I deployer francesi arrivano alla valutazione d'impatto sui diritti fondamentali prevista dall'articolo 27 dell'AI Act dell'UE (FRIA, in francese analyse d'impact sur les droits fondamentaux) da un punto di partenza familiare: una prassi matura di protezione dei dati costruita intorno all'analyse d'impact relative à la protection des données (AIPD) della CNIL, il nome francese della DPIA del GDPR. Questa guida adatta il modello generico di FRIA al contesto francese. Illustra come l'articolo 27, paragrafo 4, consenta di riutilizzare un'AIPD come input, che cosa offrono le linee guida sull'IA pubblicate dalla CNIL e dove si fermano, e quale autorità francese riceverà la notifica di cui all'articolo 27, paragrafo 3, una volta definite le designazioni. La data vincolante di preparazione è il 2 agosto 2026. Il Digital Omnibus (oggetto di accordo provvisorio intorno al 7 maggio 2026) rinvierebbe gli obblighi autonomi per i sistemi ad alto rischio dell'allegato III, compresa la FRIA dell'articolo 27, al 2 dicembre 2027, ma non è ancora legge: occorre quindi continuare a prepararsi sulla base del 2 agosto 2026. È possibile redigere una valutazione strutturata con il generatore di FRIA gratuito.
La FRIA in Francia: un obbligo dell'articolo 27 letto attraverso la CNIL
La FRIA è un obbligo del deployer ai sensi dell'articolo 27 dell'AI Act dell'UE e raggiunge le organizzazioni francesi in due modi. Gli organismi di diritto pubblico e i soggetti privati che forniscono servizi pubblici devono condurre una FRIA prima di mettere in uso qualsiasi sistema ad alto rischio dell'allegato III. In Francia questo gruppo comprende gli organismes de sécurité sociale, gli ospedali pubblici, le scuole e le università, i gestori di alloggi sociali e i concessionari che gestiscono servizi pubblici. Inoltre, a prescindere dalla natura pubblica o privata, rientra nell'ambito di applicazione, ai sensi dell'allegato III, punto 5, lettera b), qualsiasi deployer che utilizzi l'IA per valutare il merito creditizio o per stabilire punteggi di credito, con un'esclusione per l'IA utilizzata per individuare frodi finanziarie; lo stesso vale per qualsiasi deployer che utilizzi l'IA per la valutazione del rischio e la determinazione dei prezzi nelle assicurazioni sulla vita e malattia ai sensi dell'allegato III, punto 5, lettera c).
L'obbligo grava sul deployer, l'organizzazione che utilizza il sistema sotto la propria autorità. Il fornitore mette a disposizione gli input di cui il deployer ha bisogno ai sensi degli articoli da 11 a 13 (documentazione tecnica dell'allegato IV, istruzioni per l'uso e rischi e limiti noti del sistema), e il deployer costruisce la FRIA su tale materiale. Spetta inoltre al deployer la notifica di cui all'articolo 27, paragrafo 3. Per un deployer francese la conseguenza pratica è che il dovere non può essere delegato al fornitore dell'IA.
La maggior parte delle implementazioni ad alto rischio che già fanno scattare una FRIA in Francia tratta anche dati personali e richiede quindi già un'AIPD ai sensi dell'articolo 35 del GDPR. L'attribuzione di punteggi per l'ammissibilità alle prestazioni, lo scoring del credito e la determinazione dei prezzi nelle assicurazioni sulla vita e malattia comportano tutti un trattamento su larga scala di dati personali relativi a persone identificabili, spesso appartenenti a gruppi vulnerabili. Questa sovrapposizione è il motivo per cui il percorso francese verso la FRIA passa attraverso l'AIPD. Per verificare anzitutto se un determinato sistema sia ad alto rischio, si può consultare la guida alla classificazione dei sistemi ad alto rischio; per il livello relativo alla protezione dei dati, si veda il nostro approfondimento complementare sulle DPIA per i sistemi di IA.
