AfiniTwin: cumplimiento AI Act + RGPD documentado

El AfiniTwin se posiciona en el riesgo limitado del Reglamento UE 2024/1689 (AI Act). No es sistema de alto riesgo según el Anexo III: no se usa para evaluación crediticia, contratación laboral, infraestructuras críticas, ni educación reglada. La obligación principal de un sistema de riesgo limitado es la transparencia (Art. 50): el usuario debe saber que interactúa con IA. El AfiniTwin la cumple por construcción — todo el sistema es público.

El argumento detallado, con referencias artículo a artículo, está en la DPIA pública del producto. La actualizamos cada vez que cambia el alcance funcional.

Tan importante como lo que el AfiniTwin sí hace es lo que no hace. Cinco líneas rojas declaradas:

• No toma decisiones automatizadas con efectos jurídicos o similares para el titular (Art. 22 RGPD). El AfiniTwin produce contexto que un humano consume y decide encima.
• No infiere datos de categorías especiales (Art. 9 RGPD): origen racial, opiniones políticas, religión, datos biométricos, datos de salud. Si el usuario los declara voluntariamente, no se procesan automáticamente.
• No perfila para publicidad. El AfiniTwin no se monetiza vía anuncios ni se vende a terceros. La única transacción es comprar el paquete.
• No clasifica a las personas en categorías estigmatizantes. El perfil describe rasgos psicométricos validados, no etiquetas DSM ni «tipos» reduccionistas.
• No persiste datos en el lado del LLM externo más allá de la conversación. El usuario controla qué LLM usa y bajo qué política — el AfiniTwin no tiene visibilidad de eso.

El RGPD te garantiza derechos que aquí están operacionalizados, no solo enumerados en un PDF:

• Acceso: la copia integral de tu perfil está siempre accesible en tu panel.
• Rectificación: puedes recalibrar cualquier dimensión cuando quieras (gratis a perpetuidad).
• Supresión: borrar tu cuenta elimina el perfil del lado de Afini. El snapshot histórico se conserva solo si lo pediste explícitamente y se elimina con tu cuenta.
• Portabilidad: el formato JSON estructurado es expresamente diseñado para portar tus datos a otro sistema.
• Oposición y limitación: puedes pausar el tratamiento sin cancelar la cuenta.

Hicimos una Evaluación de Impacto en Protección de Datos (DPIA) y la publicamos íntegra antes de lanzar. La DPIA del AfiniTwin Portable declara:

• Base legal del tratamiento (Art. 6.1.b RGPD — ejecución de contrato).
• Categorías de datos tratados y minimización aplicada.
• Riesgos identificados y medidas de mitigación.
• Análisis de proporcionalidad y necesidad.
• Consulta a partes interesadas y consentimiento informado.

Si tu organización integra el AfiniTwin vía API B2B o lo despliega para empleados, ofrecemos un Acuerdo de Encargado de Tratamiento (DPA, Art. 28 RGPD) firmado, en seis idiomas, sin cláusulas opacas. La plantilla pública está disponible para revisión legal previa.

El DPA cubre subprocesadores, transferencias internacionales (cláusulas SCC vigentes), notificación de brechas y términos de auditoría. Si tu compliance pide modificaciones razonables, las negociamos sin tarifa extra.