L’evoluzione tecnologica, guidata dall’impiego sempre più diffuso di sistemi di intelligenza artificiale (AI), ha reso evidente la necessità di strumenti giuridici in grado di tutelare non solo la privacy, ma anche l’insieme dei diritti fondamentali delle persone. In questo contesto, accanto alla DPIA – Data Protection Impact Assessment, prevista dal GDPR per i trattamenti ad alto rischio, il nuovo AI Act dell’Unione Europea introduce un ulteriore obbligo: la Valutazione d’Impatto sui Diritti Fondamentali (FRIA – Fundamental Rights Impact Assessment).

Le due valutazioni non si sovrappongono, ma si integrano: la DPIA tutela i dati personali, la FRIA estende l’analisi ai diritti fondamentali, come la non discriminazione, la libertà di espressione o l’accesso al lavoro. Entrambe sono strumenti centrali per dimostrare accountability, governare i rischi e costruire fiducia, soprattutto in settori regolati o ad alta automazione.

Questo articolo ha l’obiettivo di offrire una guida pratica e coordinata a DPIA e FRIA, per aiutare aziende, fornitori di sistemi AI, DPO e consulenti legali a:

  • capire quando ciascuna valutazione è richiesta,
  • sapere come redigerle in modo completo e conforme,
  • evitare errori frequenti,
  • strutturare un approccio integrato e sostenibile alla compliance.

1. DPIA: fondamenti, struttura e obbligatorietà (GDPR, art. 35)

1.1. Quando è richiesta la DPIA

La Data Protection Impact Assessment (DPIA), prevista dall’art. 35 del GDPR, è obbligatoria ogni volta che un trattamento di dati personali può presentare un rischio elevato per i diritti e le libertà degli interessati. Non si tratta di un semplice adempimento formale, ma di uno strumento preventivo per valutare i rischi e progettare misure di mitigazione efficaci.

Secondo il GDPR e le linee guida del Comitato Europeo per la Protezione dei Dati (EDPB), la DPIA è obbligatoria nei casi in cui il trattamento:

  • comporti una valutazione sistematica e automatizzata di aspetti personali, compresa la profilazione;
  • riguardi una sorveglianza sistematica su larga scala di aree accessibili al pubblico;
  • implichi il trattamento su larga scala di categorie particolari di dati (es. salute, origine etnica, dati biometrici…).

Esempi pratici:

  • piattaforme che profilano gli utenti per finalità di selezione o marketing predittivo
  • dispositivi IoT con funzioni di monitoraggio (es. wearable per la salute)
  • software HR che automatizzano la selezione dei candidati tramite machine learning

Nota: in Italia, il Garante Privacy ha pubblicato una lista dei trattamenti che richiedono sempre la DPIA, che include anche i sistemi AI con finalità decisionali automatizzate.

1.2. Elementi chiave della DPIA

Una DPIA completa e conforme deve includere almeno:

  • Descrizione del trattamento: finalità, categorie di dati, soggetti coinvolti, modalità tecniche

  • Valutazione della necessità e proporzionalità: perché si usano quei dati, se esistono alternative

  • Analisi dei rischi: quali sono le minacce per i diritti e le libertà fondamentali dell’interessato

  • Misure di mitigazione: tecniche (es. crittografia, anonimizzazione) e organizzative (es. policy, audit)

Un errore comune è confondere la DPIA con una semplice checklist. In realtà, deve trattarsi di un documento dinamico e motivato, aggiornabile in caso di cambiamenti tecnologici o normativi.

1.3. La DPIA come strumento di accountability

La DPIA è uno dei principali strumenti di responsabilizzazione (accountability) previsti dal GDPR. Non è solo un obbligo documentale, ma un modo per:

  • anticipare i rischi, prima che diventino danni concreti

  • coinvolgere attivamente il DPO e gli stakeholder interni

  • dimostrare diligenza e trasparenza in caso di controlli dell’autorità o contenziosi

Per i progetti che utilizzano AI o IoT, la DPIA rappresenta un prerequisito essenziale per la fiducia dell’utente e per il rispetto dei principi fondamentali della protezione dei dati.