Riutilizzare l'AIPD: l'articolo 27, paragrafo 4, e la metodologia DPIA della CNIL
L'articolo 27, paragrafo 4, è la disposizione cardine per i deployer francesi. Esso prevede che, qualora uno qualsiasi degli obblighi dell'articolo 27 sia già soddisfatto attraverso una valutazione d'impatto sulla protezione dei dati condotta ai sensi dell'articolo 35 del regolamento (UE) 2016/679 (il GDPR) o dell'articolo 27 della direttiva (UE) 2016/680, la valutazione d'impatto sui diritti fondamentali di cui al paragrafo 1 "integra tale valutazione d'impatto sulla protezione dei dati". La lettura pratica è che un'AIPD esistente viene riutilizzata come input della FRIA. Ciò non sostituisce la FRIA, che deve comunque affrontare ogni diritto pertinente della Carta.
La Francia dispone di un'infrastruttura per le DPIA insolitamente solida. La CNIL pubblica una metodologia PIA dal 2015, composta da tre guide (un metodo, dei modelli e una base di conoscenza), insieme a un software PIA open source gratuito. Una DPIA è obbligatoria ai sensi dell'articolo 35 del GDPR quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il che ricomprende i sistemi di IA ad alto rischio che rientrano nell'ambito di una FRIA. L'AIPD prodotta con tale metodologia diventa il substrato su cui la FRIA si innesta.
La mappatura seguente mostra quali elementi dell'articolo 27, paragrafo 1, sono in genere già coperti da un'AIPD e che cosa la FRIA deve ancora aggiungere. Lo schema è costante: l'AIPD gestisce bene il livello relativo alla protezione dei dati e in parte il contesto del sistema, mentre l'analisi specifica dei diritti — che riguarda la non discriminazione, la buona amministrazione e i diritti sociali — è dove la FRIA svolge la maggior parte del proprio lavoro. Il generatore da DPIA a FRIA è costruito esattamente intorno a questo riutilizzo.
| Elemento della FRIA (articolo 27, paragrafo 1) | Coperto dall'AIPD/DPIA della CNIL? | Che cosa la FRIA deve ancora aggiungere |
|---|---|---|
| (a) Descrizione del sistema e finalità prevista | In parte — l'AIPD descrive il trattamento | Inquadramento del processo lato deployer più la finalità prevista del fornitore (input dell'allegato IV e dell'articolo 13) |
| (b) Durata e frequenza di utilizzo | In gran parte — la sezione di contesto dell'AIPD | Volume delle decisioni, ambito geografico e cadenza di impiego |
| (c) Categorie di persone interessate | In parte — l'AIPD elenca gli interessati | Terzi indirettamente interessati e gruppi vulnerabili (articoli da 24 a 26 della Carta) |
| (d) Rischi specifici per i diritti fondamentali | In parte — l'AIPD valuta i rischi per i diritti e le libertà, ma attraverso la lente della protezione dei dati | Tutti i diritti della Carta diversi dalla protezione dei dati: non discriminazione, buona amministrazione, sicurezza sociale |
| (e) Misure di sorveglianza umana | In misura limitata — la sezione dell'AIPD su sicurezza e misure | Ruoli di sorveglianza, poteri di intervento e formazione allineati all'articolo 14 |
| (f) Misure in caso di concretizzazione dei rischi e reclami | In parte — l'AIPD prevede misure e mezzi di ricorso | Garanzie specifiche per i diritti, reclamo e mezzi di ricorso e la notifica all'autorità ai sensi dell'articolo 27, paragrafo 3 |
Le linee guida della CNIL sull'IA e ciò che resta di competenza dell'Ufficio per l'IA
La CNIL ha fondato il proprio lavoro sull'IA sul GDPR. Dal 2023 ha pubblicato una serie di raccomandazioni e di schede pratiche (fiches pratiques) che spiegano come il diritto della protezione dei dati si applichi allo sviluppo e all'utilizzo dell'IA. Nessuna di esse è un modello di FRIA ai sensi dell'articolo 27.
