Aviso de Privacidad
Última Actualización: 22 de marzo de 2026
Versión anterior: No aplica
Nickel Technologies SPA ("Privai", "nosotros") es una empresa de tecnología que desarrolla y opera una plataforma SaaS de cumplimiento normativo en protección de datos personales, diseñada para facilitar el cumplimiento de la Ley 21.719 sobre Protección de Datos Personales.
Este Aviso de Privacidad explica cómo recopilamos, utilizamos, divulgamos y tratamos sus datos personales cuando utiliza nuestra plataforma Privai y sus productos — Data Classification, DSAR (Gestión de Solicitudes de Derechos) y Veil (Registro de Actividades de Tratamiento) — así como nuestro sitio web y servicios asociados (conjuntamente, los "Servicios").
Cuando Nickel Technologies SPA actúa como mandatario (encargado) y trata datos personales por cuenta de nuestros clientes, el responsable del tratamiento es el cliente. En esos casos, el tratamiento se rige por el contrato de encargo de tratamiento suscrito con el cliente y por las políticas de privacidad de este. El presente Aviso de Privacidad cubre únicamente los tratamientos donde Nickel Technologies SPA es responsable del tratamiento.
Este Aviso de Privacidad también describe sus derechos en materia de protección de datos personales. Más información sobre sus derechos y cómo ejercerlos se encuentra en la Sección 4 ("Derechos y Opciones").
1. Recopilación de Datos Personales
Recopilamos las siguientes categorías de datos personales:
Datos personales que usted nos proporciona directamente
- Datos de identificación y contacto: Nombre, correo electrónico y nombre de visualización cuando se registra en la plataforma, solicita información o contrata nuestros Servicios.
- Credenciales de acceso: Contraseña (almacenada exclusivamente como hash criptográfico mediante bcrypt; nunca almacenamos contraseñas en texto plano).
- Datos organizacionales: Nombre de su organización, departamentos, cargos y datos de contacto de los integrantes del directorio organizacional que usted registre en la plataforma.
- Datos que usted ingresa en nuestros Servicios: Información sobre actividades de tratamiento de datos, elementos de datos personales, evaluaciones de riesgo, transferencias internacionales, políticas internas, transcripciones de entrevistas y cualquier otro contenido que ingrese en la plataforma ("Entradas"), que generan registros de actividades de tratamiento, clasificaciones, análisis de riesgo y otros resultados ("Salidas"). Si incluye datos personales en sus Entradas, recopilaremos dicha información.
- Datos de solicitantes DSAR: Cuando un titular de datos ejerce sus derechos a través de nuestra plataforma DSAR, recopilamos su nombre, correo electrónico, tipo de solicitud y descripción de esta. También recopilamos datos de verificación de identidad mediante códigos OTP (almacenados como hash SHA-256, nunca en texto plano) o documentos de identidad.
- Datos de integración con GitHub (opcional): Cuando usted activa la integración de Veil con GitHub, recopilamos datos de su cuenta e instalación de GitHub App, incluyendo: nombre de usuario u organización, identificador de cuenta, URL de avatar, tipo de cuenta (usuario u organización), selección de repositorios y permisos otorgados. También accedemos a las solicitudes de cambio (pull requests) de los repositorios conectados, incluyendo metadatos (título, descripción, número, URL), archivos modificados (rutas, diferencias de código) y contenido de archivos fuente en el commit específico, con el fin de identificar actividades de tratamiento de datos personales en su código.
- Comunicaciones: Si se comunica con nosotros por correo electrónico o a través de la plataforma, recopilamos su nombre, información de contacto y el contenido de sus mensajes, incluyendo comunicaciones DSAR entre responsables y titulares.
Datos personales que recopilamos automáticamente
Cuando utiliza los Servicios, recibimos automáticamente cierta información técnica ("Información Técnica"):
- Registros y diagnóstico: Archivos de log estructurados, información de errores y métricas de rendimiento de la aplicación, recopilados mediante Logfire. Los patrones de datos sensibles (RUT, contraseñas, claves de API, correos electrónicos) son eliminados automáticamente antes de la transmisión.
