Questo articolo riprende il titolo di un evento organizzato dallo European Data Protection Supervisor nel giugno del 2022. Qui, cinque relatori di diversa estrazione si sono interrogati sulla possibilità di integrare un modello anticipatorio all’interno della protezione dei dati, utilizzando strumenti di foresight per prepararsi meglio ai rischi e alle sfide future derivanti dall’adozione di nuove tecnologie[1].
L’attuale modello di applicazione nel campo della protezione dei dati è, infatti, prevalentemente reattivo. Questo approccio, sebbene utile per affrontare problemi immediati, non offre rimedi agli effetti già diffusi nel mercato e nei confronti dei soggetti a cui i dati si riferiscono. Inoltre, la reattività ai rischi potrebbe rafforzare l’idea che la protezione dei dati ostacoli l’innovazione. Il provvedimento del Garante per la protezione dei dati personali nel caso Open AI ne è un esempio: non si vuole entrare nel merito di una lodevole e condivisibile indagine svolta dalla nostra Autorità, ma è un dato di fatto che tale provvedimento sia arrivato un po’ tardi rispetto al momento in cui l’intelligenza artificiale generativa ha condizionato il mercato e l’industria. E consideriamo che l’Italia è stata la prima a farlo[2].
È evidente, quindi, che, dal 2022 ad oggi, la necessità di avere un approccio anticipatorio al rischio è decisamente aumentata ed è per questo che sarà utile ripercorrere lo scenario di riferimento europeo per arrivare a comprendere come il foresight possa diventare un elemento importante per il giusto approccio alla gestione della compliance del dato.
Il contesto normativo Europeo
Il panorama normativo europeo in ambito digitale ha vissuto una significativa evoluzione, in particolare durante l’ultimo mandato della Commissione Europea (2019 – 2024). Partendo dal GDPR per poi includere regolamenti come il Cybersecurity Act, il Digital Services Act, il Digital Markets Act, la direttiva NIS2, il Cyber Resilience Act, il Data Act, Il Data Governance Act, il DORA e, infine, l’AI Act. Questa vasta produzione legislativa, non ancora terminata, riflette l’intento dell’Unione Europea di creare un ecosistema digitale sicuro e trasparente, ma pone anche sfide notevoli per le organizzazioni.
L’iper-regolamentazione europea in ambito digitale è spesso oggetto di critiche a livello internazionale, in particolare da parte degli Stati Uniti, in quanto pone due distinti livelli di complessità.
Il primo riguarda le difficoltà di rispettare la compliance, poiché l’accumulo di norme rende necessario per le aziende acquisire una conoscenza approfondita di ogni regolamento. Questa complessità normativa rischia di rappresentare un ostacolo significativo, specialmente per le organizzazioni con risorse limitate.
Il secondo livello di complessità concerne l’approccio “risk-based” comune a quasi tutte le normative citate che richiede una gestione strutturata del rischio, imponendo competenze e conoscenze nuove, specialmente in alcuni contesti industriali. Un esempio significativo è il Regolamento DORA che richiede alle organizzazioni di designare figure o funzioni dedicate alla gestione del rischio ICT nel settore finanziario.
La definizione di rischio e la sua anticipazione
Ciò solleva una domanda fondamentale: in cosa consiste effettivamente il rischio? Secondo la norma ISO 31000:2018, il rischio è definito come “l’effetto dell’incertezza sugli obiettivi”. L’incertezza, a sua volta, rappresenta “lo stato di parziale o totale mancanza di informazioni relative alla comprensione di un evento, delle sue conseguenze o frequenze”[3].
La distinzione chiave tra rischio e incertezza risiede nella calcolabilità. Mentre i rischi presentano una distribuzione statistica nota, permettendo l’applicazione di calcoli probabilistici, l’incertezza riguarda eventi che non seguono una distribuzione prevedibile, rendendo impossibile una stima probabilistica.
Questa distinzione evidenzia che, mentre i rischi possono essere gestiti attraverso strategie preventive, le incertezze richiedono un approccio differente, basato sulla capacità di adattarsi a situazioni imprevedibili. La disponibilità di informazioni riduce l’incertezza, conferendo loro un valore significativo. Tuttavia, l’incertezza è spesso considerata “scomoda”, spingendo le organizzazioni a sviluppare approcci innovativi per gestire i rischi[4].
Le tecniche di anticipazione di cui parleremo in questo articolo rappresentano un approccio innovativo nella gestione dei rischi, superando i limiti dell’approccio tradizionale. Mentre il modello classico si focalizza sui rischi misurabili e conosciuti, l’anticipazione del rischio si spinge oltre, affrontando le incertezze autentiche, ossia eventi futuri non prevedibili e privi di dati storici affidabili.
