Sessió de 26 d'abril del 2023
Ordre del dia
1r. Aprovació, si escau, de l'acta de la sessió de 15 de febrer del 2023.
2n. Informe de la rectora.
3r. Proposta d'aprovació de temes de l'àmbit acadèmic:
- Proposta de modificació de la programació per al curs 2023-2024.
- Proposta de modificació de l'oferta de places per al curs 2023-2024.
- Proposta de modificació de Bases del programa UPF de beques salari per a estudiants de grau.
4t. Proposta d'aprovació de temes de l'àmbit de la comunitat universitària:
- Proposta de modificació de les retribucions del personal investigador doctor a càrrec de projectes de recerca.
- Proposta d'acord sobre el requisit que han de complir les persones candidates als concursos públics de professorat associat de la UPF pel que fa a l'exercici de la seva activitat principal fora de l'àmbit acadèmic universitari.
- Proposta d’aprovació de l'Acord per a la prestació de serveis en la modalitat de teletreball del Personal d'Administració i Serveis (PAS) de la UPF, en desplegament de l'Acord marc per al desenvolupament del teletreball del PAS a les Universitats Públiques de Catalunya.
- Proposta d'aprovació de la creació de la Comissió permanent de teletreball del Personal d'Administració i Serveis de la Universitat Pompeu Fabra.
- Proposta d'aprovació del Protocol per gestionar els danys per a la salut i els incidents.
- Proposta d'aprovació de les Bases per a convocatòries d'ajuts en el marc del projecte EUTOPIA a la UPF.
5è. Proposta d'aprovació de temes de l'àmbit econòmic:
- Proposta de modificació de les bases d'execució del pressupost 2023.
- Proposta d'autorització d'expedients de despesa de caràcter pluriennal.
6è. Presentació de temes d’integritat, transparència i seguretat de la informació:
- Presentació de l'Informe anual del Pla de mesures d'integritat en la gestió de la Universitat Pompeu Fabra 2022.
- Presentació de la Memòria anual del Consell Assessor de la Transparència en matèria de transparència, informació pública i bon govern 2022.
- Proposta d'aprovació de la Normativa del sistema de gestió de seguretat de la informació.
7è. Proposta de modificació de diverses normatives de la UPF derivades de la modificació de l’equip de govern:
- Proposta de modificació de les Bases del Premi de Foment del Multilingüisme.
- Proposta de modificació del Programa d'Ensenyament d'Idiomes.
8è. Proposta de designació i de modificació de membres d’òrgans de govern, de comissions de la Universitat i de representants a altres organismes.
9è. Proposta d'acord per a l’inici de la tramitació de la modificació dels Estatuts del Consorci DIPLOCAT.
10è. Ratificació de convenis.
11è. Afers de tràmit.
12è. Torn obert de paraules.
Acords
1. Aprovació de l'acta de la sessió anterior
S’aprova l’acta de la sessió del Consell de Govern de 15 de febrer del 2023.
3. Aprovació de temes de l'àmbit acadèmic:
3.1. Modificació de la programació per al curs 2023-2024.
S’aprova la modificació de la programació universitària de titulacions oficials per al curs 2023-2024, que consta com a annex 1.
3.2. Modificació de l'oferta de places per al curs 2023-2024.
D’acord amb la proposta de la Facultat de Ciències de la Salut i de la Vida de la UPF, fruit de la negociació entre el Ministeri de Sanitat i les universitats, és necessari la modificació de l’oferta de places per al curs 2023-2024 del Grau en Medicina, aprovada per acord del Consell de Govern de 26 d’octubre de 2022, i comunicada a la Direcció General d’Universitats en el temps i forma establerts. Es demana ara passar d’oferir 60 places a oferir-ne 64.
D’altra banda, s’han advertit diferents errors materials a l’annex que acompanyava l’esmentat acord del Consell de Govern de 26 d’octubre del 2022, si bé a la Direcció General d’Universitats es va fer arribar la informació sense errades. Per tal d’evitar possibles confusions entre l’annex aprovat pel Consell de Govern i allò traslladat a la Direcció General d’Universitats, i de conformitat amb el que disposa l’article 109 de la Llei 39/2015, d’1 d’octubre, del Procediment Administratiu Comú de les Administracions Públiques, es proposa la correcció d’aquestes errades.
Per tot l’exposat, el Consell de Govern acorda:
Primer. Aprovar la modificació de l’oferta de places per al curs 2023-2024 del Grau en Medicina, aprovada per acord del Consell de Govern de 26 d’octubre del 2022, de manera que es passa d’oferir 60 places a oferir-ne 64. Aquesta modificació s’incorpora al document d’oferta de places que consta com a annex d’aquest acord.
Segon. Aprovar la correcció dels errors materials de l’annex de l’acord del Consell de Govern de 26 d’octubre de 2022 d’aprovació de les places de grau, màster universitari i doctorat de la UPF per al curs 2023-2024, en els termes que s’indiquen a continuació:
- Allà on diu “Grau en Fisioteràpia 60 places” ha de dir “Grau en Fisioteràpia 40 places”.
- Allà on diu “Grau en Enginyeria informàtica / Grau en Disseny i Producció de Videojocs entrada Disseny” 70 places i “Grau en Disseny i producció de videojocs” 70 places, ha de dir “Grau en Enginyeria informàtica/Grau en Disseny i Producció de Videojocs entrada Disseny i Grau en Disseny i producció de videojocs 70 places”.
- Allà on diu “Escola Superior Politècnica” ha de dir “Escola d’Enginyeria”.
- Allà on diu “Facultat de Ciències Econòmiques i Empresarials”, ha de dir “Facultat d’Economia i Empresa”.
- Allà on diu “Facultat de Traducció i Interpretació”, ha de dir “Facultat de Traducció i Ciències del Llenguatge”.
- Allà on diu “Barcelona Graduate School of Economics”, ha de dir “Barcelona School of Economics (BSE)”.
- Allà on diu “MU en Internacional en Intel·ligència Artificial”, ha de dir “MU Erasmus Mundus en Intel·ligència Artificial”.
S’incorporen també aquestes correccions a l’annex 2.
3.3. Modificació de Bases del programa UPF de beques salari per a estudiants de grau.
El Programa de beques salari, iniciat el curs 2016-2017 i finançat pel Banc Santander, s’adreça a estudiants amb recursos econòmics limitats amb l’objectiu d’ajudar-los econòmicament durant tota la carrera universitària, per tal d’afavorir el seu accés i continuïtat en l’educació superior i, d’aquesta manera, contribuir al progrés de la nostra societat. L'alt nombre de sol·licituds presentades en totes les seves convocatòries, així com l’èxit assolit per part dels estudiants que han estat beneficiaris del programa en cursos anteriors, indiquen que es tracta d'un programa que contribueix a fomentar la inclusió social en la seva aposta per fer de la Universitat una eina per a la integració social.
Tanmateix, l’experiència acumulada en els darrers anys mostra que és necessari introduir algunes correccions tant en els criteris que han de complir els candidats per poder presentar les sol·licituds com en les qüestions relatives al procediment de concessió de les beques.
A les darreres convocatòries s’ha constatat que el programa Prometeus no es limita als alumnes d’uns instituts concrets, per la qual cosa, poder optar a una de les beques salari reservades a estudiants Prometeus ha d’estar vinculat al fet que aquest estudiant estigui adherit a aquest programa i no a un institut en concret. Per això es proposa fer referència a estudiants adherits al programa Prometeus i eliminar a les bases les referències als instituts.
D’altra banda, malgrat que des del Ministeri d’Educació i Formació Professional s’han anat incrementant els imports d’alguns ajuts de les beques de caràcter general, els requisits econòmics que han de complir els sol·licitants no han variat des de fa molts anys. Aquests requisits són la referència que el programa de beques salari fa servir per valorar la situació econòmica de la unitat familiar. Es considera que, amb el requisit actual de tenir una renda familiar per sota del llindar 1, es limita extraordinàriament la possibilitat d’accedir a una beca salari encara que la renda familiar de l’estudiant sigui molt baixa respecte al nivell de vida actual. Per aquest motiu, es proposa establir que el nivell de renda familiar estigui per sota del llindar 3 de la convocatòria de beques de caràcter general, que és el llindar mínim per poder obtenir una beca.
També s’ha comprovat que el calendari de procediment de la convocatòria d’aquestes beques i el calendari de constitució dels membres del Consell d’Estudiants no són coincidents, cosa que dificulta enormement la designació d’un representat, proposat per aquest consell per a la comissió d’adjudicació de les beques.
Aquest fet provoca endarreriments en la tramitació i resolució de les beques, amb el consegüent perjudici per als estudiants que sol·liciten aquests ajuts. Per aquest motiu, amb el coneixement del Consell d’Estudiants, es proposa que per a cada convocatòria, els representants dels estudiants siguin, com a vocal titular i com a vocal suplent, l’estudiant de major edat i el més jove que hagin estat becaris generals el curs anterior al de la convocatòria de beques salari i que continuïn sent estudiants de la UPF. Amb aquest canvi es manté, d'una banda, la presència d'un estudiant de grau de la UPF que ha estat o encara és beneficiari d'una beca general i que, per tant, és conscient dels beneficis i obligacions que comporta gaudir d'un ajut o una beca. I l'altra, no és necessari esperar a la constitució anual del Consell d'Estudiants amb la consegüent dilació en la designació de representants.
Finalment, es proposa modificar la redacció d’alguns apartats de les bases per adaptar-la a un ús no sexista del llenguatge.
Per tot això, el Consell de Govern acorda:
Article únic. Aprovar la modificació de les bases del Programa UPF de beques salari per a estudiants de grau de la Universitat Pompeu Fabra en els termes següents:
Primer. L’apartat a) i el b) de la base 1 queda redactat de la següent forma:
“a) Modalitat “Prometeus”: adreçada a estudiants adherits al programa Prometeus.
b) Modalitat general: adreçada a la resta d’estudiants de centres educatius de secundària de l’Estat Espanyol.”
Segon. L’apartat b) de la base 5 queda redactat de la següent forma:
“b) Disposar d’un nivell de renda familiar situat per sota del llindar 3 que estableix la darrera convocatòria de beques de caràcter general del Ministeri d’Educació i Formació Professional.”
Tercer. La base 6 queda redactada de la manera següent:
“Correspon al rector o rectora convocar els ajuts del Programa de beques salari.”
Quart. L’apartat 1) de la base 10 queda redactat de la següent forma:
“Apartat 1- Correspon al rector o rectora resoldre aquestes sol·licituds, a proposta de la Comissió d'Adjudicació de les Beques Salari, que tindrà la composició següent:
- Vicerector o vicerectora competent en temes relatius als estudiants, que la presidirà.
- Tres professors o professores nomenats pel rector o rectora.
- El vigerent o vicegerenta de l'Àrea de Docència.
- En representació dels estudiants, l’estudiant de grau de major edat i el més jove que hagin obtingut una beca de caràcter general el curs anterior i que formaran part de la comissió, respectivament, com a vocal titular i com a vocal suplent. En el cas que qualsevol dels dos hagi sol·licitat una beca salari UPF, serà nomenat el becari següent, d’acord amb el mateix criteri d’edat.
- El cap o la cap del Servei de Gestió Acadèmica, que actuarà com a secretari o secretària de la Comissió.
Cinquè. L’apartat 2) de la base 11 queda redactat de la següent forma:
“En aquest punt del procediment, el Servei de Gestió Acadèmica comprovarà que l’estudiant compleix els requisits que estableix la base 5 d’aquestes bases i, a partir de la resolució provisional i les possibles al·legacions, la Comissió d’Adjudicació de les Beques Salari formularà la seva proposta de concessió al rector o rectora perquè resolgui.
La resolució definitiva es farà pública a principis d’octubre a la pàgina web de la UPF (https://www.upf.edu/web/graus/beques_salari ).
Quedaran automàticament excloses les candidatures que:
a) A finals de setembre, no hagin formalitzat la matrícula al primer curs d'estudis de grau en centres integrats de la UPF.
b) No hagin obtingut el tram de renda que els situï per sota del llindar 3 de l’última convocatòria de beques de caràcter general del Ministeri d’Educació i Formació Professional.
En cas que no es cobreixin el nombre d'ajuts assignats a una de les modalitats ofertes, la beca no coberta en una modalitat serà assignada a la sol·licitud sense ajut que ocupi la primera posició en la llista d'espera de l'altra modalitat, sempre que compleixi els requisits establerts a la convocatòria. D'aquesta manera, s'atorgaran tots els ajuts d'acord amb l'ordre de prelació de les llistes.
Contra la resolució definitiva, la persona interessada podrà interposar un recurs de reposició davant el rector o rectora de la Universitat en el termini d’un mes a comptar des de l’endemà de la data de publicació de la resolució.
La Comissió d'Adjudicació de les Beques Salari decidirà els criteris a aplicar en el cas que es produeixi un empat en la puntuació. Aquests criteris, si es dóna el cas, s’hauran d’incloure a la resolució.
En el cas que l’estudiant canviï d’estudis durant la durada de la beca, la Comissió valorarà la continuïtat, la modificació dels ajuts o la revocació de la beca salari.”
Disposició final única. Les modificacions contingudes en aquest acord entraran en vigor a l’endemà de la seva aprovació.
4. Aprovació de temes de l'àmbit de la comunitat universitària.
4.1. Modificació de les retribucions del personal investigador doctor a càrrec de projectes de recerca.
L’article 11 del I Conveni Col·lectiu de personal docent i investigador de les universitats públiques catalanes sobre la classificació i categories professionals del PDI, estableix les categories d’Investigador/a postdoctoral, Investigador/a ordinari i director/a d’investigació. Així mateix, estableix que els requisits i les condicions específiques d’aquest personal els han de regular els òrgans de govern de cadascuna de les universitats, prèvia negociació amb els corresponents òrgans de representació del PDI laboral, dins el marc acordat en aquest conveni..
Les retribucions corresponents a l’any 2004, 2005 i 2006 van ser determinades als annexes 1, 2 i 3 del mateix conveni, establint l’article 30 els increments d’aquestes retribucions fins a l’any 2009.
L’article 22 de la Llei 14/2011, d’1 de juny, de la Ciència, la Tecnologia i la Innovació, preveu el contracte d’accés del personal investigador doctor. Així mateix, l’article 23 bis de la mateixa llei preveu el contracte d’activitat científico-tècniques per a la realització d’activitats vinculades a les línies de recerca o de serveis científico-tècnics.
Vist l’acord signat entre el Vicerector de Personal Docent i Investigador i el Comitè d’Empresa amb data de 25 d’abril del 2023.
Atès que existeix la necessitat d’actualitzar les retribucions del personal investigador a càrrec de projectes de recerca,
Atès que la retribució de l’investigador o investigadora postdoctoral Tipus 1 contractat a càrrec del pressupost de la Universitat sota la figura POSTDOC1 és actualment inferior a la retribució del personal investigador predoctoral en formació de quart any de contracte, i
Ateses les competències atribuïdes al Consell de Govern per l’article 42 dels Estatuts de la Universitat Pompeu Fabra,
El Consell de Govern de la Universitat Pompeu Fabra acorda proposar al Consell Social que aprovi,
Primer. Reconèixer les categories de personal investigador contractat a càrrec de projectes de recerca mitjançant el contracte d’activitats científico-tècniques i les retribucions corresponents que es detallen a continuació:
a) Investigador o investigadora postdoctoral
Tipus 1 24.640,72
Tipus 2 30.140,72
b) Investigador o investigadora ordinari
Tipus 1 34.558,56
Tipus 2 37.678,68
Tipus 3 39.758,76
c) Director o directora d'investigació
Tipus 1 40.958,16
Tipus 2 45.458,16
Tipus 3 49.958,16
Tipus 4 54.458,16
Segon. Equiparar la retribució de la figura de POSTDOC1 contractat a càrrec del pressupost de la Universitat a la de la figura a través del contracte d’accés del personal investigador doctor previst a l’article 20 de la Llei 14/2011 a la de la figura d’investigador o investigadora postdoctoral Tipus que recull el punt 1 d’aquest Acord.
Disposició final primera. Les categories recollides al punt primer d’aquest Acord entraran en vigor l’endemà de ser aprovat per la Comissió Econòmica del Consell Social de la Universitat Pompeu Fabra.
Disposició final segona. L’aplicació de la nova retribució descrita al punt segon d’aquest Acord es farà efectiva el primer dia del mes següent a la data d’aprovació per la Comissió Econòmica del Consell Social de la Universitat Pompeu Fabra.
4.2. Acord sobre el requisit que han de complir les persones candidates als concursos públics de professorat associat de la UPF pel que fa a l'exercici de la seva activitat principal fora de l'àmbit acadèmic universitari.
L’entrada en vigor de la Llei 2/023, de 22 de març, del Sistema Universitari comporta canvis importants pel que fa a la regulació del professorat associat. Aquests canvis inclouen la necessitat de convocar nous concursos d’accés per tal de cobrir les places de professorat associat imprescindibles per satisfer part de l’oferta docent de la Universitat Pompeu Fabra. L’article 79.a) de la Llei estableix com a requisit per tal de poder participar en aquests concursos l’acreditació, per part de les persones candidates, de l’exercici d’una activitat principal fora de l’àmbit acadèmic universitari.
