupanja vredni digitalni repozitoriji: vloga standardov in usmeritev IZVLEČEK Prispevek obravnava vprašanja digitalne hrambe s posebnim poudarkom na vlogo standardov in usmeritev, pomembnih za certificiranje in nadzor digitalnih repozitorijev. Analiza se bo osredotočila na referenčni model OAIS in sorodne standarde na podlagi standardov ISO 16363 in ISO 16919, njihovega razvoja v zadnjem desetletju in kritičnih, še vedno odprtih vidikov (kot so npr. razvoj akreditacijskih organov in nivo parametrov za meritve in ocene). Prispevek prav tako obravnava vlogo usmeritev za digitalno hrambo, ki so nastale kot rezultat mednarodnih raziskav (InterPARES in APARSEN) in tistih v italijanski zakonodaji, ki so na kratko opisane kot študije primerov. Ključne besede: digitalna hramba, digitalni repozitorij, certificiranja, usmeritve, upravljanje z informacijami, OAIS 245 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 1 II ruolo crescente delle rególe di organizzazione per la conservazione digitale La conservazione digitale ha alle spalle una lunga storia di ricerche internazionali che risale ormai ad almeno vent'anni fa. Non è questa la sede per ripercorrere quelle vicende (Guercio 2014) che, grazie ad alcuni progetti di particolare spessore e qualità, oltre che persistenza hanno condotto l'intera comunità internazionale verso la definizione condivisa di un quadro comune di principi e requisiti, in grado oggi di formare una base imprescindibile di riferimento per interventi operativi nel campo della conservazione. Senza entrare in dettagli che non possono trovare spazio in un breve intervento, è tut-tavia utile proporre in questo contesto una sintetica lettura dell'evoluzione che ha segnato questo processo e dei modelli che lo hanno caratterizzato. Prima di avviare questa riflessione che vede al centro alcuni progetti di ricerca e alcuni standard di particolare successo, è opportuno ricordare che nessuno di essi ha avuto - per un lungo periodo almeno - il sostegno dei finanziamenti europei che non sono certo mancati nel campo della conservazio-ne digitale, ma hanno scarsamente premiato le istituzioni che conservano i patrimoni documentari e, nello specifico, hanno completamente ignorato quelle archivistiche, sebbene sia proprio in questo ambito che si concentrano i problemi più impegnativi del settore, sia per la differenziazione dei materiali prodotti, sia per la complessità dei requisiti da rispettare (non solo l'accesso e l'integrità, ma anche l'autenticità dei documenti in termini di forma e contenuti e il rispetto dei contesti originari di frui-zione). Questa disattenzione ha avuto conseguenze inevitabili sulla qualità e sulla rapidità delle solu-zioni proposte: ha limitato e impoverito il livello di interdisciplinarità della ricerca e ha, quantomeno, rallentato l'adozione di standard e raccomandazioni condivise in settori cruciali come quello della gestione documentale. Fortunatamente, alcune iniziative internazionali hanno comunque trovato soste-gno e riconoscimento e hanno consentito di sviluppare uno spazio di ricerca archivistico promuovendo processi di normalizzazione e l'incontro fruttuoso, anche se non immediato, con la dimensione degli standard. Ci si riferisce in particolare alla famiglia dei progetti di InterPARES e al proficuo ricorso al modello OAIS (Ccsds 2012) che, sia pure in ambito nordamericano più che europeo, gli archivisti hanno sviluppato anche al fine di promuovere iniziative di certificazione. Chi scrive ritiene che InterPARES da un lato e lo standard OAIS dall'altro costituiscano due componenti essenziali di questa vicenda soprattutto per l'ambito documentario, nonostante il fatto che i due progetti non si siano esplicitamente correlati. Entrambi, del resto, si definiscono e maturano nello stesso periodo, la metà degli anni Novanta. Si intrecciano, sia pure parzialmente, soprattutto nella fase iniziale allorché il gruppo di ricerca guidato da Luciana Duranti della University of British Columbbia affronta il compito di definire un modello di riferimento per l'intero sistema di conserva-zione e discute e valuta anche il modello OAIS allora ancora in fase di prima elaborazione. Il gruppo di ricerca Ubc ha in ambito archivistico l'importante responsabilità di aver stabilito (a partire dalla definizione di un quadro concettuale per la conservazione di documenti digitali autentici - Authenticity framework - elaborato nel 2000) un quadro di riferimento concettuale che è stato pro-gressivamente approfondito nelle fasi successive del progetto consolidandosi e diffondendosi in ambito archivistico. Il progetto OAIS ha il merito di aver proposto un modello architetturale aperto e trasver-sale, sufficientemente flessibile e generale da poter essere utilizzato in contesti diversi, a cominciare da quello della ricerca scientifica e della conservazione. I due modelli sono tra i più longevi in questo ambito oltre che - come si è detto -integrabili e intrinsecamente coerenti, pur mantenendo obiettivi molto diversi e facendo riferimento a comunità distinte: il gruppo internazionale che ha coordinato InterPARES (1998-2012) e che è ancora attivo con il progetto I-Trust conflicting rights (2013-2018) ha realizzato una serie rilevante di prodotti spe-cifici per le istituzioni archivistiche con finalità di ricerca applicata: documenti di analisi, linee guida, studi di casi; il gruppo che ha condotto alla definizione di OAIS ha operato nel mondo della ricerca scientifica (originariamente aerospaziale, successivamente allargato ad altri settori pur sempre ricondu-cibili al mondo della hard science) e ha soprattutto concentrato gli sforzi sulla