Il GDPR (acronimo di General Data Protection Regulation, il Regolamento generale sulla protezione dei dati) e la direttiva NIS 2 (il quadro normativo della Ue che punta a rafforzare la cyber sicurezza nei settori critici) non funzionano come le leggi che abbiamo sempre conosciuto.

Non dettano istruzioni da eseguire, ma fissano risultati da garantire. Non chiedono più di “fare tutto quello che è scritto”, ma di capire cosa serve davvero, sceglierlo con criterio e dimostrarne l’efficacia.

Con queste norme, l’Europa ha abbandonato il vecchio modello prescrittivo del diritto classico – basato su ordini rigidi e adempimenti predeterminati – e ha adottato un modello completamente nuovo: quello valutativo.

Si tratta di un sistema che pretende analisi, progettazione e responsabilità, e che impone alle organizzazioni di diventare più consapevoli, più lucide e più capaci di governare i propri rischi.

Ecco perché si passa dall’obbedienza alla conformità a una decisione consapevole, cosa è cambiato e perché nessuno potrà più tornare indietro.

Quando le regole hanno smesso imporre precetti

Nel primo articolo di questa pentalogia abbiamo visto come il GDPR, pur essendo la norma più innovativa dell’Unione, sia stato da molte organizzazioni frainteso e ridotto a un adempimento sterile.

Un fraintendimento che ha fatto dimenticare la sua vera promessa: proteggere i diritti e le libertà fondamentali delle persone e, allo stesso tempo, garantire la libera circolazione dei dati per sostenere l’economia.

Quella promessa è stata in molti casi tradita, perché alcuni hanno continuato a leggere il Gdpr con le lenti del diritto tradizionale: come se fosse una legge fatta di ordini precisi, obblighi rigidi e istruzioni da seguire passo dopo passo.

Ma il Regolamento generale sulla protezione dei dati – ed oggi anche la NIS 2 – non nascono per essere eseguiti, nascono per essere interpretati, adattati e utilizzati per progettare.

Il cambio di paradigma

La svolta è che non impongono più precetti/comandi, ma indicano obiettivi da realizzare.

È un cambio di paradigma silenzioso ma profondo, che segna la fine del modello prescrittivo e l’inizio di una nuova stagione: quella del modello valutativo.

Ecco cosa significa passare da un sistema basato sulla mera obbedienza a uno fondato sul giudizio, sulla progettazione e sulla capacità di dimostrare le proprie scelte.

L’inizio silenzioso di una trasformazione

Le trasformazioni più profonde non iniziano mai con fragore. Entrano in scena senza essere annunciate, si fanno strada senza rumore e solo col tempo si rivela la loro portata.

Così è avvenuto con il GDPR e qualche anno dopo con la NIS 2.

Al momento della loro introduzione, molti le hanno accolte come si fa con l’ennesima normativa: uno scoglio da superare, una lista di adempimenti da spuntare, una pratica da archiviare tra le incombenze di compliance.

Una frattura con il passato

Eppure, chi ha provato ad applicarle con serietà nei processi ha avvertito qualcosa di diverso.

Perché il GDPR e la NIS 2 non funzionano come le leggi che abbiamo sempre conosciuto ed applicato.

All’inizio può sembrare solo una variazione di stile, una differenza formale, ma basta poco per accorgersi che si tratta di molto di più: è un vero cambio di struttura, una frattura rispetto al modo in cui il diritto ha sempre parlato.

Tramonta la voce del comando

Per secoli, infatti, le leggi hanno usato la voce del comando. Sono state costruite come sistemi chiusi, pensati per garantire ordine in contesti stabili, dove i comportamenti potevano essere definiti in anticipo e le situazioni da regolare potevano essere immaginate con largo anticipo.

Bastava eseguire, bastava obbedire. Oggi, quel mondo non esiste più. Il digitale ha strappato via la lentezza, la prevedibilità e i margini di sicurezza.

Le tecnologie cambiano in pochi mesi, i rischi assumono forme nuove nel giro di giorni, le minacce si propagano in tempo reale e colpiscono ambienti eterogenei, interconnessi, mai statici.

Quindi, in uno scenario così fluido, nessuna norma prescrittiva può più bastare, nessuna regola rigida può restare efficace per il tempo necessario.

Ed è proprio in questo vuoto che nasce un nuovo modo di fare diritto. Qui comincia un cambio di paradigma destinato a ridefinire il ruolo delle regole, la natura della conformità e, soprattutto, il tipo di responsabilità che viene attribuita a chi guida le organizzazioni.

Il percorso di GDPR e NIS 2

Il GDPR e la NIS 2 ci costringono a uscire dal modello della mera esecuzione per entrare in uno spazio in cui servono giudizio, metodo, capacità di valutare e di dimostrare.

Questo percorso è tutt’altro che teorico. Coinvolge il modo stesso in cui governiamo la sicurezza, proteggiamo i dati e garantiamo continuità alle strutture pubbliche e private.