Vist l’acord signat entre el Vicerector de Personal Docent i Investigador i el Comitè d’Empresa amb data de 25 d’abril del 2023, i
Ateses les competències atribuïdes al Consell de Govern per l’article 42 dels Estatuts de la Universitat Pompeu Fabra,
El Consell de Govern de la Universitat Pompeu Fabra acorda:
Primer. A afectes dels concursos públics per a la contractació de professorat associat, la Universitat entendrà satisfet el requisit d’acreditar l’exercici de la seva activitat principal fora de l’àmbit acadèmic universitari que preveu l’Article 79.a) de la LOSU per part de les persones candidates quan aquestes darreres:
1. Acreditin el caràcter vigent d’una activitat laboral, amb independència de la seva antiguitat; o
2. Acreditin un mínim de dos anys d’activitat laboral dels darrers quatre, per compte d’altri o pel seu compte; o
3. Acreditin una relació contractual com a professor/a associat/da de la UPF de durada igual o superior a 10 cursos acadèmics i, alhora, la realització d’alguna activitat –puntual o continuada- fora de l’àmbit acadèmic universitari al llarg dels darrers 15 anys que demostri l’assoliment de la “reconeguda competència” a què fa esment l’Article 79.a) de la Llei Orgànica 2/2023, de 2 de març, del Sistema Universitari.
Disposició final única. Aquest Acord entrarà en vigor l’endemà de la seva aprovació per part del Consell de Govern de la Universitat Pompeu Fabra.
4.3. Aprovació de l'Acord per a la prestació de serveis en la modalitat de teletreball del Personal d'Administració i Serveis (PAS) de la UPF, en desplegament de l'Acord marc per al desenvolupament del teletreball del PAS a les Universitats Públiques de Catalunya.
A finals dels mes de juny del 2021 es va signar l’Acord marc per al desenvolupament del teletreball del PAS a les universitats públiques de Catalunya. En sessió de 14 de juliol del 2021, el Consell de Govern de la UPF va prendre coneixement d’aquest Acord marc.
En l’article primer d’aquest Acord marc es disposa que l’aplicació, desplegament i desenvolupament d’aquest acord marc serà negociat amb els representants dels treballadors de cada Universitat. Fruit d’aquesta negociació, en data 12 d’abril del 2023, d’una banda, la Gerència i, de l’altra banda, la Junta del PAS, el Comitè d’Empresa del PAS, la secció sindical de la UGT a la UPF, la secció sindical de la Intersindical-CSC a la UPF i la secció sindical de CCOO a la UPF han signat l’Acord per a la prestació de serveis en la modalitat de teletreball del PAS de la UPF, en desplegament de l’Acord marc per al desenvolupament del teletreball del PAS a les universitats públiques de Catalunya.
L’esmentat acord té per objecte establir el marc que ha de regular i garantir la prestació de serveis en la modalitat de teletreball del PAS a la UPF, en aplicació i desplegament de l’Acord marc per al desenvolupament del teletreball del PAS a les universitats públiques de Catalunya.
Aquest acord ha estat compartit amb l’Assessoria Jurídica de la Universitat, que ha fet unes consideracions i aportacions, les quals han estat en la mesura del possible incloses en la proposta que es porta a aprovació del Consell de Govern. Mentre que les que no s’han incorporat s’han reproduït tal i com estan contingudes a l’Acord marc per al desenvolupament del teletreball del PAS a les universitats públiques de Catalunya.
Ateses les competències atribuïdes al Consell de Govern per l’article 42, lletres b) i n) dels Estatuts de la Universitat Pompeu Fabra, s'acorda:
Primer. Aprovar la normativa per a la prestació de serveis en la modalitat de teletreball del PAS de la UPF, en desplegament de l’Acord marc per al desenvolupament del teletreball del PAS a les universitats públiques de Catalunya, en els termes que consten com a annex 3.
Segon: Incorporar a la normativa les modificacions següents: substituir les mencions a “treballadors” i “treballadores” per “empleats” i “empleades”; i en l’apartat 10.1 subapartat a), substituir “legalment i normativament” per “legalment i reglamentària”.
4.4. Aprovació de la creació de la Comissió permanent de teletreball del Personal d'Administració i Serveis de la Universitat Pompeu Fabra.
En data 12 d’abril del 2023, d’una banda, la Gerència, i de l’altra banda, la Junta del PAS, el Comitè d’Empresa del PAS, la secció sindical de la UGT a la UPF, la secció sindical de la Intersindical-CSC a la UPF i la secció sindical de CCOO a la UPF han signat l’Acord per a la prestació de serveis en modalitat de teletreball del PAS de la UPF, en desplegament de l’Acord Marc per al desenvolupament del teletreball del PAS a les universitats públiques de Catalunya.
Paral·lelament, la part social i la Gerència han considerat adient la creació de la Comissió permanent de teletreball del Personal d’Administració i Serveis de la Universitat Pompeu Fabra a fi d’anar evolucionant el teletreball en els diferents aspectes que plantegi el seu desplegament.
És per això que, en la mateixa data, la Gerència i la part social han signat l’Acord de creació de la Comissió permanent de teletreball del Personal d’Administració i Serveis de la Universitat Pompeu Fabra.
Aquest acord ha estat revisat per l’Assessoria Jurídica de la Universitat, la qual no ha fet consideracions sobre el seu contingut. Així, doncs, es proposa per a l’aprovació del Consell de Govern el text íntegre de l’acord signat entre la Gerència i la part social.
Ateses les competències atribuïdes al Consell de Govern per l’article 42, lletres b) i n) dels Estatuts de la Universitat Pompeu Fabra, s'acorda:
Punt únic. Aprovar la creació de la Comissió permanent de teletreball del Personal d’Administració i Serveis de la Universitat Pompeu Fabra, en els termes que consten com a annex.
ANNEX
CREACIÓ DE LA COMISSIÓ PERMANENT DE TELETREBALL DEL PERSONAL D’ADMINISTRACIÓ I SERVEIS DE LA UNIVERSITAT POMPEU FABRA
REUNITS
D’una part, el Sr. Oriol Escardíbul Ferrà, gerent de la UPF; la Sra. Rosa Ma. Pujante i Mitjavila, vicegerent de l’Àrea de Persones i Desenvolupament Organitzatiu de la UPF, i el Sr. Joan Carles Carrion Blanch, cap del Servei de PAS de la UPF. I de l’altra, el Sr. Carles Ruiz Riera, president de la JPAS de la UPF i delegat de la secció sindical de la UGT Serveis Públics a la UPF; el Sr. Albert Gallego Torres, president en funcions del Comitè d’Empresa del PAS Laboral, el Sr. Robert Díez i Benito, secretari general de la secció sindical de CCOO a la UPF i la Sra. Ester Rocabayera Jordán, coordinadora de la Intersindical CSC a la UPF.
MANIFESTEN
Que havent assolit l’Acord per a la prestació de serveis en modalitat de teletreball del PAS de la UPF, en desplegament de l’Acord Marc per al desenvolupament del teletreball del PAS a les Universitats Públiques de Catalunya, s’ha considerat adient que, paral·lelament a aquest acord, es creï la Comissió permanent de teletreball del Personal d’Administració i Serveis de la Universitat Pompeu Fabra a fi d’anar evolucionant el teletreball en els diferents aspectes que plantegi el seu desplegament.
I, per deixar constància dels compromisos adquirits,
ACORDEN
Primer. Constitució i composició de la Comissió permanent de teletreball del Personal d’Administració i Serveis a la Universitat Pompeu Fabra
S’acorda la constitució d’una Comissió permanent de teletreball del Personal d’Administració i Serveis a la Universitat Pompeu Fabra.
Aquesta Comissió permanent serà paritària entre, per una part, la Gerència de la Universitat Pompeu Fabra i, d’altra, la part social entesa com els dos òrgans de representació de la UPF i les seccions sindicals amb representació a la Universitat.
La presidència de la Comissió permanent serà exercida pel gerent.
La secretaria de la Comissió permanent serà exercida per la Tècnica de Relacions Laborals, qui en formarà part sense vot.
Aquesta Comissió permanent, quan així ho requereixi alguna de les parts, podrà ser assistida tècnicament pel personal que gestioni els diferents processos relacionats amb el teletreball (TIC, Formació, Salut i Seguretat Laboral, entre altres).
Segon. Funcions
Les funcions de la Comissió permanent seran les següents:
- Analitzar la cobertura presencial i el nombre d’efectius mínims necessaris per a donar una correcta prestació del servei a la Universitat una vegada hagi estat implementat el teletreball i es disposi d’evidències i dades suficients que permetin alguns ajustaments.
- Estudiar mesures per tal que els llocs o col·lectius no compatibles amb el teletreball puguin, en determinats períodes de menor activitat acadèmica, gaudir d’algun dia de teletreball cas que se’ls hi puguin assignar tasques compatibles amb el teletreball.
- Analitzar i formular propostes en relació a les modificacions que es puguin derivar dels canvis normatius en la regulació del teletreball, prèvia negociació en el si d’aquesta Comissió permanent.
- Negociar els nous acords de teletreball quan deixin de ser vigents els que actualment són d’aplicació.
Tercer. Funcionament
La Comissió permanent funcionarà de la manera següent:
- Es reunirà, amb caràcter general, dues vegades l’any. Així com quan les dues parts ho acordin, mitjançant convocatòria del President.
- Es reunirà, amb caràcter urgent, quan una de les dues parts ho demani, sempre i quan aquesta urgència estigui justificada, també mitjançant convocatòria del President.
- Les sessions seran convocades amb una antelació mínima de 10 dies.
- Els acords de la Comissió permanent es prendran amb el vot favorable de la part institucional i la majoria dels vots favorables de la part social i seran d’aplicació a tot el PAS de la Universitat Pompeu Fabra, prèvia comunicació i publicació.
4.5. Aprovació del Protocol per gestionar els danys per a la salut i els incidents.
La Llei 31/1995, de 8 de novembre, de prevenció de riscos laborals i el Reial Decret 39/1997, de 17 de gener, pel qual s’aprova el Reglament dels Serveis de Prevenció, estableixen l’obligatorietat que la Universitat desenvolupi una sèrie d’activitats preventives amb els procediments necessaris i la documentació definida a l’article 23.1 de la Llei i a l’article 7 del Reial Decret.
Un d’aquests documents és el pla de prevenció de riscos laborals que, d’acord amb la mateixa Llei, es conforma pel conjunt ordenat de les activitats preventives necessàries per implantar el sistema de prevenció de riscos laborals d’una organització. En el cas de la Universitat, el Pla, és el document que aprova el Consell de Govern, prèvia consulta al Comitè de Seguretat i Salut en el Treball, que estableix i formalitza la seva política de seguretat i salut en el treball, alhora que recull la normativa, la reglamentació i els procediments de prevenció de riscos laborals. El volum II (“Processos del sistema”) del Pla conté protocols que estableixen la manera correcta de fer determinades activitats preventives o tasques i controlar-ne l’eficàcia, aspecte fonamental en tot procés de millora contínua.
Una d’aquestes activitats preventives deriva de les prescripcions de la pròpia Llei, i està relacionada amb els danys per a la salut. L’article 23.3, obliga a la UPF a notificar per escrit a l’autoritat laboral els danys per a la salut dels treballadors al seu servei que s’haguessin produït arran del desenvolupament de la seva feina; i l’article 16.3 l’obliga a investigar els fets que hagin produït un dany per a la salut, ja sigui un accident de treball amb conseqüències lesives o una malaltia professional, amb la finalitat de detectar-ne les causes. Atès que la Llei 31/1995 també obliga la UPF a garantir la protecció eficaç dels seus empleats (article 14), això comporta estendre forçosament la investigació als “accidents blancs” o incidents que, independentment de les seves conseqüències, tinguin un potencial lesiu per a les persones; de manera que s’identifiquin les causes que han possibilitat la materialització de l’incident o l’accident i de la malaltia professional.
Part d’aquestes obligacions legals s’han canalitzat des del 2007 a través de les quatre versions, fins a la data, del Protocol de notificació, registre i investigació d’incidents i de lesions per accident de treball. La revisió per a l’actualització periòdica de la versió vigent, del 2017, ha permès incorporar les observacions de millora derivades de l’auditoria legal del sistema de gestió de prevenció de riscos laborals, realitzada al 2022, i nous continguts relatius a les actuacions d’investigació de les malalties professionals i als procediments de gestió administrativa i d’atenció sanitària dels danys per a la salut.
En conseqüència, el document resultant, la versió 5, és un nou Protocol que estableix els criteris essencials, de caràcter mínim, per a la gestió dels danys per a la salut i els incidents, de manera que es concreta com procedir tant en el moment
mateix de la seva materialització, com en la posterior gestió i tramitació de la documentació que es genera, així com en la investigació de les causes i planificació de les mesures a implantar perquè no es tornin a produir.
El document disposa de l’informe favorable del Comitè de Seguretat i Salut en el Treball de la Universitat i de l’acord d’aquest òrgan per sotmetre la seva aprovació a Consell de Govern.
Per tot això, el Consell de Govern acorda:
Primer. Aprovar el Protocol per gestionar els danys per a la salut i els incidents, que consta com a annex 4, i publicar-lo a la Seu Electrònica.
Segon. Derogar el Protocol de notificació, registre i investigació d’incidents i de lesions per accident de treball, aprovat pel gerent l’1 d’agost del 2017.
4.6. Aprovació de les Bases per a convocatòries d'ajuts en el marc del projecte EUTOPIA a la UPF.
Preàmbul
La UPF és membre de l’aliança EUTOPIA European University, que reuneix a deu universitats que pretenen esdevenir una confederació de campus connectats, oberts i multiculturals cap al 2030.
En el marc d’EUTOPIA i dels seus grups de treball, es generen diverses oportunitats acadèmiques i de recerca organitzades per les universitats membres de l’Aliança que s’obren als estudiants de les diferents institucions.
Sovint aquestes iniciatives comporten exempció de matrícula a les universitats membres de l’aliança, dotació d’ajuts de transport, allotjament i manutenció entre altres.
Així, és necessari crear un procediment de selecció dels estudiants i, quan sigui el cas, de dotació d’ajuts, que garanteixi d’una banda que les oportunitats arribin a tot l’estudiantat interessat, i per una altra banda, la lliure concurrència a les places ofertes i als ajuts quan estiguin disponibles.
Per tot l’anterior el Consell de Govern acorda:
Article únic. Aprovar les bases reguladores dels ajuts en el marc del projecte EUTOPIA, que consten com a annex.
ANNEX
La UPF és membre de l’aliança EUTOPIA European University, que reuneix a deu universitats que pretenen esdevenir una confederació de campus connectats, oberts i multiculturals cap al 2030.
En el marc d’EUTOPIA i dels seus grups de treball, es generen diverses oportunitats acadèmiques i de recerca organitzades per les universitats membres de l’Aliança que s’obren als estudiants de les diferents institucions.
Sovint aquestes iniciatives comporten exempció de matrícula a les universitats membres de l’aliança, dotació d’ajuts de transport, allotjament i manutenció entre altres.
Així, és necessari crear un procediment de selecció dels estudiants i, quan sigui el cas, de dotació d’ajuts, que garanteixi d’una banda que les oportunitats arribin a tot l’estudiantat interessat, i per una altra banda, la lliure concurrència a les places ofertes i als ajuts quan estiguin disponibles.
BASES PER A CONVOCATÒRIES D’AJUTS PER A ESTUDIANTS EN EL MARC DEL PROJECTE EUTOPIA
Primera. Objecte
Concessió d’ajuts en règim de concurrència competitiva, per a activitats relacionades amb el projecte EUTOPIA. Els ajuts estan destinats a facilitar la participació dels estudiants de la UPF en les activitats del programa i poden ser de les modalitats següents:
a) Beques d’exempció de matrícula
b) Ajuts de transport
c) Ajuts en concepte de manutenció i/o allotjament
d) Combinacions de les anteriors modalitats, segons cada convocatòria específica.
Segona. Finançament
Els ajuts es finançaran amb càrrec al pressupost del projecte EUTOPIA MORE.
Tercera. Període en el qual s’ha d’executar les activitats objecte dels ajuts
Les activitats s’han de realitzar en el marc del Projecte EUTOPIA MORE durant tota la durada del projecte, des del 1 de desembre de 2022 al 30 de novembre del 2026.
Quarta. Justificació de l’aplicació dels ajuts a l’activitat
Els beneficiaris hauran de justificar el compliment de l’activitat final de l’ajut dins dels terminis que es fixin per a efectuar-la.
La justificació es farà de manera documentada segons la naturalesa de l’activitat i l’ajut, que quedarà fixada en cada convocatòria específica. La documentació justificativa inclou:
- aprofitament acadèmic de l’estada o activitat en el termini d’una setmana després de la seva finalització
- justificants d’assistència a l'activitat en el termini d’una setmana després de la seva finalització
- En el cas de les borses de viatge, factures de l’aplicació dels fons percebuts per conceptes d’ allotjament, manutenció o transport, en el termini d’una setmana després de la finalització de l’ajut o estada.
