Che cos'è una FRIA?
La Fundamental Rights Impact Assessment (FRIA) – in italiano: valutazione dell'impatto sui diritti fondamentali – è un documento richiesto ai sensi dell'art. 27 del regolamento (UE) 2024/1689 (EU AI Act) per i deployer di determinate categorie di IA ad alto rischio – in particolare enti pubblici, prestatori di servizi pubblici e determinati sistemi dell'allegato III.
La FRIA valuta l'impatto di un sistema di IA sui diritti fondamentali delle persone interessate – in particolare la non discriminazione, la protezione dei dati, la dignità umana e i diritti procedurali ai sensi della Carta dei diritti fondamentali dell'UE.
Chi deve creare una FRIA?
Ai sensi dell'art. 27, paragrafo 1, EU AI Act, i seguenti deployer devono effettuare una FRIA prima della messa in servizio di un sistema di IA ad alto rischio:
- Organismi di diritto pubblico – autorità pubbliche, amministrazioni, agenzie governative
- Deployer privati che forniscono servizi pubblici – ad es. nel settore sanitario, dell'istruzione, delle infrastrutture
- Deployer di sistemi di IA di cui all'allegato III, punto 5, lettera b) – valutazione della solvibilità e credit scoring
- Deployer di sistemi di IA di cui all'allegato III, punto 4 – occupazione, gestione del personale e accesso al lavoro autonomo
Contenuti obbligatori di una FRIA secondo l'art. 27
L'art. 27, paragrafo 3, EU AI Act definisce i contenuti minimi:
- Descrizione dei processi del deployer – Come viene integrato il sistema di IA nei processi esistenti?
- Periodo e frequenza di utilizzo – Con quale frequenza e per quanto tempo viene utilizzato il sistema?
- Categorie di persone interessate – Chi è direttamente o indirettamente interessato? Attenzione particolare ai gruppi vulnerabili.
- Rischi specifici di danno – Quali rischi concreti esistono per i diritti fondamentali delle persone interessate?
- Descrizione della sorveglianza umana – Chi sorveglia il sistema? Quali possibilità di intervento esistono?
- Misure di mitigazione dei rischi – Misure tecniche e organizzative per i rischi identificati
Passo dopo passo: creare una FRIA
Passo 1: identificare e classificare il sistema di IA
Descrivete il vostro sistema di IA con precisione: quale finalità ha? In quale ambito di applicazione viene utilizzato? In quale categoria dell'allegato III rientra?
Passo 2: identificare i diritti fondamentali interessati
Esaminate sistematicamente quali diritti fondamentali della Carta dei diritti fondamentali dell'UE potrebbero essere interessati:
- Art. 1 – Dignità umana: la dignità delle persone interessate è preservata?
- Art. 8 – Protezione dei dati: vengono trattati dati personali?
- Art. 21 – Non discriminazione: esiste un rischio di discriminazione basata su sesso, etnia, età, disabilità?
- Art. 47 – Diritto a un ricorso effettivo: le persone interessate possono contestare le decisioni?
Consultate inoltre le direttive europee antidiscriminazione pertinenti: direttiva 2000/43/CE (direttiva sull'uguaglianza razziale), direttiva 2000/78/CE (direttiva quadro sulla parità di trattamento) e direttiva 2006/54/CE (parità di trattamento in materia di occupazione).
Passo 3: analizzare i gruppi di persone interessati
Identificate tutti i gruppi di persone interessati. L'art. 27, paragrafo 3, lettera c) richiede un'attenzione particolare per i gruppi vulnerabili:
- Minori e persone anziane
- Persone con disabilità
- Minoranze etniche e religiose
- Persone in situazioni di svantaggio economico o sociale
Stimate il numero di persone interessate annualmente – questo dato è rilevante per la valutazione dei rischi e la notifica all'autorità di vigilanza.
Passo 4: effettuare la valutazione dei rischi
Per ciascun diritto fondamentale identificato, valutate:
| Dimensione | Descrizione |
|---|---|
| Probabilità | Quanto è probabile una violazione dei diritti fondamentali? (Bassa / Media / Alta) |
| Gravità | Quanto sarebbe grave l'impatto? (Bassa / Media / Grave) |
| Reversibilità | Gli effetti possono essere invertiti? |
| Numero di persone interessate | Quante persone sono potenzialmente interessate? |
Passo 5: definire le misure di mitigazione dei rischi
Descrivete misure concrete per ciascun rischio identificato:
- Misure tecniche: test sui bias, metriche di equità, controlli di qualità dei dati
- Misure organizzative: formazione, politiche interne, procedure di reclamo
- Sorveglianza umana: human-in-the-loop, human-on-the-loop, meccanismi di override
Passo 6: stabilire i processi di monitoraggio
La FRIA non è un documento una tantum – l'art. 27, paragrafo 4 richiede un aggiornamento regolare in caso di modifiche sostanziali al sistema o al suo contesto di impiego.
Passo 7: notifica all'autorità di vigilanza
Ai sensi dell'art. 27, paragrafo 5, EU AI Act, i deployer devono notificare i risultati della FRIA all'autorità di vigilanza del mercato competente. In Italia, si tratta principalmente di AGID (Agenzia per l'Italia Digitale) e del Garante per la protezione dei dati personali.
Errori frequenti nella FRIA
- Troppo generica – La FRIA deve essere specificamente adattata al vostro sistema di IA
- Dimenticare i gruppi vulnerabili – L'art. 27 richiede esplicitamente la loro considerazione
- Nessuna stima quantitativa – Il numero di persone interessate è mancante
- Misure senza attribuzione – Ogni rischio necessita di contromisure concrete
- Creazione una tantum – La FRIA deve essere regolarmente aggiornata
Creare una FRIA automaticamente con AIvunera
AIvunera genera una bozza di FRIA personalizzata sulla base dei dettagli del vostro sistema – con riferimenti agli articoli, valutazioni dei rischi e ipotesi segnalate. La bozza copre tutti i contenuti obbligatori ai sensi dell'art. 27 e costituisce una base all'80 % per la revisione legale.
Generate la vostra bozza di FRIA – a partire da 149 € netti →