Un robot a 4.900 dollari: la compliance non è più un problema del futuro
Da questa settimana il mercato dei robot umanoidi compie un salto che cambia le regole del gioco. L’Unitree R1 — 1,23 metri di altezza, 29 kg, capace di correre, fare capriole e rispondere a comandi vocali — è disponibile per la spedizione al prezzo di 4.900 dollari, su piattaforme consumer come AliExpress. Non siamo più nel territorio dei prototipi da laboratorio a sei cifre: siamo di fronte a un oggetto che un’azienda può acquistare con un ordine d’ufficio. E non è solo. L’Agibot A2 ha superato le 5.100 unità consegnate nel 2025; il Walker S2 di UBTECH opera già su linee di produzione H24; in Cina si contano oltre 140 produttori con l’obiettivo di dispiegare fino a 100.000 umanoidi nelle fabbriche entro fine 2026.
Quando un’azienda può valutare l’acquisto di un robot umanoide come bene operativo, la compliance smette di essere un tema accademico e diventa una questione immediata di governance. Per le imprese europee, chi valuta l’acquisto di un robot umanoide deve fare i conti con un quadro normativo articolato, che tocca la protezione dei dati personali, la sicurezza dei prodotti, la salute e sicurezza sul lavoro, la responsabilità civile e la disciplina europea dell’intelligenza artificiale. In questo articolo ci concentriamo sui due regimi che più incidono sulla governance dell’uso di un robot umanoide: il GDPR (Reg. UE 2016/679) e l’AI Act (Reg. UE 2024/1689). Le pratiche di IA vietate si applicano dal 2 febbraio 2025, mentre gli obblighi per i modelli GPAI si applicano dal 2 agosto 2025; il regime generale dell’AI Act diventa pienamente applicabile dal 2 agosto 2026, con alcune eccezioni ulteriori per taluni sistemi ad alto rischio.
Non è un software qualsiasi
Un robot umanoide si muove nell’ambiente fisico, ha telecamere, microfoni, sensori di prossimità, e spesso moduli di riconoscimento vocale e facciale. Raccoglie dati personali anche senza che l’operatore ne abbia piena consapevolezza — semplicemente “guardando” e “ascoltando” mentre svolge la propria funzione primaria.
Il volume e la sensibilità dei dati trattati dipendono dal contesto d’uso. Un robot impiegato in magazzino, dove interagisce con pochi operatori in un ambiente controllato, avrà un impatto sulla protezione dei dati relativamente circoscritto: le telecamere servono alla navigazione, i microfoni a ricevere comandi operativi. Ben diverso è il caso di un robot alla reception o impiegato come help desk: lì il robot interagisce con un flusso continuo di persone — visitatori, clienti, fornitori, candidati — ne riprende il volto, ne registra la voce, ne elabora le richieste in linguaggio naturale. Può trovarsi a trattare dati identificativi, e, se impiega specifici trattamenti tecnici per l’identificazione univoca, anche dati biometrici; in alcuni casi potrebbe persino inferire o trattare dati sullo stato emotivo. Il numero di interessati, la varietà delle categorie di dati e la difficoltà di ottenere un consenso realmente informato crescono in modo esponenziale. Non esiste un adempimento unico valido per ogni impiego: l’analisi va condotta a partire dal contesto specifico. Ai fini GDPR, immagini e riprese del volto non sono automaticamente dati biometrici in senso “forte”: lo diventano quando risultano da uno specifico trattamento tecnico e sono usati per consentire o confermare l’identificazione univoca della persona.
Compliance GDPR
Prima di accendere il robot, il titolare del trattamento deve avere chiaro quali dati il dispositivo raccoglierà, perché e su quale base giuridica. Ogni sensore attivo deve rispondere a una finalità determinata, esplicita e legittima. Se la telecamera è lì per la navigazione autonoma, non può essere usata anche per altre finalità senza un’analisi separata. Se il robot utilizza il riconoscimento facciale per identificare univocamente le persone, siamo in un territorio molto problematico, con il divieto generale di trattamento dei dati biometrici e le eccezioni tassative che lo accompagnano. Più precisamente, si entra nell’ambito dell’art. 9 GDPR quando i dati biometrici sono trattati per identificare univocamente una persona fisica.
