Two Pillars Protocol — Política de Privacidad y Uso para Investigación

Documento: privacy_research_use

Versión: 1.0

Vigente desde: 2026-06-04

App ID: two-pillars-protocol

Responsable de tratamiento: RLABS SpA, Chile

1. Identidad y datos de contacto del Responsable

El responsable del tratamiento de sus datos personales es RLABS SpA ("RLABS", "nosotros"), una sociedad por acciones constituida bajo las leyes de la República de Chile. Para cualquier consulta relativa al tratamiento de sus datos personales, derechos del titular o esta política, contáctenos en [email protected].

Two Pillars Protocol ("el Protocolo", "el Instrumento") es un instrumento diagnóstico de investigación operado por RLABS, alojado en https://assess.rlabs.cl.

2. Datos personales que tratamos

Al completar el Protocolo, recolectamos las siguientes categorías de datos:

• Datos de identificación y contacto: dirección de correo electrónico que usted nos proporciona.

• Datos profesionales y contextuales: rol declarado, años de experiencia, sector y tamaño de su organización, área funcional, país de residencia laboral, herramientas que utiliza, y demás respuestas voluntarias al cuestionario de 76 ítems agrupados en 9 bloques.

• Datos técnicos del dispositivo: dirección IP, user agent, idioma del navegador, marca temporal de la interacción.

• Datos derivados (scores): índices calculados a partir de sus respuestas — Mixer Index, sub-dimensiones (Multiplicidad, Simultaneidad, Integración), dimensiones organizacionales D1–D4, cuadrante de desajuste y perfil de resonancia de patrones P1–P13.

No solicitamos ni almacenamos datos sensibles en los términos del Art. 2 lit. g) de la Ley N° 19.628 de Chile, ni categorías especiales conforme al Art. 9 del RGPD (UE) 2016/679.

3. Finalidades del tratamiento

Trataremos sus datos personales para las siguientes finalidades:

• Investigación académica sobre la adaptación de profesionales del software a la inteligencia artificial, en el marco del programa de investigación de RLABS publicado en https://rlabs.cl/lab. Esta investigación puede dar lugar a publicaciones científicas, conferencias y materiales educativos. Los datos publicados serán siempre agregados y anonimizados.

• Entrega del informe diagnóstico personalizado a la dirección de correo electrónico que usted proporciona.

• Comparación entre pares una vez que la muestra alcance N ≥ 200 respondientes por área funcional, con devolución agregada al respondiente.

• Mejora del instrumento mediante análisis psicométrico (consistencia interna, validez discriminante y de constructo) sobre la base de respuestas agregadas.

4. Base legal del tratamiento

La base legal del tratamiento es su consentimiento expreso, libre, específico, informado e inequívoco (Art. 4 N° 7 y Art. 7 RGPD; Art. 4 Ley 19.628 Chile), prestado al marcar la casilla correspondiente al inicio del instrumento. Usted puede retirar este consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento realizado previo a su retiro.

5. Tratamiento de su correo electrónico

Su dirección de correo electrónico es tratada con medidas de seguridad reforzadas:

• Hash determinístico: almacenamos un HMAC-SHA256 de su correo (con sal secreta), utilizado únicamente para deduplicación y verificación de identidad. Este valor es no reversible.

• Cifrado simétrico: almacenamos su correo cifrado mediante AES-256-GCM con una clave de 256 bits gestionada como secreto de plataforma. Solo se descifra al momento de enviarle el informe.

• Separación lógica: el correo cifrado vive en una tabla distinta de las respuestas del cuestionario; estas últimas se asocian exclusivamente al hash.

• No comercialización: no venderemos, alquilaremos ni cederemos su correo electrónico a terceros con fines comerciales o publicitarios. Punto.

6. Anonimización para análisis agregado

Para fines de investigación, las respuestas individuales se desvinculan del correo electrónico mediante el hash descrito en la sección 5.a y se procesan en forma agregada y anonimizada. La relación profesional-organización (cuando aplica) se preserva únicamente a nivel de identificador anónimo para análisis estructural, sin posibilidad de reidentificación.