- Grabación de sesiones: Utilizamos LogRocket para registrar sesiones de navegación con fines de diagnóstico y mejora del producto. LogRocket puede recopilar automáticamente información técnica del navegador (tipo de dispositivo, sistema operativo, navegador, dirección IP). Los campos de texto, formularios y cuerpos de solicitudes/respuestas HTTP son sanitizados automáticamente para excluir datos personales del registro. Solo se almacena su identificador de usuario y de organización como metadatos de correlación.
- Datos de uso de inteligencia artificial: Registramos el consumo de tokens, modelo utilizado, duración y costo estimado de cada interacción con el agente de IA, vinculados a su usuario y organización, para fines de facturación y optimización del servicio.
Datos personales de terceros
- Fuentes tipográficas: Cargamos fuentes desde Google Fonts (Bricolage Grotesque, Source Serif 4, JetBrains Mono), lo cual puede transmitir su dirección IP a Google.
- Autenticación de terceros (edición Enterprise): Si utiliza inicio de sesión mediante Google u otros proveedores OAuth a través de Supabase, recibimos su nombre y correo electrónico del proveedor de identidad.
2. Uso de Datos Personales
Utilizamos sus datos personales para las siguientes finalidades, conforme a las bases de licitud establecidas en la Ley 21.719:
- Proveer, mantener y facilitar los Servicios contratados, incluyendo la clasificación de datos personales, gestión de solicitudes DSAR y generación de Registros de Actividades de Tratamiento.
- Proveer funcionalidades de inteligencia artificial, incluyendo el análisis automatizado de actividades de tratamiento, clasificación de categorías de datos, determinación de bases de licitud, evaluación de riesgos y generación de diagramas de flujo de datos. Estas funcionalidades utilizan la API de Anthropic (Claude) para procesar sus Entradas y generar Salidas.
- Analizar código fuente para identificar tratamientos de datos personales, cuando usted activa la integración de Veil con GitHub. El análisis se realiza en dos etapas: una evaluación inicial automatizada (triaje) para detectar impacto en datos personales, y cuando se detecta impacto, una generación automatizada de Registro de Actividades de Tratamiento (RAT) a partir del código modificado. Ambas etapas utilizan la API de Anthropic (Claude).
- Transcribir grabaciones de audio de entrevistas que usted suba a la plataforma, utilizando el servicio de AssemblyAI con soporte para idioma español y diarización de hablantes.
- Crear y administrar su cuenta, incluyendo autenticación, verificación de correo electrónico y, cuando corresponda, autenticación multifactor.
- Comunicarnos con usted, incluyendo el envío de notificaciones operativas sobre sus solicitudes DSAR, actualizaciones de estado y recordatorios de plazos legales.
- Facilitar la verificación de identidad de titulares de datos que ejerzan sus derechos mediante nuestra plataforma DSAR, a través de códigos OTP por correo electrónico o revisión de documentos.
- Prevenir e investigar fraude, abuso y actividad ilícita, proteger nuestros derechos y los de terceros, y cumplir obligaciones legales.
- Depurar, identificar y reparar errores que afecten la funcionalidad, utilizando registros técnicos y grabación de sesiones (LogRocket).
- Mejorar los Servicios y realizar investigación, utilizando datos de uso agregados y retroalimentación.
- Hacer cumplir nuestras políticas aplicables.
- Registrar auditoría de todas las acciones realizadas en la plataforma (creación, lectura, actualización y eliminación de recursos) para fines de trazabilidad y cumplimiento normativo.
3. Divulgación de Datos Personales
Nickel Technologies SPA divulgará datos personales a las siguientes categorías de terceros:
-
Proveedores de infraestructura y servicios tecnológicos:
- Anthropic (Estados Unidos) — Procesamiento de lenguaje natural para las funcionalidades de IA de la plataforma. Sus Entradas son enviadas a la API de Claude para generar Salidas.
- AssemblyAI (Estados Unidos) — Transcripción de grabaciones de audio cargadas por el usuario.
- Cloudflare (Estados Unidos / red global) — Almacenamiento de archivos mediante Cloudflare R2 (compatible con S3), incluyendo documentos, grabaciones de audio y exportaciones.
- Resend (Estados Unidos) — Envío de correos electrónicos transaccionales (notificaciones DSAR, verificación de identidad, comunicaciones con titulares).
