A Universidade do Porto reconhece o direito dos cidadãos à proteção dos seus dados pessoais, assegurando que todos os titulares de dados pessoais, que confiam o tratamento dos mesmos à UP, têm conhecimento da finalidade e do processo de tratamento da informação prestada, bem como, quais os direitos que lhes assistem nesta matéria e a forma de exercício dos mesmos, nos termos e em conformidade com o disposto no artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («Carta»), do artigo 16.º,n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) e do Regulamento Geral da Proteção de dados (RGPD).

Neste contexto, e tendo presente que a persecução de tais desígnios depende de uma combinação sólida de utilizadores responsáveis, tecnologias adequadas e processos seguros, a Universidade do Porto, ao abrigo do disposto no artigo 24.º, n.º 2 do RGPD, e em estreito cumprimento das exigências legalmente prescritas pelos artigos 136.º, n.º 1, e 136.º, n.º 4 do Código de Procedimento Administrativo (aprovado pelo Decreto-Lei n.º 4/2015, de 07 de Janeiro), estabelece a presente Política de Proteção de Dados Pessoais, tendo em vista a facilitação da aplicação efetiva do RGPD no quadro das características e especificidades próprias que lhe são colocadas enquanto Instituição de Ensino Superior Pública.

1. Objeto e âmbito de aplicação

A Política de Utilização Aceitável (PUA) das infraestruturas tecnológicas da Universidade do Porto tem como objetivo estabelecer os princípios orientadores para uma utilização correta e responsável dos recursos tecnológicos da Universidade, com vista à salvaguarda da reputação da instituição, da segurança da organização e dos seus utilizadores e da persecução da Missão da Universidade do Porto.

A presente política aplica-se subsidiariamente à regulamentação específica aprovada pelas entidades competentes das unidades orgânicas da Universidade do Porto, sendo aplicável a todos os utilizadores referidos no ponto 2.

2. Utilizadores

Consideram-se utilizadores das infraestruturas tecnológicas da Universidade do Porto os seguintes utilizadores com vínculo contratual, nomeadamente: docentes, investigadores, bolseiros, trabalhadores não docentes e outros prestadores de serviços. Além destes, são ainda considerados como utilizadores, estudantes, alumni da U. Porto, aposentados e docentes Jubilados ou Eméritos. É ainda possível a criação de contas para outros com ligação eventual ou temporária à Universidade do Porto, sendo que o registo destes utilizadores necessita da responsabilização de um utilizador com vínculo contratual e competências para tal.

Aplica-se ainda a utilizadores sem vínculo com a Universidade e que de forma ocasional utilizam as infraestruturas tecnológicas para fins variados como, apresentação de candidaturas, inscrições em cursos, ou ainda para usufruto de um serviço prestado pela Universidade através de meios eletrónicos.

Atento o tipo e perfil de utilizador bem como as suas necessidades, o acesso às infraestruturas tecnológicas poderá ser concedido de forma diferenciada.

3. Princípios gerais

A utilização das infraestruturas tecnológicas da Universidade do Porto deverá ser realizada em estreita consonância com os Estatutos da Universidade do Porto, tendo em vista a prossecução da Missão a que a mesma se encontra adstrita, nos termos do art.º 2.º da Lei n.º 62/2007, de 10 de setembro (a qual aprova o Regime Jurídico das Instituições de Ensino Superior), enquanto Instituição de Ensino Superior Pública.

Na utilização das infraestruturas da Universidade do Porto aplica-se o princípio da utilização responsável, aplicável a todos os seus utilizadores, estabelecido neste documento. A Universidade reserva-se o direito de alterar as condições aqui expressas e aplicar medidas de contenção nas situações em que entender que a utilização dos seus recursos tecnológicos não está de acordo com o exposto.

Não é permitida a utilização das infraestruturas tecnológicas da Universidade do Porto, nomeadamente, para fins comerciais ou, de uma maneira geral, para fins não compatíveis com a finalidade institucional da Universidade do Porto. A utilização para fins publicitários das infraestruturas tecnológicas só é autorizada para divulgação de atividades enquadradas na Missão da Universidade.

Espera-se que as condutas dos utilizadores estejam de acordo com as leis aplicáveis e com o disposto nesta política, sendo que a ignorância das mesmas não serve de justificação para a sua violação.

