Português
English
Usar o DingTalk em si não é ilegal, mas a questão central está em saber para onde os dados vão
As empresas de Macau que utilizam o DingTalk não estão a infringir a lei, mas se as informações dos funcionários, as listas de clientes ou os registos de presença forem transmitidos através do DingTalk para servidores em Hangzhou, esses dados passam a estar sob a jurisdição da Lei de Proteção de Informações Pessoais (PIPL) da China. Já vimos uma empresa de construção em Hengqin que, apenas por sincronizar a agenda de contactos dos funcionários na nuvem, foi considerada como realizando ‘exportação de dados importantes’ — a tecnologia estava correta, mas houve falhas na conformidade.
O DingTalk é suportado pela Alibaba Cloud, com nós centrais de dados localizados no interior da China, e todas as informações estão, por defeito, sujeitas à Lei de Segurança Cibernética da China. Assim que você toma a decisão sobre a recolha e a finalidade do uso dos dados, torna-se um ‘controlador de dados pessoais’, segundo a definição da PIPL. Isso significa: o facto de a ferramenta ser legal não implica que a sua forma de utilização seja segura. O verdadeiro divisor de águas não reside em ‘usar ou não o DingTalk’, mas sim em ‘quem controla os dados, para onde eles são enviados e qual a sua dimensão’.
Apenas ao assumir o controlo total sobre os dados é possível evitar interrupções nas operações. Quando os dados circulam entre diferentes jurisdições, as empresas devem avaliar proativamente se tal aciona procedimentos de revisão de segurança. Isto não se trata apenas de conformidade; é antes uma competência fundamental para garantir a resiliência operacional.
Em que situações é obrigatório realizar uma avaliação de exportação de dados?
Se a sua empresa processa mais de 1 milhão de dados pessoais através do DingTalk, ou transfere anualmente para o exterior informações relativas a mais de 100 mil pessoas, mesmo estando registada em Macau, estará já sujeita à obrigação de realizar uma avaliação de segurança de exportação de dados nos termos da PIPL. E isto não é teoria — em 2023, uma empresa de comércio eletrónico transfronteiriço foi alvo de medidas corretivas por parte da Administração do Ciberespaço da China, após ter conectado o seu sistema de clientes à versão internacional do DingTalk, sendo essa conexão classificada como ‘exportação substancial de dados’, o que afetou diretamente o processo de obtenção das licenças operacionais.
O que as autoridades reguladoras observam não é ‘qual SaaS você utiliza’, mas sim ‘se os dados escapam à jurisdição da China’. A versão internacional do DingTalk tem servidores localizados em Singapura, pelo que qualquer transferência de dados nessa direção é considerada como exportação. De acordo com o Regulamento sobre Avaliação de Segurança de Exportação de Dados, caso se verifique qualquer uma das seguintes condições, será necessário apresentar uma declaração: (1) a operação no território chinês gere mais de 1 milhão de dados pessoais; (2) anualmente sejam fornecidos a entidades estrangeiras mais de 100 mil dados pessoais ou mais de 10 mil dados sensíveis.
Para os intermediários de jogos, o setor retalhista e os serviços de luxo, as informações de contacto dos clientes e os registos de transações são extremamente valiosos e altamente sensíveis. Um erro na interpretação desses limites pode resultar em paralisação de projetos, multas e até restrições às suas qualificações. Em vez de tentar remediar a situação posteriormente, é preferível quantificar previamente a escala do fluxo de dados e estabelecer mecanismos de alerta baseados em limiares — isso reflete um nível avançado de governança digital.
A implementação dedicada permite-lhe realmente controlar a soberania dos dados
O ponto de partida para a conformidade não é ‘se deve ou não efetuar o registo’, mas sim ‘se consegue assumir o controlo dos dados’. A versão dedicada do DingTalk oferecida pela Alibaba Cloud foi concebida precisamente para resolver este problema: através de redes privadas VPC isoladas, encriptação SM4 desenvolvida internamente e funcionalidades integradas de DLP (prevenção de fuga de dados), as empresas podem manter toda a comunicação sensível num ambiente totalmente controlado. Segundo o relatório da IDC para a Ásia-Pacífico de 2024, as organizações que adotaram esta abordagem viram uma redução de 76% nos incidentes relacionados com violação de dados e uma diminuição de mais de 40% no tempo necessário para preparar auditorias — passando de uma postura reativa para uma gestão proativa.
É o controlo sobre os seus dados que determina os seus limites de conformidade. Na versão pública, os dados são armazenados numa nuvem partilhada, enquanto a versão dedicada permite às empresas decidirem autonomamente a localização do armazenamento e os direitos de acesso. Complementando isso com um sistema interno de classificação e hierarquização de dados, departamentos de alto risco, como finanças e recursos humanos, podem desativar a função de transferência externa de documentos, permitindo um controlo granular.
