DPIA e FRIA: come Integrare le due Valutazioni d'Impatto in un Unico Documento
Aggiornare solo la DPIA GDPR non basta se usi sistemi AI ad alto rischio. Guida operativa all'integrazione DPIA+FRIA: differenze, 3 casi pratici (HR-Tech, fintech, biometrico), checklist in 7 step e FAQ con sanzioni.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Basta aggiornare la DPIA GDPR se la mia azienda usa sistemi AI?
No. Per i sistemi AI classificati ad alto rischio dall'AI Act (selezione del personale, credit scoring, accesso a servizi critici, riconoscimento biometrico), la DPIA GDPR non è sufficiente: l'Art. 27 dell'AI Act impone al Deployer anche la Fundamental Rights Impact Assessment (FRIA), che valuta l'impatto dell'algoritmo sull'intera gamma dei diritti fondamentali, non solo sulla privacy. L'Art. 27, par. 4 consente di fondere i due documenti in un'unica valutazione integrata, ma entrambi i perimetri normativi devono essere coperti. Chi presenta solo la DPIA aggiornata in due diligence o in sede di ispezione produce un gap documentale che blocca round di investimento e contratti enterprise.
Fonti: Reg. UE 2024/1689 (AI Act) Artt. 11, 13, 26, 27 · Reg. UE 2016/679 (GDPR) Art. 35 · EDPB — Guidelines on AI models and personal data · AgID — Linee guida valutazioni d'impatto AI · Legge 23 settembre 2025, n. 132 (Legge italiana sull'AI) · AI Office UE — Orientamenti per Deployer sistemi ad alto rischio
L'adozione di sistemi di intelligenza artificiale sta ridisegnando le architetture software delle aziende italiane. Nelle stanze dei bottoni, tra founder, CTO e team di prodotto, si sta però consumando un malinteso sistemico che rischia di paralizzare l'operatività aziendale e bruciare milioni di euro in valutazioni societarie: la convinzione che aggiornare la DPIA redatta al lancio della piattaforma sia sufficiente a coprire i nuovi rischi normativi introdotti dall'AI Act.
Il caso-tipo è drammaticamente attuale: un'azienda HR-tech o fintech in forte crescita ha redatto nel 2021 una DPIA rigorosa. Nel 2026 ha integrato un modello di scoring generativo per analizzare curriculum o valutare il merito creditizio. Il CEO si appresta a chiudere un round di Serie A. I legali della controparte richiedono la FRIA prescritta dall'Art. 27 AI Act e le evidenze di spiegabilità imposte dalla Legge 132/2025. Il team tecnico risponde: "Abbiamo aggiornato la DPIA, siamo a posto." Il round salta.
Per il quadro normativo complessivo in cui si inserisce questa problematica, si veda la guida alle architetture di compliance per SaaS e startup. Per la FRIA come documento autonomo, si veda la guida dedicata alla FRIA nell'AI Act.
Perché GDPR e AI Act guardano all'AI da angolazioni diverse
Il GDPR (Reg. UE 2016/679) osserva l'intelligenza artificiale attraverso la lente della protezione dei dati personali. Se un'azienda addestra un modello predittivo, il GDPR si preoccupa che i dati in ingresso siano raccolti lecitamente, che non vengano conservati all'infinito e che siano protetti da data breach. Lo strumento principe di questa analisi è la DPIA (Art. 35), obbligatoria ogni volta che l'uso di nuove tecnologie presenta un rischio elevato per i diritti e le libertà delle persone fisiche.
L'AI Act (Reg. UE 2024/1689) sposta radicalmente il baricentro. Non si preoccupa esclusivamente di come i dati vengono elaborati: si focalizza sull'output del sistema e sulle sue conseguenze per la società. Classifica i sistemi AI in base al rischio (inaccettabile, alto, di trasparenza, minimo) e, per i sistemi ad alto rischio previsti dall'Allegato III, impone al Deployer di condurre la FRIA prima della messa in produzione.
