La metodologia del foresight si pone come una nuova cassetta degli attrezzi che le organizzazioni possono utilizzare per perseguire con maggior efficacia i loro obiettivi in ambito data protection, per gestire aspetti come la compliance delle imprese e l’enforcement per le autorità. Il tema è emerso anche durante la Milano Digital Week, portato all’attenzione da Régis Chatellier, responsabile di foresight presso il laboratorio di innovazione del Garante Privacy Francese (CNIL), e da una tavola rotonda di esperti hanno esplorato le sinergie tra foresight e protezione dei dati.
Il foresight porta con se molteplici tecniche e metodologie a supporto del decision making strategico, tecniche che si possono impiegare, ad esempio, per delineare una serie di scenari analizzando le nuove tendenze e i segnali di cambiamento, per orientare le decisioni strategiche di organizzazioni e istituzioni. Utilizzare il foresight non vuol dire predire il futuro, ma definire una serie di “futuri” per prepararsi meglio a varie eventualità.
Nel campo della protezione dei dati, si stanno intraprendendo percorsi innovativi nell’uso di tali strumenti, soprattutto ad opera delle autorità di supervisione: EDPS, CNIL e ICO in primis. Vale la pena soffermarsi su queste iniziative e comprenderle meglio, per capire come il foresight stia venendo implementato nelle attività delle autorità di supervisione.
LINC, il laboratorio d’innovazione della CNIL
La prima autorità a dimostrare interesse verso l’utilizzo del foresight nel contesto della privacy e delle nuove tecnologie è stata la Commission Nationale de l’Informatique et des Libertés (CNIL), Autorità francese per la protezione dei dati personali. Già nel 2011, la CNIL ha istituito un team interdisciplinare dedicato alla redazione di rapporti prospettici, articoli, pubblicazioni, blog e studi empirici, al fine di fare luce sulle tendenze future.
Un primo esempio è dato da La plateforme d’une ville[1] un report incentrato su una analisi delle smart city anche in risposta al nuovo panorama dato dall’arrivo delle grandi aziende di dati, focalizzandosi sulla creazione di nuovi modelli di regolamentazione che rispettino gli individui e le loro libertà. Un’altra dimostrazione dell’interessante lavoro svolto dalla CNIL è data da un libro bianco dedicato ai mezzi di pagamento. Quand la confiance paie[2] si concentra invece sulle sfide per la protezione dei dati nei pagamenti individuando ed analizzando le diverse modalità di pagamento attuali e quelle future.
Tra i principali obiettivi di questo team c’è la volontà di agevolare analisi che superino il confine dei semplici aspetti legali e tecnici, coinvolgendo dimensioni etiche, sociali, aziendali ed economiche[3]. Questi elementi multidisciplinari vengono successivamente integrati nelle decisioni e nelle comunicazioni ufficiali promosse dalla CNIL. Il team si avvale, inoltre, di scenari che consentono di simulare situazioni ipotetiche e anticiparne gli sviluppi.
Un esempio pratico
Un caso pratico è rappresentato proprio dalla matrice a quattro scenari, che delinea specifici scenari relativi all’uso dei dati con l’intento di ripristinare un equilibrio tra sfera pubblica e privata, salvaguardando i diritti e gli interessi di organizzazioni e individui[4]. Queste iniziative dell’Autorità francese dimostra chiaramente l’orientamento proattivo della CNIL nell’affrontare i dilemmi inerenti alla protezione dei dati e alle sfide poste dalla rapida evoluzione delle tecnologie, sottolineando l’importanza di considerare tutte le prospettive e le dimensioni coinvolte per garantire un quadro giuridico adeguato e una protezione dei dati equilibrata.
Il sito del LINC è una risorsa importante che permette di comprendere la prospettiva unica che la CNIL vuole adottare in ambito privacy. Questo spazio si pone come punto di incontro tra la CNIL e vari attori del panorama digitale, come imprese, istituzioni, associazioni e rappresentanti della società.
L’obiettivo della CNIL è quello di dotarsi di una visione proattiva e anticipante, non limitatamente a specifici settori – come quello tecnologico o di policy – ma in maniera più generale, con il fine di stimolare l’intera struttura a adottare un pensiero più olistico e innovativo. Questa trasformazione permette alla CNIL di espandere la gamma di soluzioni che può offrire, arricchendo così la sua capacità di risposta e la sua proposta di valore in un contesto in continua evoluzione.
TechSonar, per le tecnologie emergenti in EDPS
Il progetto TechSonar dell’European Data Protection Supervisor (EDPS) ha lo scopo di identificare le tendenze emergenti nel campo delle nuove tecnologie e della tutela dei dati personali, consentendo di migliorare l’efficacia di politiche e strategie dell’autorità.
La caratteristica fondamentale di TechSonar è il rigore metodologico che garantisce accuratezza nei risultati. L’approccio si sviluppa attraverso diverse fasi. La prima fase è caratterizzata da uno “scouting”[5] iniziale, affidato ad un coordinatore interno, il quale si dedica a un monitoraggio continuo di fonti rilevanti online e all’analisi dei dati forniti da piattaforme di settore e proprietarie.
Successivamente, si dà avvio ad una fase di brainstorming collettivo all’interno di una apposita “task force” costituita da esperti interni all’autorità con l’obiettivo di comprendere le forze che guidano il cambiamento, identificare i segnali deboli e riconoscere le loro interazioni. I risultati di questa fase permettono di identificare quali saranno le tecnologie che, in una finestra temporale prestabilita (solitamente un anno) produrranno i maggiori effetti per quanto riguarda la protezione dei dati personali (es. nuove tecnologie particolarmente invasive e potenzialmente lesive dei diritti dei soggetti interessati). Ciascuna di queste tecnologie è quindi affidata a un “Tech Champion”, un esperto interno designato che ne segue da vicino lo sviluppo e che redige un rapporto dedicato che viene analizzato e discusso dall’intero team di Tech Sonar per migliorare e affinare i risultati.
