Governance e sostenibilità organizzativa nei repository digitali: la Sezione 3 dello standard ISO 16363

Governance e sostenibilità organizzativa nei repository digitali: la Sezione 3 dello standard ISO 16363

L’affidabilità di un repository digitale non si misura soltanto nella robustezza dei sistemi tecnologici, ma nella solidità della sua struttura organizzativa e nella capacità di garantirne la continuità nel tempo.
È questo il punto di partenza della Sezione 3 dello standard ISO 16363 – Audit and Certification of Trustworthy Digital Repositories, dedicata a “Governance and Organizational Viability.

La sezione 3 rappresenta il primo pilastro delle metriche normative previste dallo standard, e inaugura il gruppo più ampio denominato Organizational Infrastructure.
Il suo obiettivo è valutare la capacità di un repository di mantenere nel tempo la propriamission, la gestione delle risorse e la responsabilità istituzionale necessarie per assicurare la conservazione a lungo termine delle informazioni digitali conservate.

La “Organizational Viability” non si limita alla sopravvivenza dell’organizzazione: include la resilienza, la capacità di adattamento ai mutamenti normativi e tecnologici, e la predisposizione di piani di continuità, successione e contingenza che garantiscano la permanenza del servizio anche in scenari avversi.

All’interno di questo quadro, la Dichiarazione della mission del Repository (Repository Mission Statement) costituisce la pietra angolare: essa formalizza, al più alto livello amministrativo, l’impegno dell’organizzazione verso la conservazione a lungo termine.
Da tale impegno discendono il Piano Strategico di Conservazione (Preservation Strategic Plan), le politiche, le procedure e i piani di emergenza che concretizzano la governance del repository e ne garantiscono la sostenibilità nel tempo.

Questa introduzione segna dunque l’avvio di un percorso di analisi che, partendo dalle metriche della Sezione 3.1, esplorerà i requisiti fondamentali che ogni repository digitale deve soddisfare per essere considerato affidabile, conforme e durevole nel contesto normativo internazionale.

L’annoso problema delle traduzioni: governance and organizational viability

Nei principali riferimenti normativi e standard italiani collegati ai repository digitali (come OAIS, ISO 16363 e le Linee guida AgID sulla conservazione), l’espressione “Governance and Organizational Viability” è tradotta e interpretata con i seguenti concetti:

Qui utilizzeremo Governance e sostenibilità organizzativa in quanto è la formula oggi più riconosciuta e utilizzata nei documenti tecnici e nei manuali di gestione e conservazione, poiché combina l’idea di direzione e controllo con quella di continuità e capacità di mantenimento nel tempo.

Repository Mission Statement: fondamento della conservazione digitale

La dichiarazione di mission del repository rappresenta il pilastro fondamentale della Sezione 3.1 dello standard ISO 16363, dedicata alla governance e alla sostenibilità organizzativa. Questa dichiarazione, formalmente autorizzata dalla direzione, esprime l'impegno dell'organizzazione nella gestione e conservazione degli oggetti digitali affidati alle sue cure.

Il significato della mission

Un repository digitale affidabile si riconosce innanzitutto dalla sua missione: garantire un accesso duraturo e sicuro alle risorse digitali destinate alla propria comunità di riferimento, sia nel presente che nel futuro. Questo impegno non è solo una dichiarazione d'intenti, ma costituisce l'essenza stessa dell'identità del repository.

L'obbligo normativo

La metrica 3.1.1 stabilisce chiaramente che il repository deve possedere una dichiarazione di obiettivi istituzionali che rifletta esplicitamente l'impegno verso la conservazione, il mantenimento nel lungo periodo, la gestione e l'accessibilità delle informazioni digitali. Si tratta di un requisito vincolante, necessario per assicurare che questi principi siano riconosciuti e sostenuti ai massimi livelli amministrativi dell'organizzazione.

Dimostrare la conformità: le prove richieste

Durante un processo di audit o certificazione, non basta affermare di essere impegnati nella conservazione digitale: il repository deve dimostrarlo concretamente attraverso documenti ufficiali.

Esistono diversi modi per fornire questa prova:

- Attraverso documenti istituzionali

Il repository può presentare la propria dichiarazione di mission o, se fa parte di un'organizzazione più ampia, lo statuto dell'ente di appartenenza. Questi documenti devono menzionare chiaramente l'impegno verso la conservazione, la gestione e l'accesso alle informazioni digitali nel lungo periodo.