La Legge italiana 132/2025, entrata in vigore a fine 2025, rafforza ulteriormente questo impianto. Introduce il principio della spiegabilità (explainability): le aziende devono saper dimostrare come l'algoritmo giunge a una determinata conclusione. Assegna all'ACN (Agenzia per la Cybersicurezza Nazionale) un ruolo centrale nella sicurezza cibernetica dei modelli AI. Sancisce l'obbligatorietà della supervisione umana significativa e introduce sanzioni amministrative autonome per chi omette la DPIA in ambito AI o non garantisce trasparenza logica.
Cosa copre ciascuna valutazione: il confronto tra DPIA e FRIA
La confusione tra i due strumenti è comprensibile ma rischiosa. La tabella seguente illustra le differenze strutturali e i punti di integrazione operativa.
| Dominio | DPIA (Art. 35 GDPR) | FRIA (Art. 27 AI Act) | Punto di integrazione |
|---|---|---|---|
| Focus | Dati personali, flussi informativi, sicurezza del database | Sistemi AI ad alto rischio, logiche inferenziali, impatto sull'utente | Mappatura unificata: il dato in ingresso (GDPR) determina il bias in uscita (AI Act) |
| Beni tutelati | Privacy, riservatezza, integrità del dato | Diritti fondamentali: non discriminazione, dignità, accesso ai servizi | Un data breach (GDPR) può esporre categorie vulnerabili a ritorsioni (FRIA) |
| Metriche di rischio | Furto d'identità, perdita di controllo finanziario, profilazione illecita | Esclusione da opportunità (lavoro, credito), sorveglianza indebita, discriminazione | La DPIA quantifica il rischio tecnico; la FRIA ne qualifica l'impatto etico e sociale |
| Misure di mitigazione | Pseudonimizzazione, crittografia, minimizzazione, privacy by design | Supervisione umana, debiasing dei dataset, meccanismi di ricorso, AI literacy | Le PETs proteggono il dato; la governance umana supervisiona l'output |
| Obblighi documentali | Registro trattamenti (Art. 30), basi giuridiche, DPA | Documentazione tecnica (Art. 11), istruzioni per l'uso (Art. 13), log di sistema | Art. 26(9) AI Act: il Deployer usa la documentazione del Provider per completare la DPIA |
L'Art. 27, par. 4 dell'AI Act fornisce la base per l'integrazione: se gli obblighi della FRIA sono già parzialmente soddisfatti da una DPIA, la FRIA deve semplicemente "integrare" tale valutazione. Da qui nasce la strategia della valutazione integrata DPIA+FRIA: un unico documento che copre entrambi i perimetri normativi, evita duplicazioni e massimizza l'investor readiness.
Quando servono entrambe: tre casi pratici di impatto aziendale
1. Screening CV automatizzato in HR-Tech
Un'azienda SaaS italiana ha sviluppato una piattaforma che consente alle direzioni del personale di processare migliaia di curriculum in pochi minuti. Il motore NLP estrae le competenze, assegna uno score di affinità con la posizione aperta e scarta i profili non idonei.
La lente GDPR. Il sistema effettua un trattamento automatizzato su larga scala di dati personali e profila gli individui. La DPIA è obbligatoria per mappare le basi giuridiche, il periodo di conservazione dei CV, il diritto all'oblio e la sicurezza dei server.
La lente AI Act. I sistemi AI per il reclutamento sono classificati nell'Allegato III come ad alto rischio. La FRIA diventa indispensabile per rispondere a domande che la DPIA non pone: il sistema discrimina i candidati sulla base del genere? Penalizza le donne che presentano interruzioni nel curriculum dovute a periodi di maternità? I dati di training riflettono pregiudizi storici aziendali?
Il rischio di business. Senza una FRIA che dimostri le tecniche di debiasing adottate e i protocolli di supervisione umana, un cliente enterprise rifiuterà il software al primo controllo della propria funzione di compliance. Una vendita potenzialmente di grande valore viene bloccata prima ancora di iniziare.
