L’anticipatory compliance indica un approccio di gestione della compliance orientato all’anticipazione. Le organizzazioni possono adottare processi di anticipatory compliance per navigare con maggiore efficacia la sempre crescente complessità dello scenario normativo, in particolare per quanto riguarda il diritto delle tecnologie e della protezione dei dati personali.
Tuttavia, l’anticipatory compliance rappresenta un approccio nuovo, poco o per niente esplorato fino ad oggi e per il quale è necessario affidarsi a figure con competenze in ambiti altamente specializzati, come quello del foresight.
Lo scenario
Il panorama normativo riguardante la protezione dei dati personali in Europa e nel mondo sta vivendo un momento storico caratterizzato da una crescente complessità. Questo fenomeno si deve al maggior numero di regolamentazioni in materia, unitamente alle sempre maggiori interazioni tra normative che, pur non essendo direttamente connesse alla protezione dei dati personali, spesso devono tenerne in considerazione il dettato normativo. A partire dal GDPR e dalla attuale direttiva ePrivacy, fino ad arrivare alle più recenti leggi europee come Data Governance Act, Data Act ed AI Act, ognuna di queste normative rischia di generare complessità interpretative derivanti dall’interazione tra di esse.
Gli elementi di complessità
A queste considerazioni si aggiungono due ulteriori elementi di complessità: il primo è l’affermarsi di uno standard legislativo basato sul cosiddetto approccio “risk-based”. Questo comporta che l’interpretazione di una norma possa mutare al variare del livello di rischio percepito, rendendone l’implementazione fluida e contestuale. Anche se il GDPR aveva già considerato i rischi dell’intelligenza artificiale nel 2016, la crescente attenzione ai sistemi generativi ha ampliato questa percezione.
Ciò richiede che le organizzazioni che usano tali sistemi aggiornino le loro interpretazioni normative in risposta ai cambiamenti nella percezione del rischio. L’onere di interpretare la normativa in maniera coerente al rischio “percepito” (dai principali attori coinvolti e, più in generale, dalla società) ricade sui responsabili del trattamento, che devono pertanto chiedersi se la loro interpretazione possa essere considerata “corretta” e non impugnabile in sede di giudizio o di sanzione.
Il secondo ulteriore elemento di complessità è la crescente partecipazione della società civile sul piano giuridico. Come abbiamo già descritto in un altro articolo in questa rubrica, la vicenda dei casi Schrems funge da esempio di una tendenza che pare consolidarsi, ovvero sia quello di singoli attivisti o gruppi di attivisti che sfidano elementi del quadro normativo direttamente all’interno delle corti. Ne esistono vari altri: si pensi al caso Big Brother Watch e, anche in un contesto diverso, il caso dei sei ragazzi che hanno avviato un processo contro trentadue stati europei per non aver rispettato gli accordi sul clima. Se da un lato è possibile ravvisare in questa tendenza un elemento di “democratizzazione” del processo normativo, indice di uno stato di salute del sistema, dall’altro ciò rappresenta un elemento di complessità per chi è chiamato a garantire la conformità alle normative, come anche l’EDPS ha dichiarato.
Le priorità
In questo panorama, i responsabili dei trattamenti di dati personali si trovano costretti a prendere decisioni in un costante clima di incertezza. L’approccio tradizionale e reattivo non risulta più adeguato in un mondo dove si manifestano costantemente nuovi eventi a cui “reagire”. Pertanto, l’unica soluzione possibile sembra essere quella di identificare e definire le modalità attraverso cui anticipare i cambiamenti piuttosto che subirne le conseguenze passivamente.
Questa necessità sembra confermata dallo sforzo di alcune autorità garanti che stanno cercando di introdurre questo nuovo approccio anticipante nelle loro attività. Sebbene le autorità abbiano necessità di definire un approccio anticipante al fine di essere più efficaci nelle loro attività di garanzia e sanzione, gli strumenti e le metodologie che stanno usando risultano adeguate anche allo sviluppo di un approccio anticipante che permetta ai responsabili dei trattamenti una maggior facilità nel garantire la conformità alla norma.
Laddove per le autorità si può parlare di anticipatory enforcement, per i responsabili del trattamento si può parlare di anticipatory compliance, ma il ragionamento sottostante rimane il medesimo. Pertanto, è utile e informativo guardare come le autorità stiano sviluppando questi approcci, così come esplorato dall’articolo pubblicato precedentemente in questa rubrica.
Quello che emerge dall’attività dei garanti è l’utilizzo di alcune tecniche e metodologie mutuate dalla disciplina del foresight. Negli ultimi anni, l’utilizzo del foresight sta registrando un forte incremento, e sono diverse le realtà che hanno avviato processi di implementazione di queste tecniche all’interno delle loro pratiche di pianificazione strategica. Si pensi, in primis, ad IKEA, AXA e a Nokia.