predisposizione di standard riconosciuti per la modellazione di sistemi generali di conservazione, sottolineando la valenza trasversale e astratta dell'architettura modello e la sua adattabilità e flessibilità. E' solo in una fase suc-cessiva e molto recente (a partire dagli anni 2009-2010) che il gruppo promotore dello standard (il Consultative Committee for Space Data Systems - CCSDS) si è dato il compito di predisporre indica-zioni più operative finalizzate a sostenere in primo luogo il lavoro di verifica della qualità dei sistemi di 246 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 conservazione dedicando attenzione specifica in particolare alle rególe di natura organizzativa, come si avra modo di approfondire nella seconda parte di questo intervento. Non diversamente, InterPARES nella fase 2 del progetto (2002-2006) predispone linee guida per regolare le modalita operative e le procedure per la formazione dei documenti e per la loro conservazione digitale. Le Guidelines (InterPARES 2006) elaborate per i soggetti produttori e per le strutture di conservazione includono (oltre al rispetto dei requisiti archivistici) indicazioni per: - il corretto affidamento della responsabilita per i documenti da conservare a personale che dispone di adeguate conoscenze e competenze professionali, - strumenti di analisi dei rischi in relazione al nodo dell'autenticita e affidabilita dei documen-ti, - il mantenimento del controllo sui dati e sui documenti grazie ad appropriati meccanismi di workflow sin dalla fase di formazione dei documenti, - la predisposizione di meccanismi di protezione e piani operativi della sicurezza e di disaster recovery, - l'acquisizione della documentazione di processo con specifico riferimento al versamento nel sistema di conservazione e agli interventi successivi necessari ad assicurare l'aggiornamento del sistema, dei documenti e delle informazioni descrittive. La crescente attenzione del gruppo di ricerca di InterPARES 2 per le policy e per la definizione sistematica di regole e di procedure finalizzate ad assicurare la qualita organizzativa del sistema di con-servazione e a definire con notevole dettaglio compiti e responsabilita e anche il frutto dell'indagine condotta sulle nuove forme dinamiche e interattive dei documenti digitali non piu riconducibili alla produzione di risorse testuali relativamente facili da controllare sia dal punto di vista della provenienza che per quanto riguarda l'integrita e l'identita dei materiali da conservare (Duranti, Thibodeau, 2006): siti web e database - per fare un esempio - richiedono interventi precoci dettagliatamente regolamen-tati e documentati perché la loro tenuta nel tempo sia gestibile a costi contenuti. In questa prospettiva, lo standard OAIS - di cui comunque le proposte di InterPARES tengono conto - fornisce un modello di riferimento flessibile, ma non prevede indicazioni specifiche di natura organizzativa e non delinea scenari operativi, lasciando un ampio margine di autonomia ai depositi. 2 I depositi digitali per la conservazione secondo il modello OAIS e le indicazioni per la certificazione Il modello definito dallo standard ISO 14721 e in larga parte orientato a definire workflow di processo (submission, ingestion, data management, preservation planning, data management, access) e individuare le responsabilita di natura strategica che ogni deposito e chiamato ad assumere ("negotiate and accept information from Producers, determine which community should become the Designated Community, ensure that Information Packages are independently understandable, ensure Information Packages are preserved, make preserved Information Packages available"), anche se l'analisi e limi-tata a indicazioni generali: come si e sottolineato in precedenza la norsi delinea un modello ed evita di fornire scenari d'uso. L'assenza di dettagli e di vincoli costituisce la forza e la debolezza dello standard. Si tratta peraltro di una scelta consapevole operata nella fase originaria e mai rinnegata dai suoi auto-ri. Gli elementi di forza sono naturalmente legati alla capacita del modello di adattarsi a qualunque contesto e a qualunque comunita di riferimento, mentre i limiti dello standard in ragione della sua genericita rendono la conformita ad esso difficilmente dimostrabile e ancor piu facilmente, quindi, asseribile anche a fronte di sistemi 'deboli' sul piano della qualita dei processi di conservazione. E per questa ragione che, pochi anni dopo l'approvazione della prima versione dello standard ISO avvenuta nel 2003, le istituzioni che lo avevano promosso hanno sentito l'esigenza di avviare uno studio per la definizione di strumenti di rafforzamento sul fronte organizzativo, finalizzati a offrire strumenti di analisi dettagliata per la verifica di conformita e meccanismi di auto-analisi e avviare un percorso di conformita al modello certificabile. "Trusted Digital Repositories: Attributes and Responsibilities" e il titolo di questo primo strumento che vede la luce nel 2002 a cura del Research Library Group (Research Library Group 2002). Per dar vita a un deposito trusted in grado di superare positi- 247 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 vamente un processo di accreditamento - si disse allora - non potevano bastare le 'semplici' indicazioni di conformità del modello di base. Poiché si riconosceva che la finalità di un trusted digital repository fosse quella di "fornire accesso affidabile e a lungo termine a risorse digitali che appartengono a una specifica comunità di riferimento", si affermava la necessità di basare le attività di valutazione sulla definizione della documentazione