Se usi un sistema di AI ad alto rischio che tratta dati personali, ti trovi davanti a due valutazioni d'impatto che sembrano chiedere le stesse cose: la DPIA del GDPR (art. 35) e la valutazione d'impatto sui diritti fondamentali — la FRIA dell'AI Act (art. 27, Regolamento UE 2024/1689). La domanda pratica è: devo farle entrambe, da zero, oppure posso unirle? La risposta breve è che puoi e dovresti integrarle in un unico esercizio, ma solo dopo aver capito chi deve fare cosa. Vediamo come.
Tre valutazioni diverse, tre responsabili diversi
Il primo errore è confondere obblighi che ricadono su soggetti differenti.
- Valutazione di conformità (art. 43 AI Act) — spetta al fornitore (chi sviluppa o immette sul mercato il sistema). Serve a dimostrare che il sistema ad alto rischio rispetta i requisiti dell'AI Act prima di essere commercializzato, ed è il presupposto della marcatura CE. Non è compito di chi usa il sistema.
- DPIA (art. 35 GDPR) — spetta al titolare del trattamento, cioè in genere a chi usa il sistema per trattare dati personali. È obbligatoria quando il trattamento, specie con nuove tecnologie, può comportare un rischio elevato per i diritti e le libertà delle persone.
- FRIA (art. 27 AI Act) — spetta al deployer, cioè a chi utilizza il sistema ad alto rischio nell'esercizio della propria attività.
DPIA e FRIA vivono quindi dalla stessa parte: sono entrambe a carico di chi impiega il sistema. È qui che nasce il rischio di doppioni — ed è qui che l'AI Act, all'art. 27, comma 4, offre la via d'uscita.
Chi deve davvero fare la FRIA
Contrariamente a un'idea diffusa, la FRIA non grava su ogni deployer di un sistema ad alto rischio. L'art. 27 la impone solo a:
- gli enti pubblici (organismi di diritto pubblico);
- i soggetti privati che erogano servizi pubblici;
- i deployer di sistemi ad alto rischio di valutazione del merito creditizio e di valutazione del rischio e pricing nelle assicurazioni vita e malattia (Allegato III, punti 5(b) e 5(c)).
Se la tua azienda non rientra in questi casi, la FRIA non è dovuta — ma una DPIA può comunque esserlo sotto il GDPR. Chiarire subito questo perimetro evita di produrre documenti inutili o, al contrario, di dimenticare un obbligo reale.
Dove DPIA e FRIA si sovrappongono
Le due valutazioni condividono buona parte dell'impianto, ma hanno un raggio diverso. La DPIA si concentra sui rischi per la protezione dei dati personali. La FRIA guarda a tutti i diritti fondamentali che il sistema può toccare: non solo la privacy, ma anche non discriminazione, dignità umana, tutela dei minori, diritto a un ricorso effettivo.
La tabella mostra come i contenuti della FRIA (art. 27) si appoggiano a quelli già prodotti in una DPIA (art. 35 GDPR):
| Elemento della FRIA (art. 27 AI Act) | Riutilizzabile dalla DPIA? |
|---|---|
| Descrizione dei processi in cui si usa il sistema | Sì, in gran parte |
| Periodo e frequenza d'uso | Parziale |
| Categorie di persone e gruppi interessati | Sì |
| Rischi specifici di danno per quelle categorie | Solo per i dati; il resto è nuovo |
| Misure di sorveglianza umana | Nuovo (specifico AI Act) |
| Misure in caso di materializzazione dei rischi, inclusi i meccanismi di reclamo | Parziale |
In sintesi: la parte anagrafica e descrittiva si riusa, la parte sui rischi oltre la protezione dei dati e sulla sorveglianza umana va aggiunta.
Un unico esercizio: come integrarli passo per passo
L'art. 27, comma 4 stabilisce che, se un obbligo della FRIA è già soddisfatto dalla DPIA svolta ai sensi dell'art. 35 GDPR, «la valutazione d'impatto sui diritti fondamentali integra quella valutazione d'impatto sulla protezione dei dati». La parola chiave è integra: un solo documento, costruito così.
- Parti dall'inventario. Individua i sistemi AI ad alto rischio e verifica, per ciascuno, se scatta la DPIA (art. 35 GDPR) e/o la FRIA (art. 27 AI Act).
- Fai una sola base descrittiva. Contesto, finalità, processi, categorie di persone interessate: scrivili una volta, valgono per entrambe.
- Amplia l'analisi dei rischi. Alla valutazione dei rischi sui dati aggiungi gli altri diritti fondamentali: discriminazione, effetti su gruppi vulnerabili, trasparenza verso l'interessato.
- Documenta la sorveglianza umana. È un requisito proprio dell'AI Act: chi controlla, quando può intervenire, come si annulla una decisione.
- Definisci le misure e i reclami. Cosa fai se il rischio si concretizza, con un canale di reclamo accessibile alle persone coinvolte.
- Chiudi con gli adempimenti formali. Consulta il DPO (GDPR) e prepara la notifica dell'esito della FRIA all'autorità di vigilanza del mercato tramite il modello previsto. L'AI Office metterà a disposizione un questionario-tipo.
Le scadenze e cosa fare ora
Gli obblighi sui sistemi ad alto rischio — FRIA compresa — diventano pienamente operativi dal 2 agosto 2026. La FRIA va completata prima di mettere in uso il sistema. Le linee guida congiunte del Comitato europeo per la protezione dei dati (EDPB) e della Commissione sull'intreccio tra GDPR e AI Act sono in preparazione: conviene impostare fin da ora la valutazione in modo integrato, così da non rifarla quando arriveranno i chiarimenti.
Da dove partire
Il modo più efficiente per affrontare questo intreccio è una gap assessment che mappi, sistema per sistema, quali valutazioni sono dovute e quanto del lavoro già fatto per il GDPR è riutilizzabile per l'AI Act. Un audit indipendente trasforma due obblighi apparentemente ridondanti in un unico processo ordinato, con responsabili e scadenze — senza duplicare né dimenticare nulla.