L’art. 27 AI Act suggerisce che la valutazione d’impatto sui diritti fondamentali, la FRIA, può integrarsi con la DPIA prevista dall’art. 35 GDPR. È una indicazione che molte imprese leggeranno come un invito a produrre due documenti invece di uno.

È un errore.

DPIA e FRIA non sono due adempimenti paralleli da gestire in silos separati. Sono due angolazioni dello stesso problema: capire cosa produce un sistema AI quando entra nei processi di un’organizzazione, su quali persone produce effetti, e chi è responsabile di governarlo. Chi le tratta separatamente duplica il lavoro, frammenta la visione e non vede mai il quadro completo.

DECIMA™, il ciclo operativo in sei dimensioni del framework Cybermetrica®, offre una sequenza che soddisfa entrambi i requisiti in un’unica lettura integrata. Non perché semplifichi gli obblighi, ma perché li legge come ciò che sono: manifestazioni diverse dello stesso dovere di governo complessivo e strutturato dell’organizzazione.  Lo dimostreremo su tre contesti reali: un sistema HR automatizzato per la selezione del personale, un algoritmo diagnostico in ambito sanitario, un sistema predittivo nella logistica. Settori diversi, tipologie di dati diverse, mercati diversi. La sequenza è la stessa.

Il framework DECIMA™: le sei dimensioni della governance integrata

DECIMA™ è l’acronimo di Dati, Esposizione, Contesto, Impatto, Misurazione, Azione. Applicata a un sistema AI, ciascuna dimensione intercetta obblighi specifici della DPIA e della FRIA senza duplicazioni.

• D — Dati: quali dati tratta il sistema, chi li produce, chi li legge, con quale tracciabilità. Base comune di entrambe le valutazioni. Non si tratta solo di dati identificativi, ma di tutto il patrimonio informativo che l'organizzazione produce e tratta nei propri processi.
• E — Esposizione: le tipologie e il livello reale di rischio in concreto non solo per i diritti delle persone coinvolte, ma per la responsabilità, la reputazione e la governance dell’organizzazione.
• C — Contesto: il quadro normativo e fattuale trasversale. GDPR, AI Act, normativa settoriale, tipologia di dati trattati e il mercato in cui opera l’organizzazione. Non esiste un contesto generico: un laboratorio di analisi non è una società di selezione del personale.
• I — Impatto: gli effetti concreti sulle persone e sull’organizzazione. È qui che la FRIA aggiunge ciò che la DPIA da sola non cattura: i diritti fondamentali non si esauriscono nella protezione dei dati personali.
• M — Misurazione: trasformare la valutazione in indicatori governabili nel tempo. Non un documento statico: un sistema di monitoraggio continuo ma che preveda anche gli interventi decisionali.
• A — Azione: il momento di agire. Chi decide cosa, con quale autorità, con quale frequenza di revisione, come si comunica. Il tutto ovviamente non solo come intervento successivo ma anche in ottica predittiva e correttiva. La governance non finisce con la firma del documento.

La sequenza applicata a tre contesti diversi mostra cosa cambia e cosa resta invariato.

Caso 1 — HR: l’algoritmo che seleziona le persone

Un’azienda introduce un sistema AI per la preselezione automatica dei candidati. Il sistema analizza CV, lettere di presentazione, risposte a test e, in alcuni casi, espressioni facciali durante colloqui video. Produce un punteggio. Solo i candidati sopra soglia vengono valutati da un essere umano.

D — Dati

Dati anagrafici, curriculum, dati comportamentali da test, immagini e dati biometrici se il sistema analizza espressioni facciali. Alcuni sono dati particolari ai sensi dell’art. 9 GDPR. E questo attiva già la soglia della DPIA obbligatoria. La mappatura deve includere chi alimenta il sistema, con quale frequenza, e dove risiedono i dati.

E — Esposizione

Il sistema prende decisioni che incidono sull’accesso al lavoro. Se il modello è stato addestrato su dati storici sbilanciati, riproduce e amplifica bias esistenti. L’esposizione non è solo legale: è reputazionale, etica e strategica. Un’azienda che esclude sistematicamente determinate categorie di candidati senza saperlo è esposta su più fronti contemporaneamente.

