Relativamente all’obbligo di effettuare una “valutazione di impatto”, dal punto di vista prettamente grammaticale, si suggerisce di inserire la dicitura completa da cui derivano le iniziali FRIA, che in inglese è “Fundamental Rights Impact Assessment” (FRIA). Lo stesso suggerimento vale per quanto concerne la DPIA. È consigliabile includere queste diciture complete sia nel glossario, per completezza, sia nel testo, oppure, per comodità, esclusivamente nel glossario. Questo accorgimento contribuirà a garantire chiarezza e comprensione uniformi, facilitando la consultazione e la corretta applicazione delle linee guida da parte di tutti gli attori coinvolti nel processo normativo e operativo.
Dal punto di vista operativo, sebbene la “bozza di linee guida” rappresenti un progresso verso la compliance normativa, in merito all’obbligo di effettuare una valutazione preventiva per determinare il tipo di rischio associato all’uso di un sistema di intelligenza artificiale, si ritiene opportuno stabilire che il processo di valutazione delle potenziali conseguenze sui diritti fondamentali, derivanti dallo sviluppo, utilizzo o uso improprio di tali sistemi, anche quando si tratti di sistemi IA a “rischio minimo o nessun rischio”, diventi un obbligo.
È importante distinguere tra l’obbligo di effettuare la valutazione e la procedimentalizzazione di tale obbligo. In altre parole, dovrebbe essere obbligatorio definire, all’interno della propria procedura, quando effettuare la DPIA (Data Protection Impact Assessment) e la FRIA (Fundamental Rights Impact Assessment), previa un’analisi dei rischi. Come delineato nella “bozza di linee guida”, “resta ferma la necessità di svolgere la valutazione del rischio sulla protezione dei dati personali nelle attività istituzionali e progettuali condotte mediante strumenti di IA, ai sensi della normativa vigente e dei provvedimenti del Garante per la protezione dei dati personali (cfr. Cap. 10)”. È fondamentale ricordare che non si tratta di una semplice “necessità”, ma di un vero e proprio obbligo che ricade sul titolare del trattamento ¶. Questa distinzione rafforza l’importanza di un approccio sistematico e predefinito, volto a garantire il rispetto dei diritti fondamentali e delle normative vigenti nel contesto dell’adozione tecnologica avanzata.
A tale scopo si ritiene opportuno, qualora non sia necessaria l’effettuazione di una DPIA e FRIA in quanto il rischio risulti medio o inesistente, fornire una motivazione approfondita da parte del deployer che spieghi perché non ha ritenuto necessario procedere, successivamente, con una DPIA e FRIA. Tale evidenza è fondamentale per dimostrare la consapevolezza e l’attenzione riposta nella valutazione dei rischi potenziali, assicurando trasparenza e accountability nel processo decisionale. Tale requisito consentirebbe di consolidare ulteriormente la fiducia delle autorità e del pubblico nell’operato dei titolari del trattamento e dei deployer, garantendo al contempo il pieno rispetto delle normative vigenti.
Un altro aspetto non sufficientemente considerato nella “bozza di linee guida” è che, ai sensi del comma 4 dell’art. 27 dell’AI Act, “[s]e uno qualsiasi degli obblighi di cui all’art. 27 è già rispettato mediante la [DPIA] effettuata a norma dell’art. 35 del [GDPR] o dell’articolo 27 della Direttiva (UE) 2016/680, la [FRIA] integra tale [DPIA]”.
Questo implica che, laddove le DPIA siano già state eseguite nell’ambito del medesimo trattamento e soddisfino i requisiti previsti, la FRIA può essere utilizzata come integrazione e approfondimento delle considerazioni già esistenti, ma non necessariamente sostitutiva. Ciò non solo ottimizza il processo valutativo, evitando la duplicazione degli sforzi, ma assicura anche un approccio coerente e comprensivo al trattamento dei dati e alla protezione dei diritti fondamentali, sottolineando l’importanza di un’integrazione normativa efficace tra diverse disposizioni legislative.
Si afferma, inoltre, che “[i] risultati della valutazione d’impatto DEVONO essere condivisi con le parti interessate”, mentre nella normativa di riferimento non viene esplicitamente sancito tale obbligo, bensì viene sottolineata la necessità di coinvolgere i “soggetti interessati” durante la fase di svolgimento della DPIA ed eventualmente la FRIA. È di cruciale importanza che le parti interessate siano coinvolte attivamente “durante” lo svolgimento delle valutazioni d’impatto piuttosto che “ex post”.
Coinvolgere le parti interessate lungo il percorso valutativo arricchisce il processo decisionale e permette di rispondere alla domanda più importante: è opportuno, possibile e necessario avvalersi di un sistema di IA? Tale approccio permetterebbe un confronto costruttivo e iterativo tra gli interessati in grado di anticipare e risolvere potenziali criticità prima che si giunga a una decisione finale ovvero prima di utilizzare un sistema di IA. Questo approccio consente, inoltre, di instaurare un iter valutativo e procedimentale autentico, partecipato e trasparente, evitando che le persone interessate si trovino a dover accettare passivamente una decisione già adottata. Inserire il coinvolgimento anticipato delle parti interessate nel processo valutativo (ovvero durante la conduzione della DPIA e della FRIA) assicura che le scelte siano informate e ben fondate, rispettando il principio di trasparenza e promuovendo la fiducia nel trattamento equo e responsabile dei dati personali.