Cinquena. Requisits dels beneficiaris
Poden optar a obtenir ajuts en el marc d'aquestes bases, els estudiants de la UPF de tots els ensenyaments oficials que segons cada convocatòria específica, hauran de complir tots o alguns dels requisits següents:
- estar matriculats en un ensenyament oficial de la UPF (grau, màster i doctorat )
- estar matriculat en un ensenyament oficial dels centres adscrits de la UPF
- acreditar un nivell de competència en llengua anglesa equivalent al B2.2 del MCER o superior
- motivar per escrit les raons per participar en la convocatòria
- altres que es puguin fixar en cada convocatòria específica
Sisena. Acceptació i pagament dels ajuts
Acceptació
Perquè la resolució de cada convocatòria sigui definitiva, els sol·licitants han de comunicar per escrit a la Unitat de Gestió del programa EUTOPIA MORE l'acceptació expressa de la plaça (en el cas d’exempció de matrícula) o de l’ajut atorgat així com de les bases de la convocatòria, en el termini que es fixi a partir de l’endemà de la data de publicació de la resolució.
L’acceptació dels ajuts inclou el compromís de justificar l’activitat realitzada o presentar un informe de seguiment, segons estableixin les bases específiques de cada convocatòria.
Forma de pagament
Una vegada acceptat l’ajut, s'iniciarà, per part de la unitat gestora del programa EUTOPIA, el tràmit de la transferència bancària per fer efectiu l'import total atorgat a l’activitat, en un sol termini i sempre un cop finalitzada l’activitat objecte de la convocatòria i prèvia aportació dels justificants requerits en cada cas.
Setena. Criteris de selecció
Les sol·licituds presentades seran analitzades i avaluades per una comissió constituïda a l’efecte i es valoraran els criteris de selecció següents:
- valoració de l’expedient acadèmic dels candidats
- valoració de la motivació expressada pel candidat per a participar a la convocatòria
- altres que es puguin fixar per a cada convocatòria específica
La ponderació corresponent a l’acreditació de cada criteri es fixarà a cada convocatòria específica.
S’estableix una comissió de selecció per a les convocatòries formada per:
- El/la vicerector/a d’Internacionalització, o la persona en qui delegui, president
- El/la delegat/da per al Projecte EUTOPIA MORE
- Un representant del Consell d’Estudiants de la UPF
- El/la Coordinador/a del Projecte EUTOPIA, secretari/ària de la comissió
- Altres membres que designi el/la president/a en funció de la naturalesa dels ajuts
Vuitena. Sol·licituds i documentació
Les sol·licituds s'han de presentar mitjançant el formulari normalitzat, que estarà disponible a la web d’EUTOPIA per a cada convocatòria (https://www.upf.edu/web/eutopia).
La sol·licitud haurà d’anar acompanyada de la documentació següent:
- certificat acadèmic dels estudis en curs a la UPF
- certificats d’idiomes
- carta de motivació
- altres documents que es puguin tenir en consideració segons les bases específiques de cada convocatòria
La falta de documentació requerida pot fer inadmetre la sol·licitud.
La UPF pot demanar als sol·licitants la informació complementària que consideri convenient per aclarir o detallar el contingut de les sol·licituds.
Novena. Revocació dels ajuts
S’entendrà que la persona sol·licitant renuncia a aquest ajut si no l’accepta en el termini previst.
Els ajuts atorgats es poden revocar totalment o parcialment quan no es respectin els terminis establerts o quan es modifiqui substantivament el contingut de l’activitat sense prèvia autorització de la UPF.
La justificació inadequada d'una activitat i l'incompliment en la presentació de l'informe de seguiment comportarà la revocació de l’ajut.
En el cas que les persones beneficiàries no hagin gastat les quantitats concedides una vegada presentada la memòria o la justificació final, els romanents existents passaran a disposició del pressupost EUTOPIA.
En cas que la persona interessada, per motius diferents als exposats en aquest apartat, decideixi renunciar al desenvolupament de l’activitat per a la què ha rebut l’ajut, haurà de presentar a EUTOPIA un escrit en què manifesti la renúncia a l’import concedit, indicant-ne els motius.
Desena. Obligació de facilitar la informació requerida.
La sol·licitud de participació implica l’obligació de facilitar la documentació requerida en el procés de sol·licitud, i la justificació de l’activitat un cop completada, per tenir dret a la recepció dels ajuts.
Onzena. Acceptació de les bases i interpretació de les bases
La sol·licitud de participació implica l’acceptació d’aquestes bases.
La interpretació d’aquestes bases correspon a la comissió de selecció prevista en la Base Setena.
Dotzena. Autorització del tractament de les dades personals
La participació en la convocatòria implica el consentiment al tractament de les dades amb la finalitat de gestionar la convocatòria i fer-ne difusió en els termes exposats en aquestes bases.
Les dades es conservaran mentre siguin necessàries per a la gestió de la convocatòria corresponent i posterior difusió.
La UPF no cedirà les dades a tercers excepte que existeixi una obligació legal.
Els participants poden exercir els drets d’accés, rectificació, supressió, oposició, limitació i portabilitat de les seves dades per escrit, acreditant la seva identitat, per qualsevol dels mitjans previstos a l’article 16.4 de la Llei 39/2015, d’1 d’octubre.
L’oposició al tractament de dades en la mesura que sigui incompatible amb la gestió de la convocatòria podrà determinar el desistiment o la renúncia als ajuts.
5. Aprovació de temes de l'àmbit econòmic:
5.1. Modificació de les bases d'execució del pressupost 2023.
En data 14 de desembre del 2022 el Consell de Govern va aprovar les Bases que han de regir l’execució del pressupost 2023.
Per raons d’eficiència en la gestió dels pagaments de la Universitat, es considera oportú proposar la modificació del redactat de l’article 57, relatiu a les modalitats de pagament, a l’objecte d’agilitar la signatura dels pagaments que excepcionalment siguin efectuats per dos membres de la gerència.
Per tot l’exposat, el Consell de Govern acorda:
Article únic. Modificar l’article 57 de les Bases d’execució del pressupost del 2023 en els termes següents:
“Article 57. Modalitats de pagament
Els pagaments s’efectuaran d’acord amb l’ordre de preferència que es detalla a continuació:
a) Per transferència bancària
b) Mitjançant targeta de crèdit
c) En efectiu
d) Mitjançant xec
Les ordres de transferència bancària i els xecs dels comptes generals requeriran de dues signatures o, en el cas de les ordres de transferència, de dues autoritzacions efectuades de forma telemàtica: d’una banda la del rector o el vicerector que designi i de l’altra la del gerent, el vicegerent competent en matèria d’economia o el cap del servei de pressupostos i finances. En els últims quinze dies naturals dels mesos de juliol i de desembre el cap de secció de tresoreria del servei de pressupostos i finances també gaudirà d’aquesta competència com a membre de la gerència.
Excepcionalment les dues signatures o autoritzacions podran ser efectuades simultàniament per dos membres del rectorat o bé per dos membres de la gerència.”
5.2. Autorització d'expedients de despesa de caràcter pluriennal.
5.2.1.
Per Acord de la Comissió Econòmica del Consell Social de la Universitat Pompeu Fabra de data 5 de maig del 2023 es va acordar, per unanimitat, l’aprovació de la despesa de caràcter pluriennal de la UPF en la pròrroga de la contractació conjunta del servei de llicències “MATLAB Total Academic Headcount Full Suite” i “MATLAB Academic Online Training Suite” que va tramitar el Consorci de Serveis Universitaris de Catalunya (CSUC) per al període 2022 a 2024:
Període/Any |
Import sense IVA |
IVA |
Import amb IVA |
Partida |
1/04/2022 – 31/12/2022 |
11.823,00 € |
2.482,83 € |
14.305,83 € |
201.30 |
2023 |
15.764,00 € |
3.310,44 € |
19.074,44 € |
201.30 |
1/01/2024-1/03/2024 |
3.941,00 € |
827,61 € |
4.768,61 € |
201.30 |
Tanmateix, el CSUC ha establert que el pagament sigui en el moment de la renovació anual i per import de 15.764,00 €/any sense IVA. Per tant, el pagament de la pròrroga s’ha realitzat de la forma següent:
Període/Any |
Import sense IVA |
IVA |
Import amb IVA |
Partida |
2022 |
15.764,00 € |
3.310,44 € |
19.074,44 € |
201.30 |
2023 |
15.764,00 € |
3.310,44 € |
19.074,44 € |
201.30 |
Per tot això, l’any 2024 no s’imputarà cap despesa per la pròrroga.
Per tot això, el Consell de Govern acorda proposar al Consell Social que aprovi l’anul·lació de l’anualitat 2024 de la despesa de caràcter pluriennal per a la contractació conjunta del servei de llicències “MATLAB Total Academic Headcount Full Suite” i “MATLAB Academic Online Training Suite” del CSUC.
5.2.2.
Per Acord de la Comissió Econòmica del Consell Social de la Universitat Pompeu Fabra de data 6 de maig del 2021 es va acordar l’aprovació de la despesa de caràcter pluriennal de la UPF per a la contractació conjunta per a la prestació d’un sistema de gestió bibliotecària per a les universitats i entitats que integren el grup de compra del Consorci de Serveis Universitaris de Catalunya (CSUC) per al període 2021 a 2025, pels imports següents:
Quadre A |
|
|||||
Any/període |
Import assistència tècnica i operació de l’SGB |
Import hostatge i suport extern de l’SGB |
Import total sense IVA |
Import de l’IVA |
Import total amb IVA |
Partida |
01/09/2021-31/12/2021 |
2.610,04 € |
6.293,04 € |
8.903,08 € |
1.321,54 € |
10.224,62 € |
216.00 |
2022 |
7.830,12 € |
18.879,12 € |
26.709,24 € |
3.964,62 € |
30.673,86 € |
216.00 |
2023 |
7.830,12 € |
18.879,12 € |
26.709,24 € |
3.964,62 € |
30.673,86 € |
216.00 |
2024 |
7.830,12 € |
18.879,12 € |
26.709,24 € |
3.964,62 € |
30.673,86 € |
216.00 |
01/01/2025-31/08/2025 |
5.220,08 € |
12.586,08 € |
17.806,16 € |
2.643,08 € |
20.449,24 € |
216.00 |
La facturació d’aquesta despesa es determina per les tarifes anuals del CSUC.
El 23 de març del 2023, a proposta del CSUC, la Comissió Econòmica ha aprovat les tarifes del CSUC per al 2023, que comporta que la despesa per a l’Assistència tècnica i operació de l’SGB i per a l’Hostatge i suport extern de l’SGB siguin 8.136,00 € i 31.431,02 € respectivament.
Per tant, la despesa de l’expedient queda, per a les properes anualitats, de la forma següent:
Quadre B |
||||||
Any/període |
Import assistència tècnica i operació del SGB |
Import hostatge i suport extern del SGB |
Import total sense IVA |
Import de l’IVA |
Import total amb IVA |
Partida |
2023 |
8.136,00 € |
31.431,02 € |
39.567,02 € |
6.600,51 € |
46.167,53 € |
216.00 |
2024 (*) |
8.136,00 € |
31.431,02 € |
39.567,02 € |
6.600,51 € |
46.167,53 € |
216.00 |
01/01/2025-31/08/2025 (*) |
5.424,00 € |
20.954,01 € |
26.378,01 € |
5.539,38 € |
31.917,40 € |
216.00 |
(*) Aquests valors poden variar a causa de les modificacions de les tarifes aprovades pel CSUC en aquestes anualitats. Per tant, es demana l’autorització d’aquests imports i de les possibles modificacions en aquests com a conseqüència de la variació de les tarifes que acordi el Consorci per a cada anualitat.
Per tot això el Consell de Govern acorda proposar al Consell Social que aprovi la regularització de la despesa de caràcter pluriennal, per a la contractació conjunta per a la prestació d’un sistema de gestió bibliotecària per a les universitats i entitats que integren el grup de compra del CSUC per al període 2021 a 2025 pels imports establerts en el quadre B d’aquest acord.
5.2.3.
Actualment la Universitat disposa de 3 vehicles en propietat: una furgoneta de motorització elèctrica per a la missatgeria interna de la UPF, un monovolum de fins a 7 places per representació institucional i un turisme per tasques de promoció d’estudis a centres d’ensenyament secundari de Catalunya i altres esdeveniments.
Aquests dos darrers vehicles, disposen de motorització basada íntegrament en combustió d’hidrocarburs i van ésser matriculats els anys 2013 i 2011, respectivament. Malgrat que els vehicles funcionen correctament, en aquests moments ambdós ja han exhaurit el seu estat de funcionament òptim. A més, en realitzar de forma habitual trajectes per vies urbanes a la conurbació de Barcelona (AMB) i en tractar-se de vehicles amb motor de combustió, aquests ja no s’adeqüen als estàndards mediambientals exigibles per a aquesta Universitat.
Per renovar aquests dos vehicles s’opta per licitar un contracte de rènting, denominat d’arrendament sense opció de compra, que permet posar a disposició junt amb els vehicles els serveis associats necessaris per a la màxima disponibilitat del mateix (manteniment, substitució, etc) i per un ús estimat per ambdós vehicles de 20.000 km/anuals de trajecte.
Alhora, s’estableix que la motorització dels vehicles sigui híbrida o elèctrica i així permeti reduir en comparació amb els vehicles de la flota actual tant el consum d’hidrocarburs com les emissions de gasos d’efecte hivernacle associades.
El repartiment per anualitats de la despesa derivada del contracte és el següent:
Anualitat |
Import total sense IVA |
IVA |
Import total amb IVA |
Partida |
2023 (set.-des.) |
8.000,00 € |
1.680,00 € |
9.680,00 € |
201.90 |
2024 |
23.400,00 € |
4.914,00 € |
28.314,00 € |
201.90 |
2025 |
23.400,00 € |
4.914,00 € |
28.314,00 € |
201.90 |
2026 |
23.400,00 € |
4.914,00 € |
28.314,00 € |
201.90 |
2027 (gen.-ago.) |
15.600,00 € |
3.276,00 € |
18.876,00 € |
201.90 |
Detall per lots:
|
Lot 1 |
Lot 2 |
||||
Anualitat |
Import sense IVA |
IVA |
Import amb IVA |
Import sense IVA |
IVA |
Import amb IVA |
2023 |
4.600,00 € |
966,00 € |
5.566,00 € |
3.400,00 € |
714,00 € |
4.114,00 € |
2024 |
13.800,00 € |
2.898,00 € |
16.698,00 € |
9.600,00 € |
2.016,00 € |
11.616,00 € |
2025 |
13.800,00 € |
2.898,00 € |
16.698,00 € |
9.600,00 € |
2.016,00 € |
11.616,00 € |
2026 |
13.800,00 € |
2.898,00 € |
16.698,00 € |
9.600,00 € |
2.016,00 € |
11.616,00 € |
2027 |
9.200,00 € |
1.932,00 € |
11.132,00 € |
6.400,00 € |
1.344,00 € |
7.744,00 € |
Total |
55.200,00 € |
11.592,00 € |
66.792,00 € |
38.600,00 € |
8.106,00 € |
46.706,00 € |
S’opta per una contractació de caràcter pluriennal atesa l’eficiència que suposa de gestió del parc mòbil de la Universitat, en la mesura en que s’encomana al contractista la gestió integral del vehicle amb substitució del mateix en cas de paralització i també l’estalvi que suposa en comparació a l’arrendament en períodes de temps més curts com l’anual.
La prospecció del mercat aconsella que aquest contracte tingui una durada de 4 anys i preveient que la vigència s’iniciarà el mes de setembre, la despesa comporta cinc exercicis pressupostaris. En el primer exercici del lot 2 s’afegeix l’import corresponent a la serigrafia corporativa del vehicle operatiu.
Per tot això, el Consell de Govern acorda proposar al Consell Social l’aprovació de la despesa de caràcter pluriennal de la UPF en la contractació de l’ arrendament sense opció de compra de dos vehicles per a la Universitat Pompeu Fabra per al període 2023 a 2027, dividit en dos lots.
6. Temes d’integritat, transparència i seguretat de la informació:
6.1. Presentació de l'Informe anual del Pla de mesures d'integritat en la gestió de la Universitat Pompeu Fabra 2022.
El Consell de Govern pren coneixement de l’Informe anual del Pla de mesures d'integritat en la gestió de la Universitat Pompeu Fabra (2022), que consta com a annex 5.
6.2. Presentació de la Memòria anual del Consell Assessor de la Transparència en matèria de transparència, informació pública i bon govern 2022.
El Consell de Govern pren coneixement de la Memòria anual del Consell Assessor de la Transparència en matèria de transparència, informació pública i bon govern (2022), que consta com a annex 6.
6.3. Aprovació de la Normativa del sistema de gestió de seguretat de la informació.
La Llei 40/2015, d’1 d’octubre, de règim jurídic del sector públic, disposa a l’article 156.2 que l’Esquema Nacional de Seguretat té per objecte establir la política de seguretat de la utilització de mitjans electrònics en l’àmbit d’aquesta mateixa llei i que està constituït pels principis bàsics i pels requisits mínims que garanteixin adequadament la seguretat de la informació tractada.
El Reial Decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat (ENS) ve a derogar el Reial Decret 3/2010, de 8 de gener, que regulava l’ENS fins ara. El nou Reial Decret 311/2022 determina, en el seu article 12, que tots els òrgans superiors de les administracions públiques, com és el cas de la Universitat Pompeu Fabra, han de disposar formalment d’una política pròpia de seguretat de la informació que articuli la gestió continuada de la seguretat i que aquesta política s’establirà d’acord amb els principis bàsics indicats en el mateix Reial Decret i que es desenvoluparà aplicant uns requisits mínims especificats.