C — Contesto

Il sistema di selezione automatizzata rientra nei sistemi AI ad alto rischio ai sensi dell’Allegato III AI Act. Attiva la FRIA obbligatoria per il deployer. Si sovrappone alla DPIA per il trattamento di dati personali su larga scala. Il contesto normativo include anche il D. Lgs. 198/2006 sul divieto di discriminazione nel lavoro e, in alcuni settori, normative collettive specifiche. Il mercato è quello del lavoro: i soggetti coinvolti sono lavoratori e candidati, con diritti fondamentali direttamente esposti.

I — Impatto

Accesso al lavoro, dignità, non discriminazione. Un candidato escluso da un algoritmo senza possibilità di revisione umana subisce un effetto diretto su diritti fondamentali riconosciuti dalla Carta UE. La FRIA impone di valutare questi effetti prima che il sistema entri in produzione, non dopo la prima contestazione. Conoscere le tipologie di contenziosi e le conseguenze a livello reputazionale a cui si va incontro diventa essenziale anche in una valutazione costi - benefici.

M — Misurazione

Tasso di esclusione per categorie demografiche, percentuale di decisioni riviste dalla supervisione umana, frequenza di aggiornamento del modello, numero di contestazioni ricevute. Indicatori che devono essere monitorati nel tempo, non fotografati una sola volta.

A — Azione

Definire la soglia di intervento umano obbligatorio, il processo di reclamo accessibile ai candidati, la frequenza di audit del modello, il responsabile della supervisione. La governance non è il documento: è il sistema che rimane attivo dopo che il documento è stato firmato.

Caso 2 — Sanitario: l’algoritmo che legge i referti

Un laboratorio di analisi cliniche introduce un sistema AI per la classificazione automatica dei referti. Il sistema individua pattern anomali, assegna livelli di priorità e, in alcuni casi, suggerisce diagnosi differenziali al medico. Non sostituisce il clinico, ma orienta la sua attenzione.

D — Dati

Dati sanitari: categoria speciale per eccellenza ai sensi dell’art. 9 GDPR. Referti, immagini diagnostiche, dati di laboratorio, storico clinico del paziente. La mappatura deve includere la catena di trattamento: chi inserisce i dati, quali sistemi li elaborano, dove vengono conservati i log delle decisioni algoritmiche.

E — Esposizione

Un algoritmo che orienta una diagnosi sbagliata produce un danno clinico prima ancora che legale. L’esposizione è simultaneamente sanitaria, legale, reputazionale e assicurativa. Se il sistema assegna priorità errate, i pazienti a maggior rischio possono non ricevere attenzione tempestiva. Il laboratorio risponde non solo come titolare del trattamento, ma come soggetto che ha introdotto un sistema che ha influenzato una decisione clinica.

C — Contesto

I sistemi AI per la diagnosi e il supporto clinico rientrano nei sistemi ad alto rischio ai sensi dell’AI Act. Il contesto normativo include GDPR con obbligo di DPIA per dati sanitari su larga scala, normativa sul dispositivo medico software (MDR 2017/745 e IVDR 2017/746) e le linee guida dell’Istituto Superiore di Sanità sull’uso dell’AI in ambito clinico. Il mercato è quello della salute: i soggetti coinvolti sono pazienti, con diritti alla salute e all’integrità fisica direttamente in gioco.

I — Impatto

Diritto alla salute, integrità fisica, accesso alle cure. Un sistema che classifica erroneamente un referto oncologico come non prioritario produce un effetto diretto e misurabile su un diritto fondamentale. La FRIA deve valutare questi scenari in modo esplicito, con particolare attenzione alle popolazioni più vulnerabili quali anziani, pazienti con comorbidità, soggetti con scarsa alfabetizzazione digitale.

M — Misurazione

Tasso di concordanza tra classificazione algoritmica e revisione clinica, numero di casi riclassificati dalla supervisione umana, tempo medio tra referto e presa in carico, frequenza di aggiornamento del modello su nuovi dati clinici. La misurazione continua non è un optional: è parte integrante degli obblighi di sorveglianza post-market previsti dalla normativa sui dispositivi medici.

A — Azione

Protocollo di supervisione clinica obbligatoria per ogni decisione algoritmica ad alto impatto, procedura di segnalazione degli errori, piano di aggiornamento del modello, responsabile della governance AI identificato per nome e ruolo. Il medico rimane responsabile della decisione clinica: il sistema deve supportarlo, non sostituirlo.

Caso 3 — Logistica: l’algoritmo che governa la catena

Un operatore logistico introduce un sistema AI per la gestione predittiva del magazzino, l’ottimizzazione dei percorsi di consegna e la valutazione automatica delle performance dei conducenti e del personale interno. Il sistema assegna turni, calcola tempi, monitora comportamenti di guida e produce score individuali che influenzano premi, sanzioni e progressione professionale.