L’obbligo di informativa assume una declinazione pratica peculiare. Come si informa un visitatore che entra in un ambiente dove opera un robot umanoide? Le Linee guida EDPB 3/2019 tracciano la strada: segnaletica visibile, informativa stratificata con primo livello sintetico e rinvio all’informativa completa, e — nel caso del robot che interagisce direttamente — una comunicazione iniziale che dichiari la presenza di telecamere e microfoni attivi.
La DPIA (art. 35 GDPR) sarà nella maggior parte dei casi obbligatoria. Un robot umanoide in ambiente aziendale combina sorveglianza sistematica, uso di nuove tecnologie, trattamenti potenzialmente su larga scala e possibile coinvolgimento di dati biometrici — due di questi criteri bastano ad attivare l’obbligo. La DPIA va condotta prima della messa in funzione e aggiornata periodicamente. In particolare, quando sono coinvolte tecnologie biometriche o forme di videosorveglianza evoluta, l’EDPB richiama la necessità di rispettare in modo stringente i principi di necessità, proporzionalità e minimizzazione.
Un tema spesso sottovalutato è quello dei fornitori e dei flussi di dati verso l’estero. Produttore del robot, fornitore della piattaforma di IA e provider cloud non vanno messi tutti nello stesso contenitore: alcuni possono trattare i dati per conto dell’azienda, seguendo le sue istruzioni; altri possono intervenire per attività proprie, come assistenza tecnica, manutenzione, sicurezza o gestione dell’infrastruttura. Per questo, prima di mettere il robot in funzione, occorre capire con precisione chi fa cosa, quali dati transitano attraverso ciascun soggetto e con quali garanzie contrattuali. Se poi i dati escono dallo Spazio economico europeo, bisogna verificare verso quali Paesi vengono trasferiti e quali strumenti di tutela si applicano; in assenza di una decisione di adeguatezza, entrano in gioco le garanzie previste dal Capo V del GDPR, come le clausole contrattuali standard e, se necessario, il Transfer Impact Assessment.
C’è poi un aspetto che merita particolare attenzione. Gli attuali modelli cinesi di robot umanoide sono stati progettati per un mercato globale in rapida espansione, con priorità dichiarate su prestazioni, prezzo e velocità di produzione. Questo non significa che siano incompatibili con il quadro europeo, ma significa che vanno sottoposti a un’analisi accurata per valutarne la conformità ai requisiti della privacy by design e by default (art. 25 GDPR): quali dati raccolgono per impostazione predefinita? È possibile disattivare sensori non necessari? I flussi di dati possono essere limitati al minimo indispensabile senza compromettere la funzionalità? Le impostazioni di fabbrica rispettano il principio di minimizzazione? Sono domande a cui il titolare deve rispondere prima dell’acquisto, non dopo.
Infine, i principi di minimizzazione e limitazione della conservazione richiedono attenzione progettuale. Se la telecamera serve per navigare, le immagini non dovrebbero essere conservate oltre l’elaborazione in tempo reale. La tentazione di “raccogliere tutto perché potrebbe servire” è particolarmente forte con un dispositivo che ha occhi, orecchie e memoria: è esattamente la tentazione a cui il GDPR chiede di resistere.
AI ACT: cosa fare
L’AI Act non regola il robot in quanto macchina fisica, ma i sistemi di intelligenza artificiale che lo animano — e un robot umanoide ne incorpora tipicamente più d’uno: locomozione, visione artificiale, elaborazione del linguaggio naturale, eventualmente riconoscimento delle emozioni. Ciascuno va valutato separatamente ai fini della classificazione del rischio.
