Esta página responde lo que delegados de protección de datos, responsables de TI y comités de empresa revisan antes de una llamada. Sin formularios, sin registro. Lo que aquí figura es lenguaje vinculante, no una versión de marketing.
ARQUITECTURA
¿Dónde trata Actio los datos?
Exclusivamente en servidores dentro de su red. Los agentes, los modelos de lenguaje y cada paso del tratamiento se ejecutan en un servidor GPU de su centro de datos. No hay componente cloud, ni telemetría, ni mantenimiento remoto sin aprobación documentada.
Tras la instalación, el sistema funciona sin conexión a internet. Las actualizaciones se entregan como paquetes y las instala su equipo de TI. Un apagado remoto no está previsto técnicamente.
§ 203 STGB
Secreto profesional
En la operación normal, Actio no accede a datos de pacientes ni a otros secretos protegidos: el tratamiento ocurre íntegramente en su edificio. La cuestión de la 'persona colaboradora' del § 203(4) StGB solo surge en casos de mantenimiento y soporte.
Para esos casos, el contrato incluye un compromiso de confidencialidad y una plantilla de acuerdo según el apartado 4, con un proceso de aprobación documentado para cada acceso.
§ 393 SGB V / C5
Reglas cloud para datos de salud (Alemania)
Desde el 01.07.2025, el § 393 SGB V exige un certificado BSI C5 y tratamiento en Alemania o UE/EEE para el tratamiento en la nube de datos de salud.
Para Actio este requisito no aplica: no hay tratamiento en la nube. Esa única frase sustituye toda la cadena documental C5 en su revisión.
ART. 28 RGPD
Roles y encargo de tratamiento
Con la operación on-premise, su centro sigue siendo el único responsable del tratamiento según el RGPD. La operación normal no requiere que Actio trate datos de pacientes, porque Actio no trata esos datos.
Para accesos de mantenimiento en los que no pueda excluirse el contacto con datos personales, se incluye una plantilla de contrato según el Art. 28 RGPD. Las medidas técnicas y organizativas están documentadas en el dossier.
§ 87 BETRVG / § 96 ARBVG
Codeterminación del comité de empresa
El software objetivamente capaz de controlar el rendimiento está sujeto a codeterminación: § 87(1) n.º 6 BetrVG en Alemania, § 96 y § 96a ArbVG en Austria.
Actio está construido para no guardar ni evaluar métricas de rendimiento o conducta de empleados individuales. Las transcripciones de reuniones no se analizan por persona tras el tratamiento. Proporcionamos una plantilla de acuerdo que fija exactamente esto, lista para su negociación.
AI ACT ART. 6(3)
AI Act europeo: deliberadamente fuera del alto riesgo
El Anexo III del AI Act clasifica como alto riesgo la IA que evalúa o filtra candidaturas. Por eso el agente de candidaturas de Actio solo verifica la integridad: informa de qué documentos faltan y no produce rankings, puntuaciones ni perfiles. Es una tarea estrecha y preparatoria en el sentido del Art. 6(3).
Tras el ómnibus de junio de 2026, las obligaciones de alto riesgo del Anexo III se aplican desde el 2 de diciembre de 2027. La autoevaluación documentada según el Art. 6(3) forma parte del dossier.
CERTIFICACIONES
El estado honesto
ISO 27001: en preparación, certificación prevista para 2026. Pentest externo: en preparación (2026). Lo decimos así de claro porque presentar certificados inacabados como insignias es exactamente la práctica que este público desconfía.
Hasta entonces, la propia arquitectura es el control más fuerte. Los datos que nunca salen del edificio no requieren confianza anticipada en un operador externo.