4. Restrições

Sendo a Universidade do Porto uma entidade utilizadora da rede RCTS (Rede para a Ciência, Tecnologia e Sociedade, da FCCN), não é permitida qualquer utilização das infraestruturas tecnológicas da Universidade do Porto que viole as regras estabelecidas na Carta ao Utilizador daquela rede (regras disponíveis em www.fccn.pt).

Na utilização das infraestruturas tecnológicas da Universidade do Porto não é permitida qualquer ação que viole as normas estabelecidas no presente documento ou as disposições legais em vigor, com especial ênfase nas disposições consignadas na legislação aplicável em matéria de segurança do ciberespaço, proteção de dados pessoais e criminalidade informática.

A utilização de recursos da Universidade deverá nortear-se por uma utilização responsável, não sendo consideradas utilização responsável situações que interfiram ou possam interferir, de forma lesiva, com outros utilizadores ou serviços, sejam eles internos ou externos à Universidade do Porto, nomeadamente:

  1. com o propósito do exercício de atividades ilegais ou ilegítimas;
  2. com o propósito de desrespeitar a integridade física e moral dos membros da comunidade académica e do publico em geral em particular, em atos de promoção de assédio, xenofobia, terrorismo ou difamação;
  3. para criação, transmissão ou acesso a conteúdos sem respeito pelos direitos de propriedade intelectual, copyright ou trademark;
  4. para o exercício de atividades privadas, incluindo mineração de criptomoedas e venda de serviços e produtos;
  5. para obter ou tentar obter acesso não autorizado, para identificar vulnerabilidades, em sistemas ou infraestruturas tecnológicas.
  6. outras situações que não estando discriminadas anteriormente possam interferir com a segurança das infraestruturas e a sua utilização responsável.

Os recursos disponibilizados através das infraestruturas tecnológicas da Universidade do Porto não poderão ser disponibilizados a terceiros – a título de venda, aluguer ou cedência – pelas Unidades Orgânicas, Serviços Autónomos, Reitoria ou demais utilizadores que a ela estejam ligados.

Em certos casos, e sempre na dependência de autorização prévia do Reitor da Universidade do Porto ou em quem ele delegue, o acesso poderá ser facultado a terceiros, nomeadamente e apenas quando se trate de instituições do sistema de ensino, ciência, tecnologia e cultura, com as quais a Universidade do Porto tenha colaboração.

Qualquer utilização não autorizada dos recursos disponibilizados pelas infraestruturas tecnológicas da Universidade do Porto é considerada como uso indevido e, como tal, passível nomeadamente de procedimento disciplinar e criminal.

5. Identificação e Autorização de utilizadores

Com exceção dos conteúdos disponibilizados publicamente, o acesso aos recursos da Universidade é efetuado mediante a atribuição de credencias de acesso especificas.

O princípio base de criação de contas de utilizadores para acesso às infraestruturas tecnológicas da Universidade atende ao perfil do utilizador bem como ao recurso e/ou serviço que o mesmo necessita de aceder. Tendo também em consideração que a Universidade do Porto como fornecedora de Identidade tem como responsabilidade o fornecimento de asserções de identidade confiáveis e exatas, a serviços próprios e de terceiros, torna-se essencial garantir um processo de atribuição de credenciais com elevado grau de confiabilidade e segurança, obrigando a uma maior responsabilização dos intervenientes em todo o processo.

São elegíveis para a atribuição de contas de acesso a recursos os utilizadores identificados no ponto 2, com um vínculo contratual ou eventual, estando o responsável pela atribuição da conta encarregue pela identificação do cidadão, garantindo a existência de um motivo legítimo, distinguindo claramente os tipos de identidade registados nos sistemas (utilizadores, genéricas, contas não humanas, etc.).

A Universidade do Porto no processo de atribuição de identidade a utilizadores recolhe no mínimo os dados: nome, email e número de identificação U. PORTO (atribuído pelo SIGARRA) do titular. As contas associadas a um utilizador são sempre acompanhadas de uma data de expiração adequada ao perfil e motivo que justifica a sua criação, consubstanciando o direito de acesso, estando no limite máximo alinhada pelo terminus do vínculo ou motivo de criação.

As contas de utilizadores são criadas pelos responsáveis das infraestruturas tecnológicas da U. PORTO no âmbito das suas atribuições.

Nos casos em que o acesso aos recursos por parte de um utilizador carece de uma autorização, esta atribuição deverá ser devidamente fundamentada que atenda ao perfil e funções, sendo concedida pela entidade da Universidade responsável pelo serviço.