Le soluzioni delle Autorità
L’utilizzo del foresight per sviluppare un approccio di anticipatory compliance è già stato discusso nel mondo della protezione dei dati personali. Nel marzo del 2022, gli autori di questo contributo organizzarono una tavola rotonda tra rappresentanti del settore privato, accademico, non governativo e istituzionale per discutere i fondamenti teorici di un nuovo approccio basato sul foresight. Alcuni dei partecipanti non erano mai stati esposti a questi concetto prima di allora, e un consenso quasi unanime emerse sui potenziali benefici del foresight nel contesto della protezione dei dati personali, con solo pochi partecipanti orientati ad un costruttivo scetticismo. Inoltre, durante la tavola rotonda emerse come l’approccio pratico e collaborativo di molte delle tecniche tipiche del foresight (tavole rotonde, scambio di opinioni, lavori di gruppo, etc.) possano portare l’ulteriore vantaggio di rafforzare la collaborazione tra i responsabili del trattamento dei dati, le autorità garanti, la società civile e i regolatori, promuovendo una relazione tra le parti – che spesso si percepiscono come antagoniste – più sinergica, aperta e trasparente.
Da quell’evento emersero con forza una serie di potenziali vantaggi nell’utilizzo del foresight per fare evolvere il paradigma di compliance verso un approccio anticipante. Questa necessità non diede tuttavia luogo ad una definizione strutturata di quella che avrebbe potuto essere una soluzione, ma si limitò a delineare una serie di direttrici su cui continuare a sviluppare la concettualizzazione di ciò che, in quella sede per la prima volta, venne definito come “anticipatory compliance”.
Il primo caso concreto – seppur embrionale – di uso dell’anticipatory compliance non si è fatto attendere a lungo. Durante la conferenza annuale della EDPS, nel luglio dello stesso anno, una serie di partecipanti prese parte ad un esercizio di costruzione di possibili futuri, al fine di disegnare scenari di un futuro prossimo (2030), definire approcci su come gestirli, e identificare strategie su come promuovere o evitare la manifestazione di determinati scenari. Durante quella conferenza si assistette a quello che ad oggi potrebbe essere considerato come il primo vero e proprio esercizio di anticipatory compliance. Ed è sulla base dei risultati di quell’esercizio che nasce il progetto Privacy For Futures (PFF).
Il metodo DLS
Il progetto Privacy For Futures (PFF) mira ad offrire alle organizzazioni strumenti capaci di anticipare i cambiamenti normativi. Si tratta di un esercizio proattivo di analisi e previsione delle complessità future nel contesto della protezione dei dati personali, con il fine ultimo di facilitare l’identificazione e l’implementazione di azioni concrete nel presente, che possano preparare adeguatamente le organizzazioni alle sfide future del settore. Questo obiettivo viene perseguito attraverso l’adozione di metodologie proprie del foresight, che traggono ispirazione da progetti già implementati presso le autorità garanti europee’.
Il metodo adottato da PFF è il DLS: DISCUSS-LEARN-SHARE. Nella fase DISCUSS, il progetto si ispira alle metodologie già sviluppate presso l’autorità garante britannica (Information Commission Officer, ICO). Questa fase prevede la creazione di un gruppo di professionisti capaci di riconoscere le forze di cambiamento che insistono sul presente e identificare i punti critici dove queste potrebbero manifestarsi con particolare intensità. I professionisti elaborano le loro visioni attraverso un processo di discussione che permetta di identificare gli elementi su cui è presente maggior consenso da parte di queste figure specializzate, con il fine di isolarle e analizzarle con maggior precisione.
Per il passaggio successivo, la fase LEARN, PFF trae ispirazione dal modello sviluppato presso la EDPS con il progetto TechSonar. Durante la fase LEARN l’attenzione è posta sul coinvolgimento di figure rilevanti della comunità internazionale di esperti della protezione dei dati. Questi soggetti, selezionati in base alla loro competenza specialistica, vengono coinvolti per fornire punti di vista unici sugli elementi identificati durante la fase DISCUSS e per arricchire ulteriormente la visione del progetto sui possibili sviluppi nel settore.
Infine, la fase SHARE mira a sintetizzare e consolidare quanto discusso e appreso nelle fasi precedenti. Ispirato alle buone pratiche dell’Autorità francese per la protezione dei dati (CNIL), il risultato di questo processo è una pubblicazione che contenga, oltre ai risultati delle analisi svolte durante le due fasi precedenti, spunti indirizzati alle organizzazioni riguardanti l’implementazione delle azioni necessarie per prepararsi ai cambiamenti. L’intero ciclo DLS non rappresenta un’operazione isolata, ma un processo continuo e ciclico che si ripete ogni due mesi, con un focus che varia di volta in volta.
Le iscrizioni al progetto PFF saranno aperte a partire dal mese di dicembre.
