DPIA e FRIA: caratteristiche e differenze
La Data Protection Impact Assessment (Valutazione d’Impatto sulla Protezione dei Dati), meglio nota con l’acronimo DPIA, è uno strumento essenziale introdotto dal GDPR. La sua finalità principale è garantire che le organizzazioni valutino attentamente l’impatto che il trattamento dei dati personali può avere sui diritti e sulle libertà degli individui, prima di avviare attività potenzialmente rischiose.
Con l’avvento dell’Intelligenza Artificiale, anche il FRIA (Fundamental Rights Impact Assessment), proposto dall’AI Act dell’Unione Europea, acquisterà rilevanza per valutare l’impatto delle tecnologie AI ad alto rischio sui diritti fondamentali.
In questo articolo esaminiamo le connessioni e le differenze tra la DPIA e il FRIA, approfondendo la funzione delle valutazioni d’impatto, sia nel contesto della protezione dei dati personali, che dei diritti fondamentali in relazione all’AI.
DPIA: valutazione d’impatto sulla protezione dei dati secondo il GDPR
La DPIA è obbligatoria ai sensi dell’art. 35 del GDPR per qualsiasi trattamento che possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche.
La valutazione d’impatto sulla protezione dei dati è uno strumento proattivo, che deve essere effettuato prima di avviare il trattamento dei dati e include un’analisi dettagliata dei potenziali rischi e delle misure per mitigarli.
La DPIA si focalizza su alcuni elementi chiave:
1. Descrizione del trattamento: quale tipo di dati verranno trattati, da chi e per quali finalità.
2. Valutazione della necessità e della proporzionalità: il trattamento è strettamente necessario per raggiungere gli obiettivi dichiarati?
3. Valutazione dei rischi: si analizzano i rischi specifici per i diritti degli interessati.
4. Misure per mitigare i rischi: quali tecnologie e misure organizzative sono previste per minimizzare il rischio (es. cifratura, pseudonimizzazione, limitazione degli accessi etc).
La DPIA, quindi, non è solo un obbligo normativo, ma è anche uno strumento per gestire e minimizzare i rischi connessi al trattamento dei dati personali.
FRIA: valutazione d’impatto sui diritti fondamentali nell’AI Act
Il FRIA è uno strumento proposto nell’ambito del regolamento AI Act, che ha come obiettivo quello di valutare l’impatto dei sistemi di Intelligenza Artificiale considerati ad alto rischio sui diritti fondamentali.
La valutazione d’impatto per le AI dovrà concentrarsi non solo sui dati personali, ma più in generale sui diritti fondamentali, come dignità e integrità umane, libertà dell’individuo, uguaglianza e solidarietà, giustizia, democrazia, stato di diritto e ambiente.
Anche nel caso del FRIA, la valutazione di impatto è svolta in una fase preventiva, prima di introdurre un sistema AI sul mercato o usarlo in contesti critici (es. riconoscimento facciale, analisi predittiva in ambito penale etc).
DPIA GDPR come fondamento per il FRIA
Il rapporto tra DPIA e FRIA è chiarito direttamente dall’AI Act, il quale stabilisce che il FRIA deve essere effettuato solo per quegli aspetti non già coperti da altri obblighi normativi, come la Valutazione d’Impatto (DPIA) prevista dall’art. 35 del GDPR.
Se uno qualsiasi degli obblighi previsti per il FRIA è già soddisfatto tramite la DPIA, le due valutazioni possono, anzi devono essere condotte congiuntamente.
Questo rende essenziale un confronto tra i due strumenti, poiché condividono finalità simili nella gestione dei rischi, ma si applicano in contesti differenti, con la DPIA focalizzata sulla protezione dei dati personali e il FRIA esteso a tutti i diritti fondamentali nel contesto dell’Intelligenza Artificiale.
Elementi comuni tra DPIA e FRIA
Nonostante la DPIA e il FRIA siano strumenti normativi che emergono in contesti diversi (GDPR per la protezione dei dati personali e AI Act per le tecnologie basate sull’Intelligenza Artificiale), vi sono significative similitudini tra i due:
1. Intento comune
Entrambi sono finalizzati alla protezione di diritti fondamentali e libertà degli individui. La DPIA si concentra principalmente sulla protezione dei dati personali, mentre il FRIA copre un ventaglio più ampio di diritti, includendo il rischio di discriminazioni o di ingiustizie causate dall’AI.
2. Predisposizione preventiva
Sia la DPIA che il FRIA sono strumenti proattivi, da impiegare prima di avviare attività che comportano rischi elevati per i diritti degli interessati. Non si tratta quindi di valutazioni a posteriori, ma di strumenti preventivi per evitare danni o violazioni.
