Política de Confidencialidad de Blue Human

Última actualización: 11 de noviembre de 2025
Entidad: Blue Human
CIF: G88683065
Número de registro: 632.027
Contacto: seguridad@bluehuman.org

1. Objeto

La presente Política de Confidencialidad establece las normas internas y externas que deben respetar todas las personas que tengan acceso a información no pública de Blue Human, de sus proyectos, actividades, herramientas digitales, personas beneficiarias, colaboradoras, voluntarias, donantes, aliadas, informantes, víctimas, testigos o comunidades con las que trabaja la organización.

Blue Human desarrolla su actividad en el ámbito de la seguridad humana, los derechos humanos, la cooperación, la documentación de vulneraciones, la investigación, la formación, la incidencia pública y el desarrollo de herramientas digitales. Por la naturaleza de esta actividad, la información tratada puede tener un carácter especialmente sensible y su divulgación indebida podría generar daños personales, sociales, legales, reputacionales, operativos o de seguridad.

Esta política tiene como finalidad proteger la información confidencial, prevenir accesos o usos indebidos y garantizar que toda persona vinculada a Blue Human actúe con responsabilidad, prudencia y respeto hacia la dignidad y seguridad de las personas.

2. Ámbito de aplicación

Esta política será aplicable a:

a) Personas fundadoras, miembros de órganos de gobierno y representantes de Blue Human.
b) Personal contratado, en prácticas o en proceso de incorporación.
c) Personas voluntarias, colaboradoras, asesoras, investigadoras, formadoras o consultoras.
d) Entidades aliadas, organizaciones socias, universidades, redes, instituciones, proveedores o terceros que tengan acceso a información no pública de Blue Human.
e) Personas que participen en proyectos, misiones, investigaciones, programas, actividades, eventos o herramientas digitales de Blue Human.
f) Cualquier persona que, de forma puntual o continuada, tenga acceso a información confidencial de la organización.

La obligación de confidencialidad se aplicará con independencia de que exista o no una relación laboral, mercantil, voluntaria, institucional o contractual formal, siempre que la persona haya tenido acceso a información confidencial de Blue Human.

3. Definición de información confidencial

A efectos de esta política, se considera información confidencial toda información no pública, escrita, oral, visual, digital, técnica, documental, operativa, estratégica o de cualquier otra naturaleza, que Blue Human comunique, genere, reciba, almacene, analice o trate en el desarrollo de sus actividades.

La información confidencial incluye, entre otros, los siguientes tipos de información:

3.1. Información sobre personas

a) Datos personales de personas beneficiarias, usuarias, voluntarias, colaboradoras, donantes, informantes, testigos, víctimas, personas defensoras de derechos humanos o integrantes de comunidades afectadas.
b) Información relativa a menores de edad o personas en situación de vulnerabilidad.
c) Datos de contacto, identidad, ubicación, nacionalidad, situación familiar, situación administrativa, condición social, situación económica, salud, discapacidad, origen étnico, religión, orientación sexual, identidad de género, opiniones políticas, pertenencia comunitaria o cualquier otro dato sensible.
d) Testimonios, relatos, entrevistas, imágenes, vídeos, audios, documentos, evidencias o comunicaciones personales.

3.2. Información sobre reportes, denuncias e incidencias

a) Reportes de vulneraciones de derechos humanos, violencia, discriminación, amenazas, desplazamiento, persecución, abusos, incidentes de seguridad o afectaciones comunitarias.
b) Información sobre víctimas, testigos, personas denunciantes, informantes, organizaciones implicadas o presuntos responsables.
c) Ubicaciones, fechas, patrones, documentos, fotografías, vídeos, audios, metadatos, pruebas o materiales de verificación.
d) Clasificaciones internas, análisis, expedientes, notas de caso, evaluaciones de riesgo o derivaciones.

3.3. Información operativa y estratégica

a) Planes de proyecto, estrategias, metodologías, informes internos, diagnósticos, indicadores, investigaciones no publicadas, bases de datos, mapas, análisis de riesgo o documentación de misiones.
b) Información sobre alianzas, negociaciones, propuestas, candidaturas, subvenciones, presupuestos, financiación, donaciones o planificación institucional.
c) Información sobre procesos internos, decisiones, actas, comunicaciones, documentación administrativa o documentos de trabajo.

3.4. Información técnica y de seguridad

a) Credenciales, contraseñas, tokens, claves API, configuraciones, flujos, repositorios, bases de datos, entornos de despliegue, copias de seguridad, logs, arquitectura técnica o documentación interna de sistemas.
b) Información alojada o gestionada en herramientas como GitHub, Vercel, Supabase, Cloudflare, Fibery u otras plataformas utilizadas por Blue Human.
c) Vulnerabilidades, incidencias de seguridad, configuraciones sensibles, permisos, accesos, integraciones o cualquier información técnica que pueda comprometer la seguridad de la organización o de las personas.