Il 7 febbraio 2025 la CNIL ha pubblicato due raccomandazioni: una sull'informazione agli interessati quando i loro dati sono utilizzati per addestrare modelli di IA e una sull'agevolazione dell'esercizio dei diritti degli interessati (accesso, rettifica, opposizione e cancellazione) nei sistemi di IA.
Il 22 luglio 2025 la CNIL ha finalizzato altre tre raccomandazioni, relative alla determinazione di quando il GDPR si applica ai modelli di IA, all'annotazione dei dati e allo sviluppo sicuro dei sistemi di IA, insieme a una scheda di sintesi e a una checklist di conformità scaricabile. La CNIL ha inoltre annunciato l'arrivo di linee guida settoriali su istruzione, sanità e lavoro, oltre a lavori sulle responsabilità degli attori lungo la catena del valore dell'IA.
La CNIL pubblica inoltre una guida all'autovalutazione per i sistemi di IA, una griglia di analisi composta da sette schede per valutare la maturità di un sistema di IA rispetto al GDPR: integrazione proporzionata dell'IA con un obiettivo chiaro, costruzione di un set di dati di addestramento di qualità in linea con il GDPR, sviluppo e addestramento dell'algoritmo, garanzia della qualità e della trasparenza del sistema in uso, messa in sicurezza del trattamento, trasparenza e diritti per gli utenti finali e attribuzione delle responsabilità e documentazione del trattamento.
Tutto questo materiale è davvero utile per il livello relativo alla protezione dei dati di un'implementazione di IA francese. Non comprende un modello di FRIA ai sensi dell'articolo 27. A norma dell'articolo 27, paragrafo 5, tale modello, compreso uno strumento automatizzato, è di competenza dell'Ufficio europeo per l'IA e, a giugno 2026, non era ancora stato pubblicato. I deployer francesi dovrebbero strutturare la FRIA intorno ai sei elementi dell'articolo 27, paragrafo 1, e trattare il materiale AIPD della CNIL come input relativo alla protezione dei dati.
Chi vigila sull'AI Act in Francia e a chi si effettua la notifica ai sensi dell'articolo 27, paragrafo 3
La Francia non ha ancora designato formalmente le proprie autorità nazionali competenti e autorità di vigilanza del mercato ai sensi dell'AI Act e non le ha notificate alla Commissione. Non ha rispettato il termine del 2 agosto 2025 per farlo ed è tra gli Stati membri che non hanno formalizzato le proprie designazioni. Fino all'adozione di una designazione, la CNIL, l'ACPR e gli altri organismi candidati operano su base di fatto, senza uno status formale ai sensi dell'AI Act.
Uno schema di governance governativo pubblicato il 9 settembre 2025 propone una ripartizione per settore. Si tratta di una proposta in attesa di adozione parlamentare e non ancora promulgata. In base ad esso, la DGCCRF sarebbe l'autorità di vigilanza del mercato con funzioni di coordinamento e il punto di contatto unico di cui all'articolo 70; la DGE deterrebbe l'ufficio di collegamento e il seggio della Francia nel comitato europeo per l'intelligenza artificiale; la CNIL sarebbe capofila per l'IA che tratta dati personali e dati biometrici, oltre che per lavoro, attività di contrasto, controllo delle frontiere e identificazione biometrica (circa quindici casi d'uso); l'ACPR coprirebbe l'IA dei servizi finanziari; Arcom si occuperebbe dei contenuti audiovisivi e dei deepfake; ANSSI e PEReN metterebbero in comune le competenze tecniche; e HAS e ANSM coprirebbero l'IA sanitaria e dei dispositivi medici.