7. Destinatarios y encargados de tratamiento

Sus datos personales pueden ser comunicados a los siguientes encargados de tratamiento, vinculados a RLABS por contrato y bajo deber de confidencialidad:

• Infraestructura propia de RLABS alojada en Chile (clúster Kubernetes en hardware propio, sin proveedores cloud externos para el almacenamiento del dataset). El almacenamiento de respuestas, scores, hashes de correo y cifrado de correo ocurre íntegramente en esta infraestructura.

• rlabs-notifier — servicio interno de notificaciones operado por RLABS, encargado de despachar el informe diagnóstico por correo electrónico a la dirección que usted proporciona.

• Brevo (Sendinblue SAS, Francia, Unión Europea) — utilizado como retransmisor SMTP por rlabs-notifier exclusivamente para la entrega física del correo electrónico hacia su buzón. Brevo es responsable de tratamiento bajo el RGPD (UE) 2016/679 y está sujeto a la supervisión de la CNIL francesa. La transferencia de datos desde Chile hacia la Unión Europea no requiere SCC adicionales por encontrarse Brevo dentro del territorio del RGPD.

No realizaremos transferencias internacionales adicionales sin notificación previa y revisión del marco legal aplicable.

8. Plazo de conservación

• Sus respuestas se conservarán por un plazo de 5 años contados desde la fecha de respuesta, plazo razonable para completar el ciclo de investigación, validación psicométrica, replicación independiente y publicación.

• Su correo electrónico cifrado se conservará por el mismo plazo, salvo retiro anticipado del consentimiento o solicitud de eliminación (Art. 12 LR).

• Transcurrido el plazo, las respuestas serán definitivamente anonimizadas eliminando todo vínculo con identificadores personales, y conservadas únicamente como dataset agregado de investigación.

9. Derechos del titular

Conforme a la Ley N° 19.628 sobre Protección de la Vida Privada (Chile) y, cuando aplica, el Reglamento (UE) 2016/679 (RGPD), usted tiene los siguientes derechos:

• Acceso (Art. 12 LR / Art. 15 RGPD): obtener copia de sus datos personales tratados.

• Rectificación (Art. 12 LR / Art. 16 RGPD): solicitar la corrección de datos inexactos.

• Cancelación / Supresión / Olvido (Art. 12 LR / Art. 17 RGPD): solicitar la eliminación de sus datos, sin perjuicio de la conservación agregada y anonimizada para fines de investigación ya publicada.

• Oposición (Art. 12 LR / Art. 21 RGPD): oponerse al tratamiento por motivos relacionados con su situación particular.

• Portabilidad (Art. 20 RGPD, cuando aplica): obtener sus datos en formato estructurado, comúnmente usado y legible por máquina (JSON).

• Retiro del consentimiento en cualquier momento, sin afectar la licitud del tratamiento previo.

• Reclamo ante la autoridad de control competente (Agencia de Protección de Datos chilena cuando entre en operación; autoridad nacional de protección de datos del Estado miembro de la UE en que tenga su residencia habitual).

Para ejercer estos derechos: escriba a [email protected] indicando su solicitud, o utilice los endpoints técnicos /v1/gdpr/export y /v1/gdpr/forget del servicio rlabs-consent, accesibles a través del enlace personalizado que recibirá en su informe. Responderemos dentro de 30 días corridos a contar de la recepción de su solicitud.

10. Seguridad

Aplicamos medidas técnicas y organizativas apropiadas para proteger sus datos contra acceso no autorizado, alteración, divulgación o destrucción:

• Cifrado en tránsito (TLS 1.2+) y en reposo del correo electrónico (AES-256-GCM).
• Aislamiento de la base de datos en red privada del cluster Kubernetes.
• Hashing irreversible (HMAC-SHA256) del correo para deduplicación.
• Logs de auditoría de todas las operaciones sobre datos personales.
• Limitación de tasa y validación estricta de payload en el endpoint público.
• Cuarentena de respuestas sospechosas hasta verificación manual.

