Política de Privacidade e Proteção de Dados

A presente Política de Privacidade e Proteção de Dados visa dar cumprimento ao disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados – RGPD), à Lei n.º 58/2019, de 8 de agosto, bem como às orientações da Comissão Nacional de Proteção de Dados (CNPD), estabelecendo o enquadramento jurídico e organizativo aplicável ao tratamento de dados pessoais no contexto do Portal de Inteligência Artificial, acessível em https://iatesteaut.fccn.pt/pt, incluindo o sistema de inteligência artificial nele integrado (doravante designado “Plataforma”).

A Plataforma constitui uma iniciativa da Fundação para a Ciência e a Tecnologia, I.P. (FCT), operacionalizada através da sua unidade FCCN, orientada para o apoio à investigação científica, ao ensino superior, à transformação digital em linha com os princípios de ciência aberta, interoperabilidade, ética computacional e responsabilidade proativa.

A Plataforma disponibiliza recursos tecnológicos assentes em modelos de inteligência artificial, concebidos para facilitar o acesso e a geração de recomendações a partir de documentos científicos e académicos, destinando-se a docentes, investigadores, estudantes e demais profissionais das instituições aderentes.

Responsável pelo Tratamento

A FCT, enquanto entidade responsável pelo tratamento de dados pessoais, determina as finalidades e os meios do tratamento, nos termos do artigo 4.º, n.º 7 do RGPD, assegurando o cumprimento integral dos princípios da licitude, lealdade, transparência, minimização, limitação da finalidade, integridade e responsabilidade.  

O contacto com a equipa da Encarregada de Proteção de Dados da FCT poderá ser feito através do endereço eletrónico dpo@fct.pt ou para a morada Avenida do Brasil, 101, 1700-066 Lisboa.

Finalidade e Atividades de Tratamento

Finalidade do Tratamento de Dados Pessoais 

A finalidade do tratamento de dados pessoais no âmbito desta Plataforma está alinhada com os objetivos definidos pela FCT e visa a gestão e desenvolvimento de infraestruturas digitais destinadas à divulgação de conhecimento científico. As atividades de tratamento de dados realizam-se com os seguintes propósitos:

  • Assegurar o acesso autenticado e federado a modelos de Inteligência Artificial (IA) para fins legítimos de investigação, ensino e inovação;
  • Gerir a adesão institucional das entidades participantes, incluindo os aspetos técnicos e contratuais associados;
  • Monitorizar a utilização dos recursos computacionais, permitindo a otimização da capacidade disponível e o controlo eficaz de custos;
  • Apoiar a missão da FCT na promoção de boas práticas em IA, nomeadamente no que se refere à transparência, reprodutibilidade científica e proteção da privacidade no meio académico. 

Embora a Plataforma tenha sido concebida para operar sobre dados não pessoais, no contexto das suas finalidades científicas e académicas, poderá ocorrer, de forma meramente acessória, o tratamento de dados pessoais. Tal poderá resultar, por exemplo, do conteúdo de documentos processados que contenham informação identificável, ou da inserção voluntária de dados pessoais nos comandos (prompts) submetidos pelo utilizador às ferramentas de IA disponibilizadas.

Sempre que tal ocorra, a FCT assegura o cumprimento integral do quadro jurídico aplicável, designadamente do RGPD, garantindo a existência de uma base legal apropriada, a aplicação de medidas técnicas e organizativas adequadas e, quando necessário, a prestação da devida informação aos titulares dos dados.

Categorias de Dados Pessoais Tratados e Contextos de Recolha

O tratamento de dados pessoais no âmbito da Plataforma poderá assumir diferentes formas, consoante o papel do utilizador, a fase de interação e a natureza dos conteúdos processados. Neste contexto, as categorias de dados pessoais tratadas pela FCT agrupam-se, de forma distinta, entre dados de autenticação, dados voluntariamente introduzidos, dados administrativos relativos à adesão institucional e dados eventualmente presentes nos documentos processados.

a) Dados Técnicos de Autenticação

  • Identificador federado atribuído no âmbito da autenticação RCTS/eduGAIN (tipicamente designado como RCTScert, com o formato nomeutilizador@instituicao.pt);
  • Afiliação institucional e perfil académico (ex.: docente, investigador, estudante);
  • Endereço de email institucional;
  • Identificador de sessão temporário (não persistente, gerado automaticamente no momento da autenticação). Estes dados são tratados exclusivamente para efeitos de autenticação federada, controlo de acesso, validação de permissões e segurança da sessão de utilização da Plataforma. São utilizados apenas durante a sessão ativa, sendo descartados finda essa sessão, sem qualquer forma de armazenamento ou reutilização.

b) Dados Introduzidos Voluntariamente

  • Conteúdos submetidos livremente pelo utilizador, sob a forma de comandos de texto (“prompts”) ou ficheiros, nos campos de interação com os modelos de IA.