Le disposizioni sulle designazioni erano state inserite nel disegno di legge DDADUE (loi portant diverses dispositions d'adaptation au droit de l'Union européenne) all'Assemblée nationale, salvo poi esserne ritirate, e lo schema è ancora in attesa di adozione parlamentare. Separatamente, la CNIL ha sostenuto pubblicamente che le autorità per la protezione dei dati dovrebbero essere designate come autorità di vigilanza del mercato per una serie di sistemi di IA ad alto rischio, citando la loro competenza in materia di diritti fondamentali e la necessità di mantenere coerenti il GDPR e l'AI Act.
La tabella seguente riassume l'assegnazione proposta. Ogni riga va letta come una proposta.
| Ambito IA (Francia) | Autorità proposta (schema 9 set 2025) | Stato |
|---|---|---|
| Punto di contatto unico / autorità di vigilanza del mercato coordinatrice (art. 70) | DGCCRF | Proposta; non ancora promulgata |
| Seggio della Francia nel comitato europeo per l'IA / ufficio di collegamento | DGE | Proposta; non ancora promulgata |
| IA su dati personali e biometrici (e lavoro, attività di contrasto, frontiere, identificazione biometrica) | CNIL (capofila di fatto) | Proposta; la CNIL opera di fatto |
| IA dei servizi finanziari (incl. credito) | ACPR | Proposta; non ancora promulgata |
| Audiovisivo / deepfake / contenuti | Arcom | Proposta; non ancora promulgata |
| Competenze tecniche condivise | ANSSI + PEReN | Proposta; non ancora promulgata |
| IA sanitaria e dei dispositivi medici | HAS / ANSM | Proposta; non ancora promulgata |
Che cosa comporta la designazione ancora incerta per la notifica
Per un deployer francese la conseguenza pratica è concreta. Il destinatario della notifica di cui all'articolo 27, paragrafo 3, non è ancora formalmente individuato, perciò oggi non è possibile presentare la notifica a un'autorità designata. È opportuno tenere pronto un fascicolo completo ai sensi dell'articolo 27, paragrafo 1, monitorare il decreto di designazione e presentarlo una volta nominata l'autorità destinataria. L'obbligo vincolante è preparare il fascicolo; la destinazione della presentazione è ancora in via di definizione.
Esempio pratico: un ente pubblico francese che attribuisce punteggi all'ammissibilità alle prestazioni
Si consideri un ente pubblico francese di protezione sociale, un organisme de sécurité sociale come una cassa per gli assegni familiari o per le prestazioni sociali, che utilizza un sistema di IA per attribuire ai beneficiari un punteggio ai fini dei controlli. Il sistema segnala i nuclei familiari per un pagamento indebito o per un riesame dell'ammissibilità. Si tratta dell'allegato III, punto 5, lettera a): l'IA utilizzata da o per conto delle autorità pubbliche per valutare l'ammissibilità a prestazioni e servizi essenziali di assistenza pubblica, o per concederli, ridurli, revocarli o recuperarli. In quanto ente pubblico che mette in uso un sistema ad alto rischio dell'allegato III, la cassa deve condurre una FRIA ai sensi dell'articolo 27 prima del primo utilizzo. Essa svolge già un'AIPD della CNIL sullo stesso trattamento, sicché questo caso mostra nella pratica il riutilizzo previsto dall'articolo 27, paragrafo 4.
Un aspetto giuridico merita attenzione. Se il punteggio determina una riduzione o una sospensione delle prestazioni senza un intervento umano significativo, si tratta di una decisione basata unicamente sul trattamento automatizzato che produce effetti giuridici o incide in modo analogo significativamente, vietata dall'articolo 22, paragrafo 1, del GDPR salvo che si applichi un'eccezione di cui all'articolo 22, paragrafo 2. Per una decisione su prestazioni pubbliche la via consueta è l'articolo 22, paragrafo 2, lettera b), ossia l'autorizzazione del diritto dell'Unione o dello Stato membro che preveda garanzie adeguate. Il presidio più solido consiste nel mantenere un essere umano significativamente coinvolto, con il potere di ribaltare la decisione, in modo che questa non sia basata unicamente su un trattamento automatizzato, e nel riconoscere al destinatario il diritto di esprimere la propria opinione e di contestare l'esito. Tale requisito rientra sia nell'AIPD sia nella FRIA.
