Il panorama giuridico e tecnologico legato al digitale cambia sempre più velocemente. La difficoltà di rimanere al passo con le nuove tecnologie è oramai un dato di fatto, così come la mole di nuovi adempimenti normativi in arrivo.
A questo corrisponde una sempre minor efficacia nella comprensione e conseguente gestione di questi temi, dovuta al fatto che i metodi e i processi attualmente in uso sono stati pensati in un mondo dove il cambiamento non aveva la fluidità e la dinamicità che ha oggi.
In questo contesto, i professionisti della privacy si trovano sempre più spesso a rispondere agli eventi in maniera reattiva, gestendo complessità e problemi man mano che emergono con il rischio che non riescano ad assolvere efficacemente al loro compito, diventando sempre più marginali o addirittura emarginati nelle decisioni che riguardano il core-business delle organizzazioni.
Il loro contributo potrebbe essere visto come poco utile per la risoluzione di problemi urgenti e complessi. In un mondo in cui l’elaborazione e la protezione dei dati sono ormai centrali, questo produrrebbe un esito controproducente per tutte le parti coinvolte, sia titolari dei trattamenti che soggetti interessati.
La necessità di un cambiamento
Il caso della sentenza della Corte di Giustizia “Schrems II” rappresenta un esempio piuttosto chiaro. La sentenza, che ha invalidato la decisione di adeguatezza della Commissione Europea per il trasferimento dei dati personali verso gli Stati Uniti, ha colto di sorpresa gran parte degli operatori e ha posto un problema concreto ed urgente, nei confronti del quale il sistema tradizionale di compliance, basato su un approccio reattivo, non ha potuto fare nulla di diverso se non correre ai ripari in maniera nervosa.
Capire da dove arriva questo problema è complesso: probabilmente questa mancanza di proattività è dovuta a un ecosistema congestionato, abituato a lavorare per emergenze, e che produce soluzioni molto artificiose. È stata la pandemia a costringere gran parte del mondo a ripensare parecchie delle strutture e dei metodi che avevano funzionato (apparentemente) bene fino a quel momento.
Perché è necessario un approccio anticipante
In questo contesto, tre regolatori hanno iniziato ad operare in una nuova direzione: si tratta dell’EDPS (European Data Protection Supervisor) sul contesto europeo, della CNIL (Commission Nationale de l’Informatique et des Libertés) in Francia e dell’ICO (Information Commissioner’s Office) in Inghilterra.
Il progetto TechSonar dell’EDPS ha mostrato l’importanza di comprendere in anticipo le tecnologie emergenti, i relativi rischi e opportunità. Il CNIL, con il suo laboratorio d’innovazione, ha fornito linee guida chiare su come gestire i dati personali in modo etico e legale in ambienti fortemente innovativi, immaginando scenari diversi e le relative conseguenze; infine, l’ICO ha dato forma a scenari futuri nel mondo di alcune tecnologie particolarmente invasive per analizzarne meglio le evoluzioni e gli impatti sulla protezione dei dati.
Le competenze
Guardando più in profondità queste tre esperienze si può notare un fil-rouge: queste autorità stanno sviluppando un nuovo tipo di competenze, un nuovo approccio alla gestione delle sfide, che si potrebbe definire “anticipante”. In altre parole, in un mondo in cui la tecnologia e le minacce alla protezione dei dati sono in continua evoluzione, EDPS, CNIL e ICO hanno affermato l’importanza di giocare d’anticipo piuttosto che subire gli eventi e reagire di conseguenza.
Spostando l’attenzione sul mercato delle competenze dei professionisti privacy appare evidente un secondo fenomeno: nonostante l’elevato livello e la varietà dell’offerta formativa nel campo della protezione dei dati e della digitalizzazione in generale, vi è una certa frammentazione e discontinuità nell’apprendimento; a volte questo è dovuto alla scarsa qualità dei contenuti. Manca un interlocutore affidabile in grado di pensare “fuori dagli schemi”.
Ecco perché, seguendo la rotta definita da EDPS, CNIL e ICO, appare piuttosto chiaro come un approccio anticipante possa essere la strada migliore e più corretta per ridare centralità e leadership a chi si occupa di protezione dei dati personali. Ma per preparare il terreno ad una così complessa necessità è essenziale la presenza di network “trusted” di professionisti, di operatori di settore con esperienze eterogenee, di accademici e di regolatori. Senza questa pluralità sarebbe impossibile riuscire ad anticipare realmente le tematiche lagal-tecnologiche che iniziamo a intravedersi all’orizzonte. Il “foresight” è la disciplina che accomuna tutte queste caratteristiche, nonché proprio la metodologia alla base dei progetti di EDPS, CNIL e ICO.