Estes dados são processados exclusivamente em memória, para efeitos de inferência automática e resposta imediata, sendo eliminados logo após o processamento. Não são armazenados, registados, transmitidos a terceiros, utilizados para treino de modelos ou conservados sob qualquer forma.

c) Dados Recolhidos no Processo de Adesão Institucional

  • Nome da entidade aderente;
  • Nome, função, endereço de email e contacto telefónico dos representantes designados (coordenação institucional, suporte técnico e comunicação);
  • Informações técnicas sobre a utilização prevista da Plataforma, como a tipologia de recursos solicitados, áreas de aplicação e volume estimado de utilização.

Estes dados são tratados exclusivamente para efeitos de análise do pedido de adesão, gestão contratual, configuração da infraestrutura e contacto operacional entre a FCCN e a entidade aderente, nos termos do protocolo celebrado.

d) Dados Contidos nos Documentos Processados

  • Nome, função, afiliação institucional e endereço de contacto dos autores dos documentos acedidos;
  • Eventuais dados pessoais constantes dos documentos científicos ou académicos carregados ou consultados.

Estes dados não são recolhidos diretamente pela Plataforma, mas podem estar presentes nos conteúdos processados por via das funcionalidades de análise, extração ou sumarização automática. A sua eventual exposição decorre do próprio conteúdo documental submetido pelo utilizador, sendo responsabilidade deste assegurar que não introduz informação pessoal indevida ou excessiva. A Plataforma não armazena, indexa ou reutiliza esses dados, limitando-se a processá-los de forma transitória e automatizada, sem registo ou intervenção humana.

Fundamento de Licitude para o Tratamento

O tratamento de dados pessoais realizado no âmbito da Plataforma encontra fundamento jurídico, consoante a natureza e o contexto da operação de tratamento, nas seguintes disposições do artigo 6.º, n.º 1 do RGPD:

Alínea e) – quando o tratamento se revele necessário à prossecução de missões de interesse público de que esteja investida a FCT, enquanto entidade responsável pelo desenvolvimento e disponibilização de infraestruturas digitais de apoio à ciência, ao ensino superior e à inovação tecnológica, nos termos da sua missão legalmente atribuída e da política pública de ciência aberta. Esta base jurídica sustenta, designadamente, os tratamentos associados ao acesso à Plataforma, à utilização de modelos de IA para fins científicos e académicos, bem como à monitorização técnica e à promoção de boas práticas em matéria de inteligência artificial.

Alínea c) – quando o tratamento seja necessário ao cumprimento de obrigações jurídicas a que a FCT se encontre vinculada, incluindo as decorrentes de normas de contratação pública, prestação de contas, auditoria, interoperabilidade administrativa e responsabilidade na gestão de recursos públicos. Este fundamento é especialmente aplicável à gestão dos dados das entidades aderentes e seus representantes no contexto do protocolo de adesão e das interações operacionais com a Plataforma.

Alínea a) – nos casos limitados em que o titular introduza voluntariamente dados pessoais nos conteúdos tratados (como comandos ou ficheiros), podendo o tratamento ser considerado lícito com base no seu consentimento explícito, desde que devidamente informado e prestado de forma livre e específica. Embora não seja exigido para o acesso à Plataforma, o consentimento poderá constituir base jurídica supletiva em casos marginais e residuais.

A FCT garante, em todos os casos, que o enquadramento jurídico de cada operação de tratamento é avaliado à luz dos princípios da necessidade, proporcionalidade e transparência, em conformidade com os artigos 5.º e 6.º do RGPD.

Subcontratantes e Segurança

A plataforma é suportada pela infraestrutura Microsoft Azure AI Foundry, sendo a Microsoft subcontratante da FCT. Todos os dados são tratados dentro do Espaço Económico Europeu, em ambiente isolado e seguro.  

A Microsoft está contratualmente impedida de utilizar os dados para fins próprios, incluindo treino ou comercialização de modelos de IA. A FCT adota medidas técnicas e organizativas adequadas à proteção dos dados, nomeadamente: segmentação de acessos, logs rotativos anonimizados, contenção dos dados processados e encriptação em trânsito.

Transferências Internacionais

Não são realizadas transferências de dados pessoais para fora do EEE. 
Todos os dados são tratados e armazenados em datacenters localizados na União Europeia, sob garantias contratuais de conformidade com o RGPD.

