Armadilhas de conformidade do DingTalk: os riscos de transferência transfronteiriça de dados ignorados pelas empresas de Macau

Por que as empresas entendem mal o verdadeiro significado de “registo”

Muitas empresas em Macau perguntam: usar o DingTalk requer registro junto do governo? A resposta é — não. Mas isso não significa ausência de risco. O verdadeiro problema não está em “se deve ou não notificar”, mas sim em saber se consegue comprovar que o tratamento dos seus dados cumpre os padrões da Lei de Proteção de Dados Pessoais.

O DingTalk, por si só, pode ser utilizado legalmente, tal como se usa o WeChat. No entanto, ele armazena os dados em servidores localizados na China. Assim que carrega numa sala de chat a cópia do documento de identidade de um cliente ou registos médicos, aciona as disposições relativas à transferência transfronteiriça. Nesse momento, mesmo que ninguém apresente uma denúncia, as autoridades reguladoras têm o direito de exigir que explique quais medidas de compensação adotou.

Certa vez, conhecemos uma empresa de contabilidade local que, por não ter restringido a partilha de documentos financeiros pelos funcionários no Ding Drive, foi alvo de uma reclamação por parte de um cliente e acabou por ser alvo de uma investigação pelo GPDP. Eles pensavam que, bastando o “ferramenta ser oficial”, estariam livres de problemas, mas ignoraram que a forma como a utilizam é o núcleo da conformidade. Como resultado, não só perderam dois meses a lidar com a auditoria, como também foram obrigados a suspender temporariamente os seus processos de colaboração digital.

O que diz a lei sobre a utilização de ferramentas de comunicação estrangeiras

De acordo com a Lei n.º 8/2005 e a Lei n.º 13/2009, as empresas em Macau que utilizam qualquer plataforma de terceiros para tratar dados pessoais devem cumprir a obrigação de avaliação de riscos. Por outras palavras, podem escolher livremente a ferramenta, mas não podem escapar às suas responsabilidades de gestão.

A capacidade técnica implica controlo — se não conseguir confirmar se as funcionalidades de IA do DingTalk irão analisar o conteúdo das reuniões ou se os ficheiros são sincronizados com nós situados fora da região, isso significa que perdeu o controlo efetivo sobre os seus dados. Este “estado de caixa negra” é precisamente a principal fonte de alto risco de incumprimento.

Um caso julgado em 2023 revelou que um fornecedor do setor do jogo foi multado em 400 mil patacas apenas por depender dos termos de serviço sem realizar a devida diligência ao transmitir informações pessoais dos seus funcionários. O tribunal afirmou claramente: “As empresas não podem externalizar as suas responsabilidades de conformidade para as empresas tecnológicas”. Isto significa que, mesmo que o DingTalk afirme estar em conformidade com o GDPR, as empresas em Macau ainda têm de verificar autonomamente a sua aplicabilidade.

Por que o fluxo de dados do DingTalk é crucial para a conformidade

Testes práticos demonstram que, por predefinição, o DingTalk converte mensagens de voz em texto e sincroniza instantaneamente gravações de reuniões e ficheiros do Ding Drive para os servidores da Alibaba Cloud em Hangzhou. Isso significa que, mesmo que esteja apenas a realizar uma reunião interna para discutir um plano de clientes, os dados já saíram da jurisdição de Macau.

Esta arquitetura implica que, antes de tratar informações sensíveis, as empresas devem realizar uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) e obter o consentimento explícito dos titulares dos dados. Ainda mais problemático é que, mesmo na versão internacional do DingTalk, a infraestrutura subjacente continua a ser partilhada com a versão principal, não sendo possível isolar completamente os fluxos de dados.

Um responsável de TI de uma instituição financeira confessou: “Pensávamos que mudar para a versão internacional resolveria o problema, mas só durante a auditoria descobrimos que os registos ainda eram enviados para a China.” Por fim, demoraram três meses a reconstruir os seus processos de comunicação interna, tendo a eficiência da colaboração diminuído em 40%. Isto serve-nos de alerta: a transparência da ferramenta influencia diretamente a resiliência operacional.