Al termine, l’esito delle analisi viene pubblicato in un report e viene dato avvio a una serie di attività promozionali e di advocacy sia interne che esterne[6].
I report riflettono l’evoluzione e la complessità delle dinamiche relative alle tecnologie analizzate, esponendo sia i vantaggi che le sfide connesse a questa pratica emergente nel panorama delle nuove tecnologie e della privacy.
TechHorizon, gli scenari del futuro dell’ICO
Anche l’Information Commissioner’s Office (ICO), autorità inglese di protezione dei dati, ha avviato una attività di foresight [7]. Più specificamente, l’ICO analizza e valuta le tecnologie emergenti con il fine di agevolare le imprese nella comprensione di tali tecnologie e dei loro effetti. Il rapporto annuale “Technology Horizons“ mette in luce le evoluzioni tecnologiche più rilevanti del momento, ma si proietta anche nel futuro, analizzando le potenziali ricadute sulla privacy in intervalli temporali che variano dai due ai cinque anni.
L’ICO impiega una metodologia di previsione per valutare una lista di 65 tecnologie emergenti, classificando ciascuna di esse attraverso una matrice di priorità basata sulla probabilità e scala di adozione, nonché dei potenziali danni e benefici in relazione ai diritti e alle libertà dei soggetti interessati. Per individuare le forze trainanti e la rilevanza delle tecnologie, l’ICO ha poi preso in considerazione diversi fattori tra cui il numero di persone che potrebbero essere interessate, la sensibilità dei dati trattati, l’entità dei rischi e danni sia per gli individui che per la società, i vantaggi potenziali per individui e società, oltre a fattori regolatori, commerciali e di investimento rilevanti nel contesto britannico.
Grazie a questo processo di valutazione, l’ICO ha poi selezionato 11 tecnologie che hanno maggiori probabilità di influenzare la privacy nel prossimo futuro. Nella scelta e nella valutazione delle quattro tecnologie trattate nel primo rapporto Tech Horizon, sono state condotte interviste approfondite con esperti accademici e del settore e organizzato una serie di workshop per capire come queste tecnologie emergenti si svilupperanno nel prossimo futuro.
La parte più interessante del report specifico dedicato ai dati biometrici [SL3] è la definizione degli scenari. Infatti, al fine di esplorare come si potrebbe evolvere ciascuna area tecnologica, l’ICO si è impegnata con gruppi di stakeholders di rilievo a immaginare scenari futuri di possibile adozione ed evoluzione tecnologica. Questo è sicuramente un passaggio essenziale per comprenderne gli impatti sulla privacy degli individui.
Conclusioni
Dall’analisi emerge una tendenza tra le autorità di protezione dati a sviluppare competenze proattive, puntando ad anticipare l’evoluzione dei fenomeni che sono tenute a regolare, piuttosto che intervenire solamente quando questi si manifestano. La scrupolosità metodologica dell’EDPS, la capacità di osservare i fenomeni tecnologici in maniera olistica della CNIL, e l’approccio dell’ICO basato sull’analisi di scenari che anticipano le possibili adozioni progressive nel tempo delle tecnologie potrebbero rappresentare tre pilastri fondamentali in un nuovo approccio anticipante.
Nel trasporre questo approccio in contesti diversi, come quello dell’ufficio di un data protection officer (DPO), è cruciale considerare come le competenze necessarie possano essere integrate nella prassi quotidiana. Il DPO, infatti, potrebbe beneficiare di una formazione specifica in metodologie di foresight ed essere così in grado di anticipare possibili sfide emergenti e di implementare misure proattive, anziché limitarsi a gestire le crisi quando emergono. La chiave sta nello sviluppare un approccio anticipante alla protezione dei dati, così come i progetti delle autorità qui analizzati sembrano indicarci.
Tutto ciò è stato oggetto della presentazione di Regis Chatellier, responsabile di foresight presso il laboratorio di innovazione LINC del CNIL durante l’evento di venerdì 6 ottobre alla Milano Digital Week. Un panel di esperti provenienti dal mondo pubblico, privato e accademico ha discusso in maniera approfondita le connessioni tra foresight e privacy.
____
Note
[1] LINC, (2017) La Plateforme d’une Ville les Données Personnelles au Cœur de la Fabrique de la Smart City (ultimo accesso: 28 settembre 2023).
[2] CNIL, (2021) Quand La Confiance Paie Les Moyens de Paiement d’Aujourd’hui et de Demain au Défi de la Protection des Données (ultimo accesso: 28 settembre 2023).
[3] CNIL, (2022) The CNIL in a Nutshell 2022 Protect Personal Data Support Innovation Preserve Civil Liberties, CNIL.
[4] A. Rossi, R. Chatellier, S. Leucci, R. Ducato, and E. Hary, (2022) What if data protection embraced foresight and speculative design?, in Lockton, D., Lenzi, S., Hekkert, P., Oak, A., Sádaba, J., Lloyd, P. (eds.), DRS2022: Bilbao, 25 June – 3 July, Bilbao, Spain. <https://doi.org/10.21606/drs.2022.681 > (ultimo accesso: 14 settembre 2023).
[5] TechSonar 2021 – 2022 report disponibile a p. 4 (ultimo accesso: 14 settembre 2023).
[6] TechSonar 2021 – 2022 report disponibile a pp. 4 – 5 (ultimo accesso: 10 settembre 2023).
[7] ICO – TechHorizons report, dicembre 2022
