Português
English
Como a legislação de Macau regula as ferramentas de comunicação
Em Macau, não existe uma lei explícita que exija o registro do uso do DingTalk. No entanto, sempre que se processam informações como nomes de funcionários, números de telefone ou horários de trabalho, isso já entra no âmbito da Lei de Proteção de Dados Pessoais. Já vimos uma empresa local de engenharia que, ao simplesmente confirmar números de identificação e endereços com fornecedores na China continental através do DingTalk, foi considerada pela GPDP como realizando uma transferência ilegal de dados transfronteiriça — algo aparentemente rotineiro, mas na verdade ilegal.
Essas práticas constituem “processamento automatizado” e “fluxo transfronteiriço de dados”. De acordo com o artigo 6.º da Lei n.º 8/2007, é obrigatório apresentar o Formulário D ao Gabinete para a Proteção de Dados Pessoais (GPDP). A falta de registo pode acarretar uma multa máxima de 100 mil patacas, além de comprometer a confiança dos parceiros e até mesmo a elegibilidade para participar em concursos públicos.
Por que o DingTalk pode causar problemas?
O DingTalk é suportado pela Alibaba Cloud, com os seus principais data centers localizados em Hangzhou. Mesmo que envie apenas uma notificação em grupo, os registos do sistema, os históricos de conversas e os ficheiros anexados são automaticamente sincronizados com servidores na China. Isso significa que cada mensagem pode tornar-se uma fonte potencial de risco de conformidade.
Tecnicamente, a versão padrão do DingTalk utiliza uma arquitetura centralizada. A menos que seja assinado um contrato exclusivo para implementar uma “implantação privada”, não é possível interromper a ligação aos servidores estrangeiros. A GPDP já alertou, em 2022, que, sempre que os dados de residentes de Macau forem processados por servidores fora da região, é necessário efetuar o registo e obter o consentimento das pessoas envolvidas. Configurar grupos privados não resolve o problema fundamental, pois isso não altera a localização onde os dados são armazenados e também não oferece encriptação ponta a ponta.
Quais setores estão mais expostos a riscos?
Os setores da saúde, da educação e das instituições financeiras correm os maiores riscos. Segundo o relatório de fiscalização de 2023 da GPDP, 41% das reclamações relacionadas com proteção de dados pessoais provêm de instituições médicas e sociais que fazem uso indevido de ferramentas de comunicação. Por exemplo, um clínica privada utilizava o DingTalk para transmitir registos médicos de pacientes; embora parecesse aumentar a eficiência, na realidade violava princípios fundamentais do direito à privacidade, acabando por ser sancionada e obrigada a realizar uma reestruturação completa.
A circular interna da Autoridade Monetária de Macau AMCM/IS/2023-09 também exige que as instituições financeiras apliquem os princípios de “minimização de dados” e “encriptação ponta a ponta” nas plataformas de terceiros. Contudo, apesar de a versão padrão do DingTalk possuir controlo de permissões, uma vez que os dados sensíveis são carregados, eles ainda podem ser acessados no lado do servidor, criando uma lacuna de conformidade. Para esses setores de alto risco, a conformidade não é uma opção, mas sim um requisito indispensável para a sobrevivência.
Quanto custa realmente a não conformidade?
A multa máxima por uma única infração é de 100 mil patacas, mas os prejuízos reais vão muito além disso. Com base nos casos registrados nos últimos três anos, calcula-se que, em média, cada caso gera custos de conformidade na ordem dos 68 mil patacas, incluindo honorários de advogados, migração de dados e reciclagem de pessoal. Além disso, a gestão demora, em média, 17 dias para lidar com as auditorias.
Caso o incidente venha a público, os gastos com a reparação da imagem da marca costumam ultrapassar os 200 mil patacas, o equivalente a duas vezes o orçamento anual de segurança da informação de uma pequena ou média empresa. Ainda mais grave é que infrações graves podem afetar a renovação de licenças ou a elegibilidade para contratos governamentais. Em comparação, o custo de preencher proativamente o Formulário D é praticamente insignificante — não se trata de uma despesa, mas de um investimento necessário para garantir a continuidade do negócio.
Cinco passos para concluir a avaliação de conformidade
É possível completar a declaração inicial em apenas 7 dias úteis. Primeiro passo: verificar se estão a ser tratados dados pessoais — basta haver informações de contacto de funcionários ou dados de escalas de trabalho para que isso se aplique.
Segundo passo: identificar o fluxo de dados. Por defeito, o DingTalk envia os dados para servidores localizados na China, o que constitui uma “transferência transfronteiriça” segundo a lei.
Terceiro passo: avaliar o nível de risco. Se estiverem envolvidos dados sensíveis, como informações de saúde ou salariais, trata-se de um risco elevado, sendo obrigatório proceder ao registo.
Quarto passo: preencher o Formulário D e publicar uma declaração de privacidade, garantindo o direito à informação dos titulares dos dados.
Quinto passo: manter todos os registos durante pelo menos três anos, para eventual necessidade de prova. A conclusão do registo não é o fim, mas sim o ponto de partida para a construção de uma cultura de conformidade contínua. Quando for possível replicar esse processo para outras ferramentas como Zoom, Teams ou outros serviços SaaS, então estará realmente a assumir o controle da governança digital.
A DomTech é o fornecedor oficial e autorizado do DingTalk em Macau, especializado em fornecer serviços do DingTalk a uma vasta gama de clientes. Se desejar saber mais sobre as aplicações da plataforma DingTalk, pode contactar diretamente o nosso serviço de apoio ao cliente online, ou telefonar para +852 95970612, ou enviar um e-mail para cs@dingtalk-macau.com. Dispomos de uma excelente equipa de desenvolvimento e operações, com vasta experiência no mercado, capaz de lhe oferecer soluções e serviços profissionais de DingTalk!