Política de Utilização Aceitável

Política de Utilização Aceitável das Tecnologias de Informação e Comunicação da UMa

A Universidade da Madeira (UMa) reconhece o direito dos cidadãos à proteção dos seus dados pessoais, assegurando que todos os titulares de dados pessoais, que lhe confiem o tratamento dos mesmos, têm conhecimento da finalidade e do processo de tratamento da informação prestada, bem como, dos direitos que lhes assistem nesta matéria e a forma de exercício dos mesmos, nos termos e em conformidade com o disposto no artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («Carta»), do artigo 16.º,n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) e do Regulamento Geral da Proteção de dados (RGPD).

Neste contexto, e tendo presente que a persecução de tais desígnios depende de uma combinação sólida de utilizadores responsáveis, tecnologias adequadas e processos seguros, a Universidade da Madeira, ao abrigo do disposto no artigo 24.º, n.º 2 do RGPD, e em estreito cumprimento das exigências legalmente prescritas pelos artigos 136.º, n.º 1, e 136.º, n.º 4 do Código de Procedimento Administrativo (aprovado pelo Decreto-Lei n.º 4/2015, de 07 de Janeiro), estabelece a presente Política de Utilização Aceitável, tendo em vista a facilitação da aplicação efetiva do RGPD no quadro das características e especificidades próprias que lhe são colocadas enquanto Instituição de Ensino Superior Pública.

1. Objeto e Âmbito de Aplicação

A Política de Utilização Aceitável (doravante “PUA”) das tecnologias de informação e comunicação da Universidade da Madeira tem como objetivo estabelecer os princípios orientadores para uma utilização correta e responsável dos sistemas informáticos e das redes de telecomunicações, com vista à segurança da instituição e à proteção dos interesses dos seus utilizadores e da persecução da Missão da Universidade da Madeira.

A presente política aplica-se subsidiariamente à regulamentação específica aprovada pelas entidades competentes das unidades orgânicas da Universidade da Madeira, sendo aplicável a todos os utilizadores referidos no ponto 2.

A UMa reserva-se o direito de, sempre que exista violação das regras da PUA, proceder, de imediato, à remoção ou impossibilitar o acesso aos conteúdos ilegais ou quaisquer outros que, da mesma forma, constituam uma violação da PUA ou que obstem ao normal funcionamento dos serviços prestados.

A PUA tem caráter extra contratual e será revista periodicamente, pela UMa, sem aviso prévio aos utilizadores, estando, porém, permanentemente disponível em linha, a versão atualizada da PUA, no site uma.pt.

2. Utilizadores

Consideram-se utilizadores das tecnologias de informação e comunicação da Universidade da Madeira os seguintes utilizadores com vínculo contratual, nomeadamente: docentes, investigadores, bolseiros, trabalhadores não docentes e outros prestadores de serviços. Além destes, são ainda considerados como utilizadores, estudantes, alumni da UMa, aposentados e docentes Jubilados ou Eméritos. É ainda possível a criação de contas para outros com ligação eventual ou temporária à Universidade da Madeira, sendo que o registo destes utilizadores necessita da responsabilização de um utilizador com vínculo contratual e competências para tal.

Aplica-se ainda a utilizadores sem vínculo com a Universidade e que de forma ocasional utilizam as infraestruturas tecnológicas para fins variados como, apresentação de candidaturas, inscrições em cursos, ou ainda para usufruto de um serviço prestado pela Universidade através de meios eletrónicos

Atento o tipo e perfil de utilizador bem como as suas necessidades, o acesso às infraestruturas tecnológicas poderá ser concedido de forma diferenciada.

3. Princípios gerais

A utilização das tecnologias de informação e comunicação da Universidade da Madeira deverá ser realizada em estreita consonância com os Estatutos da Universidade da Madeira, tendo em vista a prossecução da Missão a que a mesma se encontra adstrita, nos termos do art.º 2.º da Lei n.º 62/2007, de 10 de setembro (a qual aprova o Regime Jurídico das Instituições de Ensino Superior), enquanto Instituição de Ensino Superior Pública.

