{"id":7053,"date":"2026-05-06T14:21:18","date_gmt":"2026-05-06T14:21:18","guid":{"rendered":"https:\/\/pixlex.it\/?p=7053"},"modified":"2026-05-06T14:22:30","modified_gmt":"2026-05-06T14:22:30","slug":"dpia-fria-sistemi-ia-gdpr-ai-act-compliance","status":"publish","type":"post","link":"https:\/\/pixlex.it\/en\/dpia-fria-sistemi-ia-gdpr-ai-act-compliance\/","title":{"rendered":"DPIA e FRIA nei sistemi di IA: cosa cambia e come integrarle"},"content":{"rendered":"<div data-elementor-type=\"wp-post\" data-elementor-id=\"7053\" class=\"elementor elementor-7053\" data-elementor-post-type=\"post\">\n\t\t\t\t<div class=\"elementor-element elementor-element-1acbe8d e-flex e-con-boxed e-con e-parent\" data-id=\"1acbe8d\" data-element_type=\"container\" data-settings=\"{&quot;content_width&quot;:&quot;boxed&quot;}\" data-core-v316-plus=\"true\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-cb5ea3f elementor-widget elementor-widget-image\" data-id=\"cb5ea3f\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.19.0 - 07-02-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t<img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"768\" src=\"https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/DPIA-FRIA-1024x768.png\" class=\"attachment-large size-large wp-image-7058\" alt=\"DPIA FRIA\" srcset=\"https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/DPIA-FRIA-1024x768.png 1024w, https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/DPIA-FRIA-300x225.png 300w, https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/DPIA-FRIA-768x576.png 768w, https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/DPIA-FRIA-16x12.png 16w, https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/DPIA-FRIA.png 1448w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div class=\"elementor-element elementor-element-d749e04 e-flex e-con-boxed e-con e-parent\" data-id=\"d749e04\" data-element_type=\"container\" data-settings=\"{&quot;content_width&quot;:&quot;boxed&quot;}\" data-core-v316-plus=\"true\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-193837e elementor-widget elementor-widget-text-editor\" data-id=\"193837e\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.19.0 - 07-02-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p data-start=\"887\" data-end=\"1064\">L\u2019intelligenza artificiale sta cambiando il modo in cui aziende, pubbliche amministrazioni e fornitori tecnologici prendono decisioni, automatizzano processi e valutano persone.<\/p><p data-start=\"1066\" data-end=\"1245\">Il punto, per\u00f2, non \u00e8 solo \u201cusiamo o non usiamo l\u2019IA\u201d. Il punto \u00e8 capire <strong data-start=\"1139\" data-end=\"1175\">che impatto produce quel sistema<\/strong>, su quali persone, in quale contesto e con quali misure di controllo.<\/p><p data-start=\"1247\" data-end=\"1722\">Quando un sistema di IA tratta dati personali, entra in gioco il GDPR. Quando il sistema rientra nel perimetro dei sistemi di IA ad alto rischio, entra in gioco anche l\u2019AI Act, che segue un approccio basato sul rischio e mira a tutelare sicurezza, salute e diritti fondamentali. La Commissione europea descrive l\u2019AI Act come il primo quadro normativo completo sull\u2019IA e sottolinea il suo approccio risk-based per sviluppatori e deployer.