Monitorização Técnica da Plataforma

A monitorização de recursos é realizada com base no Azure Monitor, com métricas agregadas e alertas automáticos. Não é realizada monitorização da atividade individual dos utilizadores, nem recolha de conteúdos introduzidos.

Decisões Automatizadas e Perfis

No âmbito da utilização da Plataforma de Inteligência Artificial FCCN não são tomadas decisões exclusivamente automatizadas que produzam efeitos jurídicos ou que afetem significativamente os titulares dos dados, nos termos do artigo 22.º do RGPD.

A interação com modelos de inteligência artificial ocorre de forma assistida e controlada pelo utilizador, não resultando em decisões com impacto individual direto, nem em perfis utilizados para avaliação de aspetos pessoais.  

A plataforma não realiza qualquer forma de profiling ou scoring automatizado dos utilizadores.

Consequentemente, não se aplica a obrigação de oferecer mecanismos de revisão humana ou explicação de lógica de decisão automatizada, conforme previsto no artigo 13.º, n.º 2, alínea f) do RGPD.

Direitos dos Titulares dos Dados Pessoais

Nos termos dos artigos 12.º a 23.º do Regulamento Geral sobre a Proteção de Dados (RGPD), os titulares dos dados têm direito a aceder, retificar, apagar, limitar, opor-se ao tratamento e, quando aplicável, solicitar a portabilidade dos seus dados pessoais. O exercício destes direitos pode ser feito mediante pedido escrito dirigido ao Encarregado de Proteção de Dados da FCT, através do endereço eletrónico dpo@fccn.pt.

No contexto da utilização da plataforma, e em particular relativamente ao funcionamento das ferramentas de inteligência artificial, tais conteúdos não são armazenados nem registados, sendo processados em memória de forma transitória. Por esse motivo, não é tecnicamente possível garantir o exercício de direitos como o acesso, retificação ou apagamento relativamente a esses dados.

Os dados pessoais tratados no âmbito do processo de adesão institucional, nomeadamente os dados dos representantes das entidades aderentes, são armazenados podendo ser acedidos, corrigidos ou eliminados nos termos do RGPD, mediante solicitação fundamentada e dentro dos limites legalmente aplicáveis.

Prazos de Conservação dos Dados

Os dados pessoais tratados no âmbito da Plataforma de Inteligência Artificial FCCN são conservados apenas pelo tempo estritamente necessário para a prossecução das finalidades que legitimaram a sua recolha, em conformidade com o princípio da limitação da conservação, previsto no artigo 5.º, n.º 1, alínea e) do RGPD.

No que respeita aos dados técnicos de autenticação e aos conteúdos inseridos nas interações com os modelos de inteligência artificial, a sua conservação é excluída por desenho: são tratados de forma transitória, durante a sessão de utilização, e descartados automaticamente após o processamento, sem qualquer forma de retenção, registo ou persistência.

A FCT implementa procedimentos de revisão e eliminação segura dos dados pessoais, em alinhamento com a sua política interna de gestão da informação e com as obrigações legais e regulamentares aplicáveis.

Monitorização Técnica

A FCT implementa um sistema de monitorização com base no Azure Monitor, destinado à gestão técnica e financeira dos recursos da plataforma. Esta monitorização incide sobre máquinas virtuais, armazenamento e serviços de IA, e tem como objetivo otimizar o uso da infraestrutura e evitar excessos de consumo. Não é recolhida qualquer informação sobre a atividade individual dos utilizadores, nem são registados os conteúdos processados pelos modelos.

Comunicação Institucional e Promoção

As ações de promoção da plataforma realizadas pelas entidades aderentes devem assumir natureza institucional, científica e académica, visando informar a comunidade universitária sobre a plataforma através de canais internos, formações ou eventos.  

Estas ações não configuram marketing direto e não envolvem o envio de comunicações eletrónicas personalizadas para fins promocionais, salvo com consentimento prévio ou quando integradas nas funções públicas das entidades. Os dados pessoais tratados no âmbito do protocolo não poderão ser reutilizados para outras finalidades promocionais, comerciais ou alheias à missão pública da plataforma.

Notificação e reclamação

Sem prejuízo de envio de notificação direta à FCT, através dos contactos disponíveis em https://www.fct.pt/contactos, os titulares dos dados podem reclamar diretamente junto da Comissão Nacional de Proteção de Dados (https://www.cnpd.pt), utilizando os contactos disponibilizados por esta entidade para o efeito.

Alterações à política de privacidade

Esta Política de Privacidade poderá ser objeto de atualizações, pelo que se aconselha uma consulta regular. Considera-se que as alterações entram em vigor a partir da data de colocação neste site, fazendo-se referência expressa à data de atualização.