necessaria a individuare con certezza le caratteristiche tecniche dei depositi, incluse - allora solo parzialmente - le responsabilità e le procedure esistenti, nonostante la dinamicità della dimensione digitale. Le esigenze prefigurate nel 2002 e la difficoltà di sciogliere il nodo della elaborazione/condivisio-ne di una metrica sono apparse chiare negli anni successivi anche se ancora oggi la questione non ha trovato una piena soluzione, nonostante i numerosi tentativi condotti da importanti team di ricerca e alcuni significativi risultati acquisiti: il progetto Drambora finalizzato alla definizione di meccanismi di auto-valutazione, la nuova edizione dello standard OAIS nel 2012, gli standard ISO 16363 e 16919 promossi dal CCSDS e resi disponibili nella forma Magenta books (CCSDS 2011), le sperimentazioni sul campo realizzate nell'ambito del progetto europeo APARSEN che si è tra l'altro dedicato a definire anche un quadro di raccomandazioni per la creazione di policy sulla conservazione e l'accesso (APARSEN 2014) In tutti questi casi, oltre al modello OAIS, il riferimento principale è costituito dal documento di requisiti approvato dal gruppo di lavoro guidato dagli archivi nazionali statunitensi e dalla Research Libraries Group (RLG) che nel 2003 hanno dato vita alla Digital Repository Certification Task Force con lo scopo di promuovere iniziative di valutazione-certificazione e di sviluppare strumenti di misu-razione orientati ai processi e al controllo delle responsabilità. Uno dei principi cardine della Task Force è il riconoscimento che la funzione conservativa, per essere sostenibile oltre che accurata, deve integrarsi il prima possibile con le attività di formazione dei documenti. Il prodotto finale della Task Force, una cheklist, dei criteri e parametri necessari all'attività di certificazione è stato approvato nella forma definitiva nel 2007 con il titolo di Trustworthy Repositories Audit and Certification (TRAC): Criteria and Checklist (Research Library Group-Nara Digital Repository Certification Task Force 2007). Fornisce una struttura dettagliata che costituisce da allora il punto di riferimento per tutti i progetti e gli standard rilevanti che hanno visto la luce in materia di certificazione, inclusi il citato progetto Drambora e i diversi standard ISO adottati ufficialmente negli ultimi anni in questo ambito. Anche la normativa italiana sulla conservazione digitale predisposta in forma quasi definitiva nel 2011 e poi approvata nella serie di regole tecniche dell'Agenzia per l'Italia digitale con il dpcm 3 dicembre 2013 deve molto alla checklist non diversamente dai documenti di progetto da cui ha preso vita, tra gli altri, anche il Polo archivistico della Regione Emilia Romagna. Il documento articola i criteri (e i relativi parametri di valutazioni) in quattro aree (organizzazio-ne interna, cooperazione con i produttori e gli utenti finali, gestione tecnica del sistema e gestione tecnica degli oggetti finali), di cui le prime tre sono sostanzialmente e, in alcuni casi, esclusivamente concentrate sugli aspetti organizzativi e di management del deposito, confermando quanto già osser-vato in precedenza a proposito della crescente consapevolezza della rilevanza di questa dimensione nella conservazione digitale. A conferma di quanto ora affermato, il primo nucleo di requisiti è espli-citamente riferito all'organizzazione interna e include tra gli elementi essenziali di valutazione la pre-senza di policy per la conservazione, la documentazione delle finalità, delle responsabilità, delle procedure e delle risorse, la continuità del sistema e dei servizi, la gestione della qualità e la pianificazione. L'ambito della cooperazione con i produttori e gli utenti finali prevede che si definiscano e si docu-mentino in modo esplicito la comunità di riferimento, i criteri e le responsabilità della selezione e si predispongano linee guida per l'acquisizione, accordi di servizio e di cooperazione con i produttori, insieme all'approvazione di politiche chiare per l'accesso e la consultazione. Anche la gestione tecnica del sistema è documentata in relazione ai modi in cui il deposito gestisce e assicura la qualità, la con-formità agli standard, garantisce l'autenticità dei contenuti e le attività di migrazione. 3 Conformità: requisiti e métrica L'adesione al modello OAIS e il rispetto ai principi di InterPARES non costituiscono tuttavia le basi sufficienti a garantire un livello adeguato e misurabile di qualità del deposito e dei processi di conservazione in relazione agli standard adottati. 248 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 Emerge infatti dalle esperienze condotte anche a livello internazionale che l'affidabilita del deposito deve essere analizzata in dettaglio e deve potersi riferire all'esistenza documentata e verificabile di procedure esplicite e formalizzate, concretamente passibili di valutazione e successiva certificazione con particolare riferimento alle persone che agiscono nel sistema di conservazione e alle attivita ritenute cruciali e, quindi, soggette a pianificazione, normalizzazione e controllo e accuratamente documentate. I principi e i criteri che hanno guidato i progetti per la certificazione dei depositi derivano dalle esperienze condotte gia per l'analogo processo sviluppato per la qualita e la sicurezza informatica a partire dalla meta degli anni Novanta e giunto a una prima significativa conclusione con l'approvazione dello standard ISO 27001:2005. La famiglia ISO 27000 riguarda la definizione, anche a fini di certificazione, dei requisiti per la creazione di un Information Security Management System (ISMS) e include linee guida di supporto (a partire dallo standard ISO/IEC 17799:2005 ritirato a seguito della succes-siva approvazione dello standard 27002:2007). Tutte le soluzioni proposte per la certificazione dei sistemi di conservazione digitale sono ispira-te a principi e finalita comuni: sono guidate da una filosofia bottom-up che parte dall'analisi delle situa-zioni esistenti e dal confronto con i portatori di interesse; hanno l'obiettivo di guidare i depositi nella fornitura di rapporti e documentazione in grado di essere valutati in sede di verifica ma anche di costi-tuire le basi per una verifica complessiva da parte delle comunita di pratiche e dalle discipline di riferimento. Alla base di queste iniziative c'e il presupposto metodologico condiviso che considera la certi-ficazione un aspetto essenziale per garantire la qualita della funzione conservativa anche se condotto, in una prima fase nella forma di una metrica 'auto-gestita' grazie alla presenza di una lista dettagliata di requisiti. Si ritiene inoltre che l'accreditamento - inteso come riconoscimento di qualita dei deposi-ti - si configuri come un processo continuo (da sottoporre periodicamente a verifica) e basato sul costante rapporto tra il requisito di volta in volta esaminato e la documentazione specifica fornita. Tra i documenti considerati essenziali figurano: - il mandato istituzionale, - le direttive per l'accesso che descrivono il ruolo degli utenti e le modalita con cui si e possi-bile consultare i contenuti digitali conservati, - gli accordi di servizio con i depositari, inclusivi dei documenti tecnici che guidano gli inter-venti di conservazione e includono indicazioni sulla scelta dei formati, sui programmi, sui supporti, sulle forme di monitoraggio interno. I requisiti definiti nelle sedi di ricerca ora ricordate si sono consolidate nell'ultimo decennio grazie al'intervento del citato Consultative Committee for Space Data Systems (CCSDS) che riunisce le agenzie spaziali che operano sul piano internazionale al fine di definire gli standard necessari alla ricerca di settore. L'ente a partire dal 2008, in stretta relazione con il modello OAIS e sulla base delle esperienze dei depositi collegati alla rete dei centri di ricerca aerospaziale - che peraltro era condiviso anche dai progetti ora ricordati - ha creato un gruppo di lavoro (MOIMS (Mission Operations Information Management Services) Repository Audit and Certification Working Group) per l'elaborazione di un sistema operativo di certificazione. Si intendeva tener conto, naturalmente, del lavoro condotto in precedenza ma si riteneva anche necessario sviluppare un modello funzionale ulteriore in grado di guidare le attivita di verifica successiva anche grazie a un codice di comportamento per i verificatori. Il lavoro si e concluso con l'approvazione degli standard ISO 16363:2012 - Audit and certification of trustworthy digital repositories (TDR) e ISO 16919:2014 - Requirements for bodies providing audit and certification of candidate trustworthy digital repositories, pubblicati nella forma gia ricordata di un Magenta book gratuitamente scaricabili dal sito del CCSDS, come gia avvenuto nel caso dello standard OAIS . Le due norme ISO sulla certificazione non sono ancora del tutto operative per la mancanza di un corpo indipendente di auditor in grado di svolgere con neutralita e competenza il ruolo di verifica-tori e di attestare la qualita del deposito. In questa fase ancora iniziale di applicazione dello standard ci si e limitati ad alcune esperienze di test condotte nell'ambito del progetto APARSEN (APARSEN 2012) e ad alcuni casi di auto-valutazione sulla base della griglia approvata, tra cui ad esempio l'inizia-tiva promossa dal progetto LOCKSS (CLOCKSS 2014). Lo standard stesso prevede piu livelli di valutazione:un primo intervento interno al deposito, finalizzato alla verifica della solidita delle soluzio-ni adottate, un secondo esterno affidato a verificatori possibilmente riconosciuti da organismi di accre-ditamento. Nel complesso, si certificano i settori tradizionali del sistema di conservazione, quali le ri- 249 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 sorse umane, la gestione e l'organizzazione del deposito, le procedure adottate e le modalita per il trattamento e la descrizione dei contenti informativi e, nello specifico, la capacita di gestire gli impegni assunti per conto terzi, l'efficacia e l'adeguatezza delle policy adottate, il rispetto degli standard di natura sia tecnica che organizzativa, tra cui ad esempio lo standard ISO 15489 per la gestione del sistema documentario del deposito, il rispetto delle norme sula privacy e sull'accesso, la qualita delle attivita di pianificazione e controllo sia in ambito gestionale che tecnico. Sebbene la definizione di una metrica per gestire la certificazione della funzione conservativa sia ritenuta essenziale per il successo dell'intervento di normalizzazione in corso, non e stato possibile fi-nora accompagnare i numerosi requisiti con un sistema pesato di valutazione. Lo stesso standard ISO 16363 che ha adottato il modello previsto gia nel 2007, inclusa l'infrastruttura organizzativa (capitolo terzo), la gestione degli oggetti digitali (capitolo 4) e la gestione del rischio per gli aspetti tecnici e di sicurezza (capitolo 5), non ha fissato i criteri specifici per pesare la valutazione. Le attivita di certificazione ai sensi dello standard citato hanno comunque cominciato a diffon-dersi sia pure in modalita sperimentale come e accaduto nell'ambito del progetto APARSEN che ha testato l'applicabilita dei requisiti in sei depositi (tre in Europa