Glossario

FRIA (valutazione d'impatto sui diritti fondamentali)

La FRIA (dall'inglese Fundamental Rights Impact Assessment, in italiano valutazione d'impatto sui diritti fondamentali) e' l'analisi che alcuni deployer di sistemi di IA ad alto rischio devono svolgere prima di mettere in uso il sistema, per capire quali effetti puo' avere sui diritti delle persone, come previsto dall'art. 27 del Regolamento UE 2024/1689. A differenza della valutazione d'impatto sulla protezione dei dati (la DPIA del GDPR), che guarda solo alla privacy e ai dati personali, la FRIA guarda all'intero ventaglio dei diritti fondamentali, dalla non discriminazione alla dignita', e quindi non sostituisce la DPIA ma la completa.

La FRIA e' uno degli obblighi piu' particolari dell'AI Act, perche' non ricade sul fornitore che costruisce il sistema ma sul deployer, cioe' su chi lo usa nella propria attivita'. L'art. 27 del Regolamento UE 2024/1689 non la chiede a tutti. La devono fare tre categorie, riferite ai sistemi ad alto rischio dell'Allegato III con l'esclusione di quelli destinati al settore delle infrastrutture critiche (Allegato III punto 2). La prima categoria e' quella dei deployer che sono organismi di diritto pubblico, vale a dire enti e amministrazioni che agiscono in veste pubblica. La seconda e' quella dei deployer privati che erogano servizi pubblici, per esempio chi gestisce sanita', istruzione o servizi essenziali per conto della collettivita'. La terza riguarda chiunque, pubblico o privato, usi un sistema ad alto rischio per valutare il merito creditizio delle persone (il famoso credit scoring) oppure per la valutazione del rischio e la determinazione dei prezzi nelle assicurazioni sulla vita e malattia. Sono i punti 5, lettere b) e c) dell'Allegato III.

Vediamo cosa contiene, in concreto, questa analisi. L'art. 27 elenca sei elementi. Serve una descrizione dei processi aziendali in cui il sistema verra' usato, coerente con la sua finalita'. Va indicato l'arco di tempo e la frequenza con cui si prevede di usarlo. Vanno individuate le categorie di persone e di gruppi che potrebbero esserne toccate. Occorre mettere a fuoco i rischi specifici di danno per quelle persone, che e' il cuore del lavoro. Va descritto come si applica la sorveglianza umana, seguendo le istruzioni per l'uso. Infine vanno indicate le misure da adottare se quei rischi si concretizzano, comprese le regole interne di governance e i canali per ricevere reclami.

Finita l'analisi, non resta nel cassetto. L'art. 27, paragrafo 3, prevede che il deployer notifichi i risultati all'autorita' di vigilanza del mercato, presentando il modello compilato. Per facilitare il compito, lo stesso articolo affida all'Ufficio per l'IA (AI Office) il compito di elaborare un modello di questionario, anche tramite uno strumento automatico. C'e' anche un caso di esenzione dall'obbligo di notifica, previsto per l'ipotesi dell'art. 46, paragrafo 1. La logica e' quella raccontata nel Considerando 96. Un sistema ad alto rischio puo' incidere sui diritti delle persone in modi che chi lo costruisce non sempre vede, perche' dipendono dal contesto d'uso, e per questo la valutazione tocca a chi lo mette in funzione sul campo.

Un punto da non confondere. La FRIA si concentra sui diritti delle persone, non sulla conformita' tecnica del sistema, che resta responsabilita' del fornitore con la valutazione di conformita'. Se per lo stesso trattamento hai gia' fatto la DPIA del GDPR, la FRIA si aggancia a quella e ne integra la parte sui diritti fondamentali, senza ripartire da zero. Va tenuto presente il quadro temporale. Nel testo vigente del Regolamento UE 2024/1689 gli obblighi sui sistemi ad alto rischio dell'Allegato III, FRIA inclusa, si applicano dal 2 agosto 2026. Il pacchetto Digital Omnibus on AI e' stato adottato in via definitiva dal Consiglio il 29 giugno 2026, ma alla data attuale non risulta ancora pubblicato nella Gazzetta ufficiale dell'UE ne' in vigore. La pubblicazione e' attesa a breve e l'entrata in vigore avverra' il terzo giorno successivo. Solo con quell'entrata in vigore diventera' efficace il rinvio dell'applicazione dei sistemi ad alto rischio autonomi dell'Allegato III al 2 dicembre 2027, con cui slitterebbe anche la FRIA collegata. Fino ad allora la data di riferimento resta quella vigente e la direzione e' comunque segnata, quindi conviene prepararsi per tempo.

Termini correlati

Torna all'hub AI Act

Questo contenuto ha finalità informative e divulgative e riflette il quadro normativo alla data di ultima revisione indicata. Non costituisce parere o consulenza legale sul tuo caso specifico. Per l'inquadramento giuridico formale lavoriamo con professionisti abilitati.