2. Credit scoring e Buy Now Pay Later in Fintech
Una piattaforma fintech utilizza un modello AI per stabilire in tempo reale se concedere una dilazione di pagamento a un utente, incrociando dati di navigazione, storico acquisti e parametri sociodemografici.
La lente GDPR. Analisi di dati finanziari e comportamentali complessi. Occorre gestire il diritto di opposizione alla profilazione, le misure di privacy by design e la base giuridica del trattamento decisionale automatizzato (Art. 22 GDPR).
La lente AI Act e Legge 132/2025. I sistemi per valutare il merito creditizio sono ad alto rischio, perché incidono sulla stabilità economica dell'individuo. Se l'algoritmo nega il credito, l'utente ha diritto di sapere il perché: la spiegabilità imposta dalla Legge 132/2025 richiede che l'azienda possa articolare la logica dell'output in termini comprensibili all'interessato.
Il rischio di business. L'assenza di una valutazione integrata rende l'azienda indifendibile sia davanti a un ricorso al Garante sia in sede di due diligence condotta da un istituto bancario partner. I legali di una banca che valuta una partnership tecnologica individuano questo gap in meno di un'ora.
3. Riconoscimento biometrico per accessi fisici
Un'azienda sviluppa una tecnologia per l'accesso a cantieri o aree protette basata sul riconoscimento facciale dei dipendenti.
La lente GDPR. Trattamento di dati biometrici, categorie particolari ai sensi dell'Art. 9 GDPR. La DPIA richiesta è tra le più complesse: richiede giustificazioni formali solidissime e, in molti casi, l'accordo sindacale preventivo ai sensi dell'Art. 4 dello Statuto dei Lavoratori.
La lente AI Act. La categorizzazione biometrica sfiora il rischio inaccettabile (pratiche vietate dall'Art. 5) e rientra nella categoria ad alto rischio. La FRIA deve valutare l'impatto sui diritti sindacali, la libertà di movimento e il rischio di falsi negativi: un sistema che non riconosce un lavoratore legittimo produce l'esclusione dal posto di lavoro, un danno concreto e immediato.
Il rischio di business. Una valutazione incompleta espone la startup a provvedimenti inibitori immediati da parte del Garante, con conseguente blocco dell'infrastruttura e tracollo reputazionale. Il Garante ha già emesso provvedimenti di questo tipo in casi analoghi.
Come costruire la valutazione integrata in 7 step
Un'architettura documentale unificata non si realizza affiancando due moduli separati: richiede una catena logica progettata per resistere agli stress test di revisori, investitori e autorità di controllo.
Step 1: Censire i sistemi AI e classificarli per rischio. Il primo passo è la visibilità. Molti dipartimenti utilizzano strumenti AI senza approvazione formale (strumenti di marketing generativo, plugin di coding, assistant integrati nei CRM). Avviare una mappatura completa dell'intera AI presenti in azienda, sviluppata internamente o integrata tramite API. Per ogni sistema, applicare la tassonomia AI Act: rischio minimo, trasparenza, alto rischio o inaccettabile. Determinare il ruolo dell'organizzazione: Provider (sviluppatore del modello) o Deployer (utilizzatore di un SaaS AI di terze parti). La distinzione è fondamentale perché il perimetro di responsabilità cambia radicalmente. Per approfondire, si veda la guida alla distinzione Provider/Deployer nell'AI Act.
Step 2: Mappare le basi giuridiche GDPR e le tipologie di dati. Analizzare la provenienza di ogni dato utilizzato dal sistema (data provenance): è stato raccolto con una base giuridica GDPR valida? Se si tratta di un riutilizzo di dati storici aziendali, la Legge 132/2025 impone una valutazione di compatibilità delle finalità per verificare se il nuovo uso (addestramento del modello AI) sia compatibile con la finalità originaria della raccolta, o se sia necessario un nuovo consenso specifico.