e tre negli Stati Uniti). Si stanno inoltre diffondendo casi di autovalutazione della qualita dei sistemi di conservazione basata sui requisiti dell'ISO 16363. L'Italia ha addirittura deciso di adottarlo nell'ambito della propria regolamentazione tecnica nella forma di uno specifico allegato e l'Agenzia per l'Italia digitale che svolge in questa fase il compito dell'accreditamento dei depositi certificati ha utilizzato la griglia dettagliata dello standard per definire i requisiti di qualita e sicurezza su cui basare la propria valutazione (Agid 2014). Al di la di alcune criticita, merita sottolineare in questa sede che le prime applicazioni del mo-dello hanno evidenziato il ruolo determinante nel promuovere la qualita di procedure ben definite, adeguatamente documentate e sostenute da direttive interne in grado - allo stesso tempo - di rispettare, anche sommandoli, i requisiti dello standard prevedendone una documentazione normalizzata. E' il caso, ad esempio, dell'indicazione per la tenuta di un registro dei rischi gia prevista dalla norma ISO 27001, dell'obbligo di gestire i versamenti tenendo conto di accurati e verificabili processi di validazio-ne e di documentare in modo formale (applicando le indicazioni dello standard ISO 15489 sul record management) le attivita di negoziazione. La presenza di una modulistica ben definita per le attivita di maggior rilievo (ad esempio per gli accordi di servizio, per la consultazione e il controllo degli accessi, per la selezione e lo scarto, ma anche per la formazione dei pacchetti di versamento e di archiviazione) e procedure rigorose e trasparenti per l'assunzione del personale e l'aggiornamento professionale degli operatori e una ulteriore componente che attesta nei principi generali e nei dettagli il rispetto dello standard. Nella normativa nazionale italiana, in base sia al dpr 445/2000 che al codice dell'ammini-strazione digitale e le relative regole tecniche (regole sul protocollo informatico, sul documento informatico, sulla conservazione digitale e sulle firme elettroniche) molti dei requisiti elencati nella norma ISO sono di fatto confluiti in due documenti di policy generali previsti sia per il soggetto produttore che per il deposito: il manuale di gestione e il manuale di conservazione (Guercio 2013). Nel comples-so si tratta di direttive che prevedono indicazioni sulle responsabilita interne per la produzione dei documenti rilevanti in materia di formazione, gestione e conservazione dei documenti digitali, sulla gestione dei versamenti, sulle modalita per la formazione e gestione dei pacchetti informativi ricevuti e conservati, sulle verifiche della loro integrita, sul monitoraggio in materia di sicurezza e di qualita tecnica del sistema di conservazione (formati, supporti, metadati, standard utilizzati). Pur prestandosi a qualche critica per l'eccesso di controlli e di dettagli richiesti, la recente normativa italiana (la prima a livello europeo che adotta rigorosamente lo standard OAIS e lo stesso standard ISO 16363 su larga scala per tutte le tipologie di archivi digitali e al fine di assicurare livelli di controllo comparabili) consente - se ben applicata - di verificare la qualita e coerenza dei sistemi di conservazione, soprattutto nel caso di outsourcing per la documentazione della pubblica amministra-zione, per la quale l'obbligo di accreditamento e periodica verifica dei depositi e stabilito da una norma di legge (dpcm 3 dicembre 2013). 250 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 4 Policy e direttive d'indirizzo per la conservazione: i principi per un quadro co-mune di riferimento La letteratura di settore e i risultati dei progetti di ricerca hanno chiarito il ruolo crescente e cruciale della regolamentazione interna nel campo della conservazione digitale, sia allo scopo di miglio-rare l'efficienza del sistema sia al fine di tenere sotto controllo i rischi connessi alla funzione conservativa. Si tratta tuttavia di un'area d'intervento che ha ancora bisogno di riflessione e di sistematizzazio-ne. La stessa terminologia in uso presenta un ampio margine d'incertezza e di ambiguità, a partire dal concetto di policy cui si ricorre frequentemente con significati e valori diversificad. Nei sistemi infor-mativi, da cui il termine deriva la policy è definita in quanto "accountability framework to encourage desirable behavior" nelle attività di valutazione, formazione, archiviazione, uso e distruzione delle in-formazioni: indicazioni generali e coerenti che includono "the processes, roles, standards and metrics that ensure the effective and efficient use of information in enabling an organization to achieve its goals" (Logan 2010). In sostanza, si attribuisce alla policy il compito di governare la gestione dei contenuti informati-vi rilevanti per l'affidabilità dell'organizzazione in modo da assicurare efficienza e qualità nell'esercizio del mandato istituzionale. Si tratta naturalmente di regole che hanno bisogno di essere ulteriormente circostanziate in base al tipo di informazioni considerate e che, nel caso dei patrimoni documentari, si misurano con aspetti di natura legale e con specifiche indicazioni e tradizioni nazionali. In questo contributo, il ruolo delle policy è analizzato in relazione alla gestione dei documenti archivistici con specifico riferimento alla loro funzione di certezza giuridica e di supporto alla memoria storica, di tra-sparenza e di garanzia della qualità del supporto documentario al flusso di lavoro e al processo decisio-nale. I nodi che le policy per la gestione, tenuta, conservazione e fruizione degli archivi devono considerare includono la