- Supabase (Estados Unidos, edición Enterprise) — Autenticación de usuarios, almacenamiento de archivos y base de datos PostgreSQL gestionada.
- LogRocket (Estados Unidos) — Grabación de sesiones de navegación para diagnóstico, con sanitización automática de datos sensibles.
- Logfire (Estados Unidos) — Observabilidad, registros estructurados y trazas de rendimiento. Los patrones de datos sensibles (RUT, contraseñas, claves de API, correos electrónicos) son eliminados automáticamente antes de la transmisión.
- GitHub (Microsoft) (Estados Unidos) — Cuando el cliente activa la integración de Veil con GitHub, Privai se instala como GitHub App en la cuenta del cliente. GitHub transmite a Privai eventos de webhook (solicitudes de cambio) y Privai accede a archivos y diferencias de código mediante la API de GitHub. Privai publica comentarios en las solicitudes de cambio con los resultados del análisis.
-
Integraciones configuradas por el cliente:
- Slack — Cuando el cliente configura notificaciones vía Slack, los eventos DSAR y alertas se envían al webhook configurado.
- Conectores de sistemas del cliente — El módulo DSAR puede conectarse a sistemas del cliente (Salesforce, SAP, etc.) para ejecutar solicitudes de acceso o supresión. Las credenciales de conexión se almacenan cifradas con Fernet.
-
Obligaciones legales y regulatorias: Divulgaremos datos personales a autoridades gubernamentales y regulatorias según lo exija la ley, incluyendo para fines legales, tributarios o contables, en respuesta a requerimientos de dichas autoridades o para asistir en investigaciones.
-
Eventos corporativos significativos: En caso de fusión, adquisición, reorganización societaria o transferencia de activos, sus datos personales podrán ser divulgados como parte de dicha transacción.
-
Protección de derechos: Para proteger la salud y seguridad de personas, prevenir fraude, hacer cumplir nuestros derechos legales o los de terceros, o según lo permita o exija la ley aplicable.
-
Con su consentimiento: Cuando usted nos otorgue permiso o nos instruya a divulgar su información.
4. Derechos y Opciones
Conforme a la Ley 21.719, usted tiene los siguientes derechos respecto de sus datos personales:
- Derecho de acceso (Art. 5): Solicitar confirmación de si sus datos personales están siendo tratados y, en tal caso, acceder a ellos junto con información sobre las finalidades, categorías de datos, destinatarios, plazos de conservación y el origen de los datos.
- Derecho de rectificación (Art. 6): Solicitar la corrección de datos personales inexactos, desactualizados o incompletos.
- Derecho de supresión (Art. 7): Solicitar la eliminación de sus datos personales cuando ya no sean necesarios para la finalidad para la que fueron recopilados, cuando revoque su consentimiento, o cuando el tratamiento sea contrario a la ley.
- Derecho de oposición (Art. 8): Oponerse al tratamiento de sus datos personales, incluyendo cuando se basa en interés legítimo (Art. 13 d), salvo que el responsable demuestre motivos legítimos imperiosos.
- Derecho a la portabilidad (Art. 9): Solicitar la entrega de sus datos personales en un formato estructurado, de uso común y lectura mecánica, o su transferencia a otro responsable cuando sea técnicamente posible.
- Derecho al bloqueo (Art. 8° ter): Solicitar la suspensión temporal del tratamiento de sus datos personales cuando formule una solicitud de rectificación, supresión u oposición, mientras dicha solicitud se resuelve.
Revocación del consentimiento
Cuando el tratamiento de sus datos se base en su consentimiento, usted tiene derecho a revocarlo en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento (Art. 12). La revocación no afectará la licitud del tratamiento realizado antes de ella.
Cómo ejercer sus derechos
Para ejercer sus derechos, usted o un representante autorizado puede enviar una solicitud a contacto@privai.cl. Tras recibir su solicitud, podremos verificar su identidad solicitando información suficiente para confirmarla. El responsable responderá dentro de 30 días corridos conforme al artículo 11 de la ley, prorrogable por otros 30 días corridos. La respuesta será gratuita. El responsable sólo podrá exigir el pago de costos directos cuando el titular ejerza su derecho de acceso o portabilidad más de una vez en el trimestre (Art. 10).