Na utilização das tecnologias de informação e comunicação da Universidade da Madeira aplica-se o princípio da utilização responsável, aplicável a todos os seus utilizadores, estabelecido neste documento. A Universidade reserva-se o direito de alterar as condições aqui expressas e aplicar medidas de contenção nas situações em que entender que a utilização dos seus recursos tecnológicos não está de acordo com o exposto.

Não é permitida a utilização das tecnologias de informação e comunicação da Universidade da Madeira, nomeadamente, para fins comerciais ou, de uma maneira geral, para fins não compatíveis com a finalidade institucional da Universidade da Madeira. A utilização das tecnologias de informação e comunicação para fins publicitários só é autorizada para divulgação de atividades enquadradas na Missão da Universidade.

Espera-se que as condutas dos utilizadores estejam de acordo com as leis aplicáveis e com o disposto nesta política, sendo que a ignorância das mesmas não serve de justificação para a sua violação.

4. Restrições

Sendo a Universidade da Madeira uma entidade utilizadora da rede RCTS (Rede para a Ciência, Tecnologia e Sociedade, da FCCN), não é permitida qualquer utilização das tecnologias de informação e comunicação da Universidade da Madeira que viole as regras estabelecidas na Carta ao Utilizador daquela rede (regras disponíveis em www.fccn.pt).

Na utilização das tecnologias de informação e comunicação da Universidade da Madeira não é permitida qualquer ação que viole as normas estabelecidas no presente documento ou as disposições legais em vigor, com especial ênfase nas disposições consignadas na legislação aplicável em matéria de segurança do ciberespaço, proteção de dados pessoais e criminalidade informática.

A utilização de recursos da Universidade deverá nortear-se por uma utilização responsável, não sendo consideradas como tal situações que interfiram ou possam interferir, de forma lesiva, com outros utilizadores ou serviços, sejam eles internos ou externos à Universidade da Madeira.

Os recursos disponibilizados através das tecnologias de informação e comunicação da Universidade da Madeira não poderão ser disponibilizados a terceiros – a título de venda, aluguer ou cedência – pelas Unidades Orgânicas, Serviços Autónomos, Reitoria ou demais utilizadores que a ela estejam ligados.

Em certos casos, e sempre na dependência de autorização prévia do Reitor da Universidade da Madeira ou em quem ele delegue, o acesso poderá ser facultado a terceiros, nomeadamente e apenas quando se trate de instituições do sistema de ensino, ciência, tecnologia e cultura, com as quais a Universidade da Madeira tenha colaboração.

Qualquer utilização não autorizada dos recursos disponibilizados pelas tecnologias de informação e comunicação da Universidade da Madeira é considerada como uso indevido e, como tal, passível nomeadamente de procedimento disciplinar e criminal.

5. Regras sobre Segurança de Redes e Sistemas

1. Não é permitido ao utilizador das tecnologias de informação e comunicação a violação (ou tentativa de violação) de qualquer sistema de autenticação ou segurança que proteja contas de acesso, servidores, serviços ou redes. Nos casos de violação incluem-se, nomeadamente:

a) Acesso não autorizado a dados alheios (quebra de privacidade);

b) Pesquisa não autorizada de vulnerabilidades em servidores, serviços ou redes, nomeadamente deteção sistemática de resposta a serviços (Scan);

c) Entrada ou tentativa de entrada em máquinas sem autorização expressa dos responsáveis (Break In);

2. Não é permitido ao utilizador interferir intencionalmente no bom funcionamento de servidores, serviços ou redes. Nestes casos incluem-se, nomeadamente:

a) Ações de sobrecarga, combinadas ou não com exploração de vulnerabilidades de sistemas, que visem sabotar o funcionamento de serviços, (Denial of Service);

b) Envio massivo de pacotes (Flooding);

c) Quaisquer tipos de tentativas de entravar ou perturbar servidores, serviços ou redes;

d) Instalação, utilização e disponibilização de PROXYS de uso da conectividade disponibilizada para outros fins que não os da utilização do serviço contratado;

e) A manutenção de servidores OPEN RELAY;

f) Introdução de vírus informáticos, "worms", código prejudicial e/ou "cavalos de Tróia".