4. Principios generales de confidencialidad

Toda persona sujeta a esta política deberá actuar conforme a los siguientes principios:

a) Necesidad de conocer: solo se accederá a información confidencial cuando sea necesario para cumplir una función, tarea, proyecto o responsabilidad concreta.
b) Minimización: solo se tratará la información estrictamente necesaria para la finalidad correspondiente.
c) Finalidad legítima: la información confidencial solo podrá utilizarse para fines autorizados por Blue Human.
d) No divulgación: la información confidencial no podrá comunicarse a terceros sin autorización expresa o base jurídica suficiente.
e) Seguridad: deberán adoptarse medidas razonables para proteger la información frente a pérdida, robo, acceso no autorizado, copia, alteración o divulgación indebida.
f) Prudencia reforzada: cualquier información relativa a víctimas, testigos, menores, personas vulnerables o personas defensoras de derechos humanos deberá tratarse con especial cautela.
g) No revictimización: la información sensible no deberá utilizarse de forma que exponga, estigmatice, instrumentalice o cause daño adicional a las personas afectadas.
h) Respeto a la dignidad humana: toda información será tratada de forma compatible con los valores humanitarios de Blue Human.

5. Obligaciones de las personas sujetas a esta política

Las personas obligadas por esta política deberán:

a) Mantener la confidencialidad de toda información no pública a la que tengan acceso.
b) Utilizar la información únicamente para la finalidad autorizada por Blue Human.
c) No copiar, descargar, reenviar, publicar, almacenar, extraer, transferir o compartir información confidencial sin autorización.
d) No comentar información confidencial en espacios públicos, redes sociales, grupos no autorizados, aplicaciones personales o canales inseguros.
e) No introducir información sensible en herramientas de inteligencia artificial, traductores, plataformas externas, servicios no autorizados o aplicaciones personales sin autorización expresa.
f) No almacenar información confidencial en dispositivos personales, memorias USB, nubes personales, correos privados o repositorios no autorizados, salvo autorización expresa y medidas de seguridad adecuadas.
g) Proteger credenciales, dispositivos y accesos.
h) Utilizar contraseñas robustas y, cuando sea posible, autenticación multifactor.
i) Bloquear dispositivos cuando no estén en uso.
j) Informar inmediatamente de cualquier pérdida, acceso indebido, sospecha de brecha de seguridad, envío erróneo o divulgación no autorizada.
k) Devolver, eliminar o bloquear la información confidencial cuando finalice la relación con Blue Human o cuando así se solicite.
l) Respetar las instrucciones internas de seguridad, protección de datos, comunicación, gestión documental y uso de herramientas digitales.

6. Información especialmente protegida

Se considerará información de protección reforzada aquella que pueda afectar de forma significativa a la seguridad, intimidad, dignidad, integridad o derechos de una persona o comunidad.

Esta información incluye, entre otros:

a) Identidad de víctimas, testigos, denunciantes, informantes o personas defensoras de derechos humanos.
b) Datos de menores de edad.
c) Información sobre violencia, persecución, discriminación, amenazas, abusos, salud, trauma, orientación sexual, identidad de género, origen étnico, religión, opiniones políticas o situación administrativa.
d) Ubicación exacta de personas en riesgo, comunidades afectadas, refugios, puntos de asistencia, operaciones o actividades sensibles.
e) Evidencias, fotografías, vídeos, audios, documentos o metadatos que puedan identificar a personas o lugares.
f) Información que pueda generar represalias, exposición pública, daño reputacional, discriminación, criminalización o riesgo físico.

Esta información solo podrá tratarse cuando sea estrictamente necesario, con acceso restringido y aplicando medidas reforzadas de seguridad, minimización, anonimización o seudonimización siempre que sea posible.

7. Uso de imágenes, testimonios e historias personales

Las imágenes, vídeos, audios, testimonios, historias personales o casos reales solo podrán utilizarse con autorización adecuada y respetando la dignidad, seguridad y voluntad de las personas afectadas.

Antes de publicar o compartir este tipo de materiales, Blue Human valorará:

a) Si la persona puede ser identificada directa o indirectamente.
b) Si existe riesgo de daño, exposición, estigmatización o represalias.
c) Si la persona comprende el uso previsto del material.
d) Si existen menores o personas vulnerables implicadas.
e) Si puede utilizarse una versión anonimizada, editada, agregada o ficticia.
f) Si la publicación es coherente con los principios humanitarios y de seguridad humana de Blue Human.

No se publicará información identificable sobre víctimas, menores, testigos, denunciantes o personas en situación de riesgo cuando ello pueda comprometer su seguridad, intimidad o dignidad.