D’acord amb la disposició addicional segona del Reial Decret 311/2022 citat, el Centre Criptològic Nacional (CCN) elabora guies de seguretat de les tecnologies de la informació i la comunicació (guies CCN-STIC) que, a la vegada, s’han d’incorporar al conjunt documental utilitzat per a la realització de les auditories de seguretat. Un dels requeriments d’aquestes guies CCN-STIC contempla l’aprovació d’un cos normatiu en tres nivells: un primer nivell constituït per la present Política de Seguretat de la Informació; un segon nivell format per les normes derivades de l’anterior que han de ser aprovades per Consell de Govern a proposta del Comitè de seguretat TIC i, un tercer nivell constituït per procediments, guies i instruccions tècniques.
Atenent a l’anterior és necessari adaptar la Política de seguretat de la Universitat que va ser aprovada al 2018.
Per tot això, el Consell de Govern acorda:
Article únic. Aprovar la Política de seguretat de la informació, que consta com a annex.
Disposició derogatòria. Es deroga la Política de seguretat en la informació, aprovada per Acord de Consell de Govern de 14 de desembre del 2018.
ANNEX
POLÍTICA DE SEGURETAT DE LA INFORMACIÓ
Les TIC són un element essencial per a l’assoliment d’aquests objectius. Han de ser administrades amb diligència i s’han de prendre, en tot moment, les mesures de protecció adequades per garantir la disponibilitat dels serveis; la integritat, la confidencialitat i l’autenticitat de la informació tractada; i la traçabilitat dels tràmits realitzats.
La Llei 40/2015, d’1 d’octubre, de règim jurídic del sector públic, disposa a l’article 156.2 que l’Esquema Nacional de Seguretat té per objecte establir la política de seguretat de la utilització de mitjans electrònics en l’àmbit d’aquesta mateixa llei i que està constituït pels principis bàsics i pels requisits mínims que garanteixin adequadament la seguretat de la informació tractada.
El Reial Decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat (ENS), a l’article 12, determina que tots els òrgans superiors de les administracions públiques, han de disposar formalment d’una política pròpia de seguretat de la informació que articuli la gestió continuada de la seguretat i que aquesta política s’establirà d’acord amb els principis bàsics indicats en el mateix Reial Decret i que es desenvoluparà aplicant uns requisits mínims especificats.
Article 1. Objecte
Establir una política de seguretat de la informació que articuli la gestió continuada de la seguretat, entesa com la capacitat dels sistemes informàtics de prevenir els incidents malintencionats que puguin comprometre la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Article 2. Àmbit d’aplicació
Aquesta normativa, així com les normes i procediments que la desenvolupen, són d’obligat compliment per part dels membres de la comunitat universitària, de qualsevol persona que sigui usuària dels sistemes d’informació de la Universitat, així com de les empreses externes que prestin serveis a la Universitat, incloent tant les empreses contractistes com les subcontractades.
Així mateix, són d’aplicació a totes les instal·lacions de la Universitat i a tots els dispositius que s’utilitzin per accedir als seus sistemes d’informació.
Article 3. Missió de la Universitat
L’article 177.2 dels Estatuts de la Universitat especifica que l’administració de la Universitat ha de fomentar el desenvolupament de les infraestructures i dels recursos necessaris per a l’aplicació de les tecnologies de la informació i la comunicació (TIC) i ha d’assegurar el dret d’accés dels ciutadans als seus serveis per mitjans telemàtics amb plenes garanties jurídiques i de seguretat. Ha de promoure la gestió del coneixement i l’accés a la informació d’acord amb els principis de proximitat, transparència i agilitat.
El Pla Estratègic 2016-2025 defineix com a missió de la Universitat:
- Formar, mitjançant un model educatiu rigorós, innovador i personalitzat, persones amb sòlids coneixements científics i culturals, competències transversals adequades per adaptar-se als canvis i als reptes de la societat, i capacitats per desenvolupar els seus projectes de vida.
- Esdevenir una universitat de recerca preeminent.
- Promoure la innovació i la transformació social.
- Impulsar el compromís amb la cultura.
Article 4. Marc legal
El marc legal de la Política de seguretat de la informació està format pel Reial Decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat, la present normativa que contempla:
a) La Política de seguretat en la informació, que estableix els requisits i els criteris de seguretat TIC en l’àmbit de la Universitat.
b) El control d’accés als sistemes d’informació
c) La seguretat en els centres de processament de dades
d) La gestió d’incidències de seguretat TIC
D’acord amb la disposició addicional segona del Reial Decret 311/2022 citat, el Centre Criptològic Nacional (CCN) elabora guies de seguretat de les tecnologies de la informació i la comunicació (guies CCN-STIC) que, a la vegada, s’han d’incorporar al conjunt documental utilitzat per a la realització de les auditories de seguretat. Un dels requeriments d’aquestes guies CCN-STIC contempla l’aprovació d’un cos normatiu en tres nivells: un primer nivell constituït per la present Política de Seguretat de la Informació; un segon nivell format per les normes derivades de l’anterior que han de ser aprovades per Consell de Govern a proposta del Comitè de seguretat TIC i, un tercer nivell constituït per procediments, guies i instruccions tècniques.
Dins el tercer nivell, els procediments de gestió operativa i els documents que descriuen explícitament pas a pas com realitzar una certa activitat, són aprovats pel Comitè de seguretat TIC a proposta del responsable de la seguretat TIC; i les instruccions tècniques pròpies del Servei d’Informàtica, són aprovades pel responsable del sistema.
A la vegada, aquest marc legal es complementa amb les normes de la Universitat sobre administració electrònica i protecció de dades personals, de manera que aquests blocs normatius s’hauran d’aplicar i interpretar de forma integrada.
Quan la Universitat presta serveis TIC a altres institucions o organismes, el Servei d’Informàtica els ha de fer partícips de la política de seguretat de la informació i d’altres normatives TIC associades i ha d’establir canals de coordinació i procediments d’actuació per reaccionar adequadament en cas de possibles incidents de seguretat.
Quan la Universitat utilitzi serveis TIC d’altres institucions, organismes o empreses o els cedeixi informació, sigui mitjançant la contractació de serveis, la col·laboració o qualsevol altra relació que no tingui caràcter contractual, els ha de fer partícips de la política i de la normativa de seguretat referides en aquests serveis i aquesta informació. Aquesta institució, organisme o empresa quedarà subjecta a les obligacions establertes en la normativa esmentada i podrà desenvolupar procediments operatius propis per complir-la. S’han d’establir procediments específics per reportar i resoldre incidències. S’ha de garantir que el seu personal està conscienciat adequadament en matèria de seguretat, si més no al mateix nivell que el que estableix aquesta política. Quan la institució, organisme o empresa no pugui satisfer algun aspecte d’aquesta política, segons el que estableixen els paràgrafs anteriors, el responsable de la seguretat ha d’elaborar un informe en què especifiqui els riscos a què està exposada i la forma de tractar-los. Els responsables de la informació i dels serveis afectats han d’aprovar aquest informe per poder utilitzar els serveis.
Article 5. Estructura de responsabilitats
1. La persona responsable de la informació, a efectes de l’ENS, és el secretari o secretària general de la UPF o la persona en qui delegui. Són funcions del responsable de la informació:
- Establir els requisits de la informació tractada en matèria de seguretat en la informació.
- Treballar en col·laboració amb els responsables de la seguretat i del sistema en el manteniment dels sistemes catalogats segons l'annex I de l'ENS.
- Qualsevol altra funció que li atorgui l’ENS o la legislació vigent.
2. La persona responsable del servei, a efectes de l’ENS, és el gerent o gerenta de la UPF o la persona en qui delegui. Són funcions del responsable del servei:
- Establir els requisits dels serveis prestats en matèria de seguretat TIC.
- Treballar en col·laboració amb els responsables de la seguretat i del sistema en el manteniment dels sistemes catalogats segons l'annex I de l'ENS.
- Vetllar per la inclusió de clàusules sobre seguretat en els contractes amb altres institucions o organismes i fer que es compleixin.
- Qualsevol altra funció que li atorgui l’ENS o la legislació vigent.
3. La persona responsable de la seguretat TIC, a efectes de l’ENS, és el vicegerent o vicegerenta de la Universitat competent en tecnologies de la informació i la comunicació o la persona en qui delegui. El responsable de la seguretat TIC no pot ser la mateixa persona que el responsable del servei, ni el responsable de la informació, ni el responsable del sistema. Són funcions del responsable de la seguretat TIC:
- Determinar les decisions per satisfer els requisits de seguretat tant de la informació com dels serveis.
- Mantenir la seguretat de la informació que emmagatzemen i processen les infraestructures TIC de la UPF i els serveis que presten.
- Realitzar o promoure les auditories periòdiques que permetin verificar el compliment de les obligacions de la UPF en matèria de seguretat.
- Promoure la formació i la conscienciació del personal TIC dins del seu àmbit de responsabilitat.
- Verificar que les mesures de seguretat establertes són adequades per a la protecció de la informació que es tracta i els serveis que es presten.
- Analitzar i completar la documentació relacionada amb la seguretat dels sistemes.
- Monitoritzar l'estat de seguretat dels sistemes proporcionat per les eines de gestió d'esdeveniments de seguretat i els mecanismes d'auditoria implementats en els sistemes.
- Donar suport a la investigació dels incidents de seguretat, des que es notifiquen fins que es resolen, i supervisar-la.
- Elaborar els informes periòdics de seguretat, els quals han d'incloure els incidents més rellevants del període.
- Aprovar els procediments de seguretat dels sistemes TIC de la Universitat.
- Proposar actualitzacions de les normatives de seguretat TIC de la UPF.
El responsable del sistema, a efectes de l’ENS, és el cap del Servei d’Informàtica de la UPF o la persona en qui delegui. La responsable del sistema no pot ser la mateixa persona que el responsable del servei, la responsable de la seguretat TIC o el responsable de la informació. Són funcions de la persona responsable del sistema:
- Gestionar el desenvolupament, l’operació i el manteniment dels sistemes d'informació durant tot el seu cicle de vida, les seves especificacions, la instal·lació i la verificació del seu correcte funcionament.
- Definir la topologia dels sistemes d'informació, establint els criteris d'ús i els serveis disponibles.
- Assegurar que s'apliquen els procediments operatius de seguretat elaborats i aprovats pel responsable de la seguretat TIC.
- Acordar la suspensió de l’ús d'una certa informació o la prestació d'un cert servei si és informat de deficiències greus de seguretat que poguessin afectar a la satisfacció dels requisits establerts. Abans de ser executada, aquesta decisió ha de ser acordada amb els responsables de la informació i del servei afectats i amb el responsable de la seguretat TIC.
- Monitoritzar l'estat de seguretat dels sistemes d'informació i reportar-ho periòdicament o en cas d’incidents de seguretat rellevants al responsable de la seguretat TIC.
- Realitzar exercicis i proves periòdiques dels plans de continuïtat dels sistemes per mantenir-los actualitzats i verificar que són efectius, en coordinació amb el responsable de la seguretat TIC.
- En cas d'ocurrència d'incidents de seguretat en la informació planificarà la implantació de les salvaguardes en els sistemes d’informació i executarà el pla de seguretat aprovat en coordinació amb el responsable de la seguretat TIC.
Es relacionen i regulen en annex altres rols i responsabilitats en la seguretat TIC.
Article 6. Comitè de seguretat TIC
1. El Comitè de seguretat TIC de la UPF es reunirà amb una periodicitat bianual, com a mínim, i estarà format per les persones següents:
- El responsable del servei, que actuarà com a president.
- El responsable de la informació.
- El responsable de la seguretat TIC, que actuarà com a secretari.
- El responsable del sistema.
- El delegat o delegada de protecció de dades, amb veu però sense vot.
També podran assistir-hi altres persones, convidades pel president de l’òrgan en funció de l’ordre del dia de la sessió.
2. El Comitè de seguretat TIC té les funcions següents:
- Coordinar la seguretat en la informació i dels serveis TIC de la UPF.
- Fer el seguiment de la política de seguretat de la informació i proposar-ne modificacions al Consell de Govern si així ho estima necessari.
- Valorar les propostes de creació o modificació de les normatives de seguretat TIC que li arribin i proposar-ne l’aprovació al Consell de Govern si així ho estima necessari.
- Divulgar la política i les normatives de seguretat TIC de la UPF.
- Supervisar les auditories de compliment de l’ENS.
- Aprovar els procediments de gestió operativa i els documents que descriuen explícitament pas a pas com realitzar una certa activitat, a proposta del responsable de la seguretat TIC.
Article 7. Formació
1. L’oferta formativa de la UPF haurà d’incloure cursos de conscienciació i formació en seguretat, tant per al PDI com per al PAS, i haurà de tenir en compte tant la formació contínua com la formació del personal de nova incorporació.
La Universitat determinarà quina formació ha de ser obligatòria en funció del lloc de treball.
2. El Servei d’Informàtica ha de vetllar perquè el personal d’empreses contractistes i subcontractades que administrin infraestructures TIC de la Universitat conegui i apliqui tant les normatives de seguretat com els procediments de treball TIC de la Universitat.
Article 8. Implementació de la seguretat
1. Prevenció
La Universitat ha d’evitar o, com a mínim, prendre mesures per prevenir que la informació o els serveis siguin perjudicats per incidents de seguretat. Per això, s’han d’implementar, com a mínim, les mesures de seguretat que defineix l’ENS així com qualsevol altra millora que s’identifiqui durant una avaluació d’amenaces o qualsevol altre control. Aquests controls i els rols i les responsabilitats de seguretat de tot el personal han d’estar clarament definits i documentats.
Per tal de garantir el compliment de la present Política de seguretat de la informació:
- S’ha de validar que els sistemes compleixen les mesures de seguretat abans que comencin a funcionar.
- S’ha d’avaluar regularment la seguretat dels sistemes, incloent-hi avaluacions dels canvis de configuració que es fan de forma rutinària.
- S’ha de sol·licitar que organismes o entitats independents els revisin periòdicament, amb la finalitat d’obtenir una avaluació independent.
2. Detecció i reacció
En relació a la detecció i reacció davant incidents de seguretat correspon al Servei d’Informàtica:
a) Monitoritzar de manera continuada el funcionament dels serveis TIC de la Universitat, per tal de detectar anomalies en els nivells de prestació de serveis i actuar-hi en conseqüència, tal com estableix l’article 7.3 de l’ENS.
b) Disposar de procediments de restauració de la informació i de recuperació del servei per poder fer front a situacions en què un incident de seguretat els inhabilita, tal com estableix l’article 7.4 de l’ENS.
c) Establir mecanismes per respondre eficaçment als incidents de seguretat i definir protocols per a l’intercanvi d’informació sobre els incidents amb els equips de resposta a emergències de seguretat (coneguts com CERT, Computer Emergency Response Team).
3. Gestió de la seguretat
3.1. Línies de defensa
Les infraestructures TIC han de comptar amb una estratègia de protecció constituïda per diverses capes de seguretat, que poden ser de naturalesa física, lògica o organitzativa, que permetin la minimització de l’impacte de possibles incidents de seguretat, tal i com estableix l’article 8 de l’ENS.
3.2. Anàlisi i gestió de riscos
L’anàlisi i la gestió de riscos són part essencial del procés de seguretat i s’han de mantenir-se actualitzades. La gestió de riscos permetrà el manteniment d’un entorn controlat, minimitzant-los fins a nivells admissibles.
S’ha de realitzar una anàlisi de riscos sobre les infraestructures TIC en què s’avaluïn les amenaces i els riscos als quals estan exposades. Aquesta anàlisi s’haurà de repetir quan es doni alguna de les circumstàncies següents:
- Modificació en la informació que es tracta.
- Canvi en els serveis prestats.
- Existència d’un incident greu de seguretat.
- Detecció de vulnerabilitats greus.
4. Auditoria de compliment de l’ENS
Amb una periodicitat biennal la Universitat sotmetrà els sistemes sotmesos a l’àmbit d’aplicació de la present normativa a una auditoria de verificació del compliment de l’ENS, la qual serà coordinada pel responsable de la seguretat TIC.
El resultat de l’auditoria ha de ser presentat al Comitè de seguretat TIC, que podrà decidir mesures correctores per tal d’esmenar possibles deficiències o riscos excessius identificats durant el procés d’auditoria. Aquestes mesures correctores seran de compliment obligatori.
Annex. Altres rols i responsabilitats en la seguretat TIC
1. Persona administradora de la seguretat del sistema
La persona administradora de la seguretat del sistema és el responsable d’executar les mesures derivades de la gestió de la seguretat i d’aplicar les mesures a nivell tècnic.
Aquest rol ha de correspondre a personal d’administració i serveis de la Universitat amb responsabilitat tècnica sobre els sistemes d’informació que suporten els serveis de la Universitat.
Es pot designar una o diverses persones administradores de la seguretat del sistema ja sigui per a cadascun o per a tots els sistemes d’informació.
El rol no pot ser desenvolupat per un òrgan col·legiat ni la persona designada no pot delegar les seves funcions en altres persones. Si s’escau, es poden nomenar persones administradores de la seguretat segons el sistema d’informació.
Es designen les següents persones administradores per als sistemes d’informació que s’indiquen:
- Seguretat dels sistemes d’informació relacionats amb les aplicacions, el rol correspon al cap de la Unitat de Desenvolupaments i Operacions.
- Seguretat dels sistemes d’informació relacionats amb les infraestructures, el rol correspon al cap de la Unitat d’Infraestructures i Seguretat TIC.