Ma per capire dove stiamo andando è necessario innanzitutto guardare da dove stiamo prendendo il largo e da cosa ci stiamo staccando

Dal comando alla valutazione: la nuova logica del diritto

Quando il GDPR è entrato in vigore, molti si aspettavano un elenco dettagliato di prescrizioni.

Invece hanno trovato qualcosa di inedito: principi generali da rispettare e risultati da garantire, senza alcuna indicazione su come raggiungerli.

Il regolamento, infatti, impone di proteggere i diritti e le libertà fondamentali delle persone e di garantire la libera circolazione dei dati, ma non dice quali strumenti usare né fornisce procedure preconfezionate.

È lo stesso approccio adottato oggi dalla NIS 2 che chiede alle organizzazioni essenziali ed importanti di garantire la sicurezza delle reti, dei sistemi e dei servizi essenziali, ma lascia loro la responsabilità di decidere quali misure siano adeguate e proporzionate al proprio contesto.

In altre parole, il legislatore europeo ha cambiato completamente linguaggio.
Non parla più con la voce imperativa del diritto tradizionale, ma con quella esigente del diritto valutativo. Non dice “fai questo”, ma “garantisci questo risultato e dimostra come ci sei arrivato”.

Si sposta il baricentro della conformità

Non conta più solo l’esecuzione di un ordine, ma innanzitutto la qualità del ragionamento che guida ogni scelta. Questo sposta il baricentro della conformità.

Dunque, è uno scenario che determina una trasformazione radicale per le organizzazioni.

Non basta più eseguire, ma bisogna:

• analizzare il contesto;
• valutare i rischi;
• selezionare misure adeguate;
• documentare ogni decisione con metodo.

Quindi è necessario assumersi la responsabilità delle scelte ed accettare che nessuno le fornirà più già pronte. Si costruisce ogni soluzione su misura, motivata e dimostrabile.

Questo è il baricentro del nuovo modello valutativo. L’inizio di una vera trasformazione culturale.

Dalla logica dell’adempimento a quella della responsabilità

Accogliere il modello valutativo non significa solo aggiornare procedure o strumenti, ma cambiare postura.

Nel vecchio modello prescrittivo, bastava eseguire ciò che era scritto per sentirsi protetti. E, quindi, la responsabilità finiva dove cominciava l’obbedienza.

Nel nuovo modello, invece, la responsabilità comincia proprio lì, quando si smette di cercare istruzioni e si inizia ad analizzare, scegliere e decidere.

Questo richiede un cambio di mentalità profondo e postula la necessità di accettare che non esiste più un manuale valido per tutti e che ogni organizzazione deve:

• leggere il proprio contesto;
• valutare i rischi reali;
• scegliere le misure adeguate;
• essere in grado di spiegare il perché.

Vuol dire abbandonare la comfort zone dell’adempimento passivo e assumersi la responsabilità piena delle proprie decisioni.

È più impegnativo, certo, ma è anche infinitamente più efficace, perché un’organizzazione che sa motivare e dimostrare ogni scelta diventa più solida, più reattiva, più credibile.

Altri benefici del modello valutativo di GDPR e NIS 2

Inoltre la stessa organizzazione riduce i rischi non perché esegue istruzioni, ma perché comprende cosa sta proteggendo e sa come farlo al meglio.

Quindi, non si limita a inseguire la conformità, ma costruisce fiducia, la vera valuta della società digitale.

E allora questo è il punto. Il modello valutativo non serve solo a rispettare la norma ma ancor prima a far funzionare meglio l’organizzazione.

La fine della mera obbedienza è solo l’inizio

Il GDPR e la NIS 2 hanno messo fine a un’epoca in cui bastava eseguire precetti per essere considerati conformi.

Hanno archiviato il modello prescrittivo – fatto di ordini rigidi e istruzioni standard – e lo hanno sostituito con un modello valutativo, fondato sulla capacità di analizzare, progettare, decidere e dimostrare.

Questo cambiamento ha conseguenze profonde. Oggi, non basta più compilare documenti o rispettare scadenze, occorre pensare, scegliere, spiegare.

La conformità non è più un punto di partenza garantito dall’obbedienza, ma un punto di arrivo conquistato con intelligenza, metodo e responsabilità. È una svolta silenziosa, tuttavia irreversibile.

Chi continuerà a cercare elenchi da spuntare resterà fermo, mentre chi accetterà di valutare e di giustificare ogni scelta diventerà più forte, credibile, capace di governare il cambiamento invece di subirlo.

Ed è qui che inizia la prossima tappa di questo percorso. Nel terzo capitolo di questa pentalogia, si entrerà nel vivo della trasformazione.

La responsabilità proattiva come nuova grammatica del diritto digitale europeo, per provare a chiarire perché oggi non basta più rispettare la norma, ma serve dimostrare – con prove, ragionamenti e fatti – di averla realizzata con giudizio.