1. Qué es Nolan
Nolan es un asistente conversacional interno de Robricks que opera sobre Telegram. Procesa información de las cuentas Google Workspace (@robricks.cl) de los miembros del equipo y de quienes interactúan con esas cuentas, para asistir en tareas operativas: leer y enviar correos, gestionar calendario, buscar y subir archivos en Drive, generar documentos formateados y responder preguntas con contexto del equipo.
2. Marco legal aplicable
- Ley N° 19.628 sobre Protección de la Vida Privada (vigente)
- Ley N° 21.719 sobre Protección de Datos Personales (vigencia plena diciembre 2026)
- Ley N° 19.799 sobre firma electrónica y servicios de certificación
- Ley N° 19.223 (modificada por Ley N° 21.459) sobre delitos informáticos
- Código del Trabajo art. 5, 154 bis y 289
- Reglamento UE 2016/679 (GDPR) — aplicable indirectamente vía SCCs con Google
3. Datos personales tratados
| Categoría | Origen | Finalidad | Base de licitud |
|---|---|---|---|
| Mensajes de Telegram (texto, fotos enviadas) | Usuario | Operación del asistente | Consentimiento (art. 12 L.21.719) |
| Correos electrónicos enviados/recibidos vía @robricks.cl | Google Workspace via DWD | Búsqueda, redacción, indexación en Brain | Consentimiento + contrato laboral |
| Archivos Drive corporativos | Google Workspace via DWD | Búsqueda, indexación en Brain, generación PDFs | Consentimiento + contrato laboral |
| Eventos de Google Calendar | Google Workspace via DWD | Listado, creación, actualización, notificaciones | Consentimiento + contrato laboral |
| Transcripciones automáticas de Google Meet | Google Workspace | Indexación en Brain para responder "¿de qué se habló?" | Consentimiento + aviso a participantes |
| Identificador Telegram, idioma, preferencias | Usuario | Personalización (zona horaria, horas silenciosas) | Consentimiento |
| Logs de seguridad (auditoría) | Sistema | Defensa contra ataques, valor probatorio | Interés legítimo (art. 13 g L.21.719) |
| Embeddings (representación vectorial de fragmentos) | Vertex AI | Búsqueda semántica con RBAC | Consentimiento + interés legítimo |
4. Categorías excluidas explícitamente del tratamiento
Nolan no indexa, almacena ni hace consultable:
- Correos con asunto
[PRIVADO],[PERSONAL],[CONFIDENCIAL]o[PRIVATE] - Correos con remitentes de dominios sindicales, AFP, Isapre, Fonasa, mutualidades, abogados
- Cuentas Gmail personales (no @robricks.cl)
- Contenido de carpetas Drive cuyo nombre comienza con
_ - Datos sensibles (salud, origen racial, vida sexual, convicciones políticas/religiosas, datos sindicales — art. 2 g L.19.628 y art. 16 L.21.719) — clasificados y excluidos por el RBAC
5. Destinatarios y transferencias internacionales
- Google LLC (EE.UU.) — Workspace, Firestore, Vertex AI. Cubierto por Google Cloud DPA + Standard Contractual Clauses (Module 2 controller-processor).
- Anthropic PBC (EE.UU.) — solo si el módulo Claude se activa explícitamente. Hoy desactivado.
- Telegram FZ-LLC (EAU) — transporte del canal. Sin acceso al contenido cifrado en backend.
- SerpAPI Inc. (EE.UU.) — búsqueda de vuelos (solo cuando el usuario lo solicita).
Chile no tiene declaración de adecuación sobre EE.UU. La licitud de la transferencia se sustenta en SCCs y en consentimiento expreso del titular registrado vía /acepto.
6. Período de conservación
| Categoría | Conservación |
|---|---|
| Historial de chat | 90 días |
| Audit log (security_audit + audit_chain) | 1 año en Firestore; 7 años en GCS Bucket Lock (valor probatorio Ley 19.799) |
| Chunks Brain v2 | 2 años desde último uso; se re-sincronizan |
| Tokens OAuth | Hasta revocación o 1 año sin uso |
| Solicitudes ARCOP+ (dsr_requests) | 5 años (evidencia regulatoria) |
| Datos de ex-empleados | Borrados a 30 días del cese |
7. Tus derechos (ARCOP+)
Como titular puedes ejercer en cualquier momento:
| Derecho | Cómo |
|---|---|
| Acceso (art. 12 L.19.628 / art. 13 L.21.719) | /mis_datos en Telegram — Nolan adjunta un JSON con todo lo que guarda de ti |
| Rectificación | Enviar correo a contacto@robricks.cl indicando el dato a corregir |
| Cancelación / Supresión | /eliminar_mis_datos confirmar — borra todo lo que Nolan controla |
| Oposición | /revocar_consentimiento — Nolan deja de procesar tus datos vía DWD |
| Portabilidad | El export de /mis_datos es JSON estructurado, portable a otros sistemas |
| Pausa temporal (licencia médica, vacaciones) | /pausa <días> — suspende indexación de tus correos por N días |
Plazo de respuesta a solicitudes formales por correo: 30 días (Ley 21.719 art. 16).
8. Seguridad
Nolan implementa 8 capas activas: rate limiting, fail-closed en producción, detección de prompt injection (17 patrones), auditoría con tamper-evidence vía hash-chain SHA-256, cifrado de tokens OAuth en disco con Fernet, secretos en GCP Secret Manager, hardening de VM con fail2ban + UFW + auto-updates, gates de CI con bandit + detect-secrets + pip-audit. Además, RBAC server-side por niveles (founders/accounting/general) en la base de conocimiento, exclusión automática de categorías sensibles y redacción PII antes de indexar.
9. Notificación de brechas
Cualquier incidente de seguridad que comprometa datos personales se notificará al titular afectado y a la Agencia de Protección de Datos Personales dentro de 72 horas desde su detección.
10. Contacto
Cualquier consulta, reclamo o solicitud:
- Email: contacto@robricks.cl
- Telegram:
/privacidadcon el bot Nolan
11. Cambios a esta política
Versionada por fecha. Cualquier cambio material requiere nuevo /acepto del titular en el bot.