Ogni rischio del registro è valutato in base alla probabilità e alla gravità, e le due valutazioni si combinano in un unico livello di rischio utilizzando la matrice di punteggio del modello di FRIA. Registrare il ragionamento alla base di ciascuna valutazione conta quanto la valutazione stessa.
Il registro dei rischi della FRIA sullo scoring delle prestazioni
Il registro seguente costituisce la Sezione 4 della FRIA (articolo 27, paragrafo 1, lettera d)) per questa implementazione. È il livello di specificità che un'autorità di vigilanza del mercato francese e un giudice si attenderebbero, nonché il tipo di output prodotto dal generatore di FRIA.
| Diritto fondamentale | Scenario di danno | Probabilità | Gravità | Rischio | Mitigazione | Residuo |
|---|---|---|---|---|---|---|
| Non discriminazione (art. 21 della Carta) | Variabili proxy (luogo di residenza, composizione del nucleo familiare, frequenza dei contatti precedenti) si correlano a caratteristiche protette, sicché genitori soli, beneficiari con disabilità e nati all'estero vengono segnalati per i controlli con frequenze sproporzionate. | Probabile | Grave | Alto | Test trimestrali sull'impatto sproporzionato (disparate impact) tra i gruppi protetti; rimozione o trasformazione delle variabili proxy; audit algoritmico indipendente; pubblicazione della metodologia di scoring e dei criteri di selezione. | Medio |
| Vita privata e protezione dei dati (artt. 7-8 della Carta; GDPR) | L'incrocio di più banche dati amministrative per costruire il punteggio è intrusivo ed eccede quanto necessario. | Possibile | Grave | Alto | Test di minimizzazione dei dati e di necessità ripreso dall'AIPD/DPIA della CNIL; limitazione delle banche dati incrociate; documentazione della base giuridica; software PIA della CNIL per il livello relativo alla protezione dei dati. | Medio |
| Buona amministrazione e ricorso effettivo (principio generale di buona amministrazione; art. 47 della Carta) | Un punteggio opaco fa scattare una sospensione della prestazione che il destinatario non è in grado di comprendere o contestare. | Possibile | Grave | Alto | Riesame umano obbligatorio prima di qualsiasi sospensione; motivazioni individualizzate e comprensibili per una decisione sfavorevole; canale di ricorso accessibile; il punteggio non interrompe mai automaticamente una prestazione. | Basso |
| Sicurezza sociale; diritti del minore e delle persone con disabilità (artt. 34, 24, 26 della Carta) | Una segnalazione errata taglia un reddito di sussistenza essenziale per un nucleo familiare a carico. | Improbabile | Catastrofica | Alto | Clausola di salvaguardia per le situazioni di disagio senza sospensione in attesa del riesame; percorso manuale accelerato; monitoraggio continuo dei tassi di falsi positivi e di errore per gruppo. | Medio |
| Articolo 22 del GDPR (decisioni basate unicamente su trattamento automatizzato) | Il punteggio determina la riduzione o la sospensione senza un intervento umano significativo, configurando una decisione illecita basata unicamente sul trattamento automatizzato con effetti giuridici o che incide in modo analogo significativamente. | Possibile | Grave | Alto | Mantenere un riesame umano effettivo e non meramente formale, con il potere di ribaltare la decisione, in modo che questa non sia basata unicamente sul trattamento automatizzato; qualora ci si avvalga di un'eccezione di cui all'articolo 22, paragrafo 2, attuare le garanzie richieste (intervento umano significativo, diritto di esprimere la propria opinione e di contestare la decisione); tenere l'AIPD e la FRIA in un unico fascicolo integrato. | Medio |
Una checklist della FRIA specifica per la Francia
Il percorso francese verso la FRIA ha un ordine naturale. Si parte dall'AIPD, si estende all'intero insieme dei diritti della Carta e poi si assembla il fascicolo di notifica, così che sia pronto quando l'autorità destinataria verrà nominata.