<\/p><p data-start=\"1724\" data-end=\"1779\">In questo scenario si incontrano due strumenti diversi:<\/p><ul data-start=\"1781\" data-end=\"2008\"><li data-section-id=\"1jv8whb\" data-start=\"1781\" data-end=\"1870\">la <strong data-start=\"1786\" data-end=\"1794\">DPIA<\/strong>, cio\u00e8 la valutazione d\u2019impatto sulla protezione dei dati prevista dal GDPR;<\/li><li data-section-id=\"ub61p0\" data-start=\"1871\" data-end=\"2008\">la <strong data-start=\"1876\" data-end=\"1884\">FRIA<\/strong>, cio\u00e8 la valutazione d\u2019impatto sui diritti fondamentali prevista dall\u2019AI Act per determinati sistemi di IA ad alto rischio.<\/li><\/ul><p data-start=\"2010\" data-end=\"2119\">La domanda pratica \u00e8 semplice: <strong data-start=\"2041\" data-end=\"2119\">servono entrambe? E, se s\u00ec, possono essere integrate in un\u2019unica attivit\u00e0?<\/strong><\/p><p data-start=\"2121\" data-end=\"2479\">La risposta breve \u00e8: <strong data-start=\"2142\" data-end=\"2190\">s\u00ec, possono essere integrate, ma non confuse<\/strong>. La DPIA resta una valutazione privacy. La FRIA guarda pi\u00f9 ampiamente ai diritti fondamentali. L\u2019AI Act, infatti, prevede espressamente che, se alcuni obblighi della FRIA sono gi\u00e0 soddisfatti attraverso una DPIA, la FRIA debba completare quella DPIA.<\/p><h2 data-section-id=\"vmegvc\" data-start=\"2481\" data-end=\"2511\">Cosa troverai nell\u2019articolo<\/h2><ul data-start=\"2513\" data-end=\"2738\"><li data-section-id=\"gx9oat\" data-start=\"2513\" data-end=\"2543\">Cos\u2019\u00e8 la DPIA e quando serve<\/li><li data-section-id=\"139ylpw\" data-start=\"2544\" data-end=\"2583\">Cos\u2019\u00e8 la FRIA e quando entra in gioco<\/li><li data-section-id=\"4h7g0a\" data-start=\"2584\" data-end=\"2628\">Perch\u00e9 DPIA e FRIA non sono la stessa cosa<\/li><li data-section-id=\"xk100o\" data-start=\"2629\" data-end=\"2679\">Come possono essere integrate nei progetti di IA<\/li><li data-section-id=\"1ob1i69\" data-start=\"2680\" data-end=\"2702\">Quali errori evitare<\/li><li data-section-id=\"1mthnp1\" data-start=\"2703\" data-end=\"2738\">Un percorso operativo per partire<\/li><\/ul><h2 data-section-id=\"15tizcq\" data-start=\"2740\" data-end=\"2756\">Cos\u2019\u00e8 la DPIA<\/h2><p data-start=\"2758\" data-end=\"3306\"><strong data-start=\"2758\" data-end=\"2770\">Diritto.<\/strong> La DPIA \u00e8 la valutazione d\u2019impatto sulla protezione dei dati prevista dall\u2019art. 35 GDPR. Deve essere svolta prima del trattamento quando un tipo di trattamento, in particolare se basato su nuove tecnologie, pu\u00f2 presentare un rischio elevato per i diritti e le libert\u00e0 delle persone fisiche, tenendo conto di natura, ambito, contesto e finalit\u00e0 del trattamento. L\u2019art. 35 precisa anche che una sola valutazione pu\u00f2 riguardare un insieme di trattamenti simili che presentano rischi elevati analoghi.<\/p><p data-start=\"3308\" data-end=\"3673\">La DPIA deve contenere almeno una descrizione sistematica dei trattamenti e delle finalit\u00e0, una valutazione della necessit\u00e0 e proporzionalit\u00e0, una valutazione dei rischi per gli interessati e le misure previste per affrontare tali rischi, inclusi garanzie, misure di sicurezza e meccanismi per dimostrare la conformit\u00e0 al GDPR.<\/p><p data-start=\"3308\" data-end=\"3673\">Recentemente il European Data Protection Board ha <a href=\"https:\/\/www.edpb.europa.eu\/our-work-tools\/documents\/public-consultations\/2026\/edpb-dpia-template_en\" target=\"_blank\" rel=\"noopener\">pubblicato un template di DPIA<\/a> a disposizione delle aziende e soggetto a consultazione pubblica.\u00a0<\/p><p data-start=\"3675\" data-end=\"3911\"><strong data-start=\"3675\" data-end=\"3685\">Fatto.