Si su solicitud es denegada, usted tiene derecho a reclamar ante la Agencia de Protección de Datos Personales de Chile.
Nickel Technologies SPA no discriminará a los titulares por el ejercicio de sus derechos.
Decisiones automatizadas
Nickel Technologies SPA utiliza inteligencia artificial (Anthropic Claude) para las siguientes funcionalidades que involucran tratamiento automatizado:
- Clasificación de datos personales: Análisis semántico y contextual de esquemas de bases de datos para identificar y categorizar datos personales, asignando niveles de sensibilidad (Crítico, Alto, Medio, Bajo).
- Determinación de bases de licitud: Identificación automatizada de los artículos de la Ley 21.719 aplicables a cada actividad de tratamiento.
- Evaluación de riesgos: Generación de matrices de riesgo con probabilidad e impacto, controles recomendados y cálculo de riesgo residual.
- Extracción de información: Análisis automatizado de transcripciones de entrevistas y documentos para identificar actividades de tratamiento.
- Análisis de código fuente (integración GitHub): Evaluación automatizada de solicitudes de cambio para detectar si modificaciones de código involucran tratamiento de datos personales, y generación automatizada de Registros de Actividades de Tratamiento a partir del análisis.
Todas las decisiones automatizadas son presentadas al usuario para revisión y confirmación antes de su aplicación definitiva. La plataforma no toma decisiones vinculantes sin intervención humana. Usted tiene derecho a solicitar la revisión humana de cualquier resultado automatizado, expresar su punto de vista e impugnar la decisión conforme al artículo 8° bis de la Ley 21.719.
5. Transferencias Internacionales de Datos
Cuando utiliza nuestros Servicios, sus datos personales pueden ser transferidos a los siguientes países:
| Proveedor | País de destino | Datos transferidos | Mecanismo de transferencia |
|---|---|---|---|
| Anthropic (Claude API) | Estados Unidos | Entradas del usuario, contenido de conversaciones | Cláusulas contractuales |
| AssemblyAI | Estados Unidos | Grabaciones de audio de entrevistas | Cláusulas contractuales |
| Cloudflare R2 | Estados Unidos / red global | Archivos cargados (documentos, audio, exportaciones) | Cláusulas contractuales |
| Resend | Estados Unidos | Correos electrónicos (nombres, direcciones de correo, contenido de notificaciones) | Cláusulas contractuales |
| Supabase (Enterprise) | Estados Unidos | Datos de autenticación, archivos, base de datos | Cláusulas contractuales |
| LogRocket | Estados Unidos | Sesiones de navegación sanitizadas, IDs de usuario y organización | Cláusulas contractuales |
| Logfire | Estados Unidos | Registros estructurados, trazas (datos sensibles eliminados) | Cláusulas contractuales |
| GitHub (Microsoft) | Estados Unidos | Eventos de webhook, metadatos de PRs, archivos de código fuente (cuando se activa la integración) | Cláusulas contractuales |
| Google Fonts | Estados Unidos | Dirección IP (carga de fuentes tipográficas) | Necesaria para la ejecución del servicio (Art. 27 párr. 2° g) |
Conforme a los artículos 27 y 28 de la Ley 21.719, las transferencias internacionales se realizan bajo cláusulas contractuales que garantizan un nivel de protección equivalente al de la ley chilena. Cuando la Agencia de Protección de Datos Personales declare países con nivel adecuado de protección, las transferencias a dichos países se realizarán bajo dicha declaración.
6. Retención de Datos y Seguridad
Retención
Nickel Technologies SPA conserva sus datos personales durante el tiempo razonablemente necesario para cumplir las finalidades descritas en esta Política y según lo exija la ley aplicable.
