Nel dibattito sull’intelligenza artificiale, spesso si tende a confondere due strumenti che, pur accomunati dal linguaggio della valutazione e della prevenzione del rischio, appartengono a due epoche diverse della regolazione digitale: la DPIA (Data Protection Impact Assessment) e la FRIA (Fundamental Rights Impact Assessment).
Due acronimi solo in apparenza simili, ma che raccontano due visioni profondamente diverse del rapporto tra innovazione, diritto e società.
Indice degli argomenti
Dall’autovalutazione privacy alla tutela costituzionale della persona
La DPIA, introdotta dall’articolo 35 del GDPR, nasce in un contesto in cui il principale rischio percepito era quello di una violazione della privacy individuale. Il legislatore europeo, nel 2016, costruisce la DPIA come uno strumento di autovalutazione: il titolare del trattamento deve verificare se un trattamento di dati personali possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, e in tal caso descrivere le misure per attenuarlo.
Si tratta, dunque, di un meccanismo di accountability difensiva, volto a documentare che la tecnologia è “in regola” — più che a interrogarsi su quale tipo di società quella tecnologia contribuisca a creare.
Con l’AI Act, invece, l’Unione Europea compie un passo ulteriore: la FRIA (Fundamental Rights Impact Assessment) non si limita a chiedere se il sistema rispetta la privacy, ma se rispetta la persona nella sua interezza costituzionale. Il focus si sposta dal dato al contesto, dal trattamento all’impatto, dall'”uso dei dati” alla “governance dell’intelligenza“.
La FRIA come metodologia di governance, non solo compliance
La FRIA è una delle innovazioni più significative del nuovo regolamento europeo sull’intelligenza artificiale. Si applica ai sistemi classificati come “ad alto rischio“, ma la sua logica, inevitabilmente, è destinata a estendersi: ogni tecnologia che incide su libertà, dignità o uguaglianza richiede — al di là dell’obbligo formale — una riflessione preventiva sul suo impatto. Non si tratta di compilare un modulo, ma di costruire una procedura viva, capace di tradurre in scelte concrete il principio di proporzionalità tra innovazione e diritti.
La FRIA non è quindi una “nuova DPIA allargata”, bensì una metodologia di governance. Richiede il coinvolgimento di diverse competenze — giuristi, data scientist, ingegneri, esperti di etica — e impone un dialogo interno che supera la tradizionale frammentazione organizzativa tra compliance, IT e business.
È uno strumento “costituzionale” in senso operativo: consente di misurare come l’algoritmo incida sui valori fondativi dell’ordinamento europeo, dalla non discriminazione all’autonomia decisionale, dal diritto a un equo processo fino alla libertà d’espressione e di informazione.
Dal vincolo puntuale al ciclo di vita integrato dell’AI
La differenza tra DPIA e FRIA segna il passaggio dalla compliance statica alla governance dinamica. Mentre la DPIA è un adempimento puntuale, collocato nella fase iniziale del trattamento, la FRIA accompagna l’intero ciclo di vita del sistema di intelligenza artificiale: progettazione, addestramento, validazione, implementazione, monitoraggio. In tal senso, rappresenta una forma di “due diligence dei diritti fondamentali“, che diventa parte integrante del risk management aziendale.
Questo cambio di prospettiva non è solo tecnico, ma culturale. L’AI Act chiede alle imprese e alle pubbliche amministrazioni di trasformare la tutela dei diritti da vincolo a valore: non più difendere per obbligo, ma governare per responsabilità. È un passaggio che richiama, per certi versi, la logica del modello 231, ma in chiave più ampia e strategica: il rischio non è solo legale o reputazionale, ma civico e costituzionale.
Nuovi framework, nuove competenze per la responsabilità algoritmica
Dal punto di vista operativo, l’introduzione della FRIA implica un’evoluzione nei modelli di governance aziendale. Le organizzazioni dovranno dotarsi di framework interni di valutazione, che traducano i diritti fondamentali in metriche osservabili.
Come si misura la non discriminazione di un modello predittivo? Come si quantifica l’impatto di un algoritmo sull’autonomia decisionale di un individuo? Sono domande nuove, che richiedono competenze nuove e — soprattutto — un diverso approccio alla gestione del rischio.
Non a caso, stanno emergendo figure ibride come il Fundamental Rights Officer o il AI Governance Lead, professionisti capaci di dialogare tanto con il giurista quanto con l’ingegnere, di interpretare le norme e tradurle in architetture operative. In parallelo, la FRIA diventa un tassello del più ampio ecosistema normativo che comprende DORA, NIS2, GDPR e Digital Services Act: un mosaico che tende verso la costruzione di una responsabilità algoritmica integrata.
Legittimità costituzionale dell’azione amministrativa digitale
La sfida della FRIA non riguarda solo le imprese. Le pubbliche amministrazioni, chiamate a implementare sistemi di IA per erogare servizi, assegnare risorse o valutare performance, dovranno adottare un approccio trasparente e documentato. La valutazione dell’impatto sui diritti fondamentali diventa anche una condizione di legittimità costituzionale dell’azione amministrativa.
In Italia, l’esperienza giurisprudenziale recente (si pensi al caso TAR Lombardia 3348/2025) ha già mostrato quanto l’uso “non verificato” di strumenti generativi possa sollevare questioni deontologiche e di affidabilità.
La FRIA, in questo senso, rappresenta un vaccino preventivo contro l'”opacità algoritmica” che rischia di minare la fiducia dei cittadini nella sfera pubblica digitale. In parallelo, la ricerca accademica e le istituzioni stanno iniziando a sviluppare modelli di FRIA sperimentale: l’idea è quella di creare standard metodologici capaci di combinare rigore giuridico e agilità tecnologica.
Il costituzionalismo europeo nell’era dell’algoritmo
Guardando più in profondità, la differenza tra DPIA e FRIA riflette anche la trasformazione del costituzionalismo europeo nell’era dell’algoritmo. Se la prima rispondeva all’idea di “proteggere l’individuo dallo Stato o dall’impresa”, la seconda afferma la necessità di governare le tecnologie che mediano l’esercizio dei diritti.
È il passaggio dal diritto alla privacy al diritto all’intelligibilità, dalla tutela passiva alla partecipazione attiva alla costruzione delle decisioni automatizzate. Il diritto non è più la diga contro la tecnologia, ma il codice sorgente di una nuova coesistenza tra uomo e macchina.
Dalla conformità al vantaggio competitivo: la responsabilità come asset
Per le aziende più lungimiranti, la FRIA non è soltanto un obbligo, ma un vantaggio competitivo. Significa poter dimostrare, anche in termini di reputazione e mercato, che l’innovazione è sviluppata in modo etico, trasparente e affidabile. In un contesto in cui i mercati premiano la fiducia, la responsabilità diventa un asset. Ed è qui che si gioca la partita del futuro: trasformare la valutazione dell’impatto in una cultura organizzativa, non in una checklist.
In definitiva, la differenza tra DPIA e FRIA non è solo giuridica. È antropologica e istituzionale. La prima difende l’uomo dai rischi del dato; la seconda prova a difendere l’uomo dai rischi dell’algoritmo. La prima si limita a misurare la conformità; la seconda ambisce a governare la trasformazione. In questo passaggio — da protezione a responsabilità, da reazione a anticipazione — si gioca la credibilità del modello europeo di intelligenza artificiale antropocentrica. Un modello che, se saprà fare della FRIA la sua grammatica comune, potrà coniugare innovazione e dignità, competitività e diritti, mercato e Costituzione.