D — Dati

Dati di geolocalizzazione in tempo reale, dati comportamentali di guida, dati sulle performance individuali, dati biometrici se il sistema include rilevazione della fatica o dello stato di attenzione. Alcuni di questi dati sono trattati in modo massivo e continuativo su lavoratori dipendenti: una combinazione che attiva sia la DPIA che obblighi specifici in materia di controllo a distanza dei lavoratori ai sensi dell’art. 4 Statuto dei Lavoratori.

E — Esposizione

L’esposizione è multidimensionale e spesso invisibile. Un sistema che valuta le performance dei conducenti sulla base di parametri algoritmici non trasparenti espone l’organizzazione a contestazioni lavoristiche, ispezioni dell’Ispettorato del Lavoro e danni reputazionali. Se il sistema penalizza sistematicamente determinate categorie di lavoratori, l’esposizione può estendersi alla discriminazione indiretta.

C — Contesto

Il contesto normativo è il più stratificato dei tre casi. AI Act per i sistemi che influenzano l’accesso all’occupazione e la gestione dei lavoratori; Allegato III. GDPR con DPIA obbligatoria per il monitoraggio sistematico di lavoratori; Statuto dei Lavoratori art. 4 per il controllo a distanza. Contrattazione collettiva di settore. Il mercato è quello della logistica e dei trasporti: altamente competitivo, con margini compressi e forte pressione sull’efficienza operativa che spesso diventa la giustificazione per introdurre sistemi AI senza una governance adeguata.

I — Impatto

Diritti dei lavoratori, dignità, non discriminazione, diritto a non essere sottoposti a decisioni automatizzate che producono effetti giuridici significativi senza supervisione umana. Un conducente il cui contratto non viene rinnovato sulla base di uno score algoritmico che non comprende e non può contestare è nella stessa posizione del candidato HR escluso senza sapere perché. La FRIA deve mappare questi scenari esplicitamente.

M — Misurazione

Score medi per categoria demografica, percentuale di decisioni algoritmiche contestate, frequenza di revisione umana degli score, numero di segnalazioni sindacali correlate al sistema. Indicatori che devono essere visibili al DPO, al responsabile HR e al management operativo simultaneamente.

A — Azione

Procedura di contestazione accessibile al lavoratore, obbligo di revisione umana per ogni decisione che incide sul rapporto di lavoro, informativa specifica ai lavoratori sul funzionamento del sistema, accordo sindacale preventivo dove richiesto dalla contrattazione collettiva. La governance del sistema AI è anche governance del rapporto di lavoro.

Orizzonti normativi: verso un'architettura di reale governance

Questi casi mostrano che DPIA e FRIA non sono mai realmente separabili ma anche che un metodo come Cybermetrica può trovare applicazione a più livelli per i vari settori aziendali. Da una attenta lettura del sistema si capisce come quanto fatto vada a toccare i pilastri dell’impresa, quelli etici, finanziari, organizzativi, strategico, tecnologici, e predittivo oltre a quello legale che deve sempre essere anche criterio di valutazione.

DPIA e FRIA condividono la stessa base informativa, gli stessi soggetti coinvolti, gli stessi obblighi di supervisione e gli stessi meccanismi di reclamo. Separarle significa produrre ridondanze, lasciare zone d’ombra e generare una governance formalmente corretta ma sostanzialmente frammentata.

Chi usa DECIMA™ non produce una DPIA e una FRIA separati. Produce una valutazione integrata che soddisfa entrambi i requisiti e genera governance reale: ruoli definiti, responsabilità assegnate, indicatori monitorati nel tempo, processi decisionali che restano attivi dopo che il documento è stato firmato. Il settore cambia. La tipologia di dati cambia. Il mercato cambia. La sequenza no. Perché il rischio non nasce nel codice. Nasce nella decisione di adottarlo. E quella decisione appartiene all’organizzazione, non al fornitore, non all’algoritmo, non al documento di valutazione.

Il legislatore europeo, tra GDPR, NIS2 e AI Act, insieme a quello italiano già con l’art. 2086 c.c., stanno tracciando una direzione sempre più precisa: non basta essere conformi, bisogna essere governati. Le norme non chiedono più solo adempimenti. Chiedono architetture decisionali. Chiedono, in altri termini, esattamente ciò che una governance integrata è stata progettata per costruire.