| Categoría de datos | Plazo de conservación | Justificación |
|---|---|---|
| Datos de cuenta (email, nombre) | Mientras la cuenta esté activa + 6 meses | Ejecución del contrato |
| Conversaciones con IA | Mientras la cuenta esté activa; el usuario puede archivar o eliminar | Prestación del servicio |
| Registros de uso de IA (tokens, costos) | 3 años desde la transacción | Facturación y auditoría (obligación tributaria) |
| Solicitudes DSAR (datos del solicitante) | Duración del caso + 1 año | Obligación legal y resolución de disputas |
| Códigos OTP de verificación | Expiran automáticamente tras 10 minutos | Verificación de identidad |
| Tokens de acceso al portal DSAR | Expiran automáticamente tras su período de validez | Acceso temporal |
| Logs de auditoría | 1 año | Trazabilidad y cumplimiento |
| Registros técnicos (Logfire) | 30 días | Diagnóstico y seguridad |
| Sesiones LogRocket | 30 días | Diagnóstico |
| Archivos cargados (R2/Supabase) | Mientras sean necesarios para la finalidad; eliminación a solicitud del usuario | Prestación del servicio |
| Datos de instalación GitHub (cuenta, repos, permisos) | Mientras la integración esté activa; eliminación al desconectar | Prestación del servicio |
Cuando los datos personales ya no sean necesarios, se procederá a su eliminación, destrucción o anonimización conforme a la ley.
Información agregada o anonimizada
Podremos tratar datos personales de forma agregada o anonimizada para análisis de efectividad del servicio, investigación y mejora del producto. Esta información no permite identificar personas individuales.
Medidas de seguridad
Implementamos medidas técnicas y organizativas de seguridad apropiadas, diseñadas para proteger los datos personales, incluyendo:
- Cifrado de credenciales: Las contraseñas se almacenan como hashes bcrypt con sal. Los códigos OTP se almacenan como hashes SHA-256. Las credenciales de conectores y canales de notificación se cifran con Fernet (cifrado simétrico autenticado).
- Control de acceso: Arquitectura multi-tenant con aislamiento a nivel de organización. Sistema de roles (Propietario, Administrador, Miembro, Visualizador) que restringe el acceso según permisos asignados.
- Aislamiento de datos: Soporte para base de datos aislada por cliente (edición Enterprise), seguridad a nivel de fila (RLS) mediante Supabase, y filtrado de tenant obligatorio en todas las consultas.
- Sanitización de datos sensibles: Los registros de observabilidad (Logfire) eliminan automáticamente patrones de datos sensibles (RUT, contraseñas, claves de API) antes de la transmisión. LogRocket sanitiza campos de formulario y cuerpos HTTP.
- Tokens temporales: Los enlaces de acceso al portal DSAR y códigos de verificación tienen expiración automática.
- Auditoría: Registro inmutable de todas las operaciones CRUD sobre recursos de la plataforma.
- Cifrado en tránsito: Comunicaciones mediante HTTPS/TLS.
- Seguridad de integraciones: La integración con GitHub utiliza autenticación mediante GitHub App con tokens de acceso de corta duración (expiración automática). Los webhooks se verifican mediante firma HMAC-SHA256. El código fuente se procesa en directorios temporales que se eliminan tras el análisis.
7. Menores de Edad
Nuestros Servicios están dirigidos exclusivamente a organizaciones y profesionales, y no están destinados a menores de 18 años. No recopilamos, usamos, divulgamos ni tratamos intencionalmente datos personales de menores de 18 años.
Conforme al artículo 16 quáter de la Ley 21.719, el tratamiento de datos personales de niños, niñas y adolescentes sólo puede realizarse atendiendo al interés superior de éstos y requiere el consentimiento de sus padres o representantes legales.
Si usted tiene conocimiento de que un menor ha proporcionado datos personales sin la autorización correspondiente, contáctenos a contacto@privai.cl para que investiguemos y, si corresponde, eliminemos dicha información.
8. Cambios a este Aviso de Privacidad
Nickel Technologies SPA podrá actualizar este Aviso de Privacidad periódicamente. Le notificaremos de cualquier cambio material mediante correo electrónico a la dirección asociada a su cuenta y actualizaremos la Fecha de Vigencia en la parte superior de este documento.
9. Información de Contacto
Si tiene preguntas sobre este Aviso de Privacidad, o desea ejercer sus derechos respecto de sus datos personales, puede contactarnos:
- Responsable del tratamiento: Nickel Technologies SPA
- Dirección: Antonio Bellet 193, Of. 302, Providencia, Santiago, Chile
- Correo electrónico: contacto@privai.cl
Autoridad de control
Usted tiene derecho a presentar un reclamo ante la Agencia de Protección de Datos Personales de Chile si considera que el tratamiento de sus datos personales infringe la Ley 21.719.