Step 3: Analizzare gli scenari di impatto sui diritti fondamentali. La DPIA quantifica la probabilità di un data breach; la FRIA richiede di valutare la gravità di un decision breach. Prevedere scenari di guasto o di pregiudizio: cosa accade se il sistema opera esattamente come progettato, ma produce esiti discriminatori nei confronti di minoranze o gruppi vulnerabili? Applicare indici di impatto per ciascun diritto della Carta dei Diritti Fondamentali UE potenzialmente interessato: uguaglianza, dignità, diritto al lavoro, accesso ai servizi.
Step 4: Progettare misure congiunte (tecniche e organizzative). Il remediation plan deve coprire entrambe le normative in modo integrato. Sul fronte tecnico: pseudonimizzazione, crittografia, Differential Privacy, robustezza contro attacchi di data poisoning e model inversion. Sul fronte organizzativo: documentare la supervisione umana significativa, non una validazione formale. Il personale designato deve possedere le competenze per comprendere criticamente l'output del sistema (AI literacy, obbligo AI Act Art. 4) e l'autorità formale per ribaltare la decisione algoritmica senza ritorsioni aziendali.
Step 5: Collegare la valutazione al Registro Trattamenti e alla documentazione tecnica del Provider. L'Art. 26(9) dell'AI Act stabilisce che i Deployer devono usare le informazioni fornite dai Provider (documentazione tecnica ex Art. 11 e istruzioni per l'uso ex Art. 13) per completare la propria DPIA ex Art. 35 GDPR. Richiedere questa documentazione ai fornitori di modelli AI prima di avviare la valutazione integrata è un passaggio obbligato, non una formalità. Per le clausole contrattuali specifiche che rendono questo flusso documentale applicabile, si veda la guida al DPA con i fornitori AI.
Step 6: Definire un piano di monitoraggio continuo e gestione degli incidenti. Un modello AI degrada nel tempo a causa del data drift. La conformità non è uno stato finale: è un processo. Stabilire trigger di re-assessment: la valutazione integrata va aggiornata ogniqualvolta si modifichino i pesi del modello, il dataset di training o il contesto di deployment. Predisporre un protocollo unificato di gestione degli incidenti: un evento avverso grave può richiedere una doppia notifica, al Garante Privacy per i data breach e all'ACN per gli incidenti di sicurezza informatica previsti dalla Legge 132/2025 e dalla direttiva NIS2.
Step 7: Formalizzare accountability e firme. Il DPO è fondamentale per la componente GDPR, ma potrebbe non avere la competenza algoritmica per validare la FRIA. Coinvolgere un responsabile AI interno (AI Ethics Officer o un comitato interdisciplinare con competenze tecniche e giuridiche). Se l'azienda utilizza API esterne o modelli SaaS, la valutazione deve rendicontare la due diligence effettuata sul fornitore terzo e stabilire con chiarezza la catena di responsabilità in caso di sanzioni. Per gli obblighi specifici del Deployer verso i fornitori, si veda la guida all'Art. 26 AI Act.
L'indice della DPIA+FRIA unificata
Per chi ha il compito di costruire il template documentale interno, l'architettura ottimizzata prevede i seguenti capitoli:
Capitolo 0 — Executive Summary e assetto di governance. Identificazione del sistema AI, owner aziendale, DPO, classificazione del rischio (GDPR + AI Act), data della valutazione e scadenza del prossimo re-assessment.
Capitolo 1 — Architettura tecnologica e ciclo di vita del dato. Descrizione analitica del data flow. Per i sistemi basati su AI generativa con pipeline RAG (Retrieval-Augmented Generation): documentare esplicitamente come i dati personali vengono estratti al momento dell'inferenza, come viene assemblata la context window e la scomposizione dei prompt. Questo capitolo deve riflettere la realtà tecnica attuale del sistema, non la versione del 2021.
Capitolo 2 — Liceità, necessità e spiegabilità (Legge 132/2025). Mappatura delle basi giuridiche per ciascuna fase del ciclo di vita del dato, verifica di compatibilità per usi secondari e documentazione della logica algoritmica ai fini della spiegabilità richiesta dalla normativa italiana.
