• italian
  • lawyer
  • tech
  • crypto
  • nerd
Loaded

DPIA e FRIA nei sistemi di IA: cosa cambia e come integrarle

DPIA FRIA

L’intelligenza artificiale sta cambiando il modo in cui aziende, pubbliche amministrazioni e fornitori tecnologici prendono decisioni, automatizzano processi e valutano persone.

Il punto, però, non è solo “usiamo o non usiamo l’IA”. Il punto è capire che impatto produce quel sistema, su quali persone, in quale contesto e con quali misure di controllo.

Quando un sistema di IA tratta dati personali, entra in gioco il GDPR. Quando il sistema rientra nel perimetro dei sistemi di IA ad alto rischio, entra in gioco anche l’AI Act, che segue un approccio basato sul rischio e mira a tutelare sicurezza, salute e diritti fondamentali. La Commissione europea descrive l’AI Act come il primo quadro normativo completo sull’IA e sottolinea il suo approccio risk-based per sviluppatori e deployer.

In questo scenario si incontrano due strumenti diversi:

  • la DPIA, cioè la valutazione d’impatto sulla protezione dei dati prevista dal GDPR;
  • la FRIA, cioè la valutazione d’impatto sui diritti fondamentali prevista dall’AI Act per determinati sistemi di IA ad alto rischio.

La domanda pratica è semplice: servono entrambe? E, se sì, possono essere integrate in un’unica attività?

La risposta breve è: sì, possono essere integrate, ma non confuse. La DPIA resta una valutazione privacy. La FRIA guarda più ampiamente ai diritti fondamentali. L’AI Act, infatti, prevede espressamente che, se alcuni obblighi della FRIA sono già soddisfatti attraverso una DPIA, la FRIA debba completare quella DPIA.

Cosa troverai nell’articolo

  • Cos’è la DPIA e quando serve
  • Cos’è la FRIA e quando entra in gioco
  • Perché DPIA e FRIA non sono la stessa cosa
  • Come possono essere integrate nei progetti di IA
  • Quali errori evitare
  • Un percorso operativo per partire

Cos’è la DPIA

Diritto. La DPIA è la valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 GDPR. Deve essere svolta prima del trattamento quando un tipo di trattamento, in particolare se basato su nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, tenendo conto di natura, ambito, contesto e finalità del trattamento. L’art. 35 precisa anche che una sola valutazione può riguardare un insieme di trattamenti simili che presentano rischi elevati analoghi.

La DPIA deve contenere almeno una descrizione sistematica dei trattamenti e delle finalità, una valutazione della necessità e proporzionalità, una valutazione dei rischi per gli interessati e le misure previste per affrontare tali rischi, inclusi garanzie, misure di sicurezza e meccanismi per dimostrare la conformità al GDPR.

Recentemente il European Data Protection Board ha pubblicato un template di DPIA a disposizione delle aziende e soggetto a consultazione pubblica. 

Fatto. Nei progetti di IA la DPIA diventa spesso necessaria perché il sistema può comportare profilazione, monitoraggio sistematico, decisioni automatizzate, trattamento di dati su larga scala o uso di dati particolarmente delicati.

Il Garante privacy richiama le linee guida WP29 sulla DPIA e chiarisce che la valutazione d’impatto non va letta come un adempimento una tantum, ma come un processo soggetto a revisione continua. Il Garante collega inoltre la DPIA al principio di accountability e alla protezione dei dati fin dalla progettazione.

In pratica. La DPIA risponde a una domanda precisa: il trattamento dei dati personali è necessario, proporzionato e presidiato in modo adeguato rispetto ai rischi privacy per gli interessati?

Cos’è la FRIA

Diritto. La FRIA è la valutazione d’impatto sui diritti fondamentali prevista dall’art. 27 dell’AI Act per determinati deployer di sistemi di IA ad alto rischio.

L’art. 27 prevede che, prima di utilizzare determinati sistemi di IA ad alto rischio, debbano svolgere una valutazione dell’impatto sui diritti fondamentali i deployer che sono organismi di diritto pubblico, soggetti privati che forniscono servizi pubblici e i deployer di sistemi di IA ad alto rischio richiamati nell’Allegato III, punti 5(b) e 5(c), cioè sistemi usati per valutare l’affidabilità creditizia o stabilire il credit score di persone fisiche e sistemi usati per la valutazione del rischio e la determinazione dei prezzi in materia di assicurazione vita e salute.

La FRIA deve descrivere, tra l’altro, i processi in cui il sistema sarà utilizzato, il periodo e la frequenza d’uso, le categorie di persone o gruppi interessati, i rischi specifici di danno, le misure di sorveglianza umana e le misure da adottare se i rischi si materializzano, inclusi presidi di governance interna e meccanismi di reclamo.

Fatto. La FRIA non riguarda qualsiasi sistema di IA. Riguarda specifici sistemi ad alto rischio e specifiche categorie di deployer. Questo è un punto importante, perché molte aziende tendono a ragionare in modo troppo ampio: “uso IA, quindi devo fare una FRIA”. Non sempre è così.

In pratica. La FRIA risponde a una domanda diversa dalla DPIA: l’uso concreto del sistema di IA può incidere su diritti fondamentali come non discriminazione, accesso a servizi, tutela della persona, possibilità di contestare una decisione, controllo umano e correttezza del processo decisionale?

DPIA e FRIA non sono sinonimi

DPIA e FRIA si assomigliano perché entrambe sono valutazioni preventive del rischio. Ma non hanno lo stesso oggetto.

La DPIA nasce dal GDPR e guarda al trattamento dei dati personali. La FRIA nasce dall’AI Act e guarda all’impatto del sistema di IA sui diritti fondamentali nel contesto d’uso.

Questo significa che un progetto di IA può richiedere:

  • solo una DPIA, se il sistema tratta dati personali e presenta rischio elevato, ma non rientra nell’art. 27 AI Act;
  • solo una FRIA, ipotesi meno frequente nella pratica, se il sistema rientra nell’art. 27 ma il trattamento di dati personali non presenta i presupposti per una DPIA;
  • entrambe, quando il sistema tratta dati personali ad alto rischio e rientra anche nel perimetro della FRIA;
  • nessuna delle due, se non ricorrono i presupposti, fermo restando che possono comunque essere opportuni assessment interni di rischio, accountability e governance.

La classificazione del sistema è quindi il primo passaggio. L’art. 6 AI Act considera ad alto rischio, tra l’altro, i sistemi indicati nell’Allegato III, salvo alcune eccezioni quando non pongono un rischio significativo per salute, sicurezza o diritti fondamentali e non incidono materialmente sull’esito decisionale; resta però sempre alto rischio il sistema dell’Allegato III che svolge profilazione di persone fisiche.

Perché nei sistemi di IA conviene integrarle

Opinione. Nella maggior parte dei progetti di IA seri, gestire DPIA e FRIA come due attività completamente separate rischia di produrre duplicazioni, incoerenze e documenti poco utili.

Il tema non è “fare più carta”. Il tema è costruire una valutazione che segua il ciclo di vita del sistema: scelta del fornitore, finalità d’uso, dati trattati, logiche decisionali, output, supervisione umana, gestione degli errori, reclami, monitoraggio e aggiornamento.

L’AI Act consente espressamente questa integrazione: quando gli obblighi della FRIA sono già soddisfatti dalla DPIA, la FRIA deve completare la DPIA.

Questo passaggio è molto rilevante. Non dice che la FRIA “sparisce” dentro la DPIA. Dice che la FRIA può appoggiarsi alla DPIA e completarla dove serve.

In pratica, l’approccio corretto non è:

facciamo una DPIA e la chiamiamo anche FRIA.

L’approccio corretto è:

facciamo un assessment integrato, con una sezione privacy e una sezione diritti fondamentali, mantenendo chiari presupposti, perimetro e misure richieste da ciascuna normativa.

Come costruire una valutazione integrata DPIA-FRIA

Un modello operativo può essere costruito in sette passaggi.

1. Mappare il caso d’uso

Prima di parlare di documenti, bisogna capire il processo.

Il sistema di IA viene usato per selezionare candidati? Valutare clienti? Supportare decisioni creditizie? Gestire accessi a servizi? Prioritizzare richieste? Assistere operatori umani?

La valutazione deve partire dal processo reale, non dalla descrizione commerciale del tool.

2. Classificare il sistema ai fini AI Act

Occorre verificare se il sistema è un sistema di IA, se rientra in una categoria ad alto rischio, quale ruolo assume l’organizzazione e se agisce come provider, deployer o entrambi.

La classificazione è decisiva perché gli obblighi cambiano in modo significativo. L’AI Act distingue infatti tra diversi operatori della catena del valore e attribuisce obblighi specifici a provider e deployer. L’art. 25 prevede anche casi in cui un deployer, distributore o importatore può essere considerato provider, ad esempio se appone il proprio marchio, modifica sostanzialmente il sistema o ne cambia la finalità in modo da renderlo ad alto rischio.

3. Verificare il perimetro GDPR

Qui si ragiona da privacy lawyer: quali dati sono trattati, quali finalità, quali basi giuridiche, quali categorie di interessati, quali responsabili del trattamento, quali trasferimenti, quali tempi di conservazione, quali misure di sicurezza.

Se il sistema produce decisioni basate unicamente su trattamenti automatizzati, incluse attività di profilazione, con effetti giuridici o effetti analogamente significativi sulla persona, va considerato anche l’art. 22 GDPR.

4. Valutare i rischi privacy

Questa è la parte DPIA: rischio per riservatezza, integrità, minimizzazione, esattezza, trasparenza, diritti degli interessati, sicurezza, rischio di uso ulteriore dei dati, rischio di opacità e rischio di decisioni non contestabili.

Se la DPIA mostra un rischio elevato non mitigabile con misure adeguate, il titolare deve consultare preventivamente l’autorità di controllo ai sensi dell’art. 36 GDPR.

5. Valutare i rischi sui diritti fondamentali

Questa è la parte FRIA. Bisogna guardare oltre la privacy.

Alcune domande utili:

  • Il sistema può produrre effetti discriminatori?
  • Alcuni gruppi sono più esposti di altri?
  • Il sistema incide sull’accesso a servizi, lavoro, credito, istruzione o benefici?
  • L’output è comprensibile per chi deve usarlo?
  • Esiste un controllo umano effettivo o solo formale?
  • La persona interessata può contestare la decisione o chiedere una revisione?
  • Esistono canali di reclamo e governance interna?
  • Le misure del fornitore sono sufficienti nel contesto specifico dell’organizzazione?

6. Disegnare misure comuni e misure specifiche

Molte misure servono sia alla DPIA sia alla FRIA: controllo umano, logging, audit, monitoraggio delle performance, test su bias e accuratezza, procedure di escalation, formazione, limiti d’uso, trasparenza verso gli utenti, gestione dei reclami.

Altre misure sono più specificamente privacy: minimizzazione, base giuridica, retention, accordi con responsabili, informative, sicurezza dei dati.

Altre ancora sono più tipiche della FRIA: analisi degli impatti su gruppi vulnerabili, non discriminazione, contestabilità, governance della decisione, presidi contro automation bias, ruolo dell’operatore umano.

7. Mantenere un fascicolo unico ma leggibile

L’obiettivo dovrebbe essere un fascicolo unico di assessment, con sezioni distinte:

  • descrizione del sistema;
  • classificazione AI Act;
  • perimetro GDPR;
  • valutazione DPIA;
  • valutazione FRIA;
  • misure di mitigazione;
  • rischio residuo;
  • decisione di go-live;
  • owner interni;
  • piano di monitoraggio;
  • evidenze del fornitore;
  • riesame periodico.

In questo modo si evita la duplicazione, ma si mantiene la tracciabilità giuridica.

Attenzione alle tempistiche

La DPIA va svolta prima dell’inizio del trattamento. La FRIA va svolta prima del deployment del sistema ad alto rischio nel perimetro dell’art. 27.

L’art. 27 AI Act prevede inoltre che l’obbligo si applichi al primo utilizzo del sistema e che il deployer possa basarsi, in casi simili, su FRIA precedenti o su valutazioni d’impatto già svolte dal provider, aggiornando però le informazioni quando gli elementi rilevanti cambiano o non sono più attuali.

Nota di aggiornamento. Al 6 maggio 2026, il calendario applicativo dell’AI Act è oggetto di iniziative di semplificazione e proposte di rinvio per alcune regole sui sistemi ad alto rischio. Il Parlamento europeo ha comunicato che la proposta Digital Omnibus mira a rinviare l’applicazione di alcune regole sui sistemi di IA ad alto rischio, ma questa indicazione va verificata sul testo normativo vigente al momento della pubblicazione dell’articolo.

Errori da evitare

Il primo errore è trattare la FRIA come una DPIA con un nome diverso. Non lo è. La DPIA riguarda la protezione dei dati personali. La FRIA riguarda l’impatto sui diritti fondamentali derivante dall’uso del sistema di IA.

Il secondo errore è affidarsi solo alla documentazione del fornitore. Le informazioni del provider sono importanti, ma il deployer deve valutare il sistema nel proprio contesto d’uso. Lo stesso sistema può avere rischi diversi se usato in ambiti, popolazioni e processi decisionali differenti.

Il terzo errore è fare la valutazione dopo il go-live. DPIA e FRIA hanno senso se entrano nella fase di progettazione, acquisto e configurazione del sistema.

Il quarto errore è coinvolgere solo il team tecnico. Nei sistemi di IA servono legale, privacy, security, business owner, procurement, HR o funzione interessata, DPO quando presente e chi governa concretamente il processo decisionale.

Il quinto errore è produrre un documento statico. IA, dati, modelli, finalità e contesto cambiano. Anche la valutazione deve essere riesaminata.

Cosa fare concretamente

Le organizzazioni che stanno introducendo sistemi di IA dovrebbero partire da una mappatura dei casi d’uso. Non basta avere un inventario dei tool: bisogna sapere dove incidono sui processi e sulle persone.

Il percorso operativo può essere questo:

  1. censire i sistemi di IA in uso o in fase di acquisto;
  2. classificare ciascun sistema rispetto all’AI Act;
  3. verificare se il sistema tratta dati personali e se richiede DPIA;
  4. verificare se ricorrono i presupposti della FRIA;
  5. costruire un assessment integrato DPIA-FRIA quando i due perimetri si sovrappongono;
  6. definire misure di mitigazione verificabili;
  7. aggiornare contratti, informative, procedure interne e governance;
  8. monitorare nel tempo output, incidenti, reclami, bias, performance e modifiche del sistema.

Il punto critico non è compilare un template. Il punto critico è essere in grado di dimostrare che l’organizzazione ha capito il rischio e lo ha governato prima di mettere il sistema in produzione.

Conclusione

DPIA e FRIA sono strumenti diversi, ma nei progetti di IA devono parlarsi.

La DPIA consente di governare il trattamento dei dati personali secondo il GDPR. La FRIA consente di guardare all’impatto più ampio del sistema sui diritti fondamentali. L’integrazione tra le due valutazioni non è solo efficiente: è coerente con l’impostazione dell’AI Act, che prevede espressamente il coordinamento con la DPIA.

Per le aziende, questo significa spostare la compliance IA da un approccio documentale a un approccio di governance: capire il sistema, capire il contesto, capire l’impatto, documentare le scelte e monitorare nel tempo.

La vera domanda non è più solo: “possiamo usare questo sistema di IA?”.

La domanda corretta è: “possiamo dimostrare di aver valutato e governato i suoi impatti prima di usarlo?”.

Se hai bisogno di fare una DPIA, una FRIA o di conoscere meglio la materia, puoi contattare il nostro team di privacy & cybersicurezza.

Prev
No more posts
Next
NIS2 e gestione dei fornitori. Attenzione alla governance della fornitura
  • No Comments
Comments are closed.