Un aneddoto utile a comprendere il concetto è il seguente. A New York, nel 1898, il problema principale della città era il letame generato dai 150.000 cavalli che circolavano per le strade ogni giorno. E sembrava fosse impossibile risolvere questo problema, perché invece di ragionare in un’ottica proiettata sul futuro, gli esperti dell’epoca ragionavano senza pensare che potessero esistere tali variabili. Tuttavia, nel 1897 nasceva la Model A della Ford e gli autoveicoli, come è noto, hanno radicalmente cambiato il futuro. Se gli esperti a New York avessero compreso a fondo i segnali deboli (la nascita di modelli mass-market di veicoli), la soluzione al problema sarebbe stata profondamente diversa. In altre parole, se avessimo avuto esperti di foresight nel 1898, non solo avremmo previsto la Model A della Ford come soluzione all’inquinamento, ma avremmo forse anticipato anche rischi come l’inquinamento, la sicurezza stradale e il traffico.
Le tecniche di foresight rappresentano un insieme di metodologie strutturate volte a esplorare e anticipare possibili futuri, al fine di guidare processi decisionali strategici in condizioni di incertezza. Queste tecniche aiutano le organizzazioni a identificare i “segnali deboli”[5], sviluppare scenari alternativi e favorire un approccio collaborativo nella costruzione di strategie orientate al lungo termine. Tali strumenti, basati su metodi qualitativi e quantitativi, consentono di integrare prospettive multidisciplinari per affrontare la complessità dei sistemi contemporanei. In altre parole, il foresight è un modo sistematico, partecipativo e integrato di raccogliere conoscenze future utili per costruire visioni e guidare il presente verso scelte migliori per il futuro.
Riteniamo che queste tecniche siano particolarmente utili proprio nella gestione dei rischi. Tramite una maggiore e migliore comprensione degli scenari futuri, le organizzazioni potranno ridurre quell’incertezza di cui parlavamo poco fa. Questo aiuterà le organizzazioni ad aumentare le informazioni necessarie a comprendere e anticipare i fenomeni che potrebbero materializzarsi nel futuro.
Una componente fondante del foresight è la sua connotazione metodologica. Non abbiamo spazio per dedicarci ad una disamina approfondita[6], ma a titolo d’esempio e attingendo alla nostra esperienza personale, vorremmo evidenziare la particolare utilità di uno di questi strumenti: la matrice dei quattro futuri.
Si tratta di uno strumento di analisi strategica che consente di esplorare scenari futuri partendo da due variabili chiave che influenzano il contesto in esame. Graficamente, la matrice è costruita su un asse cartesiano, in cui l’asse orizzontale e l’asse verticale rappresentano due variabili indipendenti, solitamente incerte ma significative, come tendenze sociali, economiche, tecnologiche o ambientali.
L’incrocio degli assi suddivide lo spazio in quattro aree, o quadranti, ognuna delle quali rappresenta un possibile scenario futuro, derivante dalla combinazione dei valori estremi delle due variabili. Questo approccio permette di visualizzare diversi sviluppi potenziali e supporta la pianificazione strategica adattiva.
La differenza con la gestione del rischio classica è piuttosto chiara. Solitamente, vengono utilizzate solo due variabili: la probabilità che si verifichi un evento dannoso e la gravità di tale evento. Da qui deriva il concetto di “rischio inerente”, dal quale ci si aspetta una riduzione al “rischio residuo” a seguito dell’implementazione di presidi di controllo adeguati.
Ma è opportuno guardare oltre, in quanto le variabili da considerare possono essere ampliate: potremmo considerare non solo la probabilità e la gravità, ma anche il numero di individui potenzialmente toccati dal rischio, nonché lo sforzo necessario per risolvere l’eventuale pregiudizio. Questo ci darebbe una comprensione del rischio più granulare.
Potremmo quindi immaginare di introdurre ulteriori variabili insieme alla probabilità e alla gravità, come la capacità di un rischio di essere rilevabile oppure il possibile ammontare della sanzione in caso di una ipotetica violazione[7]. Tutto ciò può essere valutato non solo alla luce delle esperienze passate, bensì contemplando gli scenari futuri.
Verso una anticipatory compliance
Applicando la gestione del rischio tramite tecniche di foresight alla crescente ed incessante mole normativa in Europa e nel mondo in ambito digitale, è possibile sviluppare un ulteriore passo nella nostra analisi.