Alcune applicazioni sono vietate in linea generale dal 2 febbraio 2025: tra queste rientra il riconoscimento delle emozioni nei luoghi di lavoro e nelle istituzioni educative, salvo che per ragioni mediche o di sicurezza. Lo scoring sociale è anch’esso vietato. Un robot nell’atrio di un’azienda che analizzi lo stato d’animo dei dipendenti per segnalare chi appare “poco motivato” rientrerebbe nella pratica vietata. Non è fantascienza: è una funzionalità che alcuni produttori già propongono e che il diritto europeo ha deciso di interdire.
Molti impieghi ricadranno tra i sistemi ad alto rischio, in particolare quando il robot è utilizzato nella gestione dei lavoratori o nell’accesso a servizi essenziali. Per questi sistemi l’AI Act richiede un sistema di gestione dei rischi, governance dei dati di addestramento, documentazione tecnica, registrazione dei log, trasparenza e soprattutto sorveglianza umana: un operatore deve poter comprendere le capacità del robot, monitorarne il funzionamento e arrestarlo in qualsiasi momento.
Anche fuori dall’alto rischio, restano gli obblighi di trasparenza dell’art. 50: chi interagisce con il robot deve sapere che si tratta di un sistema di IA. Un robot umanoide è riconoscibile come macchina, ma se gestisce telefonate o invia e-mail l’obbligo di dichiarare la natura artificiale dell’interlocutore torna pienamente operativo. Se poi il dispositivo è alimentato da un modello GPAI, è il fornitore del sistema di IA a dover garantire che il modello sottostante rispetti gli obblighi del Capo V dell’AI Act. Il deployer, dal canto suo, ha tutto l’interesse a condurre una due diligence accurata sul modello GPAI integrato: non è un obbligo formale a suo carico, ma è una cautela che nessuna azienda dovrebbe trascurare.
Prima di accendere il robot
Chi intende adottare un robot umanoide dovrebbe muoversi lungo una sequenza ordinata. Il primo passo è mappare tutti i sensori e i moduli IA del dispositivo, stabilendo per ciascuno quali dati raccoglie, dove li invia, chi li tratta — e classificare ogni sistema di IA secondo le categorie dell’AI Act. Da qui discende la documentazione: informative, registro dei trattamenti, DPIA, accordi ex art. 28, eventuale Transfer Impact Assessment. Per i sistemi ad alto rischio, occorre verificare la documentazione tecnica del fornitore, predisporre la sorveglianza umana e distinguere con precisione gli adempimenti del provider da quelli del deployer.
La governance interna è il collante: designare chi sorveglia il robot, chi gestisce gli incidenti, chi risponde alle richieste degli interessati. Formare il personale. Aggiornare la policy aziendale sull’uso dell’IA e, dove applicabile, integrare il processo con il framework NIS2 per la gestione degli incidenti di sicurezza. Monitorare nel continuo con audit periodici e revisione della DPIA ad ogni modifica del firmware o dei modelli IA.
Il prezzo scende, la complessità sale
Un robot umanoide a meno di 5.000 dollari abbatte la barriera economica d’ingresso. Ma la barriera regolatoria resta intatta — anzi, con l’AI Act, si alza. Il rischio concreto è acquistare un robot perché “costa poco” e scoprire che farlo funzionare a norma richiede un investimento in analisi, documentazione e governance che supera di gran lunga il prezzo d’acquisto.
La buona notizia è che GDPR e AI Act, letti insieme, offrono un framework coerente. Chi ha già maturità in materia di protezione dei dati troverà nell’AI Act un’estensione naturale dei principi che già applica. Il robot umanoide non cambia le regole del gioco: le rende più visibili, e più urgenti.
Va detto con trasparenza: il quadro normativo è in evoluzione. Non è escluso che nei prossimi mesi arrivino nuove disposizioni europee specifiche per la robotica embodied, o che l’Autorità Garante italiana pubblichi linee guida o provvedimenti dedicati. Con questo articolo abbiamo scelto di muoverci in anticipo, partendo dagli strumenti normativi già vigenti e applicabili oggi. Se e quando il quadro si aggiornerà, aggiorneremo anche queste pagine.