<\/strong> Nei progetti di IA la DPIA diventa spesso necessaria perch\u00e9 il sistema pu\u00f2 comportare profilazione, monitoraggio sistematico, decisioni automatizzate, trattamento di dati su larga scala o uso di dati particolarmente delicati.<\/p><p data-start=\"3913\" data-end=\"4264\">Il Garante privacy richiama le linee guida WP29 sulla DPIA e chiarisce che la valutazione d\u2019impatto non va letta come un adempimento una tantum, ma come un processo soggetto a revisione continua. Il Garante collega inoltre la DPIA al principio di accountability e alla protezione dei dati fin dalla progettazione.<\/p><p data-start=\"4266\" data-end=\"4461\"><strong data-start=\"4266\" data-end=\"4281\">In pratica.<\/strong> La DPIA risponde a una domanda precisa: il trattamento dei dati personali \u00e8 necessario, proporzionato e presidiato in modo adeguato rispetto ai rischi privacy per gli interessati?<\/p><h2 data-section-id=\"15teenu\" data-start=\"4463\" data-end=\"4479\">Cos\u2019\u00e8 la FRIA<\/h2><p data-start=\"4481\" data-end=\"4646\"><strong data-start=\"4481\" data-end=\"4493\">Diritto.<\/strong> La FRIA \u00e8 la valutazione d\u2019impatto sui diritti fondamentali prevista dall\u2019art. 27 dell\u2019AI Act per determinati deployer di sistemi di IA ad alto rischio.<\/p><p data-start=\"4648\" data-end=\"5263\">L\u2019art. 27 prevede che, prima di utilizzare determinati sistemi di IA ad alto rischio, debbano svolgere una valutazione dell\u2019impatto sui diritti fondamentali i deployer che sono organismi di diritto pubblico, soggetti privati che forniscono servizi pubblici e i deployer di sistemi di IA ad alto rischio richiamati nell\u2019Allegato III, punti 5(b) e 5(c), cio\u00e8 sistemi usati per valutare l\u2019affidabilit\u00e0 creditizia o stabilire il credit score di persone fisiche e sistemi usati per la valutazione del rischio e la determinazione dei prezzi in materia di assicurazione vita e salute.<\/p><p data-start=\"5265\" data-end=\"5644\">La FRIA deve descrivere, tra l\u2019altro, i processi in cui il sistema sar\u00e0 utilizzato, il periodo e la frequenza d\u2019uso, le categorie di persone o gruppi interessati, i rischi specifici di danno, le misure di sorveglianza umana e le misure da adottare se i rischi si materializzano, inclusi presidi di governance interna e meccanismi di reclamo.<\/p><p data-start=\"5646\" data-end=\"5930\"><strong data-start=\"5646\" data-end=\"5656\">Fatto.<\/strong> La FRIA non riguarda qualsiasi sistema di IA. Riguarda specifici sistemi ad alto rischio e specifiche categorie di deployer. Questo \u00e8 un punto importante, perch\u00e9 molte aziende tendono a ragionare in modo troppo ampio: \u201cuso IA, quindi devo fare una FRIA\u201d. Non sempre \u00e8 cos\u00ec.<\/p><p data-start=\"5932\" data-end=\"6232\"><strong data-start=\"5932\" data-end=\"5947\">In pratica.<\/strong> La FRIA risponde a una domanda diversa dalla DPIA: l\u2019uso concreto del sistema di IA pu\u00f2 incidere su diritti fondamentali come non discriminazione, accesso a servizi, tutela della persona, possibilit\u00e0 di contestare una decisione, controllo umano e correttezza del processo decisionale?<\/p><h2 data-section-id=\"3ffhyi\" data-start=\"6234\" data-end=\"6266\">DPIA e FRIA non sono sinonimi<\/h2><p data-start=\"6268\" data-end=\"6384\">DPIA e FRIA si assomigliano perch\u00e9 entrambe sono valutazioni preventive del rischio. Ma non hanno lo stesso oggetto.<\/p><p data-start=\"6386\" data-end=\"6570\">La <strong data-start=\"6389\" data-end=\"6397\">DPIA<\/strong> nasce dal GDPR e guarda al trattamento dei dati personali. La <strong data-start=\"6460\" data-end=\"6468\">FRIA<\/strong> nasce dall\u2019AI Act e guarda all\u2019impatto del sistema di IA sui diritti fondamentali nel contesto d\u2019uso.