2. FRIA: cos’è la valutazione d’impatto sui diritti fondamentali (AI Act, art. 29)

2.1. Origine e finalità della FRIA

Con l’entrata in vigore dell’AI Act dell’Unione Europea, le imprese che sviluppano, distribuiscono o utilizzano sistemi di intelligenza artificiale ad alto rischio devono effettuare una Valutazione d’Impatto sui Diritti Fondamentali, nota come FRIA (Fundamental Rights Impact Assessment).

Questa valutazione è concepita per analizzare l’impatto dell’AI non solo sulla privacy, ma su un’ampia gamma di diritti tutelati dalla Carta dei Diritti Fondamentali dell’UE, tra cui:

  • Diritto alla non discriminazione
  • Libertà di espressione
  • Libertà di associazione
  • Accesso al lavoro e ai servizi pubblici
  • Diritto alla tutela giuridica effettiva

Lo scopo della FRIA è anticipare e prevenire conseguenze negative sistemiche che un sistema AI potrebbe generare sull’individuo o sulla collettività, andando oltre la dimensione puramente “privacy-centric” del GDPR.

2.2. Quando è obbligatoria la FRIA

Secondo l’art. 29 dell’AI Act, la FRIA è obbligatoria nei seguenti casi:

  • Il sistema AI è classificato come ad alto rischio (es. sistemi di selezione del personale, scoring creditizio, riconoscimento facciale, gestione di infrastrutture critiche, giustizia predittiva…)
  • Il soggetto che implementa il sistema è un ente pubblico o un soggetto privato che opera in settori sensibili
  • L’AI è utilizzata in contesti che possono incidere direttamente su diritti fondamentali, come il lavoro, l’istruzione, la sanità, la mobilità, la finanza

Esempi concreti:

  • Un algoritmo usato per filtrare i candidati a un concorso pubblico

  • Un sistema AI per analizzare comportamenti sospetti in ambito assicurativo

  • Un’app di supporto alle decisioni cliniche basata su modelli predittivi

2.3. Chi deve redigere la FRIA

A differenza della DPIA, la FRIA non è obbligatoriamente in capo al titolare del trattamento, ma va predisposta:

  • dal deploying entity (il soggetto che implementa il sistema AI nella pratica),
  • in collaborazione con il provider, se necessario,
  • coinvolgendo, nei limiti del possibile, rappresentanti degli interessati, esperti in etica e diritti umani, e altre figure rilevanti.

2.4. Obblighi documentali e collegamento con il ciclo di vita del sistema AI

La FRIA:

  • deve essere redatta prima del rilascio o della messa in uso del sistema,
  • va aggiornata in caso di modifiche significative,
  • rientra tra gli obblighi di trasparenza, auditabilità e governance etica previsti dal nuovo quadro regolatorio.

Inoltre, è spesso integrata nel Technical Documentation richiesta dall’AI Act per la marcatura CE e la conformità.

3. DPIA e FRIA: analogie, differenze e interazioni

3.1. Obiettivi e ambito: protezione dei dati vs diritti fondamentali

La DPIA (Data Protection Impact Assessment) è prevista dal GDPR e ha come obiettivo principale la valutazione del rischio per i dati personali, in particolare rispetto a trattamenti automatizzati, su larga scala o con tecnologie intrusive.

La FRIA (Fundamental Rights Impact Assessment), introdotta dall’AI Act, ha un ambito più ampio: mira a valutare gli impatti di un sistema AI su tutti i diritti fondamentali della persona, andando oltre la sola privacy. È quindi più trasversale e include, ad esempio:

  • Diritto alla non discriminazione (es. bias nei dataset)
  • Diritto al lavoro e all’equità di accesso
  • Libertà di espressione e informazione
  • Libertà personale e integrità psico-fisica

3.2. Chi la fa e quando: titolare vs deploying entity

  • La DPIA è in capo al titolare del trattamento, che deve consultare, se nominato, il DPO e valutare i rischi prima dell’inizio del trattamento.
  • La FRIA è richiesta al deploying entity, cioè il soggetto che utilizza il sistema AI ad alto rischio. Deve essere condotta prima della messa in servizio del sistema, coinvolgendo stakeholder esterni e interni.

Entrambe sono obbligatorie nei rispettivi ambiti e, se ignorate, possono portare a gravi sanzioni.