- Eseguire o aggiornare prima l'AIPD. Utilizzare la metodologia PIA della CNIL e il software PIA gratuito per documentare il livello relativo alla protezione dei dati: base giuridica, necessità, proporzionalità, minimizzazione dei dati, sicurezza e diritti degli interessati. È questo l'input dell'articolo 27, paragrafo 4.
- Confermare il presupposto. Verificare il sistema rispetto all'articolo 6 e all'allegato III con la guida alla classificazione dei sistemi ad alto rischio e confermare la propria categoria di deployer.
- Estendere a tutti i diritti della Carta. Aggiungere i diritti diversi dalla protezione dei dati che l'AIPD non raggiunge: non discriminazione (articolo 21), buona amministrazione (principio generale del diritto dell'UE) e ricorso effettivo (articolo 47 della Carta) e diritti sociali (articoli 34, 24, 26). Documentare la sorveglianza umana ai sensi dell'articolo 14.
- Mappare gli obblighi su controlli ed evidenze. Utilizzare la mappatura dei controlli per collegare ciascun requisito dell'articolo 27 a un controllo concreto e a un elemento di evidenza.
- Assemblare il fascicolo di notifica. Documentare tutti e sei gli elementi dell'articolo 27, paragrafo 1, così che il fascicolo sia pronto da presentare ai sensi dell'articolo 27, paragrafo 3, una volta che la Francia avrà nominato l'autorità destinataria.
- Tenere d'occhio gli elementi in evoluzione. Seguire il decreto di designazione e lo stato del Digital Omnibus e rivedere la panoramica sull'AI Act dell'UE per il quadro aggiornato delle scadenze.
Due guide complementari
Due guide complementari approfondiscono questioni contigue. Per una FRIA di scoring del credito interamente sviluppata, comprensiva dell'esclusione per il rilevamento delle frodi di cui all'allegato III, punto 5, lettera b), e dell'interazione con l'articolo 22 del GDPR, si veda l'esempio di FRIA per lo scoring del credito. Per il modo in cui la Francia sta affrontando le norme armonizzate dell'AI Act dell'UE, si veda il dibattito su Francia e prEN 18286.
Domande frequenti
La CNIL è l'autorità competente per la FRIA in Francia?
Non ancora formalmente. La Francia non ha promulgato le designazioni delle proprie autorità ai sensi dell'AI Act e non ha rispettato il termine del 2 agosto 2025. Uno schema governativo del 9 settembre 2025 propone la DGCCRF come punto di contatto unico di cui all'articolo 70, la CNIL come autorità di fatto capofila per l'IA che tratta dati personali e dati biometrici e l'ACPR per l'IA dei servizi finanziari, ma le disposizioni sulle designazioni si sono arenate nel disegno di legge DDADUE in Parlamento. Fino all'adozione di un decreto, il destinatario della notifica di cui all'articolo 27, paragrafo 3, non è formalmente individuato: conviene quindi tenere pronta la documentazione dell'articolo 27, paragrafo 1, per la presentazione.
Un'AIPD francese (DPIA) può sostituire la FRIA?
No. L'articolo 27, paragrafo 4, prevede che la FRIA integri una DPIA condotta ai sensi dell'articolo 35 del GDPR; non la sostituisce. Si riutilizzano le parti già coperte dall'AIPD, come dati, sicurezza e alcuni rischi, e la FRIA valuta in più ogni diritto pertinente della Carta dei diritti fondamentali dell'UE, comprese la non discriminazione, la buona amministrazione e i diritti sociali, oltre alla sola protezione dei dati.
La CNIL fornisce un modello di FRIA?
No. La CNIL pubblica materiale incentrato sul GDPR — raccomandazioni sull'IA e schede pratiche, una guida all'autovalutazione per i sistemi di IA e una metodologia DPIA (AIPD) con software PIA open source gratuito — senza un modello di FRIA ai sensi dell'articolo 27. Il modello ufficiale di FRIA è di competenza dell'Ufficio europeo per l'IA a norma dell'articolo 27, paragrafo 5, e a giugno 2026 non era ancora stato pubblicato.