John Ashcroft, Attorney General degli Stati Uniti ai tempi di Bush agli inizi del 2000, aveva previsto l’importanza per le organizzazioni di anticipare attivamente, studiare e agire sui potenziali rischi percepiti, preparandosi con l’“anticipatory compliance”[8].
In questo contesto, il paradigma emergente della anticipatory compliance rappresenta non solo un’alternativa all’approccio tradizionale al rischio, ma anche un modo per ampliare l’analisi e tramite un approccio prospettica, piuttosto che limitarsi a reagire agli eventi passati.
Il nostro momento storico, specialmente all’interno dell’Unione Europea, è caratterizzato da una mole di nuove normative che intervengono su pressoché ogni aspetto dell’economia digitale e dei dati, lasciando ampi spazi di incertezza e confusione interpretativa. Anche i regolatori preposti richiederanno tempo per stabilizzare le interpretazioni necessarie a chiarire come le organizzazioni dovranno cambiare i loro processi (o addirittura i loro modelli di business).
Riteniamo che, in questo contesto, adottare un modello anticipante consenta di costruire strategie più efficaci, basate sulla collaborazione tra i diversi attori coinvolti, e di sviluppare una maggiore capacità di resilienza e adattamento di fronte a situazioni senza precedenti. Questo approccio proattivo rappresenta un’evoluzione necessaria per affrontare la crescente complessità e imprevedibilità dei rischi contemporanei, rafforzando al contempo resilienza e competitività.
In conclusione, come sottolineato da Stephen Almond, Director of Technology and Innovation dell’ICO nel panel organizzato da EDPS citato in apertura, “prevenire è meglio che curare”. La sua considerazione può aiutare a comprendere l’importanza di costruire strategie proattive che mettano a fattor comune cambiamenti normativi e rischi futuri in un’ottica collaborativa tra istituzioni e regolatori, istituzioni private e corporations, accademia e ricerca. Siamo fermamente convinti che solo un dialogo pragmatico, aperto, inclusivo e costruttivo potrà permettere di elaborare scenari futuri in maniera utile a raggiungere i risultati che le normative si prefiggono e, allo stesso tempo, permettere uno sviluppo fiorente dell’innovazione tecnologica in chiave etica.
[1] L’evento è disponibile al seguente indirizzo: https://www.youtube.com/watch?v=bsZNDQgEHTE. I relatori erano Stephen Almond, Director of Technology and Innovation dell’ICO, Jekaterina Macuka, Data State Inspectorate della Lettornia, Krizna Gomez, Foresight Practitioner, William Malcolm, Senior Director, International Privacy and Consumer Protection di Google, David Barnard-Wills, Senior Research Manager Policy, Ethics and Emerging di Trilateral Research Ltd. L’evento è stato moderato da Gabriele Rizzo, Gabriele Rizzo, a quell tempo Director of Research dello Swiss Center for Positive Futures – University of Lausanne.
[2] Autorità Garante per la protezione dei dati personali, Provvedimento del 2 novembre 2024 [10085455], disponibile al seguente indirizzo: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10085455.
[3] ISO 31000:2018, Gestione del rischio – Linee guida, p. 6.
[4] A. Furlanetto, Il Risk Management Anticipante per capire i rischi sistemici futuri, in Mercato Studi di Futuro, 5 Dicembre 2023, disponibile al seguente indirizzo: https://www.skopia-anticipation.it/blog/il-risk-management-anticipante-per-capire-i-rischi-sistemici/.
[5] I segnali deboli in ambito foresight sono indizi iniziali di cambiamenti emergenti, spesso poco visibili o sottovalutati, che possono anticipare sviluppi futuri significativi. Riconoscerli e interpretarli consente di prepararsi a scenari alternativi e di adattare strategie in modo proattivo (Hiltunen, E., Weak Signals in Organizational Futures Learning, 2008).
[6] Per una disamina approfondita dei metodi in ambito foresight, si veda R. Popper, How are foresight methods selected?, Rivista Foresight, Emerald Group, 10(6), 62-89, 2008.
[7] A. Mantelero, Beyond Data: Human Rights, Ethical and Social Impact Assessment in AI, Spinger, 2022, disponibile al seguente indirizzo: https://link.springer.com/book/10.1007/978-94-6265-531-7.
[8] T. Garruba, Making Anticipatory Compliance Your New Best Practice, in Corporate Compliance Insight, disponibile al seguente indirizzo: https://www.corporatecomplianceinsights.com/anticipatory-compliance-best-practice/.
Gennaio 2025