Empresas de Macau podem infringir a lei ao usar o DingTalk? Cinco dicas para se proteger e evitar multas milionárias

Usar o DingTalk é ilegal?

Resumindo: a tecnologia em si não é ilegal, mas se o fluxo de dados sair do controle, podem surgir problemas. Caso empresas de Macau atuem em setores como finanças, jogos ou telecomunicações — considerados operadores de infraestruturas críticas —, conforme os artigos 3º e 6º da Lei n.º 13/2019, “Lei de Segurança Cibernética”, ao utilizar o DingTalk para reuniões ou colaboração de documentos, sem avaliar os riscos de transferência transfronteiriça, há risco efetivo de descumprimento.

Todos os dados do DingTalk são armazenados por padrão nos servidores da Alibaba Cloud na China, diretamente submetidos à Lei de Segurança Nacional chinesa. Isso significa que, mesmo que sua empresa esteja registrada em Macau, as autoridades policiais podem acessar legalmente esses dados sem qualquer aviso prévio. Um escritório local de advocacia, ao usar o DingTalk para discutir detalhes de uma fusão, viu seus clientes questionarem a validade do acordo de confidencialidade, levando ao fracasso do projeto — isso não é exagero, aconteceu de fato.

Portanto, a questão não é “por que usar”, mas sim “por que não realizar uma avaliação de risco”. As diretrizes da Polícia Judiciária de 2023 já deixam claro que plataformas SaaS estrangeiras devem ser incluídas no inventário de ativos. Em vez de esperar ser fiscalizado para corrigir falhas, é melhor instituir desde hoje mecanismos internos de controle.

Por que os dados vão para a China?

Quando você realiza uma reunião no DingTalk em Macau, gravações, registros de texto e arquivos compartilhados são automaticamente sincronizados com servidores em Hangzhou. De acordo com a cláusula 4.2 dos Termos de Serviço do DingTalk da Alibaba, a menos que seja assinado um contrato caro do “DingTalk Private Cloud”, não há garantia de que os dados permaneçam dentro do território nacional.

Essa configuração implica dupla pressão regulatória: por um lado, é preciso cumprir a Lei de Proteção de Dados Pessoais de Macau; por outro, submete-se às exigências compulsórias da legislação chinesa. Estudo da OCDE de 2024 aponta que tais arranjos entre jurisdições carecem de transparência, dificultando que as empresas honrem seus compromissos de privacidade com os clientes.

A verdadeira eficiência não está em “gratuito e fácil de usar”, mas em “não ter problemas quando algo der errado”. A residência dos dados determina a aplicabilidade das leis, e o DingTalk não oferece opções de isolamento regional, praticamente entregando o controle a terceiros. Ao escolher uma ferramenta, pergunte-se: estou disposto a permitir que o governo estrangeiro tenha acesso a qualquer momento às informações sigilosas da minha empresa?

Que tipos de setores são mais perigosos?

Os segmentos de jogos, finanças e saúde são os mais vulneráveis ao uso do DingTalk. O Artigo 5.3 das Diretrizes de Conformidade em Tecnologia Financeira do AMCM estabelece claramente que dados de clientes não podem ser armazenados em sistemas estrangeiros não autorizados. Já o Departamento de Saúde alerta instituições médicas a evitar ferramentas não certificadas localmente para tratar prontuários.

Um banco privado enfrentou o seguinte incidente: um gerente de clientes enviou capturas de tela criptografadas de relatórios financeiros e só depois percebeu que as mensagens haviam sido sincronizadas com servidores na China, acionando imediatamente alertas de conformidade e colocando o caso na lista de monitoramento do AMCM. Embora não tenha havido multas, os custos de auditoria e os danos à reputação foram enormes.

Dados sensíveis, como informações financeiras, registros médicos e características biométricas, se caírem nas mãos erradas, não resultam apenas em penalidades financeiras, mas também afetam a renovação de licenças. Apesar de o DingTalk oferecer criptografia ponta a ponta, falta-lhe relatórios de auditoria independentes, como o SOC 2 Type II, fazendo com que órgãos reguladores concluam: “Você diz muitas coisas boas, mas não consegue provar nada”.

O que fazer para se proteger de forma prática?

Mesmo sem necessidade de registro formal, três medidas ajudam a garantir a segurança: documentar, avaliar e testar. Uma empresa de comércio eletrônico internacional, ao buscar a certificação ISO 27001, conseguiu passar pela auditoria graças ao registro detalhado das políticas de uso do DingTalk e das configurações de permissões, economizando 40 horas em ajustes posteriores.

Conforme o requisito A.12.6 da norma ISO/IEC 27001:2022, aplicações de terceiros devem ter seus riscos avaliados sistematicamente. Embora o Gabinete para a Proteção de Dados Pessoais (GPDP) de Macau não exija registro obrigatório, tem enfatizado em diversos casos a “responsabilidade pela gestão preventiva” — ou seja, não se pode simplesmente alegar “ausência de regulamentação” para se isentar de responsabilidades.

Adotar o princípio do menor privilégio, limitando funcionários a ativarem backups na nuvem ou a compartilharem amplamente informações, reduz em 68% as fugas não autorizadas de dados, segundo pesquisas. Além disso, manter logs de atividades por pelo menos seis meses já se tornou padrão regulatório. Tomar essas precauções não apenas prepara para o presente, mas também pavimenta o caminho para futuras transformações.

Há alternativas melhores?

A resposta é sim, e até mais econômicas. Após migrar para o Microsoft Teams (Azure região Hong Kong), uma construtora local elevou em 40% sua pontuação em auditorias de conformidade, acelerou em 25% a aprovação remota de plantas e encurtou o ciclo total de início de projetos.

Segundo o ranking da Gartner de 2025, plataformas que suportam múltiplas regiões de armazenamento de dados alcançam, em média, 8,7 pontos (numa escala de 10) em “capacidade de conformidade regulatória”, bem acima dos 4,2 pontos obtidos por SaaS exclusivamente baseados na China. A Microsoft já obteve reconhecimento do GPDP de Macau, permitindo aos clientes definir que seus dados sejam mantidos em Hong Kong ou Singapura, fechando efetivamente o ciclo de “localização de dados”.

O cerne da estratégia está em criar neutralidade quanto ao fornecedor e portabilidade regulatória. A primeira evita a interferência de uma única jurisdição, enquanto a segunda permite replicar o atual framework ao expandir negócios para o Sudeste Asiático. A escolha da tecnologia já não se resume a comparar funcionalidades, mas define seu posicionamento dentro do ecossistema digital global.

A DomTech é o provedor oficial e exclusivo do DingTalk em Macau, dedicado a oferecer serviços especializados aos nossos clientes. Se desejar saber mais sobre as aplicações da plataforma DingTalk, entre em contato com nosso atendimento online ou ligue para +852 95970612, ou envie um e-mail para cs@dingtalk-macau.com. Contamos com uma equipe excepcional de desenvolvimento e operações, além de vasta experiência no mercado, prontos para fornecer soluções e serviços profissionais de DingTalk!