8. Uso de herramientas digitales

Blue Human podrá utilizar herramientas digitales para desarrollo, alojamiento, bases de datos, seguridad, gestión de proyectos, documentación, comunicación, investigación o coordinación interna.

Entre otras, Blue Human puede utilizar GitHub, Vercel, Supabase, Cloudflare, Fibery u otras herramientas equivalentes.

Las personas con acceso a estas herramientas deberán:

a) Utilizar únicamente cuentas autorizadas.
b) No compartir usuarios, contraseñas, tokens o claves de acceso.
c) No subir datos personales sensibles a repositorios, issues, tableros, documentos técnicos o entornos de prueba si no es estrictamente necesario.
d) No publicar accidentalmente información confidencial en repositorios públicos, documentación abierta, comentarios, capturas de pantalla o registros.
e) Revisar permisos antes de compartir documentos, bases de datos, enlaces, carpetas o tableros.
f) Evitar exponer datos reales en entornos de desarrollo, prueba o demostración.
g) Comunicar de inmediato cualquier error de configuración, filtración, acceso indebido o exposición accidental.

Cuando sea posible, Blue Human priorizará el uso de datos anonimizados, ficticios o de prueba en entornos técnicos no productivos.

9. Inteligencia artificial, automatización y herramientas externas

No se deberá introducir información confidencial, datos personales sensibles, reportes, testimonios, evidencias, documentos internos, credenciales, bases de datos, imágenes identificables o información de personas vulnerables en herramientas de inteligencia artificial, asistentes digitales, traductores automáticos, plataformas de transcripción, servicios de resumen o herramientas externas no autorizadas.

Cualquier uso de inteligencia artificial o automatización con información de Blue Human deberá realizarse bajo criterios de:

a) Necesidad y proporcionalidad.
b) Minimización de datos.
c) Anonimización o seudonimización cuando sea posible.
d) Supervisión humana.
e) Evaluación del riesgo para personas afectadas.
f) Cumplimiento de la normativa aplicable.
g) Autorización interna cuando se trate de información sensible.

10. Comunicación con terceros y entidades aliadas

La información confidencial solo podrá compartirse con terceros, entidades aliadas, organizaciones internacionales, universidades, instituciones, proveedores, autoridades u otros actores cuando:

a) Sea necesario para una finalidad legítima de Blue Human.
b) Exista autorización interna suficiente.
c) Exista base jurídica adecuada, consentimiento o acuerdo aplicable.
d) Se limite la información compartida a lo estrictamente necesario.
e) Se valore previamente el riesgo para las personas afectadas.
f) Se apliquen garantías adecuadas de confidencialidad, seguridad y uso limitado.

En contextos internacionales, misiones, documentación de vulneraciones, colaboración con organizaciones locales o derivación de casos, se priorizará la seguridad de las personas afectadas frente a cualquier interés comunicativo, institucional o reputacional.

11. Comunicación pública, prensa y redes sociales

Ninguna persona sujeta a esta política podrá divulgar información confidencial de Blue Human en redes sociales, medios de comunicación, entrevistas, conferencias, publicaciones, charlas, eventos, newsletters, blogs, materiales académicos o documentos públicos sin autorización.

Toda comunicación pública deberá respetar:

a) La dignidad de las personas.
b) La seguridad de víctimas, testigos, denunciantes, comunidades y personas colaboradoras.
c) La protección de datos personales.
d) Los acuerdos de confidencialidad existentes.
e) La estrategia de comunicación de Blue Human.
f) El principio de no causar daño.

La información interna, los documentos de trabajo, las conversaciones privadas, los expedientes, los reportes no publicados y los análisis preliminares no podrán difundirse como si fueran información pública.

12. Conservación, devolución y eliminación de información

Las personas sujetas a esta política deberán conservar la información confidencial únicamente durante el tiempo necesario para la finalidad autorizada.

Cuando finalice una colaboración, proyecto, relación contractual, voluntariado, investigación o acceso autorizado, la persona deberá:

a) Devolver o eliminar los documentos, archivos, copias o materiales confidenciales cuando Blue Human lo solicite.
b) Dejar de acceder a herramientas, carpetas, bases de datos, correos, tableros o repositorios de Blue Human.
c) No conservar copias locales o personales de información confidencial.
d) Confirmar, si se solicita, la eliminación o devolución de la información.
e) Mantener la obligación de confidencialidad incluso después de finalizar la relación con Blue Human.

13. Incidentes de confidencialidad y seguridad

Cualquier persona que tenga conocimiento o sospecha de una brecha de confidencialidad, pérdida de información, envío erróneo, acceso indebido, filtración, robo de credenciales, publicación accidental, exposición de repositorios, acceso no autorizado o uso inadecuado de información confidencial deberá comunicarlo de inmediato a Blue Human.

La comunicación deberá realizarse a través de:

[indicar correo de seguridad o privacidad]

La comunicación temprana de incidentes es esencial para reducir daños, proteger a las personas afectadas, cumplir obligaciones legales y adoptar medidas correctoras.

No se sancionará la comunicación de buena fe de un incidente o sospecha de incidente. La ocultación deliberada, la demora injustificada o la falta de cooperación podrán considerarse incumplimientos graves.

14. Excepciones

La obligación de confidencialidad no se aplicará a información que:

a) Sea pública sin incumplimiento de esta política.
b) Ya fuera conocida legítimamente por la persona antes de recibirla de Blue Human.
c) Haya sido recibida legítimamente de un tercero sin obligación de confidencialidad.
d) Deba comunicarse por obligación legal, requerimiento judicial, administrativo o de autoridad competente.
e) Deba comunicarse para proteger intereses vitales, seguridad física o integridad de una persona, siempre que la comunicación sea necesaria y proporcionada.

En caso de duda sobre si una información puede comunicarse, deberá consultarse previamente con Blue Human.

15. Relación con la protección de datos personales

Esta Política de Confidencialidad complementa la Política de Privacidad de Blue Human y las obligaciones derivadas de la normativa de protección de datos.

Cuando la información confidencial contenga datos personales, su tratamiento deberá cumplir con el Reglamento General de Protección de Datos, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, y demás normativa aplicable.

Todas las personas que intervengan en cualquier fase del tratamiento de datos personales estarán sujetas al deber de confidencialidad, incluso después de finalizar su relación con Blue Human.

16. Incumplimiento

El incumplimiento de esta política podrá dar lugar, según la naturaleza de la relación y la gravedad de los hechos, a:

a) Retirada de accesos.
b) Finalización de la colaboración, voluntariado, contrato o relación con Blue Human.
c) Reclamación de daños y perjuicios.
d) Comunicación a autoridades competentes cuando proceda.
e) Ejercicio de acciones legales.
f) Adopción de medidas internas de contención, investigación y corrección.

Se considerarán especialmente graves las conductas que impliquen exposición de víctimas, menores, testigos, denunciantes, personas vulnerables, defensores de derechos humanos, comunidades afectadas, credenciales, bases de datos, evidencias o información que pueda poner en riesgo la seguridad de personas o proyectos.

17. Compromiso de confidencialidad

Toda persona que acceda a información confidencial de Blue Human se compromete a:

a) Leer, comprender y cumplir esta Política de Confidencialidad.
b) Tratar la información con diligencia, prudencia y respeto.
c) No divulgar, utilizar indebidamente ni conservar información confidencial sin autorización.
d) Proteger especialmente la información relativa a personas vulnerables, víctimas, testigos, menores y comunidades afectadas.
e) Comunicar cualquier incidente o sospecha de incidente de forma inmediata.
f) Mantener la confidencialidad incluso tras finalizar su relación con Blue Human.

18. Actualización de esta política

Blue Human podrá actualizar esta Política de Confidencialidad para adaptarla a cambios normativos, técnicos, organizativos, operativos o de actividad.

La versión vigente será la publicada o comunicada por Blue Human en cada momento.

19. Anexo: cláusula breve de confidencialidad para colaboradores

La siguiente cláusula podrá incorporarse a acuerdos de voluntariado, colaboración, prestación de servicios, alianzas o participación en proyectos:

> La persona colaboradora se compromete a mantener estricta confidencialidad sobre toda información no pública a la que tenga acceso en el marco de su relación con Blue Human, incluyendo datos personales, información sensible, reportes, testimonios, evidencias, documentación interna, información técnica, estratégica, operativa o relativa a personas beneficiarias, víctimas, testigos, menores, comunidades afectadas, entidades aliadas o proyectos de la organización.
>
> La información solo podrá utilizarse para las finalidades expresamente autorizadas por Blue Human y no podrá ser divulgada, copiada, cedida, publicada, almacenada en medios no autorizados ni comunicada a terceros sin autorización previa o base jurídica suficiente.
>
> Esta obligación se mantendrá durante toda la relación con Blue Human y continuará vigente tras su finalización. El incumplimiento de esta obligación podrá dar lugar a la retirada de accesos, finalización de la colaboración, reclamación de daños y perjuicios y, en su caso, ejercicio de las acciones legales que correspondan.

20. Información de contacto

Para cualquier consulta relacionada con esta Política de Confidencialidad o para comunicar un incidente, puede contactarse con Blue Human en:

Correo electrónico: seguridad@bluehuman.org
Web: www.bluehuman.org