Quali autorità francesi vigileranno sui sistemi di IA ad alto rischio?
In base allo schema proposto il 9 settembre 2025, la DGCCRF coordina in qualità di punto di contatto unico, la CNIL è capofila per l'IA che tratta dati personali e dati biometrici (e per lavoro, attività di contrasto e identificazione biometrica), l'ACPR copre la finanza, Arcom copre i contenuti audiovisivi e i deepfake e ANSSI insieme a PEReN forniscono il supporto tecnico. Si tratta ancora di proposte in attesa di adozione parlamentare.
Le linee guida della CNIL sull'IA riguardano l'AI Act dell'UE?
Le raccomandazioni della CNIL si fondano sul GDPR. Esse interpretano il modo in cui il diritto della protezione dei dati si applica allo sviluppo e all'utilizzo dell'IA. La CNIL si coordina con l'AI Act nella pratica e ha sostenuto pubblicamente che le autorità per la protezione dei dati dovrebbero essere designate come autorità di vigilanza del mercato per i sistemi di IA ad alto rischio che incidono sui diritti fondamentali, in modo da mantenere coerenti il GDPR e l'AI Act.
Quali deployer francesi devono condurre una FRIA?
Gli organismi di diritto pubblico e i soggetti privati che forniscono servizi pubblici e che mettono in uso un'IA ad alto rischio dell'allegato III, oltre a — a prescindere dalla natura pubblica o privata — qualsiasi deployer che utilizzi l'IA per il merito creditizio o lo scoring del credito ai sensi dell'allegato III, punto 5, lettera b) (salvo il rilevamento delle frodi) o per la valutazione del rischio e la determinazione dei prezzi nelle assicurazioni sulla vita e malattia ai sensi dell'allegato III, punto 5, lettera c).
Dopo la FRIA, che cosa si notifica, e a chi, in Francia?
L'articolo 27, paragrafo 3, impone al deployer di notificare all'autorità di vigilanza del mercato i risultati della FRIA, utilizzando il modello previsto dall'articolo 27, paragrafo 5, dell'Ufficio per l'IA una volta che esisterà. Poiché la Francia non ha ancora designato formalmente tale autorità, conviene tenere pronto un fascicolo completo ai sensi dell'articolo 27, paragrafo 1, per la presentazione. La data vincolante di preparazione resta il 2 agosto 2026, fintantoché il Digital Omnibus non sarà pubblicato nella Gazzetta ufficiale, il che la sposterebbe al 2 dicembre 2027.
Punti chiave
Una FRIA francese è più efficiente quando parte dal lavoro già svolto. Eseguire o aggiornare l'AIPD della CNIL, riutilizzarla come input dell'articolo 27, paragrafo 4, e poi estendere la valutazione a ogni diritto pertinente della Carta e assemblare il fascicolo dell'articolo 27, paragrafo 1, così che sia pronto per la notifica una volta che la Francia avrà nominato l'autorità destinataria. La data vincolante di preparazione è il 2 agosto 2026 e il Digital Omnibus la sposterebbe al 2 dicembre 2027 solo dopo la pubblicazione nella Gazzetta ufficiale: la linea d'azione pratica è quindi la stessa in entrambi i casi, ovvero prepararsi sin d'ora. È possibile redigere una valutazione strutturata con il generatore di FRIA gratuito e, per vedere come tutto questo si traduce in un'implementazione reale, prenotare una demo. Il presente articolo ha finalità puramente informative e non costituisce consulenza legale; si verifichino i propri obblighi ai sensi dell'articolo 27 con un consulente qualificato e si ricontrolli lo stato normativo — le designazioni delle autorità francesi e il Digital Omnibus sono entrambi ancora in evoluzione — prima di fare affidamento su qualsiasi scadenza o canale di notifica.