3. Não é permitida a interceção de dados em qualquer rede ou servidor sem autorização expressa dos legítimos proprietários.

4. Não é permitido falsificar (introduzir, modificar, suprimir ou apagar, no todo ou em parte) dados, após a sua produção, com intenção de iludir e induzir em erro os recetores desses dados. Nos casos de falsificação incluem-se, sem se limitarem a isso:

a) Alteração de endereços IP (IP Spoofing);

b) Alteração da identificação de mensagens de Correio Eletrónico.

O acesso às redes pressupõe as responsabilidades inerentes ao uso de qualquer recurso da Universidade da Madeira e pode ser revogado em qualquer altura em que se verifique emprego inadequado.

Para proteger a integridade dos sistemas informáticos, os administradores autorizados pela Reitoria podem, quando necessário, suspender ou remover o acesso à rede ou aos computadores da Universidade da Madeira.

6. Regras sobre Segurança de Serviços Correio Eletrónico

O correio eletrónico é um meio de comunicação primariamente destinado a facilitar os processos académicos, administrativos, de investigação e de gestão. O seu uso obedece aos princípios de uso ético de recursos e da rede.

A utilização abusiva do correio eletrónico pode causar transtornos e prejuízos aos restantes utilizadores da rede, quer diretamente, quer indiretamente, ao pôr em causa o normal funcionamento dos sistemas de suporte ao serviço. Assim sendo, não é permitido:

a) O envio de mensagens de correio eletrónico a quem tenha (expressamente) declarado não as desejar receber;

b) A propagação de cartas em cadeia (chain letters), expedientes em pirâmide, ou outras mensagens de incómodo ou assédio.

7. Regras do Serviço de Alojamento

Todo o material colocado em páginas da Internet nos servidores da Universidade da Madeira deve obedecer às suas políticas oficiais, tais como a responsabilidade académica, a propriedade intelectual, o direito à privacidade, etc.

Regras Alojamento

1. A UMa coloca ao dispor das suas Faculdades e Centros de Investigação espaço para alojamento nos seus servidores e um endereço personalizado, com ou sem domínio próprio, para acesso às páginas alojadas.

2. O conteúdo das páginas alojadas é da exclusiva responsabilidade das suas Faculdades e Centros de Investigação e não deverá, de modo algum, conter informação que:

a) viole os direitos de autor, nomeadamente, contenha, software “pirata”, ficheiros de áudio (música) e vídeo (filmes) “piratas”. Esta restrição estende-se ao alojamento, instalação, execução, utilização e/ou disponibilização deste tipo de conteúdos e/ou aplicações;

b) seja considerada ilegal, ofensiva, pornográfica, pedófila ou discriminatória com base em religião, sexo ou raça;

c) incite à prática de atos criminosos;

d) promova o dano físico ou moral contra quaisquer pessoas;

e) explore ou incite a exploração de menores.

8. Regras sobre Conteúdos

A UMa reserva-se o direito de remover quaisquer aplicações ou restringir a prestação dos Serviços quando tenha conhecimento da existência de atividades ilegais, ou que violem o espírito de leis nacionais ou internacionais, desenvolvidas através desses meios, nomeadamente:

a) Violação de qualquer lei, de qualquer jurisdição aplicável, incluindo leis sobre os conteúdos ou publicidade que podem ser difundidos na Internet, ligadas, designadamente a: álcool, concorrência, proteção de menores, substâncias ilícitas, exportação, armamento, importação, privacidade, títulos de crédito, telecomunicações e tabaco;