completezza dei documenti e dei relativi metadati (con particolare attenzione per le informazioni di provenienza e contesto), la capacità di garantire l'equilibrio tra esigenze di traspa-renza e di accesso, la definizione adeguata delle responsabilità e dei ruoli rilevanti nel corretto esercizio della funzione documentaria nel tempo (sia nella fase di formazione che nelle successive fasi di conser-vazione, la qualità e l'affidabilità dei luoghi e delle istituzioni deputate alla tenuta dei documenti in termini di infrastruttura organizzativa e tecnologica anche a fini di verifica ed eventuale certificazione. A tale scopo una policy per la gestione e/o la conservazione dei documenti deve necessariamente individuare gli standard, le raccomandazioni e le regole di cui si richiede l'applicazione per ragioni di continuità operativa e amministrativa in relazione al dominio considerato e assicurando la coerenza tra le diverse (e talvolta conflittuali) esigenze informative (ad esempio in materia di privacy, accesso e tra-sparenza, segretezza, diritto all'oblio). Non mancano indicazioni di metodo in questo ambito, soprattutto da parte di quelle tradizioni che, a differenza di quella italiana, non dispongono di una normativa generale e di dettagliati regola-menti tecnici. Nel mondo anglosassone meritano di essere citate le indicazioni fornita dall'associazione dei record manager americani (ARMA) che hanno delineato una sorta di meta-policy per il trattamen-to dei documenti digitali, individuando i principi di base necessari allo sviluppo di una struttura coe-rente, inclusiva e sistematica capace di guidare le diverse organizzazioni nella definizione del proprio sistema di regolamentazione interno. "Generally accepted recordkeeping principles" (ARMA 2015) è il nome del documento che elenca le raccomandazioni in questo ambito. In particolare i principi individuati includono: - l''accountability in base a cui un'organizzazione è tenuta ad adottare policy e procedure che guidino il personale nella gestione dei documenti in modo da assicurare monitoraggi, con-trolli e verifiche del suo operato attraverso la produzione di documenti appropriati e idonee modalità di accesso, - Yintegrità in quanto componente essenziale per la gestione di risorse autentiche, - laprotezione dei documenti e dei dati in relazione alla necessità di assicurarne la riservatezza e la segretezza, ma anche il loro mantenimento ai fini della continuità operativa, - la conformità agli standard e alla normativa e regolamentazione nazionali e internazionali o di settore, 251 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 - Yusabilita e accessibilita dei documenti e dei dati con un grado adeguato di efficienza e accu-ratezza, - la selezione, la tenuta e lo scarto che rispondono ai diversi requisiti legali e operativi in essere nelle diverse tradizioni nazionali, - la trasparenza con l'obiettivo di rendere realmente disponibili documenti e dati ai cittadini, al personale e alle parti interessate. Si tratta naturalmente di indicazioni generali che devono poi tradursi in indicazioni dettagliate, settoriali e coerenti con le legislazioni di ciascun paese e con gli standard di riferimento. Nel campo della conservazione digitale il progetto europeo APARSEN (come si e gia ricordato) ha condotto uno studio specifico sulla natura e struttura di policy per la gestione di dati e documenti tenendo conto dei risultati ottenuti nei test di valutazione dei depositi digitali condotti nel 2012 (APARSEN 2012), ma anche raccogliendo informazioni di prima mano grazie a un impegnativo lavoro di ricognizione realiz-zato a livello internazionale. Sono state individuate le componenti rilevanti delle policy esistenti (mandato istituzionale, regole sull'acquisizione dei documenti, indicazioni sulle modalita di memorizzazio-ne, accesso, esibizione, conservazione e selezione per lo scarto) e si sono raccolte all'interno di un quadro unitario alcune semplici ma essenziali raccomandazioni diffuse soprattutto a livello europeo presso le istituzioni di memoria (archivi, biblioteche, musei, istituzioni della ricerca scientifica)1. Le raccomandazioni elencate nella tabella sottostante (tabella 1) fotografano le caratteristiche ricorrenti emerse nel corso della ricognizione e non fanno riferimento esclusivo al settore archivistico. Anche per questa ragione alcuni aspetti sembrano piu rilevanti di altri, ad esempio in materia di gestione del rischio e privacy. Si riconosce comunque sempre il ruolo centrale di un corretto esercizio delle responsabilita tecniche e organizzative sia in relazione all'acquisizione in deposito delle risorse, sia per quanto riguarda la gestione interna e le regole per l'accesso. Tabella 1. Le raccomandazioni di Aparsen per le policy sulla conservazione digitale Functions Recommendations Governance and funding Recommendation 1: Sustainability of funding for digital preservation and access should be assessed and clearly communicated to the users Recommendation 2: When defining a digital preservation policy, as well as the implementation of such a policy, it should be considered as a core business activity and should thus be embedded into an organization's overall policies, with clear mappings to other key policies within the organization 1. Le istituzioni analizzate incudono: UK National Archives UK, National Archives of Estonia, National Library of Wales, National Archives of Canada, National Archives of Australia, National Museum of Australia, Archives and National Library of New Zealand, National Library and National Archives of Norway, UK Parliamentary Archives, UK Data Information Specialists Committee, German Research Foundation, Ministry of Education and Science of Spain, Swedish Research Council, Sapienza Digital Library, Biotechnology and biological Sciences Research Council, European Commission, Canadian Heritage Information Network, Ministry of Science & Technology of India, Agenzia per l'Italia digitale, JISC, Ministry of Education and Culture of Finland. 