11. Cookies y almacenamiento local

El instrumento utiliza localStorage del navegador exclusivamente para conservar sus respuestas en curso entre sesiones, antes del envío al servidor. No utilizamos cookies de seguimiento ni herramientas de analítica de terceros. El almacenamiento local es eliminable por usted en cualquier momento desde la configuración de su navegador.

12. Cambios a esta política

Esta política puede ser actualizada para reflejar cambios legales, técnicos o de finalidad del tratamiento. Toda nueva versión será versionada (v1.0, v1.1, v2.0, etc.), publicada con su fecha de vigencia, y notificada a los respondientes activos con al menos 15 días corridos de antelación, con opción de retirar el consentimiento antes de su entrada en vigor.

13. Jurisdicción y ley aplicable

Esta política se rige por la legislación chilena, en particular la Ley N° 19.628. Para respondientes residentes en la Unión Europea, también se aplica el Reglamento (UE) 2016/679 (RGPD). Cualquier controversia se someterá a los tribunales ordinarios de justicia de la ciudad de Santiago, Chile, sin perjuicio del foro del consumidor cuando corresponda.

Identificadores del documento

• App ID: two-pillars-protocol
• Document Type: privacy_research_use
• Version: 1.0
• SHA-256 del texto canónico: a calcular al momento de la activación.
• Idiomas oficiales: español (canónico), inglés (traducción de referencia).

Two Pillars Protocol — Privacy & Research Use Policy

Document: privacy_research_use

Version: 1.0

Effective: 2026-06-04

App ID: two-pillars-protocol

Data Controller: RLABS SpA, Chile

1. Controller identity

The controller of your personal data is RLABS SpA ("RLABS", "we"), a corporation incorporated under the laws of the Republic of Chile. For any inquiry regarding the processing of your personal data, data subject rights, or this policy, contact us at [email protected].

Two Pillars Protocol ("the Protocol", "the Instrument") is a research diagnostic instrument operated by RLABS, hosted at https://assess.rlabs.cl.

2. Personal data we process

By completing the Protocol, we collect the following categories of data:

• Identity and contact data: the email address you provide.

• Professional and contextual data: declared role, years of experience, sector and size of your organization, functional area, country of work, tools used, and other voluntary responses to the 76-item questionnaire grouped in 9 blocks.

• Device technical data: IP address, user agent, browser language, interaction timestamp.

• Derived data (scores): indices computed from your responses — Mixer Index, sub-dimensions (Multiplicity, Simultaneity, Integration), organizational dimensions D1–D4, misalignment quadrant, and pattern resonance profile P1–P13.

We do not request or store sensitive data within the meaning of Art. 2(g) of Chilean Law 19,628, nor special categories within the meaning of Art. 9 of GDPR (EU) 2016/679.

3. Purposes of processing

We will process your personal data for the following purposes:

• Academic research on the adaptation of software professionals to artificial intelligence, under the RLABS research program published at https://rlabs.cl/lab. This research may result in scientific publications, conferences, and educational materials. Published data will always be aggregated and anonymized.

• Delivery of your personalized diagnostic report to the email address you provide.

• Peer comparison once the sample reaches N ≥ 200 respondents per functional area, with aggregate feedback to the respondent.

• Instrument improvement through psychometric analysis (internal consistency, discriminant and construct validity) on aggregated responses.

4. Legal basis

The legal basis for processing is your explicit, free, specific, informed and unambiguous consent (Art. 4(7) and Art. 7 GDPR; Art. 4 of Chilean Law 19,628), given by ticking the corresponding box at the start of the Instrument. You may withdraw this consent at any time, without affecting the lawfulness of processing carried out before its withdrawal.

5. Processing of your email address

Your email address is processed with reinforced security measures:

• Deterministic hash: we store an HMAC-SHA256 of your email (with a secret salt), used only for deduplication and identity verification. This value is non-reversible.

• Symmetric encryption: we store your email encrypted with AES-256-GCM using a 256-bit key managed as a platform secret. It is only decrypted to send you the report.

• Logical separation: the encrypted email lives in a separate table from the questionnaire responses; the latter are associated only with the hash.

• No commercialization: we will not sell, rent or transfer your email address to third parties for commercial or advertising purposes. Period.