- Attraverso mandati normativi

In alternativa, può essere sufficiente dimostrare l'esistenza di un obbligo legale: una legge, un regolamento o un mandato istituzionale che imponga esplicitamente al repository di conservare e gestire le risorse digitali. In questo caso, l'impegno deriva direttamente da un vincolo normativo esterno.

Perché questa distinzione è importante

La norma ISO 16363 riconosce che i repository operano in contesti diversi: alcuni hanno piena autonomia e possono definire liberamente la propria mission, altri sono strutture interne a enti più grandi (università, amministrazioni pubbliche, aziende) e devono far riferimento a documenti strategici dell'organizzazione madre o a obblighi di legge. Ciò che conta è che l'impegno verso la conservazione digitale sia formalmente riconosciuto e documentato, indipendentemente dalla fonte che lo sancisce.

Dal principio all'azione: la pianificazione strategica

La dichiarazione di mission non è fine a se stessa, ma genera un percorso operativo che si sviluppa in fasi successive. L'impegno generale espresso dalla mission si traduce concretamente nel Piano Strategico di Conservazione, un documento che definisce obiettivi e traguardi specifici, radicati nei valori e nella visione dell'organizzazione. Questo piano diventa quindi lo strumento attraverso cui il repository prende decisioni amministrative consapevoli, definisce politiche coerenti e alloca risorse in modo efficace per preservare con successo le proprie collezioni digitali.

Preservation Strategic Plan: il piano strategico di conservazione: dall'impegno all'azione

Se la dichiarazione di mission stabilisce l'impegno generale del repository, il Preservation Strategic Plan, (PSP) è lo strumento che trasforma questo impegno in una strategia concreta e realizzabile. Si tratta di un elemento centrale della governance e della sostenibilità organizzativa previsto dalla Sezione 3.1 dello standard ISO 16363.

Che cos'è e a cosa serve

Il Piano Strategico di Conservazione è un documento formale, autorizzato dalla direzione del repository, che specifica gli obiettivi da raggiungere per adempiere alla parte della mission dedicata alla conservazione digitale. Può articolarsi in piani a lungo e a breve termine, coprendo tipicamente un periodo che va dai 3 ai 5 anni.

Secondo la metrica 3.1.2, il repository deve dotarsi di un PSP che definisca chiaramente l'approccio da adottare per sostenere la propria mission nel lungo periodo. Questo documento diventa indispensabile per orientare le decisioni amministrative, definire le politiche operative e allocare le risorse necessarie a conservare efficacemente le collezioni digitali. Il piano deve radicarsi nei valori, nella visione e negli obiettivi dell'organizzazione.

La cascata dei documenti: dalla visione alla pratica

Il PSP si colloca all'interno di una precisa gerarchia documentale che garantisce coerenza tra gli ideali dichiarati e le azioni quotidiane:

Dichiarazione di mission del repository: esprime l'impegno generale verso la conservazione.

Piano Strategico di Conservazione (PSP): definisce obiettivi e traguardi specifici per realizzare la mission di conservazione.

Politica di Conservazione: illustra gli approcci e i metodi che il repository adotterà, in linea con quanto previsto dal PSP.

Piano di Attuazione della Conservazione: traduce le politiche in procedure e servizi operativi concreti.

Qiundi mentre la mission dichiara l'impegno, il PSP stabilisce cosa si intende ottenere, mentre la politica e il piano di attuazione spiegano come raggiungerlo.

Il PSP non è un documento isolato, ma rappresenta il fondamento della sostenibilità a lungo termine, intrecciandosi con diversi aspetti della gestione del repository:

Strategie di conservazione (Sezione 4.3.1): il PSP guida lo sviluppo di strategie documentate per affrontare i rischi identificati e garantire che le informazioni rimangano accessibili e utilizzabili nel tempo.

Gestione del rischio tecnico (Sezione 5.1.1): la capacità di recuperare i contenuti digitali dopo errori operativi o perdite di dati richiede un supporto finanziario e una pianificazione strategica adeguati, elementi che trovano spazio proprio nel PSP.

Sostenibilità finanziaria (Sezione 3.4): la pianificazione strategica si collega direttamente ai processi di pianificazione aziendale necessari per assicurare la continuità del repository.

Durante un audit, il repository può provare di possedere un PSP conforme presentando il documento stesso, i verbali delle riunioni in cui è stato discusso o approvato, e la documentazione delle decisioni amministrative prese sulla sua base.

In definitiva, il Piano Strategico di Conservazione è il ponte che collega l'impegno formale espresso nella mission con la realtà operativa della conservazione, assicurando che risorse e decisioni siano costantemente allineate con gli obiettivi di lungo periodo.

