La DPIA, introdotta dall’articolo 35 del GDPR, nasce in un contesto in cui il principale rischio percepito era quello di una violazione della privacy individuale. Il legislatore europeo, nel 2016, costruisce la DPIA come uno strumento di autovalutazione: il titolare del trattamento deve verificare se un trattamento di dati personali possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, e in tal caso descrivere le misure per attenuarlo.
Si tratta, dunque, di un meccanismo di accountability difensiva, volto a documentare che la tecnologia è “in regola” — più che a interrogarsi su quale tipo di società quella tecnologia contribuisca a creare.
Con l’AI Act, invece, l’Unione Europea compie un passo ulteriore: la FRIA (Fundamental Rights Impact Assessment) non si limita a chiedere se il sistema rispetta la privacy, ma se rispetta la persona nella sua interezza costituzionale. Il focus si sposta dal dato al contesto, dal trattamento all’impatto, dall’”uso dei dati” alla “governance dell’intelligenza“.