3.3. Quando servono entrambe (e perché farle insieme)

In molti casi, soprattutto con sistemi AI usati per finalità decisionali (es. assunzioni, accesso al credito, sicurezza pubblica), è necessario redigere sia la DPIA che la FRIA:

  • la DPIA copre il trattamento dei dati personali (finalità, base giuridica, sicurezza)
  • la FRIA valuta l’impatto etico, sociale e giuridico del sistema AI nel suo complesso

Un esempio pratico: un’azienda che usa un algoritmo di scoring per valutare i candidati deve fare:

  • la DPIA – perché tratta dati personali in modo automatizzato e su larga scala
  • la FRIA – perché le decisioni impattano sul diritto al lavoro e possono generare discriminazioni

3.4. Approccio integrato: vantaggi e raccomandazioni

Integrare DPIA e FRIA in un’unica procedura coordinata permette di:

  • evitare duplicazioni di analisi e documentazione
  • mappare correttamente le responsabilità tra titolari, fornitori AI e DPO
  • strutturare un modello di governance unificata tra privacy e diritti fondamentali

È consigliabile adottare modelli di valutazione modulare, in cui le sezioni comuni (descrizione sistema, attori coinvolti, rischi tecnici) siano condivise, mentre gli impatti privacy e fondamentali siano valutati in modo coordinato ma distinto.

Stai integrando sistemi di Intelligenza Artificiale?

Contattaci per una consulenza legale personalizzata sull’AI compliance.

4. Come redigere una FRIA in modo conforme

La Valutazione d’Impatto sui Diritti Fondamentali (FRIA) è obbligatoria per tutti i sistemi di intelligenza artificiale classificati come “ad alto rischio” ai sensi dell’AI Act. Redigerla correttamente significa identificare, valutare e mitigare tutti i potenziali impatti negativi che l’uso dell’AI può avere sui diritti delle persone.

4.1. Mappatura degli impatti sui diritti fondamentali

Il primo passo è l’identificazione dei diritti potenzialmente toccati. Alcuni esempi ricorrenti:

  • Non discriminazione – rischio di bias nei dati o negli output
  • Libertà di espressione – filtri automatici su contenuti o linguaggio
  • Diritto al lavoro – esclusione da selezione basata su sistemi di scoring
  • Privacy e protezione dati – sorveglianza algoritmica, decisioni automatiche
  • Accesso equo a beni e servizi – impatti sui soggetti vulnerabili

È utile procedere con una griglia sistematica per ciascun diritto rilevante, verificando:

  • Come può essere influenzato dal sistema AI
  • Se esistono rischi di lesione, anche indiretta
  • Qual è la probabilità e la gravità dell’impatto

4.2. Coinvolgimento degli stakeholder interni ed esterni

Una FRIA conforme non può essere condotta in isolamento. Il processo deve includere:

  • Funzioni interne: legale, compliance, sviluppo, IT security
  • DPO, se il trattamento include dati personali
  • Stakeholder esterni: ad esempio, rappresentanti dei soggetti interessati (associazioni di utenti, sindacati), esperti etici, organizzazioni indipendenti

Il coinvolgimento può avvenire tramite consultazioni, interviste o workshop, e deve essere documentato.

4.3. Misure di mitigazione e sorveglianza umana

Una volta identificati i rischi, la FRIA deve proporre misure specifiche, tra cui:

  • Revisione dei dataset (per evitare bias e distorsioni)
  • Controlli umani nei processi decisionali automatizzati
  • Limitazioni d’uso in determinati contesti o su specifici target
  • Audit e testing continui sul funzionamento dell’algoritmo
  • Meccanismi di reclamo e trasparenza per gli utenti

Tutte le misure devono essere proporzionate al rischio identificato e tecnicamente implementabili.

4.4. Trasparenza, spiegabilità e auditabilità

L’AI Act impone che i sistemi ad alto rischio siano:

  • Spiegabili: gli utenti devono poter comprendere come funzionano
  • Auditabili: deve essere possibile effettuare controlli ex post
  • Documentati: tutte le scelte progettuali, i dataset e gli esiti della valutazione devono essere tracciabili

Questo implica l’obbligo di redigere un documento FRIA chiaro, motivato e accessibile, da integrare nella documentazione tecnica generale del sistema.