A infraestrutura técnica já está em vigor; o próximo passo é integrar este sistema no dia-a-dia das operações. Por exemplo, configurar etiquetas automáticas para que mensagens contendo palavras como ‘salário’ ou ‘bilhete de identidade’ tenham o encaminhamento restrito, notificando imediatamente os administradores. Isto não só reduz os riscos, mas também aumenta a confiança da equipa na conformidade.
Como fazer com que toda a empresa cumpra as normas sem partilhar arquivos indevidamente?
A implementação bem-sucedida de políticas de conformidade nunca depende apenas do departamento de TI — trata-se de uma transformação organizacional que requer o apoio da alta administração e a colaboração entre diferentes departamentos. Após a adoção generalizada do DingTalk, um grupo imobiliário de Macau enfrentou um aumento do risco de divulgação de informações sensíveis devido à falta de controlo unificado; posteriormente, foi criada uma ‘Comissão de Conformidade Digital’, liderada pelo diretor-geral, e em seis meses todos os 5.000 funcionários foram migrados para um modelo controlado, resultando numa queda abrupta de 93% nos comportamentos não conformes.
De acordo com a norma ISO/IEC 27001, uma implementação eficaz deve incluir quatro etapas principais:
- Avaliação do estado atual e análise das lacunas: inventariar as práticas atuais e os potenciais riscos, comparando-as com a Lei de Proteção de Dados Pessoais de Macau e com os requisitos transfronteiriços;
- Elaboração de diretrizes de utilização e matriz de permissões: definir claramente as ações de alto risco, como a proibição de funcionários do departamento financeiro de criarem grupos externos;
- Formação e capacitação de todos os colaboradores e assinatura de compromissos: as empresas que possuem documentação formal e obtêm a assinatura de todos os empregados apresentam um nível de conformidade 3,2 vezes superior;
- Auditorias regulares e otimização contínua: utilizar registos do sistema para inspeções aleatórias e atualizar as políticas de forma dinâmica.
As funcionalidades do DingTalk ‘Configuração granular de permissões para administradores’ e ‘Retenção de registos de auditoria’ constituem a base da conformidade, suportando o controlo baseado em funções e podendo manter os registos de operações durante um período máximo de 180 dias para consulta pelas autoridades reguladoras. No entanto, estas funcionalidades apenas ficam disponíveis após a ativação de contas empresariais verificadas — a configuração correta das contas é o primeiro passo para a conformidade.
No futuro, a conformidade deixará de ser um custo e passará a ser uma vantagem competitiva
Uma vez concluída a implementação interna de conformidade, o verdadeiro desafio ainda está por vir: como manter a liderança num ambiente regulatório em constante evolução? À medida que o regime de circulação de dados da Grande Baía Guangdong–Hong Kong–Macau vai ganhando forma, as empresas de Macau enfrentarão exigências cada vez mais detalhadas em matéria de gestão da classificação dos dados transfronteiriços. A partir de 2026, as empresas que participarem do programa ‘Bay Area Pass’ poderão ser excluídas de cooperações estratégicas caso não tenham implementado sistemas de rotulagem e rastreabilidade de dados.
As três regiões estão a promover conjuntamente a criação de ‘Espaços de Dados Confiáveis’, com o objetivo de alcançar, até 2027, a partilha conformada de dados nos setores da saúde, logística e finanças. O projeto-piloto de Qianhai, em Shenzhen, intitulado ‘Lista Branca de Importação e Exportação de Dados’, demonstra que as empresas que cumprem os critérios veem o tempo de submissão das suas propostas reduzido em mais de 40%. Uma empresa de comércio eletrónico transfronteiriço que aderiu à lista brancae viu o período de aprovação dos seus documentos encurtar-se de 7 para 3 dias, melhorando significativamente a rapidez de resposta da cadeia de abastecimento.
As empresas devem iniciar de imediato uma autoavaliação do seu ‘Modelo de Maturidade de Conformidade de Dados’ e candidatar-se aos benefícios proporcionados por políticas como a ‘Zona Experimental Abrangente de Comércio Eletrónico Transfronteiriço’. O ‘Pacote de Conformidade da Baía’, lançado pelo DingTalk, integra autenticação de identidade, seleção de rotas regionais e arquivamento automático de registos, ajudando as empresas a anteciparem-se às novas regulamentações. Os líderes proativos em matéria de conformidade não só conseguem reduzir os riscos, mas também obtêm prioridade em concursos públicos e em iniciativas de cooperação transfronteiriças — a vantagem competitiva do futuro começa hoje, com um planeamento cuidadoso em torno da conformidade.
DomTech é o prestador de serviços oficialmente designado para o DingTalk em Macau, especializado em fornecer serviços do DingTalk a uma vasta gama de clientes. Se desejar obter mais informações sobre as aplicações da plataforma DingTalk, pode contactar diretamente o nosso serviço de apoio ao cliente online, ou ligar para +852 95970612, ou enviar um e-mail para cs@dingtalk-macau.com. Dispomos de uma excelente equipa de desenvolvimento e operações, com vasta experiência no mercado, capaz de lhe oferecer soluções e serviços profissionais de DingTalk!