- Seguretat dels sistemes d’informació relacionats amb les estacions de treball, el rol correspon als caps de les unitats d’informàtica desplegades als campus.
Les seves funcions són les següents:
- Implementar, gestionar i mantenir les mesures de seguretat aplicables als sistemes d'informació.
- Assegurar que els controls de seguretat establerts són configurats correctament.
- Assegurar que la traçabilitat, els logs i altres registres de seguretat requerits es troben habilitats i s'emmagatzemen amb la freqüència desitjada, d'acord amb la Política de seguretat establerta.
- Aplicar als sistemes, als usuaris i en general a tots els actius, els procediments operatius de seguretat.
- Supervisar les instal·lacions de maquinari i programari, les seves modificacions, les millores i les actualitzacions per assegurar que la seguretat no està compromesa.
- Informar el responsable de la seguretat TIC i el responsable del sistema de qualsevol anomalia, compromís o vulnerabilitat relacionada amb la seguretat.
- Monitoritzar l'estat de la seguretat del sistema.
En cas d'incidents de seguretat de la informació, han de:
- Coordinar i supervisar el registre, i la gestió dels incidents de seguretat en els sistemes de la seva competència.
- Executar el pla de seguretat aprovat.
- Aïllar l'incident per evitar la propagació a elements aliens a la situació de risc.
- Prendre decisions a curt termini si la informació s'ha vist compromesa de tal forma que pogués tenir conseqüències greus (aquestes actuacions hand'estar reflectides en un procediment documentat per reduir el marge de discrecionalitat de l'administrador de seguretat del sistema al mínim nombre de casos). Calque aquestes decisions siguin sempre reportades al responsable de la seguretat TIC i al responsable del sistema.
- Assegurar la integritat dels elements crítics del sistema si se n’ha vist afectada la disponibilitat.
- Mantenir i recuperar la informació emmagatzemada pel sistema i els seus serveis associats.
- Investigar l'incident: Determinar la manera, els mitjans, els motius i l'origen de l'incident.
Compatibilitat amb altres rols
Aquest rol no pot coincidir amb el de responsable de la informació, amb el de responsable del servei ni amb el de responsable de la seguretat TIC.
Administradors delegats
En determinats sistemes d'informació en què, per la complexitat, la distribució, la separació física dels seus elements o el nombre d'usuaris, es necessiti personal addicional per dur a terme les seves funcions, es poden designar administradors delegats de la seguretat del sistema.
Els administradors delegats de la seguretat del sistema són responsables, en el seu àmbit, d'aquelles accions que delegui l'administrador de seguretat del sistema que estiguin relacionades amb la implantació, la gestió i el manteniment de les mesures de seguretat aplicables al sistema d'informació.
Els administradors delegats de la seguretat del sistema són designats a proposta de l'administrador de seguretat del sistema, del qual dependran funcionalment.
2. Delegat o delegada de Protecció de Dades (DPD)
En l’àmbit de l’Esquema Nacional de Seguretat, les funcions del delegat de Protecció de Dades són: són les que determinades a l’art. 39 del Reglament (UE) 2016/679 General de Protecció de Dades i, de conformitat amb l’Esquema Nacional de Seguretat són:
- Supervisar el compliment de la legislació vigent en la protecció de dades de caràcter personal
- Assessorar al responsable o encarregat del tractament en l’elaboració de les anàlisi de riscos i avaluacions d’impacte relatives a la protecció de dades que determinen els risc i el nivell de seguretat a aplicar en els sistemes d’informació.
- Actuar com a punt de contacte per als interessats en tot el que tingui relació amb el tractament de les dades personals.
3. Empleats
Els empleats són responsables de custodiar degudament la informació i els recursos tècnics assignats.
4. Personal de les empreses contractistes i subcontractades
El personal de les empreses contractistes i subcontractades ha de complir les normatives de la Universitat quan treballi a les instal·lacions de la Universitat o accedeixi als seus sistemes d’informació, i ha d’aplicar els requisits de configuració i de seguretat especificats en la contractació del servei.
5. Jerarquia en el procés de presa de decisions i mecanismes de coordinació
Els diferents rols de seguretat de la informació tenen jerarquia entre sí. El Comitè de seguretat TIC determina les accions a realitzar en matèria de seguretat. La persona responsable de la seguretat TIC és l'encarregada de vetllar pel seu compliment, supervisant que les persones administradores de la seguretat del sistema implementin les mesures de seguretat segons el que està establert a la Política de seguretat de la informació.
La persona administradora de la seguretat del sistema reporta a la persona responsable del sistema incidents relatius a la seguretat del sistema i accions de configuració, actualització o correcció necessàries.
El responsable del sistema informa al responsable de la seguretat TIC dels problemes i de les necessitats funcionals detectades així com del possible impacte, incloent:
- Actuacions en matèria de seguretat, en particular pel que fa a decisions d'arquitectura del sistema.
- Resum consolidat dels incidents de seguretat.
- Eficàcia de les mesures de protecció que s'han d'implantar.
- El responsable de la seguretat TIC informa el responsable de la informació de les decisions i els incidents en matèria de seguretat que afectin la informació de la seva competència, en particular de l'estimació de risc residual i de les desviacions significatives de risc respecte als marges aprovats.
- El responsable de la seguretat TIC informa el responsable del servei de les decisions i dels incidents en matèria de seguretat que afectin al servei que li competeix, en particular de l'estimació de risc residual i de les desviacions significatives de risc respecte als marges aprovats.
El responsable de la seguretat TIC reporta al Comitè de seguretat TIC la següent informació:
- Resum consolidat d'actuacions en matèria de seguretat TIC.
- Resum consolidat d'incidents relatius a la seguretat de la informació.
- Estat de la seguretat dels sistemes d’informació, en particular del risc residual al qual el sistema està exposat. S’entén com a risc residual aquell que, avaluat en base a l’estimació de risc inicial, resti vigent després de l’aplicació de mesures de seguretat als sistemes.
6. 3. Normativa de control d'accés als sistemes d'informació
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
El control d’accés als sistemes d’informació és un aspecte crític per assolir aquestes finalitats i es fa necessari establir els àmbits de responsabilitat dels administradors dels sistemes TIC de la Universitat, així com també dels usuaris d’aquests sistemes d’informació.
Per tot això, el Consell de Govern acord:
Article únic. Aprovar la Normativa de control d’accés als sistemes d’informació, que consta com a annex.
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
El control d’accés als sistemes d’informació és un aspecte crític per assolir aquestes finalitats i es fa necessari establir els àmbits de responsabilitat dels administradors dels sistemes TIC de la Universitat, així com també dels usuaris d’aquests sistemes d’informació.
Per tot això, el Consell de Govern acorda aprovar la Normativa de control d’accés als sistemes d’informació, que consta com a annex.
ANNEX
NORMATIVA DE CONTROL D’ACCÉS ALS SISTEMES D’INFORMACIÓ
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Aquesta normativa desplega la Política de seguretat de la informació de la Universitat pel que fa al control d’accés a aquests sistemes d’informació establint els àmbits de responsabilitat dels administradors dels sistemes TIC de la Universitat, així com també dels usuaris d’aquests sistemes d’informació.
Article 1. Control d’accés lògic
1. Principis de control d’accés
Els principis que determinen el control d’accés als sistemes d’informació són els següents:
- L’accés als sistemes d’informació requereix sempre l’autenticació.
- El control d’accés als sistemes d’informació es gestiona a través de l’administrador de la seguretat del sistema d’informació corresponent.
- Els usuaris han d’autenticar-se sempre com usuaris no privilegiats del sistema; excepcionalment, i només amb finalitats d’administració, determinats usuaris poden autenticar-se com a administradors. Aquesta autenticació com a administradors s’ha de sol·licitar a l’administrador de seguretat del sistema i, una vegada concedida, tindrà una vigència temporal.
- Els usuaris i els administradors han de fer un ús responsable en tot moment de la informació dels sistemes d’informació accedits, garantint el nivell de confidencialitat adequat garantint el nivell de confidencialitat adequat.
- Les contrasenyes assignades als comptes d’usuari i d’administrador han de complir els requeriments que s’estableixen en aquesta normativa.
2. Registre i revisió del control d’accés
Regles generals:
- L’administrador de la seguretat del sistema realitza una revisió periòdica dels drets d’accés assignats als usuaris, com a mínim, una vegada a l’any.
- Els drets d’accés privilegiats s’han de revisar amb una periodicitat major. Aquesta tasca, l’ha de realitzar també l’administrador de seguretat del sistema.
- A més, s’ha de realitzar una actualització dels permisos d’accés corresponents a un usuari sempre que hagi experimentat modificació significativa de les responsabilitats, la posició o el rol a la Universitat.
El control d’accés a fitxers amb dades privades inclou, a més, un registre d’accessos que ha de complir els requeriments següents:
- Si conté dades sensibles ha d’emmagatzemar, com a mínim, la següent informació de cada intent d’accés:
- La identificació de l’usuari.
- La data i l'hora en què s’ha realitzat l’intent d’accés.
- L’acció realitzada sobre el fitxer.
- Les activitats realitzades amb èxit i també els intents fallits.
- El període de conservació és de (2) dos anys.
- S’ha de mantenir sota mesures de seguretat que garanteixin que aquest registre de logs d’accés no ha estat alterat ni manipulat des de la seva generació.
- L’administrador de seguretat del sistema s’encarrega de revisar, una vegada al trimestre, la informació de control registrada per cercar patrons anormals.
3. Drets d’accés
S'han d'establir procediments formals per controlar l'assignació dels permisos d'accés a cada sistema d'informació incloent totes les etapes del cicle de vida d'accés dels usuaris, des del registre inicial dels nous usuaris fins a la seva baixa quan ja no sigui necessari el seu accés als sistemes d'informació.
Pel que fa a la gestió de drets d'accés, es limitaran els privilegis de cada usuari al mínim necessari per complir les seves obligacions: els usuaris només accediran a la informació requerida necessària per exercir les funcions i responsabilitats assignades dins les funcions pròpies del lloc de treball que ocupen.
En referència a la capacitat d'autoritzar: l’administrador de seguretat del sistema definirà exclusivament el personal amb competència per poder autoritzar peticions, com, per exemple, el responsable del departament corresponent, que podrà concedir, alterar o anul·lar l'autorització als recursos mantenint informat a l’administrador de seguretat del sistema.
La modificació de privilegis s’ha de sol·licitar a través del gestor de peticions de la Universitat (CAU) i l’haurà d’autoritzar el responsable del recurs.
A. Identificadors
Cada una de les cadenes de caràcters utilitzades per identificar el nom d’un usuari a la xarxa de la Universitat constitueix un identificador.
Regles generals:
- Tots els identificadors personals han d'estar normalitzats, per possibilitar la identificació unívoca i personalitzada dels usuaris. L'identificador ha de permetre saber a qui correspon i quins drets té assignats.
- La creació d'un identificador d'usuari ha d'estar autoritzada pel seu superior jeràrquic.
- No es permet l'ús d'identificadors de grup o genèrics, excepte quan sigui estrictament necessari i sempre per raons operacionals internes dels sistemes. Aquesta circumstància ha d'estar degudament justificada i aprovada formalment, aplicant els controls de seguretat necessaris. En referència a aquests controls, han de permetre establir una traçabilitat de quin usuari concret de la Universitat ha accedit i utilitzat l’identificador genèric. Aquests s’han de registrar juntament amb un responsable associat per permetre la seva traçabilitat en cas d'incident de seguretat.
- Els identificadors d'usuaris genèrics i els identificadors per defecte han d’estar sempre inhabilitats.
- Els identificadors no han de donar indicis de nivell de privilegi associat.
- Sempre que sigui possible, s'han d'establir llistes de control d'accés als recursos d'informació de manera que cada usuari ha de tenir accés només a la informació que necessiti per desenvolupar les tasques corresponents al seu perfil dins la Universitat. Al seu torn, els identificadors d’usuaris nominals de la UPF han de tenir assignada una data de validesa. S’ha d’informar a l’usuari de la data de caducitat de la contrasenya amb un mínim de quinze dies d'antelació. Abans de la data de caducitat, s’informarà a l’usuari demanant el canvi per tal d’evitar que caduqui. En cas que no es faci el canvi s’inhabilitarà l’usuari.
- Pel que fa als usuaris genèrics d’operació dels sistemes, no caduquen per qüestions de disponibilitat dels serveis.
- S'han d'aplicar controls d'accés a tots els nivells de l'arquitectura i topologia dels sistemes d'informació. Això inclou: xarxes, plataformes o sistemes operatius, bases de dades i aplicacions. Els atributs de cada un d'ells han de reflectir alguna forma d'identificació i autenticació, autorització d'accés, verificació de recursos d'informació i registre i monitorització de les activitats.
- Els usuaris són responsables de totes les activitats realitzades amb els seus identificadors, contrasenyes i dispositius d'accés. Per tant, no han de permetre que altres persones els utilitzin o els coneguin.
B. Gestió de drets d’accés
- L'administració dels drets d'accés quedarà restringida a un nombre limitat de persones autoritzades. Només el personal autoritzat pot concedir, alterar o anul·lar l'accés autoritzat, segons els criteris establerts per l’administrador de seguretat del sistema.
- L'accés i/o la utilització dels sistemes quedaran restringits als identificadors autoritzats.
- S'ha de disposar d'una relació actualitzada d'usuaris amb accés autoritzat al sistema d'informació, amb procediments d'identificació i autenticació per aquest accés.
- S'han d'establir mecanismes per evitar que un usuari pugui accedir a dades o recursos amb drets diferents dels autoritzats.
- Les contrasenyes han de caducar amb la periodicitat estipulada que és, com a mínim, anual.
B.1 Entrega de contrasenyes
- Les contrasenyes generades automàticament pels sistemes es consideren provisionals, d’un sol ús, i seran comunicades a l’usuari directament, sense intermediaris. L’usuari ha de fer el canvi durant el primer inici de sessió.
- L'usuari ha de confirmar la recepció dels permisos d'accés, i que coneix i accepta les obligacions que implica la seva tinença, en particular el deure de custòdia diligent, protecció de la confidencialitat i informació immediata en cas que es detecti que pot coneguda per altres persones. Aquesta confirmació es pot fer mitjançant l’acceptació d’un document de responsabilitats o d’avís legal la primera vegada que accedeix al sistema.
B.2 Inhabilitació i suspensió de credencials
- Els comptes s’han de desactivar quan l'usuari deixi de tenir vinculació amb la Universitat, deixi de tenir assignada la funció per a la qual necessitava el compte o quan la persona que el va autoritzar revoqui l’autorització. L'identificador però, es mantindrà indefinidament i desactivat per evitar que un altre usuari pugui tenir aquest mateix identificador i atendre així les necessitats de traçabilitat dels registres d'activitat.
- S’han de desactivar els identificadors quan l'entitat (persona, equip o procés) que s'autentiquen acaben la seva relació amb el sistema.
- Els identificadors es desactivaran després d'un període de no utilització que es definirà en els procediments corresponents.
C. Gestió de perfils d’accés i privilegis
Tasques mínimes obligatòries que ha de realitzar l’administrador de seguretat del sistema en referència a la gestió de perfils d’accés i privilegis:
- Identificar perfils d'accés d'usuari normalitzats per a llocs de treball comuns i les responsabilitats derivades, així com els seus privilegis associats en base a les necessitats d'ús.
- Revisar trimestralment i eliminar del sistema usuaris i comptes redundants, posant especial èmfasi en aquells usuaris amb privilegis especials. S’han de revisar i reassignar drets d'accés quan es produeixin canvis en les funcions dels usuaris. S’ha de disposar d'un registre dels canvis realitzats en els comptes de privilegis per a la seva revisió periòdica.
- Proporcionar inicialment i de forma segura als usuaris una contrasenya provisional la qual es vegin obligats a canviar immediatament, verificant prèviament la identitat de l'usuari abans d'assignar-li una contrasenya.
- Modificar per defecte les contrasenyes proporcionades en sistemes o programari de tercers.
- En base al registre d’accessos, detectar activitats inusuals, com podrien ser intents d'accés reiterats erronis a una ubicació sense permisos.
El responsable de cada unitat administrativa ha de comunicar immediatament a l’administrador de seguretat del sistema qualsevol canvi de rol o ubicació d’una persona dins la Universitatper modificar els drets d'accés de què disposava.
4. Control d’accés local
Es considera accés local quan s’accedeix als sistemes d’informació des dels ordinadors o dispositius mòbils (estacions de treball de la Universitat) i dins de les pròpies instal·lacions de l'organització.
- S’ha d’evitar la revelació de qualsevol tipus d’informació tecnològica del sistema abans que l’usuari hagi validat les seves credencials. La informació revelada a qui intenta accedir ha de ser la mínima imprescindible (els diàlegs d'accés proporcionaran només la informació indispensable).
- El nombre d'intents d'accés han de ser limitats. Un cop sobrepassat el límit, el compte d'usuari ha de quedar bloquejat durant un període de temps.
- S’han de registrar els accessos amb èxit i els erronis.
- El sistema ha d'informar l'usuari de les seves obligacions immediatament després d'obtenir l'accés la primera vegada que accedeix amb les credencials.
- S'han de configurar els comptes d'usuari de manera que caduquin.
- S’ha d’imposar un temps màxim per tancar sessions inactives (cinc minuts com a màxim) en els equips dels usuaris. Es tracta d’un bloqueig de l’equip, no es tanca cap sessió d’aplicació.