Assim para além das situações atrás identificadas, poderão ser criadas contas de utilizador de cariz temporário e com permissões limitadas, para acesso a redes sem fio, SIGARRA e outros serviços eletrónicos expostos na Internet.

A autorização de acesso aos recursos pressupõe a aceitação expressa da presente política, mantendo-se válida enquanto subsistir o direito de acesso. A mesma pode ser suspensa ou cancelada em caso de incumprimento ou por razões de segurança.

As autorizações atribuídas são pessoais e intransmissíveis, competindo ao utilizador manter a confidencialidade e proteção das credenciais que lhe sejam atribuídas.

6. Privacidade e tratamento de dados pessoais

A Universidade do Porto no âmbito da persecução da sua Missão e atribuições recolhe alguns dados pessoais dos utilizadores durante a utilização das suas infraestruturas.

A Universidade do Porto garante o estrito cumprimento da legislação em vigor em matéria de proteção de dados e privacidade, bem como pauta a sua atividade pela garantia dos direitos e liberdades dos utilizadores, de acordo com a sua Política de Proteção de Dados e o seu Código de Ética.

7. Monitorização e conservação de registos

No cumprimento das respetivas obrigações legais e estatutárias, a Universidade do Porto monitoriza e regista a utilização das infraestruturas tecnológicas sob sua gestão, designadamente, com o objetivo de conservar os registos considerados necessários para o correto suporte técnico dos equipamentos e garantir segurança das infraestruturas da Universidade. Tal monitorização será realizada em consonância com os requisitos mínimos das Redes e Sistemas de Informação preceituados na Resolução de Conselho de Ministros 41/2018, no estrito cumprimento do interesse da organização e dos seus utilizadores.

No âmbito da monitorização a Universidade do Porto garante a não interferência nas comunicações eletrónicas protegidas por algoritmos criptográficos, respeitando os direitos, bem como a privacidade e liberdade dos seus utilizadores.

A Universidade recolhe os dados referentes à utilização das infraestruturas de forma pseudonimizada, compreendendo unicamente os dados necessários para os efeitos previamente identificados, nomeadamente endereços IP, portos, protocolos, data, hora, browser user-agent e metadados relativos às camadas 3 e 4 do modelo Open System Interconnection (OSI). No âmbito de alguns serviços poderão ser tratados mais dados, sendo o utilizador previamente informado dos dados adicionais nas condições de utilização de cada serviço.

Na ausência de outro prazo de conservação definido nas condições de utilização próprias do serviço ou por imposição legal, os registos serão mantidos por um período máximo de 24 meses.

É expressamente proibido o acesso a estes registos a qualquer pessoa externa à Universidade do Porto. O acesso por técnicos da Universidade apenas é autorizado no âmbito do processo de monitorização de segurança das infraestruturas ou em situações excecionais e justificadas para despistes técnicos ou cumprimento de obrigações legais.

8. Incumprimento e resposta a incidentes

No âmbito das suas competências de resposta a incidentes de segurança e deteção de vulnerabilidades, a equipa da Universidade do Porto responsável (CSIRT.UPORTO) analisa os casos de incumprimento das presentes disposições.

Para cada caso, notifica o gestor da infraestrutura, o Diretor da Entidade Constitutiva e o infrator, se identificado, e avalia da decisão de suspensão temporária do acesso às infraestruturas tecnológicas ou outras medidas que permitam mitigar os impactos. Nas situações em que envolva dados pessoais notifica o Encarregado de Proteção de Dados.

9. Responsabilidade

A Universidade do Porto não assume qualquer responsabilidade pelo uso das suas infraestruturas quando este envolva alguma atuação contrária à lei, aos estatutos e regulamentos e às presentes disposições, impendendo tal responsabilidade sobre os utilizadores.

10. Alterações à política de utilização aceitável das infraestruturas tecnológicas

A Universidade do Porto reserva-se o direito de, a qualquer altura, proceder a reajustamentos ou alterações à presente Política de Utilização Aceitável das Infraestruturas Tecnológicas, sendo essas alterações devidamente publicitadas.

11. Questões e Sugestões

Para saber mais sobre a forma como a Universidade do Porto trata os seus dados pessoais, ou para esclarecer qualquer dúvida, apresentar uma reclamação ou comentário sobre matérias relativas a Política de Utilização Aceitável das Infraestruturas Tecnológicas:

Contactos

Universidade do Porto
Praça Gomes Teixeira, S/N
4099-002 Porto, Portugal
+351 220 408 000
[email protected]