DPIA e FRIA: caratteristiche e differenze
La Data Protection Impact Assessment (Valutazione d’Impatto sulla Protezione dei Dati), meglio nota con l’acronimo DPIA, è uno strumento essenziale introdotto dal GDPR. La sua finalità principale è garantire che le organizzazioni valutino attentamente l’impatto che il trattamento dei dati personali può avere sui diritti e sulle libertà degli individui, prima di avviare attività potenzialmente rischiose.
Con l’avvento dell’Intelligenza Artificiale, anche il FRIA (Fundamental Rights Impact Assessment), proposto dall’AI Act dell’Unione Europea, acquisterà rilevanza per valutare l’impatto delle tecnologie AI ad alto rischio sui diritti fondamentali.
In questo articolo andremo ad esaminare le connessioni e le differenze tra la DPIA e il FRIA, approfondendo la funzione delle valutazioni d’impatto sia nel contesto della protezione dei dati personali, che dei diritti fondamentali in relazione all’AI.
DPIA: valutazione d’impatto sulla protezione dei dati secondo il GDPR
La DPIA è obbligatoria ai sensi dell’art. 35 del GDPR per qualsiasi trattamento che possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche.
La valutazione d’impatto sulla protezione dei dati è uno strumento proattivo, che deve essere effettuato prima di avviare il trattamento dei dati, e include un’analisi dettagliata dei potenziali rischi e delle misure per mitigarli.
La DPIA si focalizza su alcuni elementi chiave:
1. Descrizione del trattamento: quale tipo di dati verranno trattati, da chi e per quali finalità.
2. Valutazione della necessità e della proporzionalità: il trattamento è strettamente necessario per raggiungere gli obiettivi dichiarati?
3. Valutazione dei rischi: si analizzano i rischi specifici per i diritti degli interessati.
4. Misure per mitigare i rischi: quali tecnologie e misure organizzative sono previste per minimizzare il rischio (es. cifratura, pseudonimizzazione, limitazione degli accessi, etc.).
La DPIA, quindi, non è solo un obbligo normativo, ma è anche uno strumento per gestire e minimizzare i rischi connessi al trattamento dei dati personali.
FRIA: valutazione d’impatto sui diritti fondamentali nell’AI Act
Il FRIA, invece, è uno strumento proposto nell’ambito del regolamento AI Act, che ha come obiettivo quello di valutare l’impatto dei sistemi di Intelligenza Artificiale considerati ad alto rischio sui diritti fondamentali.
La valutazione d’impatto per le AI dovrà concentrarsi non solo sui dati personali, ma più in generale sui diritti fondamentali, come dignità e integrità umane, libertà dell’individuo, uguaglianza e solidarietà, giustizia, democrazia, stato di diritto e ambiente.
Anche nel caso del FRIA, la valutazione di impatto è svolta in una fase preventiva, prima di introdurre un sistema AI sul mercato o utilizzarlo in contesti critici (es. riconoscimento facciale, analisi predittiva in ambito penale, etc.).
DPIA GDPR come fondamento per il FRIA
Il rapporto tra DPIA e FRIA è chiarito direttamente dall’AI Act, il quale stabilisce che il FRIA deve essere effettuato solo per quegli aspetti non già coperti da altri obblighi normativi, come la Valutazione d’Impatto (DPIA) prevista dall’art. 35 del GDPR.
Se uno qualsiasi degli obblighi previsti per il FRIA è già soddisfatto tramite la DPIA, le due valutazioni possono, anzi devono essere condotte congiuntamente.
Questo rende essenziale un confronto tra i due strumenti, poiché condividono finalità simili nella gestione dei rischi, ma si applicano in contesti differenti, con la DPIA focalizzata sulla protezione dei dati personali e il FRIA esteso a tutti i diritti fondamentali nel contesto dell’Intelligenza Artificiale.
Elementi comuni tra DPIA e FRIA
Nonostante la DPIA e il FRIA siano strumenti normativi che emergono in contesti diversi (GDPR per la protezione dei dati personali e AI Act per le tecnologie basate sull’Intelligenza Artificiale), vi sono significative similitudini tra i due:
1. Intento comune
Entrambi sono finalizzati alla protezione di diritti fondamentali e libertà degli individui. La DPIA si concentra principalmente sulla protezione dei dati personali, mentre il FRIA copre un ventaglio più ampio di diritti, includendo il rischio di discriminazioni o di ingiustizie causate dall’AI.
2. Predisposizione preventiva
Sia la DPIA che il FRIA sono strumenti proattivi, da effettuare prima di avviare attività che comportano rischi elevati per i diritti degli interessati. Non si tratta quindi di valutazioni a posteriori, ma di strumenti preventivi per evitare danni o violazioni.
Il FRIA non necessita di essere ripetuto ad ogni utilizzo. Una volta effettuata la prima valutazione, l’operatore può fare affidamento su questo documento, a patto che le condizioni di utilizzo rimangano sostanzialmente le stesse. Tuttavia, è fondamentale che l’operatore monitori costantemente l’impiego del sistema: qualora si verificassero modifiche significative che possono impattare sui diritti fondamentali, sarà necessario aggiornare il FRIA.