Il FRIA non deve essere ripetuto. Una volta effettuata la prima valutazione, l’operatore può fare affidamento su questo documento, a patto che le condizioni di uso rimangano sostanzialmente le stesse. Tuttavia, è fondamentale che l’operatore monitori costantemente l’impiego del sistema: qualora si verificassero modifiche significative che possono impattare sui diritti fondamentali, sarà necessario aggiornare il FRIA.
Analogamente, la DPIA non deve essere ripetuta per ogni singolo trattamento di dati personali che presenta rischi elevati. È possibile raggruppare trattamenti simili e condurre un’unica valutazione d’impatto. Questo approccio consente di ottimizzare le risorse e di evitare inutili duplicazioni. Tuttavia, anche in questo caso, è necessario un costante monitoraggio: se le circostanze cambiano e il rischio aumenta, la DPIA deve essere rivista.
3. Contenuti connessi
A prima vista, potrebbe sembrare che il FRIA abbia una portata più ampia della DPIA, in quanto si occupa di un insieme più vasto di diritti fondamentali. Tuttavia, un’analisi più approfondita del GDPR rivela che la DPIA ha un ambito di applicazione molto più vasto di quanto possa sembrare. Infatti, la DPIA non si limita a valutare i rischi per il diritto alla protezione dei dati personali, ma si estende a tutti i diritti e le libertà fondamentali che potrebbero essere compromessi dal trattamento. Inoltre, la DPIA deve considerare non solo le esigenze delle persone coinvolte, ma anche quelle delle terze parti interessate.
Differenze tra DPIA e FRIA
Oltre alle somiglianze, ci sono anche delle differenze significative tra DPIA e FRIA.
1. Destinatari dell’obbligo
Il FRIA presenta un ambito di applicazione più ristretto, riguardando specificamente gli organismi pubblici, i fornitori di servizi pubblici e alcuni operatori bancari e assicurativi, limitatamente a determinate tipologie di sistemi di Intelligenza Artificiale ad alto rischio. L’obbligo è dunque legato alla natura del sistema e alla sua riconducibilità a un elenco tassativo di casistiche.
Al contrario, la DPIA ha un raggio d’azione più ampio, in quanto è obbligatoria per tutti i titolari del trattamento che intendono effettuare operazioni di trattamento che presentano un rischio elevato per i diritti e le libertà delle persone fisiche. Questa valutazione deve essere effettuata non solo in presenza di nuove tecnologie, ma anche quando il trattamento presenta altre caratteristiche di criticità, come la trattazione su larga scala di dati sensibili o la sorveglianza sistematica.
Di conseguenza, mentre il FRIA si concentra su un numero limitato di attori e di sistemi specifici, la DPIA si applica a un panorama più ampio di soggetti e di trattamenti, purché questi ultimi presentino un rischio elevato.
2. Focus diversi per i contenuti
Il FRIA, focalizzato specificamente sui sistemi di Intelligenza Artificiale ad alto rischio, richiede una descrizione dettagliata del contesto di uso del sistema, includendo i processi operativi, la frequenza di uso e le categorie di persone potenzialmente interessate. Inoltre, il FRIA pone un’enfasi particolare sulle misure di controllo umano, che sono fondamentali per mitigare i rischi associati all’uso dell’IA.
La DPIA, invece, ha un focus più ampio, concentrandosi sulla descrizione sistematica dei trattamenti di dati personali e sulla valutazione della loro necessità e proporzionalità. La DPIA richiede anche una valutazione dell’interesse legittimo del titolare del trattamento e una valutazione dei rischi per i diritti e le libertà fondamentali delle persone fisiche.
3. Modelli da usare
Per il FRIA, l’AI Act prevede che venga sviluppato un modello di questionario standardizzato, anche attraverso strumenti automatizzati, per facilitare gli operatori nell’esecuzione della valutazione. Questo modello, una volta definito, dovrebbe fornire una guida chiara e strutturata per affrontare le diverse fasi del FRIA.
Per la DPIA, invece, pur essendo disponibili modelli proposti da alcune autorità di controllo (come il Garante Privacy italiano o il CNIL francese), questi non sono vincolanti e spesso presentano una struttura più generale, risultando meno adatti a trattamenti particolarmente complessi o rischiosi.
4. Destinazione del documento
Il FRIA prevede un obbligo preciso di trasmissione del documento all’autorità di vigilanza competente. Questo requisito è finalizzato a garantire un controllo più stretto sull’applicazione delle norme relative all’IA.
La DPIA, invece, non è soggetta a un obbligo di trasmissione generalizzato. Il documento deve essere conservato dal titolare del trattamento e presentato solo su richiesta dell’autorità di controllo.
Tuttavia, l’articolo 36 del GDPR prevede un’eccezione: se l’esito della DPIA indica un rischio elevato per i diritti e le libertà delle persone fisiche, anche in presenza delle misure adottate dal titolare, quest’ultimo è tenuto a consultare preventivamente l’autorità di controllo.