252 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 Data policy and data policy adherence Recommendation 3: Cooperation with similar organizations and users should be stated within a policy on digital preservation and access. Describing the level of cooperation and possible agreements are noteworthy. The applicability of policy to other organizations and possible benchmarking activities for future purposes is recommended. Recommendation 4: A policy should be made available on the web and be easily retrieved Recommendation 5: A policy should include its goals and the target group Recommendation 6: A policy should encourage (or establish if appropriate) open access to data. If needed, the policy should recommend embargo periods and solutions for handling privacy concerns Recommendation 7: The mechanisms for updating the policies should be explicit Recommendation 8: Incentives to apply the policy should be provided. The skills required from users in order to be able to follow the policy should be identified, and the availability of any support services should be described in the policy. Recommendation 9: A policy should include risk assessment with contingency planning and an exit strategy Data requirements, preservation and re-use Recommendation 10: A policy should include the type of data addressed, from published papers or results funded under a particular programme. A digital preservation policy should always include some elements dedicated to digital preservation (file formats, metadata requirements, etc.) and to the appraisal/retention rules, both with reference to international standards and to national legislation and rules. The policy should give guidance on how long data needs to be preserved Recommendation 11: A policy should include specification of standards and interoperability. Any requirements for compliance with standards should be clearly defined, even if the list of requisite standards varies according to the specific nature of the institution. Responsibilities and ownership Recommendation 12: A policy should specify who to contact to actually preserve and share data, and who takes care that the policy is implemented. Responsibilities for implementing the policy should be based on the organization chart of the institution according to the internal administrative roles and hierarchy. The policy should make a clear distinction between various areas of responsibilities: risk assessment, updating and disseminating the policy, and implementing and respecting the policy Recommendation 13: The license systems should be standardized and simplified, or at least clearly expressed. If possible, the policy should give recommendations on licenses to use, as well as possible reuse restrictions. Further, workflows for acquiring digital resources and for identifying obligations and rights for users must be declared and clearly described 253 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 Reference list Agid -Agenzia per l'Italia digitale (2014), Requisiti di qualita e sicurezzaper I'accreditamento e la vigilanza. Available at www.agid.gov.it/sites/default/files/documentazione/requisiti_di_qualita_e_sicurezza_v.1.1.pdf (accessed on 12.06.2015). APARSEN (2012), Deliverable 33. 1b. Report on peer review of digital repositories. Available at www.alliance-permanentaccess.org/wp-content/uploads/downloads/2014/06/APARSEN-REP-D33_1B-01-1_1_incURN. pdf (accessed on 12.06.2015). APARSEN (2014), Deliverable 35.1. Exemplar good governance structures and data policies, Available at http://www.alliancepermanentaccess.org/index.php/aparsen/aparsen-research/wp35-data-policies-and-gover-nance (accessed on 12.06.2015). ARMA (2015), Generally accepted recordkeeping principles. Available at http://www.arma.org/r2/generally-accepted-br-recordkeeping-principles (accessed on 12.06.2015). CLOCKSS (2014), Clockss Audit Report. Available at www.crl.edu/reports/clockss-audit-report-2014 (accessed on 12.06.2015). consultative committee for space data systems (2011), Audit and Certification of Trustworthy Digital Repositories. Magenta Book. Issue 1. September 2011. Available at Available at www.public.ccsds.org/publica-tions/archive/650x0m2.pdf (accessed on 12.06.2015). consultative committee for space data systems (2013). Reference Model for an Open Archival Information System (OAIS). Draft Recommendation for Space Data System Standards, Washington. Available at www.public. ccsds.org/publications/archive/650x0m2.pdf (accessed on 12.06.2015). Duranti L., Thibodeau K. (2006), The concept of record in interactive, experiential and dynamic environments: the view of InterPARES. Archival Science, 6, pp. 13-68. Guercio M. (2013), The Italian case: legal framework and good practices for digital preservation. In CULTURAL HERITAGE on line. Trusted digital repositories & trusted professionals. Firenze 11-12 December 2012. Firenze: Fondazione Rinascimento digitale. Available at http://nbn.depositolegale.it/urn:nbn:it:frd-9406, http://www.rinascimento-digitale.it/conference2012/paper_ic_2012/guercio_paper.pdf (accessed on 12.06.2015). Guercio M. (2014), Conservare il digitale. Bari-Roma: Laterza. InterPARES (2006), InterPARES, Creator guidelines. Making and maintaining digital materials: guidelines for