5. Integrazione operativa DPIA + FRIA: una metodologia unica

Nell’adozione di sistemi di intelligenza artificiale, le aziende si trovano spesso a dover gestire obblighi regolatori paralleli, derivanti sia dal GDPR che dall’AI Act. Per evitare duplicazioni, incongruenze o vuoti di analisi, è raccomandabile impostare una metodologia di valutazione congiunta, che permetta di coordinare DPIA e FRIA all’interno di un unico processo documentale e decisionale.

5.1. Checklist coordinata: unificare i punti comuni

DPIA e FRIA, pur avendo finalità e ambiti distinti, condividono numerosi elementi strutturali. Ecco alcuni aspetti che possono (e dovrebbero) essere valutati in sinergia:

  • Descrizione del sistema AI – Presente in DPIA + FRIA, coordinabile
  • Finalità del trattamento – Presente in DPIA + FRIA, coordinabile
  • Analisi degli stakeholder coinvolti – Presente in DPIA + FRIA, coordinabile
  • Valutazione dei rischi – Presente in Entrambe, coordinabile, ma con focus distinti
  • Misure tecniche e organizzative – Presente in Entrambe, coordinabile
  • Documentazione e aggiornamento – Presente in Entrambe, coordinabile

5.2. Ruoli: chi è responsabile di cosa?

Per integrare correttamente DPIA e FRIA, è essenziale definire i ruoli:

  • Titolare del trattamento – responsabile della DPIA
  • Deploying entity – responsabile della FRIA
  • DPO – coinvolto in entrambe le valutazioni (obbligatorio per la DPIA, raccomandato per la FRIA)
  • Fornitore del sistema AI – supporto tecnico e documentale, utile per entrambi i processi
  • Esperti etici o giuridici – raccomandati per la FRIA

Un approccio integrato implica una governance multidisciplinare, con il coordinamento del legale, del DPO e del responsabile AI/tech.

5.3. Verso una governance unificata: Privacy + AI compliance

Integrare DPIA e FRIA è anche una leva strategica per costruire una compliance orizzontale su:

  • Privacy e protezione dei dati
  • Trasparenza e non discriminazione
  • Etica dell’AI e fiducia dell’utente
  • Reputazione aziendale e accountability

Un modello di governance integrata permette di:

  • centralizzare i processi decisionali
  • evitare colli di bottiglia in fase di sviluppo e rilascio dei prodotti
  • favorire il dialogo tra reparti legali, tecnici e di business

6. Errori da evitare e raccomandazioni pratiche

L’adozione di DPIA e FRIA può facilmente trasformarsi in un adempimento sterile se affrontata con un approccio solo formale. Ecco i principali errori da evitare e i suggerimenti strategici per ottenere una compliance realmente utile.

6.1. Non duplicare: sinergizzare, non replicare

Errore comune: redigere due documenti distinti senza integrazione, ripetendo le stesse informazioni.

Raccomandazione: sviluppare un processo di valutazione unitario, in cui le sezioni comuni (es. descrizione del sistema, attori coinvolti, finalità) siano condivise, mentre i rischi privacy e i rischi sui diritti fondamentali vengano affrontati con focus specifici.
Un buon modello è quello a struttura modulare, aggiornabile in modo agile.

6.2. Non coinvolgere il DPO (o coinvolgerlo troppo tardi)

Errore comune: redigere la DPIA in autonomia, senza consultare il DPO.

Raccomandazione: coinvolgere il DPO fin dalle fasi iniziali del progetto, sia nella DPIA (obbligatorio) che nella FRIA (fortemente consigliato), anche come facilitatore dei dialoghi interni tra reparti privacy, legal, tech e HR.

6.3. Usare approcci formali o generici

Errore comune: usare modelli standard, precompilati o “copia-incolla” senza analisi personalizzata.

Raccomandazione: adattare la DPIA/FRIA al caso concreto, tenendo conto del contesto aziendale, delle finalità specifiche del sistema AI, del settore di riferimento e del livello di rischio effettivo.
Dove possibile, allegare evidenze tecniche, logiche decisionali, esiti di test, dati statistici.

6.4. Ignorare l’aggiornamento continuo

Errore comune: trattare la DPIA o la FRIA come documenti “una tantum”.

Raccomandazione: prevedere meccanismi di aggiornamento periodico, in particolare quando cambiano:

  • la tecnologia impiegata
  • le finalità del trattamento
  • i fornitori o le logiche decisionali del sistema
  • i contesti di impiego

Un buon approccio è includere milestone di revisione nel ciclo di vita del progetto AI.

