Português
English
Por que as empresas de Macau ficam tão nervosas ao usar o DingTalk?
O problema não é que o DingTalk em si seja ilegal, mas sim como ele é utilizado. Basta enviar os registos de presença dos funcionários, conversas ou dados de clientes para servidores na China continental para já se poder estar a violar a Lei de Proteção de Dados Pessoais. A atuação da Autoridade de Proteção de Dados Pessoais (GPDP) de Macau em 2023 mostrou que, entre sete casos de infração relacionados com SaaS, quase metade teve origem numa má interpretação dessa linha.
Muitas pequenas e médias empresas pensam que estão seguras apenas porque “não armazenam dados de clientes”, mas, na realidade, até as informações internas sobre pessoal estão sujeitas à regulamentação. Tecnicamente, o DingTalk é apenas uma ferramenta de comunicação; juridicamente, a empresa continua a ser a responsável principal. Em caso de vazamento, quem será responsabilizado é você, e não a Alibaba Cloud.
O verdadeiro ponto de viragem é iniciar a avaliação de transferência de dados para o exterior — especialmente quando há membros da equipa em outros países ou quando os dados são armazenados nos servidores da Alibaba Cloud em Hangzhou. Ao fazer este passo, não só se reduz o risco de penalizações, como também se transmite aos parceiros de negócios a ideia de que a sua empresa é profissional e credível.
Em que situações é realmente necessário fazer uma declaração formal?
Se, através do DingTalk, você armazena ou transmite dados sensíveis, como documentos de identificação de clientes ou registos financeiros, para a China continental, já poderá estar a infringir a obrigação de notificação prévia prevista no artigo 15.º da Lei de Proteção de Dados Pessoais. Caso não proceda à devida declaração, pode incorrer numa multa de até 200 mil patacas. Trata-se de um valor significativo, sobretudo para microempresas.
De acordo com as orientações da GPDP, qualquer transferência de dados pessoais para regiões sem um nível equivalente de proteção (incluindo a China continental) deve ser precedida de uma avaliação de impacto sobre a proteção de dados, devendo ser apresentado o formulário DAR. No primeiro trimestre de 2024, 18% dos processos de declaração envolveram plataformas de comunicação na nuvem, o que evidencia que a supervisão está a tornar-se cada vez mais rigorosa neste tipo de aplicações diárias.
Você não pode simplesmente confiar nas garantias do DingTalk de que “somos muito seguros”. A verdadeira linha de defesa consiste em assinar com a Alibaba Cloud um contrato de tratamento de dados (DPA) que cumpra as normas de Macau, especificando claramente como os dados serão utilizados, por quanto tempo serão conservados e quem terá acesso a eles. Só assim se poderá contar com uma proteção efetiva, e não meramente teórica.
Por que a arquitetura subjacente do DingTalk é tão crucial?
Com todas as configurações padrão, os registos de conversas, os ficheiros e as chamadas áudio do DingTalk são enviados para o centro de dados de Hangzhou. Por outras palavras, mesmo que as suas comunicações sejam exclusivamente internas, os dados já saíram de Macau. Assumir erroneamente que “operar localmente” isenta da necessidade de declaração pode ter consequências graves — os custos de correção são, em média, mais de 50% superiores.
Segundo o relatório branco da Alibaba Cloud de 2024, o DingTalk adota uma gestão centralizada, sendo que até metadados como o tempo das conversas, os participantes e o modelo dos dispositivos são sincronizados com a China continental para fins de treino de IA. Este design melhora a estabilidade, mas, ao mesmo tempo, coloca as empresas de Macau numa zona cinzenta: “funcionalmente legal, estruturalmente irregular”.
Certa cadeia de lojas locais, por ter ignorado este detalhe, foi obrigada a mudar completamente de plataforma, o que implicou custos de migração de seis dígitos, algo pouco viável. Em vez de remediar a situação posteriormente, seria melhor começar desde o início a avaliar a possibilidade de implementar uma solução privada ou optar por nós regionais, mantendo o controlo nas próprias mãos.
Como elaborar políticas internas de conformidade?
O verdadeiro risco não está no uso do DingTalk, mas sim na ausência de controlos claros. Uma auditoria realizada junto de empresas de médio porte em Macau revelou que aquelas que tinham políticas de utilização específicas registavam menos 76% de incidentes de divulgação de dados e apresentavam taxas de conformidade superiores a 90%.
Tomando como referência as recomendações do Banco Central de Macau para empresas de tecnologia financeira, sugere-se a implementação de um “sistema de etiquetagem de dados por níveis”: classificar os documentos em três categorias — público, interno e confidencial — e complementar com os registos de auditoria do DingTalk para acompanhar quem abriu e quem fez download de cada ficheiro. Por exemplo, um escritório de contabilidade internacional conseguiu, graças a esta medida, impedir com sucesso a saída não autorizada de relatórios de clientes.
Para que estas políticas sejam efetivas, é necessário integrar as permissões informáticas, a revisão jurídica e a responsabilização da alta direção. A primeira linha de defesa cabe à equipa de TI, que define os níveis de acesso; a segunda, ao departamento jurídico, que verifica regularmente ligações externas; e a terceira, ao próprio gestor, que assina um relatório anual. Com estas três camadas de proteção em vigor, a conformidade deixa de ser uma preocupação exclusiva do departamento de TI.
Cinco passos para concluir a autoavaliação e a declaração
Depois de definir as políticas, o próximo passo é a verificação sistemática. As empresas de Macau podem completar a autoavaliação de conformidade em apenas 30 dias, economizando em média 45 horas de trabalho, o que alivia significativamente a carga sobre os departamentos jurídico e de TI.
Aprendendo com o modelo do PDPC de Singapura, um escritório de advogados local desenvolveu um processo em cinco etapas adaptado à legislação de Macau:
- Identificar os fluxos de dados: confirmar se os dados dos funcionários transitam para o exterior através do DingTalk
- Iniciar a avaliação de transferência de dados para o exterior: determinar, com base na Lei n.º 8/2021, se é necessária a declaração
- Assinar um DPA com força jurídica: garantir que a Alibaba Cloud se compromete com a transparência no tratamento e com medidas de segurança
- Decidir se é necessário nomear um representante local: caso a empresa não tenha uma entidade em Macau, deve designar um agente para responder a eventuais consultas
- Elaborar um mapa de conformidade: reunir toda a documentação para auditorias internas ou para eventual inspeção regulatória
Após a conclusão destes cinco passos, deixará de se tratar de uma conformidade “possível”, passando a existir uma capacidade de governança comprovada e replicável, que prepara o terreno para a introdução de outras ferramentas no futuro.
A DomTech é o fornecedor oficial e exclusivo do DingTalk em Macau, dedicando-se a oferecer serviços do DingTalk a uma vasta gama de clientes. Se desejar obter mais informações sobre as aplicações da plataforma DingTalk, pode contactar diretamente o nosso serviço de apoio ao cliente online, ou ligar para +852 95970612, ou enviar um e-mail para cs@dingtalk-macau.com. Dispomos de uma excelente equipa de desenvolvimento e operações, com vasta experiência no mercado, capaz de proporcionar soluções e serviços profissionais de DingTalk!