b) Prática de atos desonestos ou de qualquer forma injustos, incluindo a divulgação ou comunicação de informação difamatória, escandalosa, ameaçadora, injuriosa, xenófoba, ou privada sem a permissão das pessoas afetadas, ou a divulgação de informação de tal forma que cause danos morais, quer devido à informação em si ou à frequência da sua divulgação;

c) Promoção, encorajamento ou defesa de violência contra qualquer estado, organização, grupo, indivíduo ou propriedade, ou divulgação de informação, formação ou apoio na concretização da referida violência;

d) Divulgação, envio ou receção de informação que viole direitos de "copyright", patentes, "trademarks", marcas comerciais, segredos comerciais, acordos de licenciamento de software ou outros direitos de propriedade intelectual de terceiros;

e) Exposição pública da UMa, dos seus dirigentes e funcionários ao desprezo ou ridículo;

f) Programas, Scripts ou Aplicações que coloquem em causa o normal funcionamento dos Serviços disponibilizados;

g) Exercício de atividades privadas, incluindo mineração de criptomoedas e venda de serviços e produtos;

h) Participar ou permitir a realização de jogos de fortuna ou azar.

9. Identificação e Autorização de utilizadores

Com exceção dos conteúdos disponibilizados publicamente, o acesso aos recursos da Universidade é efetuado mediante a atribuição de credencias de acesso especificas.

O princípio base de criação de contas de utilizadores para acesso às tecnologias de informação e comunicação da Universidade atende ao perfil do utilizador bem como ao recurso e/ou serviço que o mesmo necessita de aceder. Tendo também em consideração que a Universidade da Madeira como fornecedora de Identidade tem como responsabilidade o fornecimento de asserções de identidade confiáveis e exatas, a serviços próprios e de terceiros, torna-se essencial garantir um processo de atribuição de credenciais com elevado grau de confiabilidade e segurança, obrigando a uma maior responsabilização dos intervenientes em todo o processo.

São elegíveis para a atribuição de contas de acesso a recursos os utilizadores identificados no ponto 2, com um vínculo contratual ou eventual, estando o responsável pela atribuição da conta encarregue pela identificação do cidadão, garantindo a existência de um motivo legítimo, distinguindo claramente os tipos de identidade registados nos sistemas (utilizadores, genéricas, contas não humanas, etc.).

A Universidade da Madeira no processo de atribuição de identidade a utilizadores recolhe no mínimo os dados: nome e número de identificação do titular. As contas associadas a um utilizador são sempre acompanhadas de uma data de expiração adequada ao perfil e motivo que justifica a sua criação, consubstanciando o direito de acesso, estando no limite máximo alinhada pelo terminus do vínculo ou motivo de criação.

Nos casos em que o acesso aos recursos por parte de um utilizador carece de uma autorização, esta atribuição deverá ser devidamente fundamentada que atenda ao perfil e funções, sendo concedida pela entidade da Universidade responsável pelo serviço.

Assim para além das situações atrás identificadas, poderão ser criadas contas de utilizador de cariz temporário e com permissões limitadas, para acesso a redes sem fio e outros serviços eletrónicos expostos na Internet.

A autorização de acesso aos recursos pressupõe a aceitação expressa da presente política, mantendo-se válida enquanto subsistir o direito de acesso. A mesma pode ser suspensa ou cancelada em caso de incumprimento ou por razões de segurança.

As autorizações atribuídas são pessoais e intransmissíveis, competindo ao utilizador manter a confidencialidade e proteção das credenciais que lhe sejam atribuídas.

10. Privacidade e tratamento de dados pessoais

A Universidade da Madeira no âmbito da persecução da sua Missão e atribuições recolhe alguns dados pessoais dos utilizadores durante a utilização das suas infraestruturas.