6.5. Sottovalutare i rischi indiretti e reputazionali

Errore comune: concentrarsi solo sul rischio giuridico immediato (es. sanzione), trascurando effetti reputazionali, ESG o relazionali.

Raccomandazione: la DPIA e la FRIA devono diventare strumenti di fiducia anche verso utenti, clienti, investitori e autorità. Una valutazione trasparente e ben documentata può proteggere l’azienda anche nei casi di audit, media exposure o litigation.

7. Conclusione: DPIA e FRIA come strumenti strategici per l’innovazione

Nel contesto attuale di forte regolamentazione e crescente attenzione pubblica verso l’etica digitale, la compliance normativa non è più solo un vincolo, ma può trasformarsi in un fattore abilitante per la competitività e l’innovazione responsabile.

Affrontare con serietà e metodo le valutazioni d’impatto previste dal GDPR (DPIA) e dall’AI Act (FRIA) consente alle aziende di:

  • costruire sistemi AI affidabili e sostenibili, fin dalla progettazione
  • dimostrare trasparenza e accountability nei confronti di utenti, stakeholder e autorità
  • ridurre i rischi legali, reputazionali e commerciali
  • rafforzare la propria immagine di affidabilità e rispetto dei diritti fondamentali

Inoltre, una governance integrata tra DPIA e FRIA crea valore concreto:

  • accelera i tempi di sviluppo dei progetti AI
  • migliora la collaborazione tra team legale, tecnico e di prodotto
  • garantisce maggiore sicurezza nelle partnership B2B, appalti pubblici e audit

La compliance integrata privacy-diritti fondamentali non è un costo da limitare, ma un investimento strategico in innovazione digitale, reputazione e fiducia. In un’epoca in cui l’AI ridefinisce modelli di business e relazioni sociali, la capacità di dimostrarne l’impatto (e mitigarne i rischi) sarà una delle vere frontiere del vantaggio competitivo.

In breve: DPIA e FRIA, due strumenti fondamentali

  • La DPIA è richiesta dal GDPR e si concentra sulla protezione dei dati personali.
  • La FRIA, introdotta dall’AI Act, valuta l’impatto sui diritti fondamentali (es. non discriminazione, libertà, equità).
  • Nei progetti basati su AI ad alto rischio, spesso devono essere effettuate entrambe.
  • Una metodologia integrata riduce errori, evita duplicazioni e rafforza la fiducia verso stakeholder e autorità.
  • Valutare l’impatto non è solo un obbligo normativo, ma una leva strategica per innovare in modo etico e sostenibile.
Stai integrando sistemi di Intelligenza Artificiale?

Contattaci per una consulenza legale personalizzata sull’AI compliance.

  • Indice dei Contenuti

Le nostre news

Rimani informato su tutte le novità di questo affascinante mondo

Eventi, Nuove tecnologie

Intelligenza Artificiale e Confini della Mente: il 16 giugno a Napoli un evento che unisce diritto, neuroscienze e innovazione

Contratti, Guide Legali, Nuove tecnologie

Contratti di sviluppo software: come tutelarsi tra bug, codice e proprietà

Guide Legali, Nuove tecnologie

NDA nel mondo tech: come proteggere dati, codice e progetti digitali

Guide Legali, Nuove tecnologie, Privacy

DPIA e FRIA: guida pratica alla compliance AI e GDPR

Guide Legali, Nuove tecnologie, Privacy

Selezione del personale tra AI e GDPR: guida alla gestione conforme dei dati HR

Contenzioso, Guide Legali, Nuove tecnologie

Responsabilità civile dell’AI: chi risponde in caso di errore o danno?

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Legal – Innovation – Business

Il nostro approccio al lavoro

Ti guidiamo passo dopo passo con soluzioni legali su misura che rispondono alle tue esigenze specifiche.

Step 1

Videocall conoscitiva gratuita

La sessione iniziale ci permette di identificare i punti chiave e delineare un piano d’azione.

Step 2

Preventivo chiaro

Dopo aver compreso le Tue necessità, Ti forniremo un preventivo dettagliato di ogni costo.

Step 3

Iniziamo la collaborazione

Una volta firmato l’incarico, daremo inizio alla collaborazione con un approccio strutturato.