<\/p><p data-start=\"6572\" data-end=\"6626\">Questo significa che un progetto di IA pu\u00f2 richiedere:<\/p><ul data-start=\"6628\" data-end=\"7187\"><li data-section-id=\"ss0di4\" data-start=\"6628\" data-end=\"6744\">solo una DPIA, se il sistema tratta dati personali e presenta rischio elevato, ma non rientra nell\u2019art. 27 AI Act;<\/li><li data-section-id=\"1bgk25u\" data-start=\"6745\" data-end=\"6911\">solo una FRIA, ipotesi meno frequente nella pratica, se il sistema rientra nell\u2019art. 27 ma il trattamento di dati personali non presenta i presupposti per una DPIA;<\/li><li data-section-id=\"pbgcxi\" data-start=\"6912\" data-end=\"7021\">entrambe, quando il sistema tratta dati personali ad alto rischio e rientra anche nel perimetro della FRIA;<\/li><li data-section-id=\"wv9xo7\" data-start=\"7022\" data-end=\"7187\">nessuna delle due, se non ricorrono i presupposti, fermo restando che possono comunque essere opportuni assessment interni di rischio, accountability e governance.<\/li><\/ul><p data-start=\"7189\" data-end=\"7649\">La classificazione del sistema \u00e8 quindi il primo passaggio. L\u2019art. 6 AI Act considera ad alto rischio, tra l\u2019altro, i sistemi indicati nell\u2019Allegato III, salvo alcune eccezioni quando non pongono un rischio significativo per salute, sicurezza o diritti fondamentali e non incidono materialmente sull\u2019esito decisionale; resta per\u00f2 sempre alto rischio il sistema dell\u2019Allegato III che svolge profilazione di persone fisiche.<\/p><h2 data-section-id=\"116r81d\" data-start=\"7651\" data-end=\"7698\">Perch\u00e9 nei sistemi di IA conviene integrarle<\/h2><p data-start=\"7700\" data-end=\"7888\"><strong data-start=\"7700\" data-end=\"7713\">Opinione.<\/strong> Nella maggior parte dei progetti di IA seri, gestire DPIA e FRIA come due attivit\u00e0 completamente separate rischia di produrre duplicazioni, incoerenze e documenti poco utili.<\/p><p data-start=\"7890\" data-end=\"8161\">Il tema non \u00e8 \u201cfare pi\u00f9 carta\u201d. Il tema \u00e8 costruire una valutazione che segua il ciclo di vita del sistema: scelta del fornitore, finalit\u00e0 d\u2019uso, dati trattati, logiche decisionali, output, supervisione umana, gestione degli errori, reclami, monitoraggio e aggiornamento.<\/p><p data-start=\"8163\" data-end=\"8350\">L\u2019AI Act consente espressamente questa integrazione: quando gli obblighi della FRIA sono gi\u00e0 soddisfatti dalla DPIA, la FRIA deve completare la DPIA.<\/p><p data-start=\"8352\" data-end=\"8504\">Questo passaggio \u00e8 molto rilevante. Non dice che la FRIA \u201csparisce\u201d dentro la DPIA. Dice che la FRIA pu\u00f2 appoggiarsi alla DPIA e completarla dove serve.<\/p><p data-start=\"8506\" data-end=\"8545\">In pratica, l\u2019approccio corretto non \u00e8:<\/p><blockquote data-start=\"8547\" data-end=\"8593\"><p data-start=\"8549\" data-end=\"8593\">facciamo una DPIA e la chiamiamo anche FRIA.<\/p><\/blockquote><p data-start=\"8595\" data-end=\"8618\">L\u2019approccio corretto \u00e8:<\/p><blockquote data-start=\"8620\" data-end=\"8798\"><p data-start=\"8622\" data-end=\"8798\">facciamo un assessment integrato, con una sezione privacy e una sezione diritti fondamentali, mantenendo chiari presupposti, perimetro e misure richieste da ciascuna normativa.<\/p><\/blockquote><h2 data-section-id=\"115w8zj\" data-start=\"8800\" data-end=\"8853\">Come costruire una valutazione integrata DPIA-FRIA<\/h2><p data-start=\"8855\" data-end=\"8915\">Un modello operativo pu\u00f2 essere costruito in sette passaggi.