A Universidade da Madeira garante o estrito cumprimento da legislação em vigor em matéria de proteção de dados e privacidade, bem como pauta a sua atividade pela garantia dos direitos e liberdades dos utilizadores, de acordo com a sua Política de Proteção de Dados e o seu Código de Ética.

11. Monitorização e conservação de registos

No cumprimento das respetivas obrigações legais e estatutárias, a Universidade da Madeira monitoriza e regista a utilização das tecnologias de informação e comunicação sob sua gestão, designadamente, com o objetivo de conservar os registos considerados necessários para o correto suporte técnico dos equipamentos e garantir segurança das infraestruturas da Universidade. Tal monitorização será realizada em consonância com os requisitos mínimos das Redes e Sistemas de Informação preceituados na Resolução de Conselho de Ministros 41/2018, no estrito cumprimento do interesse da organização e dos seus utilizadores.

No âmbito da monitorização a Universidade da Madeira garante a não interferência nas comunicações eletrónicas protegidas por algoritmos criptográficos, respeitando os direitos, bem como a privacidade e liberdade dos seus utilizadores.

A Universidade recolhe os dados referentes à utilização das infraestruturas de forma pseudonimizada, compreendendo unicamente os dados necessários para os efeitos previamente identificados, nomeadamente endereços IP, portos, protocolos, data, hora, browser user-agent e metadados relativos às camadas 3 e 4 do modelo Open System Interconnection (OSI). No âmbito de alguns serviços poderão ser tratados mais dados, sendo o utilizador previamente informado dos dados adicionais nas condições de utilização de cada serviço.

Na ausência de outro prazo de conservação definido nas condições de utilização próprias do serviço ou por imposição legal, os registos serão mantidos por um período máximo de 24 meses.

É expressamente proibido o acesso a estes registos a qualquer pessoa externa à Universidade da Madeira. O acesso por técnicos da Universidade apenas é autorizado no âmbito do processo de monitorização de segurança das infraestruturas ou em situações excecionais e justificadas para despistes técnicos ou cumprimento de obrigações legais.

12. Incumprimento e resposta a incidentes

No âmbito das suas competências de resposta a incidentes de segurança e deteção de vulnerabilidades, a equipa da Universidade da Madeira responsável pela segurança informática analisa os casos de incumprimento das presentes disposições.

Para cada caso, notifica o responsável pela segurança da informação e o infrator, se identificado, e avalia da decisão de suspensão temporária do acesso às tecnologias de informação e comunicação ou outras medidas que permitam mitigar os impactos. Nas situações em que envolva dados pessoais notifica o Encarregado de Proteção de Dados.

13. Responsabilidade

A Universidade da Madeira não assume qualquer responsabilidade pelo uso das suas infraestruturas quando este envolva alguma atuação contrária à lei, aos estatutos e regulamentos e às presentes disposições, impendendo tal responsabilidade sobre os utilizadores.

14. Alterações à política de utilização aceitável das tecnologias de informação e comunicação

Universidade da Madeira reserva-se o direito de, a qualquer altura, proceder a reajustamentos ou alterações à presente Política de Utilização Aceitável das tecnologias de informação e comunicação, sendo essas alterações devidamente publicitadas.

15. Questões e Sugestões

Para saber mais sobre a forma como a Universidade da Madeira trata os seus dados pessoais, ou para esclarecer qualquer dúvida, apresentar uma reclamação ou comentário sobre matérias relativas a Política de Utilização Aceitável das tecnologias de informação e comunicação:

16. Mais Informações

Para saber mais sobre a segurança da informação, consulte o documento Política de Segurança da Informação da UMa.

Contactos

Universidade da Madeira - Edifício da Reitoria

Colégio dos Jesuítas - Rua dos Ferreiros

9000-082 Funchal - Portugal

Telefone: (+351) 291 209 400

Universidade da Madeira - Campus da Penteada

Campus Universitário da Penteada

9020-105 Funchal - Portugal

Telefone: (+351) 291 705 000

Encarregado de Proteção de Dados - epd@mail.uma.pt