Capitolo 3 — Mappatura unificata dei rischi. Matrice GDPR: rischi su riservatezza, integrità, disponibilità, attacchi avversariali. Matrice FRIA: rischi di discriminazione, impatto sulla dignità, valutazione delle conseguenze per gruppi vulnerabili, meccanismi di ricorso disponibili.
Capitolo 4 — Mitigazione e supervisione umana. Dettaglio delle Privacy-Enhancing Technologies adottate e dei protocolli di supervisione umana: livelli di intervento, formazione del personale (AI literacy), procedure di escalation.
Capitolo 5 — Documentazione del Provider (ex Art. 26(9) AI Act). Allegati con la documentazione tecnica e le istruzioni per l'uso ricevute dal fornitore originario del modello, con attestazione della verifica di conformità.
Capitolo 6 — Audit trail e monitoraggio. KPI di deriva del modello, scadenziario degli assessment, logiche di tracciabilità degli output e degli interventi di supervisione.
Errori che emergono in ispezione o due diligence
DPIA formale non aggiornata alla realtà algoritmica. Un'azienda presenta una DPIA del 2022 che descrive un database statico, omettendo che nel 2025 ha integrato un agente RAG che accede a dati non strutturati a ogni prompt utente. Un auditor tecnico rileva immediatamente che la descrizione lineare del ciclo di vita dei dati nel documento è falsa. La DPIA diventa carta straccia.
FRIA assente o confusa con un privacy assessment. Di fronte all'uso di un sistema di screening CV, il management esibisce i protocolli di sicurezza informatica. La FRIA non è un test di penetrazione IT: è un'analisi etica e sociale. Operare un sistema ad alto rischio senza FRIA significa operare nell'illegalità strutturale. L'Art. 99 AI Act prevede sanzioni fino a 35 milioni di euro o il 7% del fatturato globale per le pratiche vietate, e fino a 15 milioni di euro o il 3% per le violazioni degli obblighi sui sistemi ad alto rischio. Per le PMI vale il limite inferiore tra importo fisso e percentuale; per una startup da 2 milioni di euro la sanzione Tier 2 può arrivare a 60.000 euro, ma il danno reputazionale e il blocco delle attività sono incalcolabili.
Supervisione umana "rubber-stamping". L'azienda dichiara di essere a norma con la Legge 132/2025 perché un dipendente preme "Approva" prima di inviare la risposta del sistema AI. In assenza di evidenze che dimostrino l'effettiva AI literacy del dipendente e l'esistenza di procedure che gli consentano di esaminare criticamente il risultato algoritmico, questa pratica viene qualificata come automation bias e sanzionata di conseguenza.
Assenza totale di spiegabilità. L'incapacità di rispondere in modo intellegibile alla domanda di un utente che chiede come mai l'algoritmo gli ha negato il credito o scartato la candidatura attiva sanzioni autonome previste dalla Legge 132/2025, aggiuntive rispetto all'apparato sanzionatorio del GDPR e dell'AI Act.
Dalla compliance al vantaggio competitivo
La valutazione integrata DPIA+FRIA è, per le aziende tech-forward, un asset commerciale e finanziario concreto, non una tassa occulta sul fare impresa.
Nel B2B enterprise, i cicli di vendita si sono allungati in modo significativo a causa dei Vendor Security and Compliance Assessment che ogni grande cliente richiede ai fornitori tecnologici. Presentarsi ai tavoli negoziali con una valutazione integrata che copre GDPR, AI Act e direttive ACN significa azzerare le obiezioni dei dipartimenti legali e di sicurezza del cliente, riducendo il time-to-market dell'operazione.
Sul fronte dell'investor readiness, i fondi di Venture Capital hanno imparato che un prodotto innovativo privo di base legale è un investimento a rischio incaglio. I comitati di investimento verificano sistematicamente la governance algoritmica: una startup in grado di presentare un framework integrato trasmette un segnale che va ben oltre la compliance formale; dimostra che il management ha dominato la complessità normativa e costruito un prodotto scalabile in tutta Europa. Per la roadmap completa verso l'investor readiness, si veda la guida all'investor readiness AI Act per startup.
