Close

DPIA e FRIA: la valutazione d’impatto tra GDPR e AI Act

Cosa prevedono i due strumenti, quali sono gli elementi comuni e quali le differenze
DPIA e FRIA: la valutazione d'impatto tra GDPR e AI Act
Tempo di lettura: 5 minuti

Indice dei contenuti

DPIA e FRIA: caratteristiche e differenze

La Data Protection Impact Assessment (Valutazione d’Impatto sulla Protezione dei Dati), meglio nota con l’acronimo DPIA, è uno strumento essenziale introdotto dal GDPR. La sua finalità principale è garantire che le organizzazioni valutino attentamente l’impatto che il trattamento dei dati personali può avere sui diritti e sulle libertà degli individui, prima di avviare attività potenzialmente rischiose.

Con l’avvento dell’Intelligenza Artificiale, anche il FRIA (Fundamental Rights Impact Assessment), proposto dall’AI Act dell’Unione Europea, acquisterà rilevanza per valutare l’impatto delle tecnologie AI ad alto rischio sui diritti fondamentali.

In questo articolo esaminiamo le connessioni e le differenze tra la DPIA e il FRIA, approfondendo la funzione delle valutazioni d’impatto, sia nel contesto della protezione dei dati personali, che dei diritti fondamentali in relazione all’AI.

Pubblicità

DPIA: valutazione d’impatto sulla protezione dei dati secondo il GDPR

La DPIA è obbligatoria ai sensi dell’art. 35 del GDPR per qualsiasi trattamento che possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

La valutazione d’impatto sulla protezione dei dati è uno strumento proattivo, che deve essere effettuato prima di avviare il trattamento dei dati e include un’analisi dettagliata dei potenziali rischi e delle misure per mitigarli.

La DPIA si focalizza su alcuni elementi chiave:

1. Descrizione del trattamento: quale tipo di dati verranno trattati, da chi e per quali finalità.

2. Valutazione della necessità e della proporzionalità: il trattamento è strettamente necessario per raggiungere gli obiettivi dichiarati?

3. Valutazione dei rischi: si analizzano i rischi specifici per i diritti degli interessati.

4. Misure per mitigare i rischi: quali tecnologie e misure organizzative sono previste per minimizzare il rischio (es. cifratura, pseudonimizzazione, limitazione degli accessi etc).

La DPIA, quindi, non è solo un obbligo normativo, ma è anche uno strumento per gestire e minimizzare i rischi connessi al trattamento dei dati personali.

FRIA: valutazione d’impatto sui diritti fondamentali nell’AI Act

Il FRIA è uno strumento proposto nell’ambito del regolamento AI Act, che ha come obiettivo quello di valutare l’impatto dei sistemi di Intelligenza Artificiale considerati ad alto rischio sui diritti fondamentali.

La valutazione d’impatto per le AI dovrà concentrarsi non solo sui dati personali, ma più in generale sui diritti fondamentali, come dignità e integrità umane, libertà dell’individuo, uguaglianza e solidarietà, giustizia, democrazia, stato di diritto e ambiente.

Anche nel caso del FRIA, la valutazione di impatto è svolta in una fase preventiva, prima di introdurre un sistema AI sul mercato o usarlo in contesti critici (es. riconoscimento facciale, analisi predittiva in ambito penale etc). 

Pubblicità

DPIA GDPR come fondamento per il FRIA

Il rapporto tra DPIA FRIA è chiarito direttamente dall’AI Act, il quale stabilisce che il FRIA deve essere effettuato solo per quegli aspetti non già coperti da altri obblighi normativi, come la Valutazione d’Impatto (DPIA) prevista dall’art. 35 del GDPR.

Se uno qualsiasi degli obblighi previsti per il FRIA è già soddisfatto tramite la DPIAle due valutazioni possono, anzi devono essere condotte congiuntamente.

Questo rende essenziale un confronto tra i due strumenti, poiché condividono finalità simili nella gestione dei rischima si applicano in contesti differenti, con la DPIA focalizzata sulla protezione dei dati personali e il FRIA esteso a tutti i diritti fondamentali nel contesto dell’Intelligenza Artificiale.

Elementi comuni tra DPIA e FRIA

Nonostante la DPIA e il FRIA siano strumenti normativi che emergono in contesti diversi (GDPR per la protezione dei dati personali e AI Act per le tecnologie basate sull’Intelligenza Artificiale), vi sono significative similitudini tra i due:

1. Intento comune

Entrambi sono finalizzati alla protezione di diritti fondamentali e libertà degli individui. La DPIA si concentra principalmente sulla protezione dei dati personali, mentre il FRIA copre un ventaglio più ampio di diritti, includendo il rischio di discriminazioni o di ingiustizie causate dall’AI.

2. Predisposizione preventiva

Sia la DPIA che il FRIA sono strumenti proattivi, da impiegare prima di avviare attività che comportano rischi elevati per i diritti degli interessati. Non si tratta quindi di valutazioni a posteriori, ma di strumenti preventivi per evitare danni o violazioni.