<\/p><h3 data-section-id=\"lhffkc\" data-start=\"8917\" data-end=\"8945\">1. Mappare il caso d\u2019uso<\/h3><p data-start=\"8947\" data-end=\"9005\">Prima di parlare di documenti, bisogna capire il processo.<\/p><p data-start=\"9007\" data-end=\"9192\">Il sistema di IA viene usato per selezionare candidati? Valutare clienti? Supportare decisioni creditizie? Gestire accessi a servizi? Prioritizzare richieste? Assistere operatori umani?<\/p><p data-start=\"9194\" data-end=\"9285\">La valutazione deve partire dal processo reale, non dalla descrizione commerciale del tool.<\/p><h3 data-section-id=\"15ux6dk\" data-start=\"9287\" data-end=\"9332\">2. Classificare il sistema ai fini AI Act<\/h3><p data-start=\"9334\" data-end=\"9515\">Occorre verificare se il sistema \u00e8 un sistema di IA, se rientra in una categoria ad alto rischio, quale ruolo assume l\u2019organizzazione e se agisce come provider, deployer o entrambi.<\/p><p data-start=\"9517\" data-end=\"10012\">La classificazione \u00e8 decisiva perch\u00e9 gli obblighi cambiano in modo significativo. L\u2019AI Act distingue infatti tra diversi operatori della catena del valore e attribuisce obblighi specifici a provider e deployer. L\u2019art. 25 prevede anche casi in cui un deployer, distributore o importatore pu\u00f2 essere considerato provider, ad esempio se appone il proprio marchio, modifica sostanzialmente il sistema o ne cambia la finalit\u00e0 in modo da renderlo ad alto rischio.<\/p><h3 data-section-id=\"155v3b6\" data-start=\"10014\" data-end=\"10049\">3. Verificare il perimetro GDPR<\/h3><p data-start=\"10051\" data-end=\"10295\">Qui si ragiona da privacy lawyer: quali dati sono trattati, quali finalit\u00e0, quali basi giuridiche, quali categorie di interessati, quali responsabili del trattamento, quali trasferimenti, quali tempi di conservazione, quali misure di sicurezza.<\/p><p data-start=\"10297\" data-end=\"10561\">Se il sistema produce decisioni basate unicamente su trattamenti automatizzati, incluse attivit\u00e0 di profilazione, con effetti giuridici o effetti analogamente significativi sulla persona, va considerato anche l\u2019art. 22 GDPR.<\/p><h3 data-section-id=\"1mnhq8l\" data-start=\"10563\" data-end=\"10595\">4. Valutare i rischi privacy<\/h3><p data-start=\"10597\" data-end=\"10830\">Questa \u00e8 la parte DPIA: rischio per riservatezza, integrit\u00e0, minimizzazione, esattezza, trasparenza, diritti degli interessati, sicurezza, rischio di uso ulteriore dei dati, rischio di opacit\u00e0 e rischio di decisioni non contestabili.<\/p><p data-start=\"10832\" data-end=\"11040\">Se la DPIA mostra un rischio elevato non mitigabile con misure adeguate, il titolare deve consultare preventivamente l\u2019autorit\u00e0 di controllo ai sensi dell\u2019art. 36 GDPR.<\/p><h3 data-section-id=\"15orseu\" data-start=\"11042\" data-end=\"11091\">5. Valutare i rischi sui diritti fondamentali<\/h3><p data-start=\"11093\" data-end=\"11151\">Questa \u00e8 la parte FRIA. Bisogna guardare oltre la privacy.<\/p><p data-start=\"11153\" data-end=\"11174\">Alcune domande utili:<\/p><ul data-start=\"11176\" data-end=\"11671\"><li data-section-id=\"17p7oa4\" data-start=\"11176\" data-end=\"11225\">Il sistema pu\u00f2 produrre effetti discriminatori?<\/li><li data-section-id=\"s231uf\" data-start=\"11226\" data-end=\"11268\">Alcuni gruppi sono pi\u00f9 esposti di altri?<\/li><li data-section-id=\"1fwlsa0\" data-start=\"11269\" data-end=\"11352\">Il sistema incide sull\u2019accesso a servizi, lavoro, credito, istruzione o benefici?<\/li><li data-section-id=\"1uy2fdw\" data-start=\"11353\" data-end=\"11400\">L\u2019output \u00e8 comprensibile per chi deve usarlo?<\/li><li data-section-id=\"wh3hv7\" data-start=\"11401\" data-end=\"11454\">Esiste un controllo umano effettivo o solo formale?<\/li><li data-section-id=\"4uagh0\" data-start=\"11455\" data-end=\"11533\">La persona interessata pu\u00f2 contestare la decisione o chiedere una revisione?<\/li><li data-section-id=\"1k6b8nz\" data-start=\"11534\" data-end=\"11584\">Esistono canali di reclamo e governance interna?<\/li><li data-section-id=\"15sb7d\" data-start=\"11585\" data-end=\"11671\">Le misure del fornitore sono sufficienti nel contesto specifico dell\u2019organizzazione?<\/li><\/ul><h3 data-section-id=\"1utyv35\" data-start=\"11673\" data-end=\"11723\">6. Disegnare misure comuni e misure specifiche<\/h3><p data-start=\"11725\" data-end=\"11970\">Molte misure servono sia alla DPIA sia alla FRIA: controllo umano, logging, audit, monitoraggio delle performance, test su bias e accuratezza, procedure di escalation, formazione, limiti d\u2019uso, trasparenza verso gli utenti, gestione dei reclami.<\/p><p data-start=\"11972\" data-end=\"12119\">Altre misure sono pi\u00f9 specificamente privacy: minimizzazione, base giuridica, retention, accordi con responsabili, informative, sicurezza dei dati.<\/p><p data-start=\"12121\" data-end=\"12332\">Altre ancora sono pi\u00f9 tipiche della FRIA: analisi degli impatti su gruppi vulnerabili, non discriminazione, contestabilit\u00e0, governance della decisione, presidi contro automation bias, ruolo dell\u2019operatore umano.<\/p><h3 data-section-id=\"1on6oiy\" data-start=\"12334\" data-end=\"12382\">7. Mantenere un fascicolo unico ma leggibile<\/h3><p data-start=\"12384\" data-end=\"12467\">L\u2019obiettivo dovrebbe essere un fascicolo unico di assessment, con sezioni distinte:<\/p><ul data-start=\"12469\" data-end=\"12736\"><li data-section-id=\"7129zr\" data-start=\"12469\" data-end=\"12495\">descrizione del sistema;<\/li><li data-section-id=\"1ecltn4\" data-start=\"12496\" data-end=\"12521\">classificazione AI Act;<\/li><li data-section-id=\"q9piil\" data-start=\"12522\" data-end=\"12539\">perimetro GDPR;<\/li><li data-section-id=\"1ccg6hv\" data-start=\"12540\" data-end=\"12559\">valutazione DPIA;<\/li><li data-section-id=\"1cggzoj\" data-start=\"12560\" data-end=\"12579\">valutazione FRIA;<\/li><li data-section-id=\"hl2fb7\" data-start=\"12580\" data-end=\"12604\">misure di mitigazione;<\/li><li data-section-id=\"r9df39\" data-start=\"12605\" data-end=\"12623\">rischio residuo;<\/li><li data-section-id=\"1v0x0bc\" data-start=\"12624\" data-end=\"12647\">decisione di go-live;<\/li><li data-section-id=\"ms91e9\" data-start=\"12648\" data-end=\"12664\">owner interni;<\/li><li data-section-id=\"cu1zsc\" data-start=\"12665\" data-end=\"12689\">piano di monitoraggio;<\/li><li data-section-id=\"1e76o90\" data-start=\"12690\" data-end=\"12715\">evidenze del fornitore;<\/li><li data-section-id=\"14528wy\" data-start=\"12716\" data-end=\"12736\">riesame periodico.<\/li><\/ul><p data-start=\"12738\" data-end=\"12821\">In questo modo si evita la duplicazione, ma si mantiene la tracciabilit\u00e0 giuridica.<\/p><h2 data-section-id=\"h53f21\" data-start=\"12823\" data-end=\"12853\">Attenzione alle tempistiche<\/h2><p data-start=\"12855\" data-end=\"13002\">La DPIA va svolta prima dell\u2019inizio del trattamento. La FRIA va svolta prima del deployment del sistema ad alto rischio nel perimetro dell\u2019art. 27.