FAQ: domande frequenti su DPIA e FRIA
Chi deve compilare la FRIA: lo sviluppatore dell'AI o chi la utilizza? La responsabilità principale ricade sul Deployer (l'utilizzatore del sistema ad alto rischio). L'AI Act impone al Provider di fornire la documentazione tecnica necessaria (Artt. 11 e 13). Se la tua azienda acquista un SaaS AI per il reparto HR, sei il Deployer e devi redigere la FRIA, appoggiandoti alle informazioni del fornitore ex Art. 26(9).
Possiamo usare lo stesso documento per DPIA e FRIA? Sì. L'Art. 27, par. 4 dell'AI Act autorizza espressamente questa prassi, stabilendo che la FRIA debba "integrare" la valutazione d'impatto sulla protezione dei dati. Il documento unificato non è un semplice accorpamento formale: deve rispondere in modo strutturato ai requisiti specifici di entrambe le normative, con capitoli distinti per gli aspetti esclusivi di ciascuna.
Quali sanzioni si applicano se non conduciamo la FRIA per i nostri sistemi AI? L'AI Act prevede fino a 15 milioni di euro o il 3% del fatturato globale per le violazioni degli obblighi sui sistemi ad alto rischio (Art. 99 Tier 2). A queste si sommano le sanzioni della Legge 132/2025 per la mancata DPIA in ambito AI e per l'assenza di spiegabilità, nonché le potenziali sanzioni GDPR fino al 4% del fatturato.
Una startup con fatturato basso rischia comunque sanzioni significative? L'Art. 99 AI Act prevede la clausola di proporzionalità per PMI e startup: si applica il valore più basso tra l'importo fisso e la percentuale del fatturato. Per una startup da 2 milioni di euro, la sanzione Tier 2 ammonterebbe a un massimo di 60.000 euro anziché 15 milioni. Tuttavia, il danno reputazionale e il blocco dell'attività commerciale che seguono un provvedimento inibitorio sono difficilmente quantificabili in termini economici.
Utilizzo solo un chatbot sul mio e-commerce: devo fare la FRIA? Generalmente no. I chatbot informativi rientrano nel rischio di trasparenza: è sufficiente informare l'utente che sta interagendo con un sistema automatizzato. Se tuttavia quel chatbot decide l'erogazione di rimborsi, valuta il merito creditizio del cliente o elabora dati sanitari, scala nella categoria ad alto rischio e attiva gli obblighi di FRIA e DPIA.
Cosa è la "compatibilità delle finalità" richiesta dalla Legge 132/2025? Se hai raccolto i dati dei clienti per finalità contrattuali (evasione di un ordine) e decidi di riutilizzare quello storico per addestrare un modello AI predittivo, stai effettuando un uso secondario del dato. La Legge 132/2025 impone una valutazione di compatibilità per verificare se la nuova finalità sia coerente con quella originaria, o se sia necessario raccogliere un nuovo consenso specifico. Senza questo passaggio, il training del modello è illecito.
Devi costruire una valutazione DPIA+FRIA integrata per i tuoi sistemi AI?
Studio Legale Ingoglia assiste aziende e startup nella progettazione della valutazione integrata DPIA+FRIA, nella classificazione del rischio AI Act, nella documentazione della spiegabilità e nella governance algoritmica per la due diligence degli investitori e i vendor assessment enterprise. Prenota una consulenza strategica per strutturare la tua documentazione prima che intervengano il Garante, l'ACN o gli auditor dei fondi.
Articolo aggiornato al 27 maggio 2026. La Legge 132/2025 citata è la Legge 23 settembre 2025, n. 132, di attuazione e adeguamento della normativa nazionale al Regolamento (UE) 2024/1689. Per supporto specifico, contatta lo studio.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze