Política de Utilização das Infraestruturas Tecnológicas
O Instituto Politécnico de Bragança (doravante designado por IPB) reconhece o direito dos cidadãos à proteção dos seus dados pessoais, garantindo que todos os titulares de dados pessoais, que confiam o tratamento dos mesmos ao IPB, têm conhecimento da finalidade e do processo de tratamento da informação prestada, bem como, quais os direitos que lhes assistem nesta matéria e a forma de exercício dos mesmos, nos termos e em conformidade com o disposto no artigo 8.º n.º 1 da Carta dos Direitos Fundamentais da União Europeia («Carta»), do artigo 16.º n.º 1 do Tratado sobre o Funcionamento da União Europeia (TFUE) e do Regulamento Geral da Proteção de dados (RGPD).
Neste contexto, e tendo presente que a persecução de tais desígnios depende de uma combinação sólida de utilizadores responsáveis, tecnologias adequadas e processos seguros, o IPB, ao abrigo do disposto no artigo 24.º n.º 2 do RGPD, e em estrito cumprimento das exigências legalmente prescritas pelos artigos 136.º, n.º 1 e 136.º, n.º 4 do Código de Procedimento Administrativo (aprovado pelo Decreto-Lei n.º 4/2015, de 07 de janeiro), estabelece a presente Política de Utilização das Infraestruturas Tecnológicas, visando a facilitação da aplicação efetiva do RGPD no quadro das características e especificidades próprias que lhe são colocadas enquanto Instituição de Ensino Superior Pública.
- Objeto e âmbito de aplicação
A Política de Utilização das infraestruturas tecnológicas do IPB tem como objetivo definir os princípios orientadores para uma utilização correta e responsável dos recursos tecnológicos, com vista à segurança da organização dos seus utilizadores e da prossecução da Missão do IPB.
- Utilizadores
Consideram-se utilizadores das infraestruturas tecnológicas do IPB os seguintes utilizadores com vínculo contratual, nomeadamente: docentes, investigadores, trabalhadores não docentes, bolseiros e outros prestadores de serviços. São ainda considerados como utilizadores, estudantes, aposentados e docentes Jubilados ou Eméritos. É ainda possível a criação de contas para outros elementos com ligação eventual ou temporária ao IPB, sendo que o registo destes utilizadores necessita da responsabilização de um utilizador com vínculo contratual e competências para tal.
Aplica-se ainda a utilizadores sem vínculo com o IPB e que de forma ocasional utilizam as infraestruturas tecnológicas para fins variados como apresentação de candidaturas, inscrições em cursos ou ainda para usufruto de um serviço prestado pelo IPB através de meios eletrónicos.
Atento o tipo e perfil de utilizador bem como as suas necessidades, o acesso às infraestruturas tecnológicas poderá ser concedido de forma diferenciada.
- Princípios gerais
A utilização das infraestruturas tecnológicas do IPB deverá ser efetuada em estrita consonância com os Estatutos da instituição, tendo em vista a prossecução da Missão a que a mesma se encontra adstrita, nos termos do art.º 2.º da Lei n.º 62/2007, de 10 de setembro (a qual aprova o Regime Jurídico das Instituições de Ensino Superior).
Na utilização das infraestruturas do IPB aplica-se o princípio da utilização responsável, aplicável a todos os seus utilizadores. O IPB reserva-se o direito de alterar as condições aqui expressas e aplicar medidas de contenção nas situações em que entender que a utilização dos seus recursos tecnológicos não está de acordo com o exposto.
Não é permitida a utilização das infraestruturas tecnológicas do IPB, nomeadamente, para fins comerciais ou, de uma maneira geral, para fins não compatíveis com a finalidade institucional do IPB. A utilização para fins publicitários das infraestruturas tecnológicas só é autorizada para divulgação de atividades enquadradas na Missão do Instituto.
Espera-se que as condutas dos utilizadores estejam de acordo com as leis aplicáveis e com o disposto na presente política, sendo que a ignorância das mesmas não serve de justificação para a sua violação.
- Restrições
Sendo o IPB uma entidade utilizadora da rede RCTS (Rede para a Ciência, Tecnologia e Sociedade, da FCCN), não é permitida qualquer utilização das infraestruturas tecnológicas do IPB que viole as regras estabelecidas na Carta ao Utilizador daquela rede (regras disponíveis em www.fccn.pt).
Na utilização das infraestruturas tecnológicas do IPB não é permitida qualquer ação que viole as normas estabelecidas no presente documento ou as disposições legais em vigor, com especial ênfase nas disposições consignadas na legislação aplicável em matéria de segurança do ciberespaço, proteção de dados pessoais e criminalidade informática.
A utilização de recursos do IPB deverá nortear-se por uma utilização responsável, não sendo consideradas utilização responsável situações que interfiram ou possam interferir, de forma lesiva, com outros utilizadores ou serviços, sejam eles internos ou externos ao IPB, nomeadamente:
- com o propósito do exercício de atividades ilegais ou ilegítimas;
- com o propósito de desrespeitar a integridade física e moral dos membros da comunidade académica e do público em geral, em atos de promoção de assédio, xenofobia, terrorismo ou difamação;
- para criação, transmissão ou acesso a conteúdos sem respeito pelos direitos de propriedade intelectual, copyright ou trademark;
- para o exercício de atividades privadas, incluindo mineração de criptomoedas e venda de serviços e produtos;
- para obter ou tentar obter acesso não autorizado ou para identificar vulnerabilidades em sistemas ou infraestruturas tecnológicas;
- outras situações que não estando discriminadas anteriormente possam interferir com a segurança das infraestruturas e a sua utilização responsável.
Os recursos disponibilizados através das infraestruturas tecnológicas do IPB não poderão ser disponibilizados a terceiros – a título de venda, aluguer ou cedência.
Em certos casos, e sempre na dependência de autorização prévia do Presidente do IPB ou em quem ele delegue, o acesso poderá ser facultado a terceiros, nomeadamente quando se trate de instituições do sistema de ensino, ciência, tecnologia e cultura, com as quais o IPB tenha colaboração.
Qualquer utilização não autorizada dos recursos disponibilizados pelas infraestruturas tecnológicas do IPB é considerada como uso indevido e, como tal, passível nomeadamente de procedimento disciplinar e criminal.
- Identificação e Autorização de utilizadores
Com exceção dos conteúdos disponibilizados publicamente, o acesso aos recursos do IPB é efetuado mediante a atribuição de credenciais de acesso específicas.
O princípio base de criação de contas de utilizadores para acesso às infraestruturas tecnológicas do IPB atende ao perfil do utilizador bem como ao recurso e/ou serviço que o mesmo necessita de aceder, tendo também em consideração que o IPB, como fornecedor de Identidade, tem como responsabilidade o fornecimento de asserções de identidade confiáveis e exatas a serviços próprios e de terceiros, tornando-se essencial garantir um processo de atribuição de credenciais com elevado grau de confiabilidade e segurança, obrigando a uma maior responsabilização dos intervenientes em todo o processo.
São elegíveis para a atribuição de contas de acesso a recursos os utilizadores identificados no ponto 2, com um vínculo contratual ou eventual, estando o responsável pela atribuição da conta encarregue pela identificação do cidadão, garantindo a existência de um motivo legítimo e distinguindo claramente os tipos de identidade registados nos sistemas (utilizadores, genéricas, contas não humanas, etc.).
O IPB, no processo de atribuição de identidade a utilizadores, recolhe no mínimo os dados: nome, email e número de identificação institucional do titular. As contas associadas a um utilizador são sempre acompanhadas de uma data de expiração adequada ao perfil e motivo que justifica a sua criação, consubstanciando o direito de acesso, estando no limite máximo alinhada pelo terminus do vínculo ou motivo de criação.
As contas de utilizadores são criadas pelos responsáveis das infraestruturas tecnológicas do IPB no âmbito das suas atribuições.
Nos casos em que o acesso aos recursos por parte de um utilizador carece de uma autorização, esta atribuição deverá ser devidamente fundamentada para que atenda ao perfil e funções, sendo concedida pela entidade do Instituição responsável pelo serviço.
Assim, para além das situações atrás identificadas, poderão ser criadas contas de utilizador de cariz temporário e com permissões limitadas, para acesso a redes sem fio e outros serviços eletrónicos expostos na Internet.
A autorização de acesso aos recursos pressupõe a aceitação expressa da presente política, mantendo-se válida enquanto subsistir o direito de acesso. A mesma pode ser suspensa ou cancelada em caso de incumprimento ou por razões de segurança.
As autorizações atribuídas são pessoais e intransmissíveis, competindo ao utilizador manter a confidencialidade e proteção das credenciais que lhe sejam atribuídas.
- Privacidade e tratamento de dados pessoais
O IPB no âmbito da prossecução da sua Missão e atribuições recolhe alguns dados pessoais dos utilizadores durante a utilização das suas infraestruturas.
O IPB garante o estrito cumprimento da legislação em vigor em matéria de proteção de dados e privacidade, bem como pauta a sua atividade pela garantia dos direitos e liberdades dos utilizadores, de acordo com a sua Política de Proteção de Dados e de Privacidade.
- Monitorização e conservação de registos
No cumprimento das respetivas obrigações legais e estatutárias, o IPB monitoriza e regista a utilização das infraestruturas tecnológicas sob sua gestão, designadamente, com o objetivo de conservar os registos considerados necessários para o correto suporte técnico dos equipamentos e garantia da segurança das infraestruturas do Instituto. Tal monitorização será realizada em consonância com os requisitos mínimos das Redes e Sistemas de Informação preceituados na Resolução de Conselho de Ministros 41/2018, no estrito cumprimento do interesse da organização e dos seus utilizadores.
No âmbito da monitorização, o IPB garante a não interferência nas comunicações eletrónicas protegidas por algoritmos criptográficos, respeitando os direitos, bem como a privacidade e liberdade dos seus utilizadores.
O IPB recolhe os dados referentes à utilização das infraestruturas de forma pseudonimizada, compreendendo unicamente os dados necessários para os efeitos previamente identificados, nomeadamente endereços IP, portos, protocolos, data, hora, browser user-agent e metadados relativos às camadas 3 e 4 do modelo Open System Interconnection (OSI). No âmbito de alguns serviços poderão ser tratados mais dados, sendo o utilizador previamente informado dos dados adicionais nas condições de utilização de cada serviço.
Na ausência de outro prazo de conservação definido nas condições de utilização próprias do serviço ou por imposição legal, os registos serão mantidos por um período máximo de 24 meses.
É expressamente proibido o acesso a estes registos a qualquer pessoa externa ao IPB. O acesso por técnicos do IPB apenas é autorizado no âmbito do processo de monitorização de segurança das infraestruturas ou em situações excecionais e justificadas para despistes técnicos ou cumprimento de obrigações legais.
- Incumprimento e resposta a incidentes
No âmbito das suas competências de resposta a incidentes de segurança e deteção de vulnerabilidades, a equipa do IPB responsável analisa os casos de incumprimento das presentes disposições.
Para cada caso, notifica o gestor da infraestrutura, o responsável máximo da unidade respetiva e o infrator, se identificado, e avalia da decisão de suspensão temporária do acesso às infraestruturas tecnológicas ou outras medidas que permitam mitigar os impactos. Nas situações em que envolva dados pessoais notifica o Encarregado de Proteção de Dados.
- Responsabilidade
O IPB não assume qualquer responsabilidade pelo uso das suas infraestruturas quando este envolva alguma atuação contrária à lei, aos estatutos e regulamentos e às presentes disposições, impendendo tal responsabilidade sobre os utilizadores.
- Alterações à política de utilização das infraestruturas tecnológicas
O IPB reserva-se o direito de, a qualquer altura, proceder a alterações à presente Política de Utilização das Infraestruturas Tecnológicas, sendo essas alterações devidamente publicitadas.