individuals; Preserver guidelines. Preserving digital records: guidelines for organizations, Appendix 21. In InterPARES 2, International research on permanent authentic records in electronic systems 2, experiential, interactive and dynamic records, L. Duranti, Randy Preston editors, pp. 685-698 e 699-712. Available at http://www.interpares. org/ip2/display_file.cfm?doc=ip2_book_part_5_modeling_task_force.pdf (accessed on 12.06.2015). Logan D. (2010), What is information governance? And why is it so hard?, January 2010. Available at http:// blogs.gartner.com/debra_logan/2010/01/11/what-is-information-governance-and-why-is-it-so-hard/ (accessed on 12.06.2015). Research Library Group-Nara Digital Repository Certification Task Force (2007), Trustworthy repositories audit and certification (TRAC): criteria and checklist. Available at http://www.crl.edu/sites/default/files/attachments/ pages/trac_0.pdf (accessed on 12.06.2015). Research Library Group/Oclc Working group on digital archive attributes (2002), Trusted digital repositories. Attributes and responsibilities. An RLG-OCLC Report, Mountain View, CA: RLG. Available at www.rlg.org/en/ pdfs/repositories.pdf (accessed on 12.06.2015). SUMMARY Many projects have been funded in the last years with the aim of improving the quality of the preservation of digital heritage and building a common basis for comparing principles and solutions. The European Commission has supported a relevant number of projects with the aim of creating a common theoretical framework and successful and sustainable applications for protecting and preserving the outcomes of scientific research. Unfortunately, none of these programs has involved or included the memory institutions (more specifically the archival institutions) where the concrete problems of digital preservation are very urgent and not avoidable and where a robust conceptual framework has been clearly and early implemented and recognized as the fundamental basis for fruitful and practical solutions. The negative consequences of this European perspective is not easy to measure but in any case it has limited the interdisciplinary level of the analysis and the coordination among 254 ATLANTI • 25 • 2015 • n. 1 Maria GUERCIO: La certificazione e i depositi digitali: il ruolo degli standard e delle linee guida, 245-255 sectors and domains. In particular, for this reason, the OAIS standard and related following projects for supporting certification processes - even if funded at European level - have not been able to profit from the experience matured in the European archival sector and, in general, in the institutions of memory. Not differently, the main literature on digital repositories, their evaluation and certification have been developed mainly if not only with reference to the programs of digital libraries, which cannot considered the most relevant and the most crucial and complex dimension for preservation. Nevertheless, thanks to other international initiatives the development of rules and policies for keeping and preserving digital resources has been for almost fifteen years at the centre of analysis and initiatives of the scientific and professional communities in the archival sector and has been able to influence, even if not directly, the research outputs in many other domains. In the first phase of this effort, the most relevant aim was the definition of principles and functional requirements for digital preservation; more recently the attention has been concentrated on the role of policies and standards with the capacity of sustaining normalized processes for evaluating and measuring the institutions and related repositories dedicated to the preservation of digital objects and/or records. The accreditation/certification of such repositories has become more and more central in connection with models compliant with OAIS (Ccsds 2012) and other relevant standards (ISO 15489 for building formal documentation of the repository itself, recommendations and standards for security and data protection such as ISO 17799:2005 and 27001), other standards for descriptive metadata and formats). Today the scientific and professional community recognizes the relevance of internal policies able to identify responsibilities, procedures, workflows. Both these aspects (the compliance with technical and professional standards and the respect of detailed rules and procedures) are implemented as crucial components of a preservation infrastructure but also as precious tools for measuring the quality of organizational and technical solutions and supporting their sustainability. The standard ISO 16363 is going to play a crucial role at international and European level to create an efficient infrastructure for measuring the quality of the organizational issues useful both for building national legislations and for creating a common metric for evaluation. In the last part, this contribution provides a brief overview of the requirements based on the OAIS model for the creation of trusted digital repositories and on the development of policy frameworks compliant with ISO standards on certification (ISO 16363 and ISO 16919). This analysis considers as a specific case the recent Italian legislation (2013-2014) with reference to the rules which establish the level of compliance with the standards and a detailed list of requirements, services, activities and responsibilities which does not yet constitute a metric but provide the basis for its future development for an international certification process. Typology: 1.04 Professional Article Submitting date: 15.03.2015 Acceptance date: 09.04.2015 255