- Cal comunicar qualsevol incidència o incident amb la major rapidesa que sigui possible d’acord amb el procediment de gestió d'incidents de la seguretat de la informació.
5. Control d’accés remot
Es considera accés remot quan s’accedeix als sistemes d’informació des de fora de les pròpies instal·lacions de l'organització, a través de xarxes de tercers.
A més de les pautes incloses en l'apartat de control d'accés local, s'han de tenir en compte les consideracions següents:
- S'ha de garantir la seguretat del sistema quan accedeixin remotament usuaris o altres entitats, la qual cosa implica protegir tant l'accés en si mateix com el canal d'accés remot. Per tant, cal disposar d’usuari i contrasenya per tal de connectar-se remotament i el canal ha d’utilitzar un protocol de comunicació segur.
- Per a accessos remots és necessària una autorització prèvia d’un superior jeràrquic.
- Cal tenir regles específiques respecte de què es pot fer i què no es pot fer des d'un accés remot, fins i tot dins del que es considera autoritzat, s'han de tractar amb especial atenció els processos d'identificació i autenticació per prevenir la suplantació d'identitat d’un usuari autoritzat. S'ha de prefixar què és el que està permès fer remotament en funció del perfil de l'usuari.
- En els dos escenaris, s'ha de considerar instal·lar un programari de prevenció de pèrdues de dades que detecta possibles incompliments de dades o transmissions d’exfiltració de dades i les impedeix, conegut també com funció DLP (Data Loss Prevention).
- Sempre que sigui possible s’establirà una xarxa privada virtual, VPN.
- En tots els casos s'han d'activar els registres d'activitat de la VPN i analitzar regularment que es compleix la normativa.
- Els dispositius mòbils com ara portàtils, tauletes i similars, han d'estar vigilats i sota control de l’usuari per evitar pèrdues o furts que comprometin la informació que tinguin emmagatzemada o que es pugui extreure. S’han de transportar de manera segura, evitant proporcionar informació sobre el contingut i utilitzant, si s'escau, maletins de seguretat que evitin l’accés no autoritzat. En els desplaçaments amb avió, aquest tipus d'equipament no s’ha de facturar i hade viatjar sempre amb l'usuari.
- El treball en llocs públics s'ha de fer amb la major cautela i precaució, evitant que persones no autoritzades vegin o escoltin informació interna de l'organització.
- Els navegadors utilitzats per a l'accés via web han d'estar permanentment actualitzats a la seva última versió, almenys pel que fa a actualitzacions de seguretat, així com correctament configurats.
- Un cop finalitzada la sessió web, és obligatòria la desconnexió del servidor mitjançant un procés que elimini la possibilitat de reutilització de la sessió tancada.
- Cal desactivar les característiques de recordar contrasenyes al navegador.
- S’ha d’activar l'opció d'esborrat automàtic en el tancament de navegador de la informació sensible registrada: històric de navegació, descàrregues, formularis, memòria cau, galetes, contrasenyes, sessions autenticades, i similars.
- Excepte autorització expressa, està prohibida la instal·lació de la funcionalitat ”add-on” per al navegador.
- L'emmagatzematge de la informació en suports electrònics (CD, DVD, memòries USB, i similars) s'ha de caracteritzar per no ser accessible per a usuaris no autoritzats.
- Els USB amb informació confidencial han d’estar autoritzats i xifrats i han de necessitar codi d’accés per tal de visualitzar la informació.
- No s’han de desactivar les configuracions de seguretat habilitades en els dispositius mòbils (ordinadors portàtils, mòbils, tauletes, i similars) i s’ha de comprovar que es mantenen actualitzades.
- No s’han de descarregar ni instal·lar continguts no autoritzats en els equips.
Article 2. Ús de contrasenyes per part dels usuaris
Les contrasenyes d’accés als serveis han de garantir la seguretat de la informació i, per aquest motiu, han de ser robustes, difícilment vulnerables.
Les contrasenyes han de seguir els requeriments definits per aquesta normativa a més dels criteris següents:
- No han d'estar basades en dades pròpies que una altra persona pugui endevinar o obtenir fàcilment (codi d'usuari, nom, cognoms, data de naixement, número de telèfon, número de NIF, noms de fills , pares, parella, mascota, i en general qualsevol dada biogràfica de l'usuari). Tampoc no haurien de ser paraules incloses en diccionaris o noms de personatges famosos.
- Han de ser fàcils de recordar. Es fa necessari, per tant, trobar una solució de compromís entre la robustesa de la contrasenya i la facilitat per recordar-la o memoritzar-la.
- No s’han d’anotar en paper.
- El seu emmagatzematge als sistemes d’informació ha de ser inintel·ligible.
- No s’han d’incloure en correus electrònics o en altres mitjans de comunicació electrònica juntament amb l'identificador, ni han de ser comunicades per telèfon.
- S’han de mantenir en secret. Aquest és un tret essencial de les contrasenyes. No s’han de compartir, lliurar ni comunicar a ningú. Si s’ha de fer de forma excepcional per una necessitat imperiosa, l'usuari haurà de procedir a canviar-la de forma immediata.
- Hauran de ser més robustes i s’hauran de canviar més sovint, com més sensible, confidencial o protegida sigui la informació amb la qual es treballa.
Cap usuari està autoritzat a accedir als serveis interns de l'organització utilitzant el nom d'usuari i la contrasenya d'altres usuaris. Aquesta pràctica compromet la confidencialitat de la informació, i per descomptat, l'autenticitat de qui hi accedeix.
Es regulen en annex requeriments addicionals que han de complir les contrasenyes d'accés als serveis TIC.
Article 3. Gestió d’inicis de sessió
Es descriuen a continuació els aspectes que s'han de tenir en compte de cara a minimitzar el nombre d'accessos no autoritzats als sistemes.
- Fins que no s'hagi completat amb èxit el procés d'autenticació, no s'haurà de mostrar cap tipus d'informació relativa al sistema (tal com identificadors de sistema o versions de programari instal·lat), que puguin ajudar a identificar-lo, així com qualsevol altre tipus de informació que pugui facilitar l’accés no autoritzat.
- Un cop s'hagi accedit correctament al sistema, s’ha de mostrar un missatge que adverteixi que l'ús de sistema només està permès a usuaris autoritzats.
Respecte al procés de validació d'entrada (utilització d’usuari i contrasenya), els sistemes han de complir els punts següents:
- La validació de la informació d'entrada es realitzarà únicament quan s'hagin completat totes les dades d'entrada. Si passa alguna condició d'error, el sistema no ha d'indicar en cap cas la part de la dada que és incorrecta (per exemple, mai ha d'indicar si el que s'ha introduït de forma incorrecta és el nom d'usuari o la contrasenya).
- Es limitarà el nombre d'intents d'accés a aplicacions que s’autentiquen.
- Si s’arriba al nombre màxim d'intents d'accés fallits (tres), el sistema es bloqueja durant quinzeminuts la primera vegada. La segona vegada que es compleixen els tresintents fallits es bloqueja trentaminuts, la tercera, seixantaminuts i, a partir de la quarta, es bloqueja l’usuari.
- S'han d'utilitzar protocols de comunicació que permetin l'enviament de les credencials d'usuari de forma xifrada per evitar que siguin capturades en algun punt intermedi de la comunicació.
- S’han d'habilitar sistemes de doble factor d’autenticació per verificar l’autenticitat de l’usuari.
Article 4. Control d’accés a la xarxa
- S'ha d'establir un control d'accés a la xarxa de la Universitat, tant a la d’usuaris interns com a la d’externs de la Universitat, implantant mesures de seguretat i procediments d'autorització d'accés.
- S'ha d'establir autenticació d'usuaris en els accessos remots a través de tècniques criptogràfiques, "tokens", protocols de pregunta/resposta, línies dedicades privades, verificació d'origen de connexió, o similars.
- Els serveis de xarxa, ports de configuració i diagnòstic remot han d’estar protegits.
- S'han d’implementar controls de connexió a la xarxa (filtres, regles, i similars), d'encaminament i d'identificació de l'equipament a la xarxa.
Article 5. Monitorització dels accessos
S'han de realitzar tasques periòdiques de monitorització dels sistemes per tal de detectar accessos no autoritzats i desviacions, registrant esdeveniments que subministrin evidències en cas de produir-se incidents relatius a la seguretat a través dels registres següents que han de tenir, com a mínim, el contingut que s’indica:
- Registre d’esdeveniments:
- Intents d’accés erronis.
- Bloquejos de compte.
- Debilitat de contrasenyes.
- Normalització d’identificadors.
- Comptes inactius i inhabilitats.
- Últims accessos a comptes.
- Registre d’ús dels sistemes:
- Accessos no autoritzats.
- Ús de privilegis.
- Alertes de sistema.
Els rellotges dels sistemes d’informació compresos en l'àmbit d’aplicació de la present normativa han d’estar sincronitzats per garantir l’exactitud dels registres de temps.
Annex. Requeriments addicionals de les contrasenyes d'accés als serveis TIC
1. Drets dels usuaris
1.Tots els usuaris de les TIC de la Universitat tenen dret a disposar de credencials (codi d’usuari i contrasenya) d’accés als serveis que utilitzin.
2. Aquestes credencials són personalitzades, llevat de casos excepcionals on sigui tècnicament inviable.
2. Deures dels usuaris
1. És responsabilitat dels usuaris tenir cura de les seves contrasenyes de manera que no puguin ser conegudes ni utilitzades per altres persones.
2. És responsabilitat dels usuaris canviar la seva contrasenya quan el Servei d’Informàtica els hi entrega per primera vegada i l’han fet servir per accedir al servei concret.
3. Els usuaris han de canviar les seves contrasenyes periòdicament; una vegada a l’any com a mínim.
4. Per tal de millorar-ne la seguretat, els usuaris han de triar contrasenyes que incloguin lletres i números. Aquestes contrasenyes han de tenir una llargada mínima i podran tenir mesures de seguretat addicionals en funció de l’anàlisi de riscos que el Servei d’Informàtica hagi efectuat sobre el servei concret al qual s’apliqui la contrasenya.
5. Les contrasenyes no poden ser escrites ni enviades via correu electrònic sense xifrar. Si és necessari emmagatzemar les contrasenyes en un registre, aquest ha de ser xifrat i amb l’accés controlat només a les persones autoritzades.
6. Els usuaris no han d’utilitzar en l’àmbit professional les mateixes contrasenyes que es fan servir a nivell particular.
7. El Servei d'Informàtica mai demana la contrasenya als usuari, siguin o no administradors, atès que es disposen de les eines per canviar-la sense necessitat de conèixer la contrasenya vigent.
8. En cas d’oblit de la contrasenya, o bloqueig per acumulació d’intents fallits d’accés al sistema, es sol·licitarà la reinicialització de la contrasenya mitjançant la notificació a través de l’eina de ticketing de l’incident a l’Administrador de Seguretat del Sistema, prèvia verificació de la identitat de l’usuari sol·licitant. La contrasenya es reinicialitzarà obligant al canvi en el primer accés.
3. Obligacions de la Universitat
1. La Universitat ha d’oferir als usuaris mecanismes que permetin el canvi de contrasenya sense que hagi de ser coneguda per terceres persones.
2. Quan el personal del Servei d’Informàtica comuniqui una nova contrasenya a l’usuari en cas d’oblit o de bloqueig, aquesta contrasenya ha de ser de caire temporal i l’usuari l’ha de canviar en el primer ús.
3. L’emmagatzematge de les contrasenyes dels usuaris s’ha de fer de manera encriptada facilitant-ne l’accés únicament per a funcions de validació de les connexions.
4. El disseny dels serveis TIC de la Universitat s’ha de fer de tal manera que es minimitzi el número de contrasenyes que els usuaris hagin de recordar. Hi ha d’haver credencials diferents només en aquells casos en què sigui aconsellable per motius de seguretat o en què sigui tècnicament inevitable.
5. El Servei d’Informàtica ha d’habilitar mecanismes automàtics de bloqueig dels comptes dels usuaris en cas que hi hagi indicis d’utilització fraudulenta o intents d’usos no permesos (incloent els intents repetits de connexió amb contrasenyes aleatòries).
6. El Servei d’Informàtica ha de proporcionar informació sobre els criteris de qualitat de les contrasenyes (llargada mínima, freqüència de canvi, criteris de no reutilització de contrasenyes antigues, entre altres) per a cada servei TIC que posi a disposició dels usuaris, així com els mecanismes previstos per modificar-les o restablir-les.
7. El Servei d’Informàtica ha d’habilitar mecanismes per assegurar el canvi de contrasenya quan la comunica per primera vegada, un cop l’usuari l’ha utilitzada.
8. El Servei d’Informàtica ha d’habilitar mecanismes per assegurar el canvi de les contrasenyes amb una antiguitat superior a un any i per garantir, com a mínim, els següents requeriments:
Han de tenir una longitud mínima de deu caràcters.
Han de contenir obligatòriament almenys un caràcter de cada un dels següents grups: numèric, alfabètic (majúscules i minúscules) i, si el sistema ho permet, caràcters especials (*,+, $, &, #, @, -, !, %, ^, *, ;, (, ), {, }, [, ], <, >, ?, /,_).
Al realitzar el canvi de les contrasenyes no es podran reutilitzar, com a mínim, les cinc últimes contrasenyes.
9. La caducitat de la contrasenya s’avisarà als usuaris amb una antelació de trenta dies laborables.
10. El Servei d’Informàtica ha de canviar o fer que caduqui la contrasenya quan se sospiti que en poden tenir coneixement persones diferents del seu titular.
11. Quan tècnicament sigui possible, s’han d’aplicar mesures que permetin validar la qualitat de la contrasenya abans que el sistema l’accepti.
12. Els codis utilitzats per a tasques automàtiques (execució scripts, transferència de fitxers, i similars), queden exempts del compliment dels requeriments de vigència i canvi de contrasenya.
En aquests casos caldrà aplicar controls addicionals:
- Inhabilitar l’accés a la consola del sistema.
- Definir els mínims privilegis necessaris tant d’accés com d’execució.
- Mantenir un registre dels usuaris, indicant la persona o grup responsable dels mateixos.
- Pels entorns on l’usuari no pugui realitzar el canvi de forma automàtica, el responsable d’aquests haurà de sol·licitar un canvi de contrasenya de forma periòdica mitjançant els canals establerts.
13. Les contrasenyes s’han de comunicar de manera segura als usuaris. No es poden fer servir missatges de correu electrònic sense xifrar. Son mètodes vàlids per a la comunicació: entrega personal, correu electrònic xifrat, correu postal o missatgeria, SMS al mòbil personal, correu intern precintat o software de generació i entrega automàtica de contrasenyes.
14. S’ha d’habilitar un sistema de protecció de pantalla amb contrasenya que s’activi després de cinc minuts màxim d’inactivitat. Aquest temps es pot incrementar per necessitats docents fins als trenta minuts.
15. Qualsevol incident de seguretat relacionat amb la gestió de les contrasenyes s’ha de comunicar en la major brevetat possible al Responsable de Seguretat i/o a l’Administrador de Seguretat del Sistema.
4. Les contrasenyes als sistemes d’informació
1. El nom d’usuari i la contrasenya s’han de transmetre xifrades per la xarxa.
2. Quan s’introdueixi la contrasenya en els sistemes, mai no ha d’aparèixer de manera visible o llegible a la pantalla.
3. No està permès incloure contrasenyes sense xifrar dins del codi d’aplicacions o scripts. Com a alternativa, es pot emmagatzemar aquestes contrasenyes en fitxers amb accés restringit només als usuaris amb privilegis d’execució.
4. Els comptes amb privilegis d’administració hauran de regir-se per les mateixes directrius en l’establiment de contrasenyes que s’indiquen anteriorment per a usuaris i amb sistemes de doble factor d’autenticació.
6.4. Normativa de gestió d’incidències de seguretat TIC
La Política de seguretat de la info d'abril del rmació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
La gestió de les incidències de seguretat és una peça clau per garantir la seguretat d’aquests sistemes d’informació, essent convenient regular els àmbits de responsabilitat, així com els requeriments mínims d’aquesta gestió.
Per aquest motiu, el Consell de Govern acorda aprovar la Normativa de gestió d’incidències de seguretat TIC, que consta com a annex.
ANNEX
NORMATIVA DE GESTIÓ D’INCIDÈNCIES DE SEGURETAT TIC
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Aquesta normativa desplega la Política de seguretat de la informació de la Universitat pel que fa a la gestió de les incidències de seguretat que constitueix una peça clau per garantir la seguretat d’aquests sistemes d’informació. S’estableixen les responsabilitats i els requeriments mínims en la gestió de les incidències de seguretat.
Article 1: Definicions
- Incidència o incident de seguretat de la informació: Accés, intent d'accés, ús, divulgació, modificació o destrucció no autoritzada d'informació; un impediment en l'operació normal de les xarxes, sistemes o recursos informàtics; o una violació de la política de seguretat de la informació de l'organisme. Aquests incidents tenen una significativa probabilitat de comprometre la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat de la informació i dels serveis utilitzats.
- Debilitat: Risc o vulnerabilitat detectada proactivament per part de la Universitat i que podria derivar, en cas de no tractar-se, en una incidència de la seguretat de la informació.
- Usuari: Subjecte o procés autoritzat per accedir a dades o recursos dels sistemes d’informació de la Universitat.