Piano di Successione/Emergenza (Contingency):  garantire la continuità anche nell'imprevisto

Cosa accade se un repository cessa di operare? Chi si prende cura dei dati digitali custoditi? Il Piano di Successione ed Emergenza (Contingency Plan) risponde a queste domande cruciali, rappresentando un pilastro fondamentale della governance e della sostenibilità organizzativa previsto dalla Sezione 3.1 dello standard ISO 16363. L'esistenza di questo piano è essenziale per dimostrare l'affidabilità a lungo termine del repository e garantire la conservazione dei dati anche negli scenari più avversi.

La metrica 3.1.2.1 stabilisce chiaramente che il repository deve dotarsi di un piano di successione/cessazione appropriato, di piani di emergenza e, se necessario, di accordi di deposito fiduciario (escrow). Questo obbligo scatta non solo in caso di chiusura definitiva del repository, ma anche quando l'istituzione di riferimento cambia radicalmente il proprio scopo o quando il repository non può più garantire la conservazione a lungo termine di specifici oggetti digitali.

Il motivo di questo documento è evidente, senza un piano strutturato, il contenuto informativo affidato al repository rischierebbe di andare perso. Il piano assicura invece che i dati vengano trasferiti a un custode affidabile, preservando la catena di custodia e impedendo la dispersione del patrimonio digitale.

Cosa significa dimostrare la conformità

Non basta dichiarare buone intenzioni: il piano deve essere concreto, documentato e verificabile. Durante un audit, il repository deve presentare prove tangibili del proprio livello di preparazione:

Documentazione formale Un piano di cessazione ed emergenza scritto e credibile, che vada oltre le dichiarazioni generiche e identifichi procedure specifiche da seguire.

Accordi di deposito fiduciario Devono esistere accordi che garantiscano l'accesso a codice critico, software e informazioni sufficienti per ricostituire il repository e il suo contenuto in caso di fallimento dell'organizzazione.

Risorse finanziarie dedicate Fondi accantonati specificamente per gestire le emergenze e il deposito fiduciario, assicurando che la continuità operativa non dipenda solo dalla volontà, ma anche dai mezzi economici.

Accordi con organizzazioni successorie Intese formali con enti che potrebbero subentrare nella gestione, documentando le misure da adottare per garantire un trasferimento completo della responsabilità, dei contenuti digitali e dei relativi diritti.

Impegno esplicito di continuità Una dichiarazione specifica che documenti l'intenzione di garantire la continuità del repository, descrivendo i passi già compiuti e quelli futuri. La durata del finanziamento garantito è un elemento chiave nella valutazione del rischio.

Vigilanza attiva: riconoscere quando agire

Non basta avere un piano: bisogna anche sapere quando metterlo in pratica. La metrica 3.1.2.2 richiede che il repository monitori costantemente il proprio ambiente organizzativo e finanziario per individuare i segnali che rendono necessaria l'attivazione del piano di successione o degli accordi di emergenza.

La direzione deve implementare procedure formali per verificare periodicamente la sostenibilità del repository. Le prove di questo monitoraggio possono emergere da politiche amministrative, analisi finanziarie, piani aziendali e ogni altra evidenza di vigilanza attiva e preparazione. Una buona pratica consiste nel mantenere copie di tutti gli AIP (Archival Information Package) e degli strumenti di accesso in un formato indipendente dal sistema, in modo che le informazioni possano essere trasferite con un preavviso minimo.

Il collegamento con la capacità tecnica di esportazione

La sostenibilità organizzativa si intreccia inevitabilmente con le capacità tecniche del repository. Il piano di successione/cessazioone può essere attuato solo se il repository è tecnicamente in grado di esportare gli AIP verso la nuova destinazione nei tempi richiesti, fornendo anche le specifiche tecniche necessarie per l'estrazione delle informazioni.

Questa capacità di esportazione, prevista dalla Sezione 4.3 dello standard, è vitale per garantire che gli oggetti digitali possano essere importati con successo nel sistema di conservazione del custode successore. In alcuni casi, i piani di emergenza potrebbero includere anche procedure documentate per la distruzione controllata di determinate collezioni, seguendo protocolli specifici e nel rispetto delle normative vigenti.

In definitiva, il Piano di Cessazione ed Emergenza non è un documento da tenere nel cassetto "per ogni evenienza", ma uno strumento vivo che richiede aggiornamento costante, risorse dedicate e una vigilanza continua sull'ambiente in cui opera il repository.