Falha nas configurações de privacidade do DingTalk? A verdade por trás das multas de milhões para empresas em Macau

Por que usar o DingTalk pode acionar a mina da soberania de dados

O servidor do DingTalk está, por padrão, localizado na China continental, mas o Artigo 6º da Lei de Proteção de Dados Pessoais de Macau exige que os dados sensíveis sejam processados localmente — incluindo identidades de clientes e registros de saúde dos funcionários. Se você carregar esses dados sem querer, já poderá estar violando a lei.

De acordo com os casos de fiscalização de 2023 do Gabinete para a Proteção de Dados Pessoais (GPDP) de Macau, entre quatro infrações envolvendo plataformas SaaS, duas tiveram como origem a falta de clareza sobre a localização dos dados. As multas podem chegar a 100 mil patacas, além de prejudicar seriamente a reputação.

A questão chave não está na plataforma em si, mas na forma como você gere as responsabilidades. Mesmo que a matriz do grupo faça aquisições centralizadas, a subsidiária em Macau, enquanto controladora local de dados, ainda precisa confirmar independentemente se o fornecedor atende ao “nível equivalente de proteção”. As configurações técnicas devem estar alinhadas às obrigações legais: assine um contrato especificando a localização dos dados e, em seguida, ative a função de armazenamento regional do DingTalk para garantir verdadeira segurança.

As configurações de privacidade precisam ser feitas corretamente

Se você não ativar o “desenvolvimento privado” ou o “modo de isolamento regional”, as mensagens e arquivos dos funcionários poderão transitar a qualquer momento por servidores estrangeiros, infringindo diretamente os requisitos de localização de dados do GPDP.

A ativação dessas configurações avançadas permite que todos os dados de comunicação permaneçam integralmente no território local, eliminando desde a raiz os riscos de transferência transfronteiriça. Paralelamente, é importante implementar controles de permissões baseados em funções, colocando em prática o princípio da “minimização de dados” — por exemplo, uma empresa financeira local utiliza a funcionalidade de “sincronização da estrutura organizacional” para congelar automaticamente as contas de funcionários demitidos, reduzindo em mais de 80% o risco de vazamentos internos.

A personalização dos fluxos de aprovação também é crucial. Para operações de alto risco, como a exportação de todo o histórico de chats ou a integração com APIs de terceiros, adicione camadas adicionais de autorização, garantindo um registro auditável em cada etapa. Somente assim podemos dizer que a segurança foi realmente incorporada ao sistema.

Como evitar armadilhas legais ao colaborar com equipes na China continental

Você compartilha um espaço de trabalho do DingTalk com colegas da China continental? Isso aumenta a eficiência, mas os dados pessoais podem ser transferidos para fora do território sem consentimento, infringindo o Artigo 13º da Lei de Proteção de Dados Pessoais, o que pode resultar em multas de até 2 milhões de patacas, além de possíveis ações coletivas.

A solução é utilizar o “modo de contato externo”, permitindo que os colegas vejam apenas grupos específicos, sem acesso à estrutura da sua empresa nem a informações sensíveis. Embora o DingTalk não ofereça Cláusulas Contratuais Padrão (SCCs), você pode complementar esse aspecto por meio de um Acordo de Nível de Serviço (SLA), estipulando formalmente as condições de tratamento, em conformidade com os requisitos do GDPR e da legislação de Macau quanto a “medidas de proteção adequadas”.

Além disso, adicionar marcas d’água aos documentos e restringir o encaminhamento das mensagens ajudou uma empresa de construção de Macau a reduzir em 76% o risco de vazamento de desenhos confidenciais e a encurtar em 40% o tempo necessário para preparar auditorias. A verdadeira segurança não consiste em bloquear completamente a comunicação, mas sim em exercer um controle preciso.

Como verificar se aplicativos de terceiros estão roubando dados

A instalação de um plugin de reembolso, por exemplo, pode equivaler a abrir uma porta traseira para que terceiros tenham acesso contínuo ao histórico de mensagens e à lista de contatos. Segundo o relatório da PwC de 2024, mais de 60% dos vazamentos de dados em ambientes SaaS ocorrem devido a permissões excessivas concedidas a terceiros.

O mercado de aplicativos do DingTalk realiza uma triagem inicial, mas a responsabilidade final continua sendo da própria empresa. Você deve gerenciar proativamente a “matriz de permissões dos aplicativos”: desative as permissões desnecessárias, como “ler mensagens de grupos” e “obter a lista de membros”.

Dê preferência a ferramentas que suportem o modo de “processamento local de dados”; por exemplo, alguns aplicativos de assinatura eletrônica podem realizar a verificação em servidores locais, evitando que arquivos sensíveis passem pela nuvem. Realize revisões periódicas para impedir que os riscos se acumulem de forma exponencial ao longo do tempo.

Como criar hábitos duradouros de conformidade

Configurar tudo uma única vez não significa que o trabalho esteja concluído. Para demonstrar que o seu ambiente permanece “continuamente” seguro, é necessário realizar regularmente check-ups de conformidade — incluindo revisões de permissões, auditorias de logs e acompanhamento dos registros de treinamento. Assim, será possível construir uma base sólida para defesa e reduzir as chances de penalidades.

Conforme recomendado pelo GPDP, realize pelo menos uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) anualmente, documentando por escrito as atividades de maior risco. O “Centro de Segurança” do DingTalk reúne automaticamente informações sobre acessos incomuns, alterações de dispositivos e ações relacionadas a arquivos, podendo servir como evidência de que você já adotou medidas razoáveis.

Integre o “Controle de Acesso Baseado em Funções” (RBAC) com o “Arquivamento de Logs de Operações”, configure alertas automáticos (como notificações para downloads em massa fora do horário comercial) e designe um responsável pela conformidade para elaborar relatórios trimestrais. Quando a conformidade se torna um processo verificável, ela deixa de ser um custo e passa a representar uma vantagem competitiva.

DomTech é o provedor oficial e exclusivo do DingTalk em Macau, especializado em fornecer serviços do DingTalk para uma ampla gama de clientes. Se você deseja saber mais sobre as aplicações da plataforma DingTalk, entre em contato com nosso atendimento online ou ligue para +852 95970612, ou envie um e-mail para cs@dingtalk-macau.com. Contamos com uma excelente equipe de desenvolvimento e operações, além de vasta experiência no mercado, prontos para oferecer soluções e serviços profissionais de DingTalk!