<\/p><p data-start=\"13004\" data-end=\"13348\">L\u2019art. 27 AI Act prevede inoltre che l\u2019obbligo si applichi al primo utilizzo del sistema e che il deployer possa basarsi, in casi simili, su FRIA precedenti o su valutazioni d\u2019impatto gi\u00e0 svolte dal provider, aggiornando per\u00f2 le informazioni quando gli elementi rilevanti cambiano o non sono pi\u00f9 attuali.<\/p><p data-start=\"13350\" data-end=\"13844\"><strong data-start=\"13350\" data-end=\"13376\">Nota di aggiornamento.<\/strong> Al 6 maggio 2026, il calendario applicativo dell\u2019AI Act \u00e8 oggetto di iniziative di semplificazione e proposte di rinvio per alcune regole sui sistemi ad alto rischio. Il Parlamento europeo ha comunicato che la proposta Digital Omnibus mira a rinviare l\u2019applicazione di alcune regole sui sistemi di IA ad alto rischio, ma questa indicazione va verificata sul testo normativo vigente al momento della pubblicazione dell\u2019articolo.<\/p><h2 data-section-id=\"1dfunex\" data-start=\"13846\" data-end=\"13866\">Errori da evitare<\/h2><p data-start=\"13868\" data-end=\"14088\">Il primo errore \u00e8 trattare la FRIA come una DPIA con un nome diverso. Non lo \u00e8. La DPIA riguarda la protezione dei dati personali. La FRIA riguarda l\u2019impatto sui diritti fondamentali derivante dall\u2019uso del sistema di IA.<\/p><p data-start=\"14090\" data-end=\"14383\">Il secondo errore \u00e8 affidarsi solo alla documentazione del fornitore. Le informazioni del provider sono importanti, ma il deployer deve valutare il sistema nel proprio contesto d\u2019uso. Lo stesso sistema pu\u00f2 avere rischi diversi se usato in ambiti, popolazioni e processi decisionali differenti.<\/p><p data-start=\"14385\" data-end=\"14542\">Il terzo errore \u00e8 fare la valutazione dopo il go-live. DPIA e FRIA hanno senso se entrano nella fase di progettazione, acquisto e configurazione del sistema.<\/p><p data-start=\"14544\" data-end=\"14778\">Il quarto errore \u00e8 coinvolgere solo il team tecnico. Nei sistemi di IA servono legale, privacy, security, business owner, procurement, HR o funzione interessata, DPO quando presente e chi governa concretamente il processo decisionale.<\/p><p data-start=\"14780\" data-end=\"14924\">Il quinto errore \u00e8 produrre un documento statico. IA, dati, modelli, finalit\u00e0 e contesto cambiano. Anche la valutazione deve essere riesaminata.<\/p><h2 data-section-id=\"p7atvj\" data-start=\"14926\" data-end=\"14952\">Cosa fare concretamente<\/h2><p data-start=\"14954\" data-end=\"15160\">Le organizzazioni che stanno introducendo sistemi di IA dovrebbero partire da una mappatura dei casi d\u2019uso. Non basta avere un inventario dei tool: bisogna sapere dove incidono sui processi e sulle persone.<\/p><p data-start=\"15162\" data-end=\"15202\">Il percorso operativo pu\u00f2 essere questo:<\/p><ol data-start=\"15204\" data-end=\"15737\"><li data-section-id=\"17vj76x\" data-start=\"15204\" data-end=\"15260\">censire i sistemi di IA in uso o in fase di acquisto;<\/li><li data-section-id=\"g3cg8v\" data-start=\"15261\" data-end=\"15313\">classificare ciascun sistema rispetto all\u2019AI Act;<\/li><li data-section-id=\"wb3ivf\" data-start=\"15314\" data-end=\"15383\">verificare se il sistema tratta dati personali e se richiede DPIA;<\/li><li data-section-id=\"xnkyoc\" data-start=\"15384\" data-end=\"15436\">verificare se ricorrono i presupposti della FRIA;<\/li><li data-section-id=\"63gf5d\" data-start=\"15437\" data-end=\"15524\">costruire un assessment integrato DPIA-FRIA quando i due perimetri si sovrappongono;<\/li><li data-section-id=\"1b372g3\" data-start=\"15525\" data-end=\"15572\">definire misure di mitigazione verificabili;<\/li><li data-section-id=\"10xsz2p\" data-start=\"15573\" data-end=\"15642\">aggiornare contratti, informative, procedure interne e governance;<\/li><li data-section-id=\"y8uc5p\" data-start=\"15643\" data-end=\"15737\">monitorare nel tempo output, incidenti, reclami, bias, performance e modifiche del sistema.