Il FRIA non deve essere ripetuto. Una volta effettuata la prima valutazione, l’operatore può fare affidamento su questo documento, a patto che le condizioni di uso rimangano sostanzialmente le stesse. Tuttavia, è fondamentale che l’operatore monitori costantemente l’impiego del sistema: qualora si verificassero modifiche significative che possono impattare sui diritti fondamentali, sarà necessario aggiornare il FRIA.

Analogamente, la DPIA non deve essere ripetuta per ogni singolo trattamento di dati personali che presenta rischi elevati. È possibile raggruppare trattamenti simili e condurre un’unica valutazione d’impatto. Questo approccio consente di ottimizzare le risorse e di evitare inutili duplicazioni. Tuttavia, anche in questo caso, è necessario un costante monitoraggio: se le circostanze cambiano e il rischio aumenta, la DPIA deve essere rivista.

3. Contenuti connessi

A prima vista, potrebbe sembrare che il FRIA abbia una portata più ampia della DPIA, in quanto si occupa di un insieme più vasto di diritti fondamentali. Tuttavia, un’analisi più approfondita del GDPR rivela che la DPIA ha un ambito di applicazione molto più vasto di quanto possa sembrare. Infatti, la DPIA non si limita a valutare i rischi per il diritto alla protezione dei dati personali, ma si estende a tutti i diritti e le libertà fondamentali che potrebbero essere compromessi dal trattamento. Inoltre, la DPIA deve considerare non solo le esigenze delle persone coinvolte, ma anche quelle delle terze parti interessate.

Pubblicità

Differenze tra DPIA e FRIA

Oltre alle somiglianze, ci sono anche delle differenze significative tra DPIA e FRIA.

1. Destinatari dell’obbligo

Il FRIA presenta un ambito di applicazione più ristretto, riguardando specificamente gli organismi pubblici, i fornitori di servizi pubblici e alcuni operatori bancari e assicurativi, limitatamente a determinate tipologie di sistemi di Intelligenza Artificiale ad alto rischio. L’obbligo è dunque legato alla natura del sistema e alla sua riconducibilità a un elenco tassativo di casistiche.

Al contrario, la DPIA ha un raggio d’azione più ampio, in quanto è obbligatoria per tutti i titolari del trattamento che intendono effettuare operazioni di trattamento che presentano un rischio elevato per i diritti e le libertà delle persone fisiche. Questa valutazione deve essere effettuata non solo in presenza di nuove tecnologie, ma anche quando il trattamento presenta altre caratteristiche di criticità, come la trattazione su larga scala di dati sensibili o la sorveglianza sistematica.

Di conseguenza, mentre il FRIA si concentra su un numero limitato di attori e di sistemi specifici, la DPIA si applica a un panorama più ampio di soggetti e di trattamenti, purché questi ultimi presentino un rischio elevato.

2. Focus diversi per i contenuti

Il FRIA, focalizzato specificamente sui sistemi di Intelligenza Artificiale ad alto rischio, richiede una descrizione dettagliata del contesto di uso del sistema, includendo i processi operativi, la frequenza di uso e le categorie di persone potenzialmente interessate. Inoltre, il FRIA pone un’enfasi particolare sulle misure di controllo umano, che sono fondamentali per mitigare i rischi associati all’uso dell’IA.

La DPIA, invece, ha un focus più ampio, concentrandosi sulla descrizione sistematica dei trattamenti di dati personali e sulla valutazione della loro necessità e proporzionalità. La DPIA richiede anche una valutazione dell’interesse legittimo del titolare del trattamento e una valutazione dei rischi per i diritti e le libertà fondamentali delle persone fisiche.

3. Modelli da usare

Per il FRIA, l’AI Act prevede che venga sviluppato un modello di questionario standardizzatoanche attraverso strumenti automatizzati, per facilitare gli operatori nell’esecuzione della valutazione. Questo modello, una volta definito, dovrebbe fornire una guida chiara e strutturata per affrontare le diverse fasi del FRIA.

Per la DPIA, invece, pur essendo disponibili modelli proposti da alcune autorità di controllo (come il Garante Privacy italiano o il CNIL francese), questi non sono vincolanti e spesso presentano una struttura più generale, risultando meno adatti a trattamenti particolarmente complessi o rischiosi.

4. Destinazione del documento

Il FRIA prevede un obbligo preciso di trasmissione del documento all’autorità di vigilanza competente. Questo requisito è finalizzato a garantire un controllo più stretto sull’applicazione delle norme relative all’IA.

La DPIA, invece, non è soggetta a un obbligo di trasmissione generalizzato. Il documento deve essere conservato dal titolare del trattamento e presentato solo su richiesta dell’autorità di controllo.

Tuttavia, l’articolo 36 del GDPR prevede un’eccezione: se l’esito della DPIA indica un rischio elevato per i diritti e le libertà delle persone fisiche, anche in presenza delle misure adottate dal titolare, quest’ultimo è tenuto a consultare preventivamente l’autorità di controllo.

TAG