Article 2: Responsabilitats
El responsable de seguretat TIC, els responsable del sistema, els administradors de la seguretat i els propis usuaris, en les seves respectives competències, són co-responsables de la correcta gestió d’incidències de seguretat TIC d’acord amb el que es preveu en aquesta normativa, incloent, en el seu cas, el personal de proveïdors externs, quan procedeixi i siguin usuaris dels sistemes d’informació de la Universitat.
Article 3: Cicle de gestió d’un incident de seguretat de la informació
La gestió de les incidències de seguretat de la informació ha de seguir el flux que s’estableix en els articles següents. En annex es recull aquest flux en mode de diagrama.
Article 3.1: Preparació
Amb relació a la gestió d’incidències, la Universitat ha de:
- Aprovar un procediment de gestió d'incidències de seguretat de la informació en el qual es detallin els passos a seguir per a la notificació, valoració i resposta de les incidències i debilitats de seguretat de la informació.
- Implementar una plataforma o sistema per a la gestió d'incidències que permeti recollir-les, registrar-les i gestionar-les d'acord amb el procediment de gestió d'incidències. Aquest sistema ha de permetre garantir una resposta adequada, organitzada i eficaç a les incidències que es puguin produir, millorant-ne el control i impedint que alguna incidència pugui quedar sense resposta.
- Implementar els mitjans per garantir la gestió de les incidències de seguretat que afectin els sistemes d’informació de la Universitat amb independència de si el servei ofert es contracta a un proveïdor de servei. Als contractes de prestació de serveis amb tercers (proveïdors de programari, comunicacions o altres serveis anàlegs), s’hi han d'incloure clàusules on s'estableixin els mitjans de comunicació i de resposta envers a incidents i debilitats de seguretat, de forma que es pugui proporcionar una resposta coordinada i una distribució d'informació que permeti una gestió i resolució eficaç.
Article 3.2: Detecció, comunicació, identificació i registre inicial
Per a la detecció, comunicació, identificació i registre inicial de les incidències de seguretat de la informació, s’apliquen les normes següents:
- Tots els usuaris han de ser informats i conscienciats sobre la responsabilitat de notificar les incidències de seguretat de forma immediata, així com sobre els procediments i canals de comunicació disponibles.
- Qualsevol usuari que tingui coneixement d'una incidència o debilitat de seguretat ha de notificar-la de manera immediata a través dels canals i destinataris establerts per la Universitat.
- Addicionalment a la notificació d'incidències i de debilitats de seguretat per part dels usuaris, hi ha altres fonts per a la detecció d'incidències de seguretat, com pot ser la monitorització dels sistemes d'informació o les alertes de sistema i altres sistemes de detecció de vulnerabilitats que hi puguin haver en els sistemes d'informació de la Universitat.
- Els canals establerts i el sistema de notificació d'incidències han de presentar el format adequat per incloure tota la informació necessària per facilitar la gestió i traçabilitat de la incidència, servint d'eina de suport per al desenvolupament de les activitats d'informe i la resolució d'incidències.
- Totes les incidències de seguretat han de tenir un codi únic que en permeti la identificació i traçabilitat al llarg del procés de gestió. Aquest codi ha de facilitar tant l'emmagatzematge com el registre de la incidència.
- Tota la informació relacionada amb les causes, el tractament i la resolució d'incidències de seguretat ha d'estar correctament registrada junt amb les evidències, els logs i les traces que hagin estat obtingudes.
- El registre de logs i traces, així com altres registres i evidències adjunts a la incidència, ha de complir els requeriments legals, contractuals i els relatius la normativa interna de la Universitat.
- En cas que la incidència afecti fitxers que continguin dades personals serà d’aplicació el procediment específic, aprovat per resolució del rector de 26 d’octubre del 2021, per la qual es regula el procediment de notificació i gestió de les violacions de seguretat de les dades personals tractades per la Universitat Pompeu Fabra.
Article 3.3: Pla d’actuació
En la gestió de les incidències de seguretat, s’apliquen les normes següents:
- Les incidències s’han de classificar d'acord amb els criteris que es considerin més adequats per a la Universitat, per permetre oferir la resposta més adequada en cada cas.
- El personal del Servei d’Informàtica assignat a la gestió de la incidència haurà de demanar als usuaris tota la informació necessària per gestionar-la.
- Si la incidència afecta dades personals el personal assignat a la seva gestió haurà de notificar-la de manera immediata al delegat de Protecció de Dades de la Universitat.
- S'han d'establir les responsabilitats i els processos necessaris per garantir una resposta ràpida, efectiva i ordenada a les incidències i debilitats de seguretat.
- En determinats casos serà necessari adoptar mesures per a la contenció de la incidència que evitin danys majors. En aquells casos en què l'adopció d'aquestes mesures de contenció comporti una paralització dels sistemes d'usuari s'ha d'informar amb la major antelació possible als usuaris afectats mitjançant els canals de comunicació que hagin estat formalment establert.
- En els casos d'incidències greus, les incidències han de ser comunicades de forma immediata al responsable de seguretat TIC, que ha de decidir les accions a adoptar en cada cas.
- La resolució de la incidència ha de ser comunicada als usuaris que l'han reportat o que van ser afectats durant la seva gestió, per procedir al tancament definitiu.
- Quan el seguiment d'una actuació, després que s’hagi produït un incident greu o desastre, derivi enaccions legals (civils o penals), disciplinàries o de responsabilitat contractual, les evidències que constitueixen l'incident han de ser recollides, arxivades i presentades d'acord amb legislació aplicable en cada cas per l'admissibilitat de proves dins el procediment corresponent.
- Per tal d'assegurar i preservar l'admissibilitat de les evidències en un procés judicial la Universitat ha de aprovar un procediment de recol·lecció d'evidències que determini els passos a seguir per recollir i presentar aquelles evidències que tenen com a finalitat facilitar el desenvolupament i la defensa de les accions disciplinàries, judicials o de reclamació de responsabilitats que pugui emprendre la Universitat. Aquest procediment ha de contenir:
- Les pautes mínimes a seguir, tant en la recollida de les evidències, establint els controls necessaris per a la traçabilitat de les actuacions realitzades en aquesta etapa, com els controls a implementar dins el procés posterior de custòdia de les evidències de tal manera que es pugui contrastar la seva integritat i completesa a l'hora de la seva aportació com a prova en els processos corresponents.
- Les mesures de seguretat a adoptar en el cas de l'aparició d'activitats il·lícites realitzades o presumptament realitzades per part de personal de la Universitat i de cara a prevenir actuacions de destrucció de proves o de represàlies del personal investigat que puguin perjudicar la Universitat.
- Implementar eines de monitorització i gestió i registre d'evidències que compleixin els requisits necessaris per monitoritzar, registrar i emmagatzemar tota activitat dins dels sistemes d'informació de la Universitat des del primer moment en què una evidència es genera, permetent així establir una cadena de custòdia que garanteixi la integritat i completesa de les evidències recollides de cara a possibles processos que puguin sorgir posteriorment. No obstant això, la Universitat també podrà sol·licitar els serveis de consultors de seguretat i d’assessors legals experts en la matèria que l'assessorin de cara a poder portar una investigació de fet de forma eficaç, així com per facilitar l’admissió de les evidències proveïdes dins de les diferents jurisdiccions aplicables.
Article 3.4: Aprenentatge
En l'aprenentatge de les incidències de seguretat, s’apliquen les normes següents:
- La gestió i el registre de les incidències de seguretat han de ser revisades periòdicament, a fi d'identificar-ne la causa i les solucions adoptades, identificar possibles deficiències de seguretat o proposar les solucions més adequades. S’ha d’elaborar un informe on s'estableixin les conclusions de les revisions realitzades.
- L'avaluació de les incidències de seguretat de la informació pot indicar la necessitat d'augmentar o afegir nous controls que limitin la freqüència, dany o cost de futures incidències o pot indicar que siguin tingudesen compte com a font d'informació dins dels processos de revisió de les polítiques de seguretat.
- Les persones del Servei d’Informàtica assignades a la gestió de l’incidència, els seus responsables, així com en el seu cas els usuaris afectats han de ser formats i previnguts sobre la base de coneixement adquirit, i sobre possibles incidències que puguin repetir-se en el futur per a evitar que aquestes tornin a produir-se. D'aquesta manera, respectant la confidencialitat deguda, les incidències han de ser utilitzades dins dels processos de millora contínua com a exemple per a la conscienciació i la formació dels usuaris i administradors de sistema davant incidències similars de manera que pugui prevenir-se’n l’aparició en el futur.
Annex. Diagrama de gestió d’un incident de seguretat
6.5. Normativa d’ús de dispositius mòbils
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Atès que cada vegada és més freqüent l’ús de dispositius mòbils, siguin o no propietat de la Universitat, per accedir als sistemes d’informació que ofereix la Universitat, es considera necessari regular aquest ús per implementar mesures de seguretat també en aquest àmbit.
Per aquest motiu, el Consell de Govern acorda aprovar la Normativa d’ús de dispositius mòbils, que consta com a annex.
ANNEX
NORMATIVA D’ÚS DE DISPOSITIUS MÒBILS
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Aquesta normativa desplega la Política de seguretat de la informació de la Universitat pel que fa a l’accés a aquests sistemes d’informació que ofereix la Universitat a través de l’ús de dispositius mòbils, siguin o no propietat de la Universitat.
Article 1: Definicions
● Dispositiu mòbil: Qualsevol element electrònic no fix amb capacitat de registrar, emmagatzemar i/o transmetre dades, veu, vídeo o imatges, incloent-hi els telèfons mòbils (especialment els telèfons intel·ligents), tauletes i estacions de treball (portàtils).
● BYOD: Dispositius mòbils propietat dels usuaris comunament coneguts com BYOD (Bring Your Own Device). És un concepte que permet als empleats d'una organització utilitzar la tecnologia de la qual són propietaris per desenvolupar les seves funcions professionals dins de l'organització.
● Dades personals: Tota informació sobre una persona física identificada o identificable. Es considera persona física identificable tota persona de la qual es pugui determinar la identitat, directament o indirectament, en particular mitjançant un identificador, un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona.
● Tractament de dades personals: Qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals.
Article 2: : Responsabilitats
El Servei d’Informàtica és la unitat competent per dirigir i supervisar l’adequat ús dels dispositius mòbils en el marc d’aquesta norma.
Els usuaris de dispositius mòbils propietat de la Universitat, en el moment que els hi siguin lliurats, han de subscriure el formulari de compromís de compliment de la normativa d’ús de dispositius mòbils propietat de la Universitat que figura en l’Annex. Mentre duri l’exercici de les seves funcions han de tenir accés permanentment a la present normativa.
Article 3: Ús dels dispositius mòbils
Aquells usuaris que desenvolupin activitats professionals amb dispositius propietat de la Universitat o amb dispositius personals (BYOD) han de complir les instruccions següents:
a) Els usuaris han de guardar tots els fitxers de treball a l'espai de la xarxa informàtica habilitada per la Universitat a fi de facilitar la realització de les còpies de seguretat i protegir l'accés enfront de persones no autoritzades. En cas d’emmagatzemar dades propietat de la Universitat en el dispositiu, la seva pèrdua serà responsabilitat de l’usuari.
b) En cas de necessitat, es pot emmagatzemar en el dispositiu mòbil aquella informació estrictament indispensable per al desenvolupament de les funcions professionals, procedint a esborrar-la quan ja no sigui necessari el seu tractament.
c) La sortida de dispositius mòbils que continguin informació confidencial de la Universitat fora dels espais de la Universitat ha de ser expressament autoritzada.
d) S’ha de tenir cura del dispositiu mòbil per evitar la posada en compromís, pèrdua o robatori, sobretot durant els viatges o fora de les dependències de la Universitat.
e) No està permès connectar dispositius mòbils que no estiguin autoritzats a la xarxa interna de la Universitat. En el cas que usuaris externs necessitin accedir als recursos interns, s’han de posar en contacte amb el Servei d’Informàtica de la UPF.
f) El dispositiu mòbil ha de disposar de contrasenya d’accés. Cal que aquesta contrasenya compleixi la normativa de la Universitat
g) Quan es consideri que l’identificador d’accés s’ha vist compromès, s’ha de comunicar al responsable corresponent d’acord amb la procediment de gestió d’incidents de seguretat de la informació.
h) Es prohibeix l’ús de programes de compartició de continguts (incloent els utilitzats per a la descàrrega d’arxius de música i vídeo) que no compleixin la legalitat vigent.
i) Fora de les instal·lacions de la Universitat està prohibida la connexió a xarxes Wi-Fi obertes i ocultes i es considera preferible establir connexions de dades a través de dispositius 4G d’ús personal.
j) Es recomana desconnectar les interfícies Wi-Fi i Bluetooth quan no s’estiguin utilitzant.
Article 4: Concrecions pels dispositius mòbils propietat de la Universitat
L’ús de telèfons mòbils, portàtils i tauletes propietat de la Universitat s’ha de subjectar a les instruccions següents:
a) Els dispositius propietat de la Universitat es lliuren com a eines professionals de productivitat. La Universitat es reserva el dret de retirar els dispositius per manca d’ús o per ús indegut.
b) Els dispositius mòbils han de disposar d’una etiqueta d’identificació, la qual no es pot retirar sota cap concepte.
c) No està permès alterar la configuració física, configuració de seguretat ni el programari dels dispositius.
En cas de detectar-se que en el dispositiu mòbil s’han desbloquejat les limitacions imposades pel Servei d’Informàtica pel que fa a la gestió de sistema operatiu i s’ha activat la instal·lació de programari no autoritzat, es procedirà de la manera següent:
a. S’informarà el responsable de la seguretat TIC de la UPF.
b. S’informarà al superior jeràrquic responsable del treballador.
c. En cas que aquesta alteració o instal·lació hagi causat algun problema, recaurà la responsabilitat sobre el treballador que tenia assignat el dispositiu.
d) No està permesa la instal·lació d’aplicacions de programari no autoritzat als dispositius.
e) Els usuaris que necessitin utilitzar aplicacions que no estiguin instal·lades per defecte ho han de demanar al seu superior jeràrquic a través de l’obertura d’un tiquet a l’eina de gestió d’incidències (CAU) amb la informació següent:
a. Programa sol·licitat.
b. Motiu pel qual se sol·licita.
Posteriorment, el Servei d’Informàtica ha de validar l’aplicació pel que fa a seguretat i, en cas de ser autoritzada i homologada, ha de procedir a la instal·lació.
f) Mantenir activada la connexió de dades mòbils per permetre la localització del dispositiu a través del servei “Buscar dispositiu”.
g) Mantenir desactivat el servei de compartició de fitxers i, en cas de haver d’utilitzar-lo, configurar-lo solament pels contactes.
h) Si el dispositiu mòbil s’extravia o és sostret, l’usuari ha d’avisar immediatament al Servei d’informàtica que ha de procedir a bloquejar-lo i esborrar-lo en remot.
i) En cas que es detecti que s’ha excedit el màxim nombre d’intents fallits d’accés, l’usuari ha de quedar bloquejat de forma automàtica. En cas de bloqueig, s’ha de contactar amb el Servei d’Informàtica.
Article 5: Pla de tarifes per a telèfons mòbils i tauletes propietat de la Universitat
El pla de tarifes que la Universitat té subscrit per a telèfons mòbils i tauletes de la seva propietat inclou:
● Totes les línies de la Universitat (a excepció dels considerats freesets), segons la categoria, disposen de tarifa plana de dades i de veu en la Zona Unió Europea amb un límit mensual de consum. En el cas de superar el límit mensual de consum de dades, la velocitat de la connexió de dades disminuirà, sense que es generi un cost addicional. S'aconsella la utilització de connexions Wi-Fi segures per reduir el consum.
● En cas de sortides a l'estranger, els usuaris han de sol·licitar l'activació de bons internacionals en un termini de deu dies d'antelació informant de la durada i del destí del viatge.
En relació al pla de tarifes s’apliquen les regles següents:
a) L’usuari ha d’utilitzar el dispositiu dins dels paràmetres del pla de tarifes. Si les seves necessitats professionals són significativament diferents del que assenyala el pla de tarifes, prèvia autorització del seu cap immediat i/o del responsable del centre de cost associat, s’ha de posar en contacte amb el Servei d’Informàtica per tal d’examinar les opcions disponibles.
b) Els serveis internacionals en itinerància poden estar disponibles de forma temporal només per a viatges professionals.
b.1. L’usuari ha de demanar autorització al seu superior.
b.2. L’usuari ha de contactar amb el Servei d’Informàtica, amb quinze dies d’antelació al viatge, per concretar les característiques de la itinerància, si fos necessari. De no fer-ho així, la itinerància internacional podria comportar costos addicionals dels quals la Universitat no es faria responsable.
b.3.El Servei d’Informàtica ha de contractar els bons necessaris per a la itinerància associada al viatge de l’usuari en base a la informació proporcionada. Quan l’usuari rebi el SMS d’exhauriment del bo ha de contactar amb el Servei d’Informàtica si preveu que en necessita una ampliació.
c) Quan els costos d’ús del dispositiu es trobin fora dels límits establerts prèviament per la Universitat (incloent els costos de les trucades personals en itinerància), i aquests costos no s’hagin justificat i aprovat prèviament, hauran de ser assumits per l’usuari.
d) La Universitat ha d’informar a l’usuari, mitjançant SMS, quan el consum arribi al 80% i al 100% del límit establert. Si l’usuari necessita incrementar el consum previst, ha de contactar amb el Servei d’Informàtica.
e) L’usuari pot d’adquirir, a càrrec seu, accessoris que no li siguin subministrats per la Universitat, sempre que no estiguin prohibits i permetin l’ús dels dispositius mòbils conforme a les normatives de la Universitat.