<\/li><\/ol><p data-start=\"15739\" data-end=\"15936\">Il punto critico non \u00e8 compilare un template. Il punto critico \u00e8 essere in grado di dimostrare che l\u2019organizzazione ha capito il rischio e lo ha governato prima di mettere il sistema in produzione.<\/p><h2 data-section-id=\"7oo8ar\" data-start=\"15938\" data-end=\"15952\">Conclusion<\/h2><p data-start=\"15954\" data-end=\"16028\">DPIA e FRIA sono strumenti diversi, ma nei progetti di IA devono parlarsi.<\/p><p data-start=\"16030\" data-end=\"16359\">La DPIA consente di governare il trattamento dei dati personali secondo il GDPR. La FRIA consente di guardare all\u2019impatto pi\u00f9 ampio del sistema sui diritti fondamentali. L\u2019integrazione tra le due valutazioni non \u00e8 solo efficiente: \u00e8 coerente con l\u2019impostazione dell\u2019AI Act, che prevede espressamente il coordinamento con la DPIA.<\/p><p data-start=\"16361\" data-end=\"16580\">Per le aziende, questo significa spostare la compliance IA da un approccio documentale a un approccio di governance: capire il sistema, capire il contesto, capire l\u2019impatto, documentare le scelte e monitorare nel tempo.<\/p><p data-start=\"16582\" data-end=\"16653\">La vera domanda non \u00e8 pi\u00f9 solo: \u201cpossiamo usare questo sistema di IA?\u201d.<\/p><p data-start=\"16655\" data-end=\"16761\">La domanda corretta \u00e8: \u201cpossiamo dimostrare di aver valutato e governato i suoi impatti prima di usarlo?\u201d.<\/p><p data-start=\"16655\" data-end=\"16761\">Se hai bisogno di fare una DPIA, una FRIA o di conoscere meglio la materia, puoi contattare il nostro team di <a href=\"https:\/\/pixlex.it\/en\/servizi\/privacy-cybersecurity\/\">privacy &amp; cybersicurezza<\/a>.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"<p>L\u2019intelligenza artificiale sta cambiando il modo in cui aziende, pubbliche amministrazioni e fornitori tecnologici prendono decisioni, automatizzano processi e valutano persone. Il punto, per\u00f2, non \u00e8 solo \u201cusiamo o non usiamo l\u2019IA\u201d. Il punto \u00e8 capire che impatto produce quel sistema, su quali persone, in quale contesto e con quali misure di controllo. Quando un [&hellip;]<\/p>","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[27,80],"tags":[],"class_list":["post-7053","post","type-post","status-publish","format-standard","hentry","category-ti","category-cyb"],"_links":{"self":[{"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/posts\/7053","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/comments?post=7053"}],"version-history":[{"count":5,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/posts\/7053\/revisions"}],"predecessor-version":[{"id":7062,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/posts\/7053\/revisions\/7062"}],"wp:attachment":[{"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/media?parent=7053"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/categories?post=7053"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/tags?post=7053"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}