Analogamente, la DPIA non deve essere ripetuta per ogni singolo trattamento di dati personali che presenta rischi elevati. È possibile raggruppare trattamenti simili e condurre un’unica valutazione d’impatto. Questo approccio consente di ottimizzare le risorse e di evitare inutili duplicazioni. Tuttavia, anche in questo caso, è necessario un costante monitoraggio: se le circostanze cambiano e il rischio aumenta, la DPIA deve essere rivista.
3. Contenuti connessi
A prima vista, potrebbe sembrare che il FRIA abbia una portata più ampia della DPIA, in quanto si occupa di un insieme più vasto di diritti fondamentali. Tuttavia, un’analisi più approfondita del GDPR rivela che la DPIA ha un ambito di applicazione molto più vasto di quanto possa sembrare. Infatti, la DPIA non si limita a valutare i rischi per il diritto alla protezione dei dati personali, ma si estende a tutti i diritti e le libertà fondamentali che potrebbero essere compromessi dal trattamento. Inoltre, la DPIA deve considerare non solo le esigenze delle persone coinvolte, ma anche quelle delle terze parti interessate.
Differenze tra DPIA e FRIA
Oltre alle somiglianze, ci sono anche delle differenze significative tra DPIA e FRIA:
1. Destinatari dell’obbligo
Una prima distinzione significativa tra FRIA e DPIA risiede nella cerchia dei soggetti tenuti a effettuarle.
Il FRIA presenta un ambito di applicazione più ristretto, riguardando specificamente gli organismi pubblici, i fornitori di servizi pubblici e alcuni operatori bancari e assicurativi, limitatamente a determinate tipologie di sistemi di Intelligenza Artificiale ad alto rischio. L’obbligo è dunque legato alla natura del sistema e alla sua riconducibilità a un elenco tassativo di casistiche.
Al contrario, la DPIA ha un raggio d’azione più ampio, in quanto è obbligatoria per tutti i titolari del trattamento che intendono effettuare operazioni di trattamento che presentano un rischio elevato per i diritti e le libertà delle persone fisiche. Questa valutazione deve essere effettuata non solo in presenza di nuove tecnologie, ma anche quando il trattamento presenta altre caratteristiche di criticità, come la trattazione su larga scala di dati sensibili o la sorveglianza sistematica.
Di conseguenza, mentre il FRIA si concentra su un numero limitato di attori e di sistemi specifici, la DPIA si applica a un panorama più ampio di soggetti e di trattamenti, purché questi ultimi presentino un rischio elevato.
2. Focus diversi per i contenuti
Sebbene DPIA e FRIA condividano l’obiettivo di valutare i rischi associati a nuove tecnologie, i loro contenuti obbligatori presentano alcune differenze significative.
Il FRIA, focalizzato specificamente sui sistemi di Intelligenza Artificiale ad alto rischio, richiede una descrizione dettagliata del contesto di utilizzo del sistema, includendo i processi operativi, la frequenza di utilizzo e le categorie di persone potenzialmente interessate. Inoltre, il FRIA pone un’enfasi particolare sulle misure di controllo umano, che sono fondamentali per mitigare i rischi associati all’utilizzo dell’IA.
La DPIA, invece, ha un focus più ampio, concentrandosi sulla descrizione sistematica dei trattamenti di dati personali e sulla valutazione della loro necessità e proporzionalità. La DPIA richiede anche una valutazione dell’interesse legittimo del titolare del trattamento e una valutazione dei rischi per i diritti e le libertà fondamentali delle persone fisiche.
In sintesi, mentre il FRIA approfondisce gli aspetti specifici legati all’utilizzo dell’IA in un contesto operativo, la DPIA offre una visione più generale dei trattamenti di dati personali, valutando la loro necessità e proporzionalità.
3. Modelli da usare
Un’ulteriore distinzione tra FRIA e DPIA risiede negli strumenti pratici messi a disposizione degli operatori per condurre le valutazioni. Per quanto riguarda il FRIA, l’AI Act prevede che venga sviluppato un modello di questionario standardizzato, anche attraverso strumenti automatizzati, per facilitare gli operatori nell’esecuzione della valutazione. Questo modello, una volta definito, dovrebbe fornire una guida chiara e strutturata per affrontare le diverse fasi del FRIA.
Per la DPIA, invece, pur essendo disponibili modelli proposti da alcune autorità di controllo (come il Garante italiano o il CNIL francese), questi non sono vincolanti e spesso presentano una struttura più generale, risultando meno adatti a trattamenti particolarmente complessi o rischiosi.
4. Destinazione del documento
Il FRIA prevede un obbligo preciso di trasmissione del documento all’autorità di vigilanza competente. Questo requisito è finalizzato a garantire un controllo più stretto sull’applicazione delle norme relative all’IA.
La DPIA, invece, non è soggetta a un obbligo di trasmissione generalizzato. Il documento deve essere conservato dal titolare del trattamento e presentato solo su richiesta dell’autorità di controllo.
Tuttavia, l’articolo 36 del GDPR prevede un’eccezione: se l’esito della DPIA indica un rischio elevato per i diritti e le libertà delle persone fisiche, anche in presenza delle misure adottate dal titolare, quest’ultimo è tenuto a consultare preventivamente l’autorità di controllo.