Annex. Formulari de compromís de compliment de la normativa d’ús de dispositius mòbils propietat de la Universitat
[Nom usuari]………………………………………………………………………………………… , amb identificador UPF………………………… telèfon ……………………… i adreça de correu electrònic …………………………………………………
MANIFESTO QUE:
Conec la Normativa del sistema de gestió de seguretat de la informació de la Universitat Pompeu Fabra aprovada per Acord de Consell de Govern de data ............ i em comprometo a complir-la, en especial, en allò referit a l’ús de dispositiu mòbils.
Signatura
Barcelona,,................. de ………………………….. de 20…
7. Modificació de diverses normatives de la UPF derivades de la modificació de l’equip de govern:
7.1. Modificació de les Bases del Premi de Foment del Multilingüisme.
S’aprova la modificació de les bases del Premi de foment del multilingüisme aprovades mitjançant l’Acord del Consell de Govern de 13 d’octubre del 2010 i modificades per Acord del Consell de Govern de 10 de juliol del 2013 en els termes següents:
Punt primer.
Allà on diu:
“5. Composició del Jurat
Correspon al Jurat del Premi de Foment del Multilingüisme actuar com a òrgan de resolució, que, a més d’assegurar el compliment de les bases, ha de resoldre qualsevol qüestió complementària que pugui sorgir. La seva composició és la següent:
President/a: Vicerector/a competent en matèria de promoció lingüística o persona en qui delegui.
Vocals:
Vicerector/a competent en matèria d’estudiants
Director/a acadèmic/a del Programa d'Ensenyament d'Idiomes ...”
Ha de dir:
“5. Composició del Jurat
Correspon al Jurat del Premi de Foment del Multilingüisme actuar com a òrgan de resolució, que, a més d’assegurar el compliment de les bases, ha de resoldre qualsevol qüestió complementària que pugui sorgir. La seva composició és la següent:
President/a: Vicerector/a competent en matèria de promoció lingüística, o si no existeix, el càrrec amb funcions d’àmbit general competent en la matèria.
Vocals:
Vicerector/a competent en matèria d’estudiants o persona en qui delegui
Director/a acadèmic/a del Programa d'Ensenyament d'Idiomes o persona en qui delegui ...”
Punt segon.
Allà on diu:
“6. Convocatòria
Correspon fer la convocatòria al vicerector/a competent en matèria de promoció lingüística, el qual fixarà el calendari de presentació de les sol·licituds i el nombre de premis que es convocaran dins les disponibilitats pressupostàries. Els estudiants tan sols hauran de formalitzar la sol·licitud i indicar que han superat la Prova de Certificació de la Competència Lingüística l’any corresponent, sense haver d’aportar cap certificat o document addicional.”
Ha de dir:
“6. Convocatòria
Correspon fer la convocatòria al vicerector/a competent en matèria de promoció lingüística, o si no existeix, al càrrec amb funcions d’àmbit general competent en la matèria, el qual fixarà el calendari de presentació de les sol·licituds i el nombre de premis que es convocaran dins les disponibilitats pressupostàries. Els estudiants tan sols hauran de formalitzar la sol·licitud i indicar que han superat la Prova de Certificació de la Competència Lingüística l’any corresponent, sense haver d’aportar cap certificat o document addicional.”
7.2. Modificació del Programa d'Ensenyament d'Idiomes.
S’aprova la modificació de l’article 10 de la normativa Programa d'Ensenyament d'Idiomes (Idiomes UPF) aprovada per Acord del Consell de Govern de 14 de març del 2007, modificat per Acord del Consell de Govern de 9 d'abril del 2008 i per Acord del Consell de Govern de 14 de maig del 2014 en els termes següents:
Punt únic.
Allà on diu:
“Article 10. Consell Acadèmic
El Consell Acadèmic estarà format pel vicerector o vicerectora competent en la matèria, que el presidirà, i quatre vocals designats pel rector entre el professorat de la UPF especialistes en ensenyament de llengües, traducció, innovació i noves tecnologies i d'altres pertinents, i el director acadèmic o directora acadèmica del programa. (...)”
Ha de dir:
“Article 10. Consell Acadèmic
El Consell Acadèmic estarà format pel vicerector o vicerectora competent en la matèria, o si no existeix, pel càrrec amb funcions d’àmbit general competent en la matèria, que el presidirà, i quatre vocals designats pel rector entre el professorat de la UPF especialistes en ensenyament de llengües, traducció, innovació i noves tecnologies i d'altres pertinents, i el director acadèmic o directora acadèmica del programa.(...)”
8. Designació i de modificació de membres d’òrgans de govern, de comissions de la Universitat i de representants a altres organismes.
- Es designa el prof. Pablo Pareja Alcaraz representant del Personal Docent i Investigador del Consell de Govern en el Consell Social, en substitució del prof. David Sancho Royo.
-Es designa el Sr. Àxel Broch Masana representant dels estudiants del Consell de Govern en el Consell Social.
-El Consell de Govern acorda el cessament del professor Alberto Garcia Balañà, del Departament d’Humanitats, com a vocal de la Comissió de Professorat.
-Es designa com a vocals de la Comissió de Recerca els membres següents: Carlos Ignacio Gómez Ligüerre, professor del Departament de Dret; Carla Lancelotti, professora del Departament d’Humanitats; Gemma Boleda Torrent, professora del Departament de Traducció i Ciències del Llenguatge; Marta Reynal Querol, professora del Departament d’Economia i Empresa; Ralph Gregor Andrzejak, professor del Departament de Tecnologies de la Informació i les Comunicacions i Ruth Rodríguez Martínez, professora del Departament de Comunicació.
-Es cessa com a vocals de la Comissió de Recerca els membres següents: Verónica Benet Martínez, professora del Departament de Ciències Polítiques i Socials; Carles Feixa Pàmpols, professor del Departament de Comunicació; José García Montalvo, professor del Departament d'Economia i Empresa; María Libertad González Luna, professora del Departament d'Economia i Empresa; Coloma Ballester Nicolau, professora del Departament de Tecnologies de la Informació i les Comunicacions; Purificación Muñoz Cánoves, professora del Departament de Medicina i Ciències de la Vida; Josep Quer Villanueva, professor del Departament de Traducció i Ciències del Llenguatge; Joan Pau Rubiés Mirabet, professor del Departament d'Humanitats; Alejandro Sáiz Arnáiz, professor del Departament de Dret i Maria Serena Olsaretti, professora del Departament de Dret.
-Es designa el professor David Comas Martínez, del Departament de Medicina i Ciències de la Vida vocal de la Comissió de Reclamacions, en substitució de la professora Laia de Nadal Clanchet.
-Es cessa com a vocal suplent de la Comissió de Reclamacions a la professora Caterina Garcia Segura.
-S’aprova modificar la composició de la Comissió d’Ordenació Acadèmica tot substituint “el vicerector o vicerectora competent en la coordinació dels centres d'ensenyaments superior adscrits” per “el vicerector o vicerectora competent en la coordinació dels centres d’ensenyament superior adscrits o, si no existeix, pel càrrec amb funcions d’àmbit general competent en la matèria.
-Es designa la professora Berta Alsina Español, del Departament de Medicina i Ciències de la Vida vocal de la Comissió d’Ordenació Acadèmica en representació del personal docent i investigador del Consell de Govern, en substitució de la professora Maria Pilar Medina Bravo.
-Es designa la Sra. Laura Herrerías Castro i el Sr. Martiño Neira Cervera representants dels estudiants del Consell de Govern en la Comissió d’Ordenació Acadèmica.
-Es designa la professora Núria Sebastián Gallés, del Departament de Tecnologies de la Informació i les Comunicacions, vocal de la Comissió de Polítiques d’Igualtat de Gènere, en substitució de la professora Coloma Ballester Nicolau, amb efectes d’1 de març del 2023.
- Es designa la professora Cristina Pujadas Corbi, vicerectora de Recerca, vocal a la Conferència General del Consell Interuniversitari de Catalunya, en substitució del professor Enric Vallduví Botet.
-Es designa el professor Enric Vallduví Botet, secretari general, vocal de la Comissió General de Política Universitària del Consell Interuniversitari de Catalunya, en substitució del senyor Pere Torra i Pla.
-Es designa la professora Eva Pujadas Capdevila, vicerectora de Compromís Social i Sostenibilitat, vocal suplent a la Comissió d’Accés i Afers Estudiantils, del Consell Interuniversitari de Catalunya, en substitució del professor David Sancho Royo.
-Es designa la professora Raquel Bouso Garcia, vicerectora de Cultura i Comunicació, vocal suplent de la Comissió de Programació i Ordenació Acadèmic del Consell Interuniversitari de Catalunya, en substitució del professor Manel Jiménez Morales.
- Es designa la professora Cristina Pujadas Corbi, vicerectora de Recerca, vocal de la Comissió de Recerca i Transferència del Coneixement del Consell Interuniversitari de Catalunya, en substitució del professor Enric Vallduví Botet.
-Es designa la professora Vanesa Daza Fernández, vicerectora de Transferència del Coneixement, vocal suplent de la Comissió de Recerca i Transferència del Coneixement del Consell Interuniversitari de Catalunya, en substitució de la professora Laia de Nadal Clanchet.
-Es designa la professora Helena Ramalhinho, vicerectora d’Internacionalització, vocal a la Comissió de Relacions Internacionals del Consell Interuniversitari de Catalunya, en substitució del professor Antonio Luna García.
-Es designa la professora Eva Pujadas Capdevila, vicerectora de Compromís Social i Sostenibilitat, vocal de la Comissió de Compromís Social i Comunitari del Consell Interuniversitari de Catalunya, en substitució de la professora Ester Oliveras Sobrevias.
-Es designa el professor Marcel Mauri de los Ríos, comissionat de Política Lingüística, vocal a la Comissió de Política Lingüística del Consell Interuniversitari de Catalunya, en substitució de la professora Mireia Trenchs Parera.
-Es designa la professora Vanesa Daza Fernández, vicerectora de Transferència del Coneixement, vocal de la Comissió Antiga Fundació Barcelona Media de la Fundació Eurecat, en substitució de la professora Laia de Nadal Clanchet.
-Es designa el professor José García Montalvo, comissionat de Política Científica, vocal de la Comissió Antiga Fundació Barcelona Media de la Fundació Eurecat, en substitució del professor Oriol Amat i Salas.
-Es designa el professor José García Montalvo, comissionat de Política Científica, vocal del Patronat de la Fundació Barcelona Zoo, en substitució del professor Enric Vallduví Botet.
-Es designa la professora Helena Ramalhinho, vicerectora d’Internacionalització, vocal de la Comissió Executiva del Barcelona Centre Universitari, en substitució del professor Antonio Luna García.
-Es designa el professor Carles Ramió Matas, comissionat del Grup UPF, vocal del Patronat de la Fundació Tecnocampus Mataró-Maresme, en substitució del professor David Sancho Royo.
- Modificació designació de membres a la Comissió d'Internacionalització
Antecedents
La Comissió per a la Internacionalització de la UPF es crea per Acord del Consell de Govern de 14 de juliol de 2021, com a part del desplegament de pla estratègic d’internacionalització en la dimensió de governança interna i direcció de la política de la UPF en l’àmbit de la internacionalització.
En la seva nova configuració, ha estat convocada en tres ocasions. La dinàmica dels canvis en els equips de direcció dels centres de la UPF ha posat en evidència la necessitat d’una major agilitat en el mecanisme de designació dels vuit professors de diversos àmbits del saber, per tal de garantir i assegurar la seva representativitat.
El fet que el titular no pugui delegar i que la designació sigui per Consell de Govern a proposta del Rector, resulta en què alguns àmbits del saber no hi siguin representats o quedin sense veu i vot com a observadors a les reunions de la Comissió.
D’acord amb la voluntat de mantenir la representació i la representativitat de tots els àmbits del saber, es proposa al Consell de Govern de modificar el mecanisme de designació dels vuit professors de diversos àmbits del saber.
Així mateix, els canvis en la configuració dels càrrecs del nou equip de govern a la UPF també fan palesa la necessitat de fer referències més genèriques a les figures dels vocals que es deriven de l’estructura de l’equip de govern.
Per tot l’anterior, el Consell de Govern:
ACORDA:
Punt únic. Modificar l’Acord del Consell de Govern de 14 de juliol de 2021 en els termes següents:
On diu:
“Segon. La Comissió per a la Internacionalització de la UPF té la composició següent:
President: el rector o rectora, o el vicerector o vicerectora en qui delegui, que la presideix
Vocals:
- El vicerector o vicerectora competent en matèria de Relacions Internacionals.
- El vicerector o vicerectora de Transformació Educativa, Cultura i Comunicació.
- El comissionat o comissionada per al projecte EUTOPIA.
- El comissionat o comissionada de Política Lingüística.
- El responsable de la direcció acadèmica dels programes internacionals.
- Un membre del Consell Social, designat per aquest òrgan.
- Vuit professors de diversos àmbits del saber designats pel Consell de Govern a proposta del rector.
- Un representant de l’equip de Gerència.
- Un representant dels estudiants, designat pel Consell d’Estudiants de la UPF.
- Un representant del PAS designat pels representants del PAS al Claustre.
- Un representant dels graduats UPF amb experiència internacional.
Secretari: el cap del Servei de Relacions Internacionals (...)”
Ha de dir:
“Segon. La Comissió per a la Internacionalització de la UPF té la composició següent:
President: el rector o rectora, o el vicerector o vicerectora en qui delegui, que la presideix
Vocals:
- El vicerector o vicerectora competent en matèria de Relacions Internacionals.
- El vicerector a vicerectora competent en matèria de docència, o persona en qui delegui.
- Els altres càrrecs amb funcions d’àmbit general i competències en matèria de relacions internacionals.
- Un membre del Consell Social, designat per aquest òrgan.
- Vuit professors de diversos àmbits del saber designats pel rector o rectora, a proposta del director o la directora del Departament corresponent.
- Un representant de l’equip de Gerència.
- Un representant dels estudiants, designat pel Consell d’Estudiants de la UPF.
- Un representant del PAS designat pels representants del PAS al Claustre.
- Un representant dels graduats UPF amb experiència internacional.
Secretari: el cap del Servei de Relacions Internacionals (...)”
-Modificació designació de membres del Patronat de la Fundació UPF.
S’ aprova la modificació de l’Acord del Consell de Govern del 5 de juliol del 2017, modificat pels acords del Consell de Govern de 14 de juliol i 13 d’octubre de 2021, relatiu a la designació de membres en el Patronat de la Fundació UPF en els termes següents:
On diu:
“Primer: Designar els vuit vocals del Consell de Govern en el Patronat de la Fundació Universitat Pompeu Fabra en els termes següents:
-vicerector/a adjunt al rector
-vicerector/a competent en matèria de compromís social i igualtat
-vicerector/a competent en matèria de docència
-vicerector/a competent en matèria d'innovació
-vicerector/a competent en matèria estudiants
-vicerector o vicerectora competent en matèria de transferència de coneixement
-secretari/a general
-cap del Gabinet del Rectorat.”
Ha de dir:
“Primer: Designar els vuit vocals del Consell de Govern en el Patronat de la Fundació Universitat Pompeu Fabra en els termes següents:
-vicerector o vicerectora competent en matèria de professorat
-vicerector o vicerectora competent en matèria de compromís social i igualtat
-vicerector o vicerectora competent en matèria de docència
-vicerector o vicerectora competent en matèria de recerca
-vicerector o vicerectora competent en matèria de cultura
-vicerector o vicerectora competent en matèria de transferència de coneixement
-secretari o secretària general
-cap del Gabinet del Rectorat.”
-Modificació designació de membres al Patronat de la Fundació Institut d’Educació Contínua
S’acorda aprovar la modificació de l’Acord del Consell de Govern del 13 d’octubre del 2021 relatiu a la designació de membres en el Patronat de la Fundació Institut d’Educació Contínua (IDEC) en els termes següents:
On diu:
“Primer. Designar els vocals següents en el Patronat de la Fundació Institut d’Educació Contínua en representació de la Universitat Pompeu Fabra:
President o presidenta del Consell Social
Vicerector o vicerectora adjunt al rector
Gerent
Prof. Josep Joan Moreso Mateos
Prof. Jaume Casals Pons
Prof. Carles Ramió Matas
Sr. Antoni Castellà i Clavé”
Ha de dir:
“Primer. Designar els vocals següents en el Patronat de la Fundació Institut d’Educació Contínua en representació de la Universitat Pompeu Fabra:
President o presidenta del Consell Social
Vicerector o vicerectora competent en matèria de docència
Gerent
Càrrec amb funcions d’àmbit general competent en matèria d’entitats vinculades al grup UPF
Prof. Josep Joan Moreso Mateos
Prof. Jaume Casals Pons”
9. Acord per a l’inici de la tramitació de la modificació dels Estatuts del Consorci DIPLOCAT.
S’acorda l’inici de la tramitació de la modificació dels Estatuts del Consell de Diplomàcia Pública de Catalunya (Diplocat), consorci del qual forma part la UPF.
10. Ratificació de convenis.
Es ratifiquen els convenis subscrits per la Universitat Pompeu Fabra, que consten com a annex 7.