Le organizzazioni possono adottare questo approccio per governare la sempre crescente complessità che lo scenario normativo propone, in particolare per quanto riguarda il diritto delle tecnologie e della protezione dei dati personali. L’anticipatory compliance rappresenta quindi un approccio innovativo, ancora poco esplorato e per il quale è necessario affidarsi a figure con competenze in ambiti altamente specializzati, come quello del foresight.
Le normative per la protezione dei dati personali stanno vivendo un momento storico caratterizzato da una crescente complessità. Il panorama è infatti “affollato”: considerando il GDPR, l’attuale direttiva ePrivacy e le più recenti leggi europee (Data Governance Act, Data Act ed AI Act) è evidente come la loro interazione possa generare complessità interpretative. A questo si aggiunge lo standard legislativo basato sull’approccio “risk-based”, secondo cui l’interpretazione di una norma puo’ mutare al variare del livello di rischio percepito. In un tale contesto le organizzazioni sono costrette ad un aggiornamento continuo delle loro interpretazioni normative.
A questo si aggiunge la crescente partecipazione della società civile sul piano giuridico. Una tendenza che da un lato rappresenta un elemento di “democratizzazione” del processo normativo, ma dall’altro aggiunge un ulteriore elemento di complessità per i soggetti che devono garantire la conformità alle normative.
I responsabili dei trattamenti di dati personali si trovano quindi costretti a prendere decisioni in un
clima di incertezza, in cui l’approccio tradizionale (reattivo) non è più efficace. Oggi non è più possibile limitarsi ad affrontare le conseguenze dei cambiamenti, diventa fondamentale la capacità di anticiparli. A questo proposito per le autorità si può parlare di anticipatory enforcement, mentre per i responsabili del trattamento siamo nel campo dell’anticipatory compliance.
Oggi le autorità utilizzano alcune tecniche e metodologie mutuate dalla disciplina del foresight, un processo strategico il cui scopo è identificare i possibili scenari futuri scenari per sviluppare strategie a lungo termine. Negli ultimi anni il foresight è stato preso in considerazione come possibile strumento da utilizzare per lo sviluppo di un approccio di anticipatory compliance nel mondo della protezione dei dati personali.
L’approccio pratico di molte tecniche tipiche del foresight (come per esempio tavole rotonde, scambio di opinioni, lavori di gruppo, etc.) puo’ rafforzare la collaborazione tra i soggetti coinvolti. I responsabili del trattamento dei dati, le autorità garanti, la società civile e i regolatori che adottano questo approccio finiscono infatti per sviluppare una relazione sinergica, aperta e trasparente.
Il primo caso concreto di uso dell’anticipatory compliance si è potuto osservare durante la conferenza annuale della European Data Protection Supervisor, quando alcuni partecipanti presero parte ad un esercizio di costruzione di possibili futuri (2030) e ragionarono insieme sulle possibili strategie da impiegare per promuovere o evitare la manifestazione di determinati scenari.
Sulla base dei risultati di quell’esercizio nasce il progetto Privacy For Futures (PFF), che vuole offrire alle organizzazioni strumenti capaci di anticipare i cambiamenti normativi.
Il progetto propone un esercizio proattivo di analisi e previsione per facilitare l’implementazione da parte delle autorità e delle aziende di azioni concrete, che possano preparare adeguatamente le organizzazioni alle sfide future del settore.
Il metodo adottato è il DLS: Discuss-Learn-Share. Nella prima fase, Discuss, è prevista la creazione di un gruppo di professionisti capaci di riconoscere le forze di cambiamento ed i punti critici dove queste potrebbero manifestarsi con particolare intensità. Durante la fase Learn vengono coinvolti esperti della protezione dei dati, selezionati in base alla loro competenza specialistica per offrire molteplici punti di vista unici sugli elementi identificati durante la fase precedente. Infine, la fase Share sintetizza quanto appreso nelle fasi precedenti. Il risultato di un tale processo è una pubblicazione che offra spunti per le organizzazioni interessate all’implementazione di azioni necessarie per prepararsi ai cambiamenti.
M.M.