Como o investimento em conformidade se transforma em vantagem competitiva

Uma DPIA completa e uma auditoria de conformidade custam, em média, cerca de 38 mil patacas. Embora pareçam um custo, podem evitar potenciais perdas de até 1,27 milhões de patacas — incluindo multas, litígios e interrupções nas operações. Mais importante ainda, estão a tornar-se uma moeda forte de confiança empresarial.

Em concursos públicos promovidos pelo governo, como os relacionados com cidades inteligentes, as empresas com uma estrutura completa de governança de dados obtêm, em média, mais 10 a 15 pontos. Isto não é teoria, mas sim uma diferença real. Um gestor de projetos revelou que, graças à conclusão antecipada das medidas de conformidade relativas ao DingTalk, conseguiram destacar-se na fase de avaliação e, posteriormente, adjudicar contratos superiores a dez milhões de patacas.

A conformidade deixou de ser uma medida defensiva; agora é um ativo proativo. Reduz os riscos e, ao mesmo tempo, aumenta a sua credibilidade na cadeia de fornecimento. Quando os parceiros veem que consegue explicar claramente os fluxos de dados e os mecanismos de proteção, ficam naturalmente mais dispostos a confiar-lhe projetos importantes.

Cinco passos para estabelecer diretrizes internas de conformidade implementáveis

Ao invés de esperar que algo corra mal para depois remediar, é melhor criar desde já uma linha de defesa sistemática. Segundo um inquérito sobre governança corporativa na região Ásia-Pacífico, as empresas com diretrizes internas respondem 40% mais rapidamente a incidentes relacionados com dados e têm o dobro da taxa de sucesso na implementação de políticas.

1. Formar uma equipa interdepartamental: reunir as áreas de TI, jurídica e recursos humanos para garantir que a implementação tecnológica está alinhada com as decisões empresariais. Trabalhar isoladamente só levará a políticas difíceis de aplicar.
2. Elaborar um mapa de fluxo de dados: identificar os caminhos reais percorridos pelas mensagens e ficheiros do DingTalk. Identificar com precisão os pontos de transferência transfronteiriça pode reduzir em mais de 30% os gastos desnecessários com monitorização.
3. Realizar uma avaliação DPIA: simular cenários de transmissão de dados sensíveis para detetar falhas antecipadamente. Esta é a medida preventiva mais eficaz para evitar multas.
4. Definir políticas de utilização e formar os colaboradores: proibir o armazenamento de dados de clientes em grupos abertos, limitar as permissões de partilha apenas aos membros internos e desativar as funcionalidades de análise por IA que não sejam essenciais. Oitenta por cento das fugas de informação resultam de erros humanos; educar é mais eficaz do que bloquear.
5. Realizar auditorias e atualizações regulares: verificar trimestralmente os registos de acesso e as configurações de permissões. Continuar a otimizar a maturidade da governança para que a conformidade se torne parte integrante da aprendizagem organizacional.

Estes passos não só satisfazem os requisitos legais, mas também permitem transformar a conformidade em vantagem operacional. Agora, agir é preparar o terreno para o investimento em gestão de riscos mais valioso dos próximos três anos.

DomTech é o fornecedor oficial e exclusivo do DingTalk em Macau, especializado em fornecer serviços do DingTalk a uma vasta base de clientes. Se desejar obter mais informações sobre as aplicações da plataforma DingTalk, pode contactar diretamente o nosso serviço de apoio ao cliente online, ou através do telefone +852 95970612, bem como por e-mail cs@dingtalk-macau.com. Dispomos de uma excelente equipa de desenvolvimento e operações, com vasta experiência no mercado, capazes de lhe oferecer soluções e serviços profissionais dedicados ao DingTalk!