6. Anonymization for aggregate analysis

For research purposes, individual responses are de-linked from the email address via the hash described in section 5.a and processed in aggregated and anonymized form. The professional-organization relationship (where applicable) is preserved only at the level of an anonymous identifier for structural analysis, with no possibility of re-identification.

7. Recipients and processors

Your personal data may be communicated to the following processors, bound to RLABS by contract and confidentiality:

• RLABS-owned infrastructure located in Chile (Kubernetes cluster on owned hardware, no external cloud providers for dataset storage). Storage of responses, scores, email hashes, and encrypted emails occurs entirely on this infrastructure.

• rlabs-notifier — internal notifications service operated by RLABS, responsible for dispatching the diagnostic report to the email address you provide.

• Brevo (Sendinblue SAS, France, European Union) — used as the SMTP relay by rlabs-notifier exclusively for the physical delivery of the email to your inbox. Brevo is a data controller under the EU GDPR 2016/679 and subject to oversight by the French CNIL. Transfers from Chile to the European Union do not require additional SCC since Brevo operates within GDPR territory.

We will not perform additional international transfers without prior notice and review of the applicable legal framework.

8. Retention period

• Your responses will be retained for 5 years from the response date, a reasonable period to complete the research cycle, psychometric validation, independent replication, and publication.

• Your encrypted email will be retained for the same period, except for early withdrawal of consent or deletion request (Art. 12 LR).

• After this period, responses will be definitively anonymized by removing all links to personal identifiers, and retained only as an aggregate research dataset.

9. Data subject rights

Under Chilean Law 19,628 on Protection of Private Life and, where applicable, Regulation (EU) 2016/679 (GDPR), you have the following rights:

• Access (Art. 12 LR / Art. 15 GDPR): obtain a copy of your processed personal data.

• Rectification (Art. 12 LR / Art. 16 GDPR): request correction of inaccurate data.

• Erasure / Right to be forgotten (Art. 12 LR / Art. 17 GDPR): request deletion of your data, without prejudice to aggregated and anonymized retention for already-published research.

• Objection (Art. 12 LR / Art. 21 GDPR): object to processing on grounds related to your particular situation.

• Portability (Art. 20 GDPR, where applicable): obtain your data in a structured, commonly used and machine-readable format (JSON).

• Withdrawal of consent at any time, without affecting the lawfulness of prior processing.

• Complaint to the supervisory authority competent (Chilean Data Protection Agency once operational; national data protection authority of the EU Member State of your habitual residence).

To exercise these rights: write to [email protected] indicating your request, or use the technical endpoints /v1/gdpr/export and /v1/gdpr/forget of the rlabs-consent service, accessible through the personalized link you will receive in your report. We will respond within 30 calendar days of receiving your request.

10. Security

We apply appropriate technical and organizational measures to protect your data against unauthorized access, alteration, disclosure or destruction:

• Encryption in transit (TLS 1.2+) and at rest of the email address (AES-256-GCM).
• Database isolation in the private network of the Kubernetes cluster.
• Irreversible hashing (HMAC-SHA256) of the email for deduplication.
• Audit logs of all operations on personal data.
• Rate limiting and strict payload validation at the public endpoint.
• Quarantine of suspicious responses pending manual verification.

11. Cookies and local storage

The Instrument uses browser localStorage exclusively to preserve your responses in progress between sessions, before submission to the server. We do not use tracking cookies or third-party analytics tools. Local storage can be cleared by you at any time from your browser settings.

12. Changes to this policy

This policy may be updated to reflect legal, technical or purpose-of-processing changes. Each new version will be versioned (v1.0, v1.1, v2.0, etc.), published with its effective date, and notified to active respondents at least 15 calendar days in advance, with the option to withdraw consent before it enters into force.

13. Jurisdiction and applicable law

This policy is governed by Chilean law, in particular Law 19,628. For respondents residing in the European Union, Regulation (EU) 2016/679 (GDPR) also applies. Any dispute will be submitted to the ordinary courts of justice of the city of Santiago, Chile, without prejudice to the consumer forum where applicable.