Foresight, che cos’è
Il foresight è una disciplina moderna e complessa. Nella sua forma attuale, nasce all’indomani della Seconda guerra mondiale per integrare l’avvenire nel processo di creazione ed esecuzione delle decisioni, allo scopo di passare da un approccio reattivo alle minacce nucleari verso un approccio proattivo, o meglio anticipante, e che quindi potesse non solo offrire considerazioni sulle minacce ma anche, e più importante ancora, riguardo alle opportunità. In altre parole, il foresight è la capacità di illuminare il volume più ampio dello spazio delle possibilità, dei trend, e degli scenari a venire nei futuri, per anticipare le decisioni di lungo termine e mantenere il vantaggio strategico.
È essenziale focalizzarsi su un aspetto particolare: il foresight non usa il futuro come un obiettivo da raggiungere, ma piuttosto come un costrutto “usa e getta”, il cui solo scopo è di far accedere ad una comprensione più ampia delle decisioni che sono importanti nel presente.
La storia del foresight
L’importanza del foresight è evidente già dalla sua nascita nel 1944-45, quando tre figure di assoluto prim’ordine lo hanno proposto non come un modo, ma il modo per poter assicurare la pace nell’era atomica e prevenire la terza guerra mondiale. Queste figure erano il generale Henry “Hap” Arnold, padre fondatore della U.S. Air Force, Theodore von Kármán, il precursore del volo supersonico, ipersonico e spaziale, e Vannevar Bush, l’iniziatore del progetto Manhattan. Il loro contributo (su tutti i dossier “Toward New Horizons” e “Science, the Endless Frontier”, che hanno cambiato il modo di fare scienza nella Difesa e nel Governo) ha spinto a fondare un luogo dove, nelle parole del Gen. Arnold, “le mie menti più brillanti possano arrivare al futuro per prime”. Questo luogo era il progetto RAND, in seguito RAND Corporation, che consentì di comprendere che progettazione e pianificazioni sono modi utili, ma limitanti di pensare al futuro, perché mirano a conoscere un singolo futuro. L’avvenire esiste al plurale, come futuri, ed il verbo giusto non è conoscere, ma usare. Il foresight mira ad usare i futuri per costruire decisioni nel presente.
Questo punto è essenziale, dunque vogliamo ripeterlo. Comprendere i futuri non è un esercizio di stile, ma invece serve a capire quali azioni intraprendere oggi per raggiungere un determinato scopo. Ed è proprio questa grande capacità, insieme ad un’altra importante variante della capacità del foresight, il net assessment (incorporata nel think tank interno al Pentagono, l’Office of Net Assessment), che durante la Guerra Fredda ha giocato un ruolo chiave nello studio delle traiettorie strategiche e delle scelte chiave da compiere per poter vincere senza combattere.
Nell’ultimo quarto del XX secolo, il foresight è diventato sempre più multidisciplinare, incorporando elementi di sociologia, psicologia, economia e scienze ambientali. Le tecniche di foresight sono state utilizzate non solo nel settore della difesa e della politica, ma anche nell’industria, nella sanità, nell’istruzione e in altri ambiti.
Gli obiettivi
Nonostante le sue origini storiche e la sua evoluzione, il foresight rimane una disciplina in continuo sviluppo. Le sfide attuali come il cambiamento climatico, le disuguaglianze sociali ed economiche, le tensioni geopolitiche richiedono un approccio sempre più sofisticato e interdisciplinare alla previsione futura.
Ma lo scopo del foresight non è di fornire certezze assolute: il foresight offre la capacità di porci delle domande tramite la costruzione di futuri come aiuto del pensiero — perché non possiamo dare vere risposte se non conosciamo a fondo le domande; e se pensiamo che esista una sola risposta, allora non abbiamo colto la domanda nella sua interessa. Per questo, il foresight continua ad essere un prezioso strumento per aiutare individui, organizzazioni e società a navigare in un mondo in rapida evoluzione.
E dunque, perché non provare ad applicarlo anche a quel mondo incredibilmente complesso che è la protezione dei dati personali?
Conclusione
Proattività e anticipazione: queste sono le due competenze che il foresight ha da insegnare alla data protection per affrontare con rinnovata energia le principali sfide future. Da qui in poi, come EDPS, CNIL e ICO già fanno da alcuni anni oramai, sarà necessario sviluppare capacità utili a comprendere gli scenari futuri in cui i problemi di protezione dei dati personali prenderanno forma. È in quei futuri – da intendersi sempre al plurale – in cui andranno elaborate le soluzioni da adottare fin da subito per evitare di farsi trovare impreparati di fronte alle sfide emergenti.
Sarà proprio Regis Chatellier – manager di foresight del laboratorio di innovazione (LINC) del CNIL – a raccontarci come dare forma a questo tipo di nuove competenze. L’appuntamento è alla Milano Digital Week venerdì 6 ottobre, dalle 14 alle 18. A seguire, una tavola rotonda di specialisti dal settore pubblico, privato ed accademico approfondirà ulteriormente le intersezioni tra foresight e privacy.
