As armadilhas do uso do DingTalk por empresas em Macau: um guia de conformidade para evitar os quatro principais riscos legais

Por que usar o DingTalk por defeito pode violar as leis de privacidade de Macau

Muitas empresas em Macau utilizam o DingTalk como uma ferramenta de comunicação “pronta a usar”, mas ignoram o conflito inerente entre a sua arquitetura tecnológica e a legislação local. De acordo com a Lei n.º 8/2005, a Lei de Proteção de Dados Pessoais, qualquer tratamento de dados relacionado com o controlo de presença dos funcionários, a estrutura organizacional ou informações de contacto de clientes deve respeitar os princípios da “limitação da finalidade” e da “localização dos dados”.

O roteamento padrão do servidor do DingTalk está centrado na China continental, pelo que a transferência de dados inevitavelmente passa por nós situados no exterior — o que significa que, mesmo sem qualquer divulgação ativa, a sincronização automática do sistema pode constituir uma transferência transfronteiriça de dados. Nos últimos três anos, o GPDP já processou pelo menos três queixas relacionadas com este tema, precisamente porque as empresas não avaliaram esse risco.

Ainda mais grave é o facto de a funcionalidade de “sincronização da estrutura organizacional” carregar automaticamente a base de dados de recursos humanos; se não for obtido consentimento explícito, isso constitui uma violação do requisito de “tratamento lícito”. A conformidade não é responsabilidade da ferramenta, mas sim da sua empresa: você é o responsável pelo tratamento dos dados e não pode delegar essa decisão nas configurações predefinidas.

Como definir permissões mínimas para evitar problemas

Mais de 70% das pequenas e médias empresas em Macau ainda dependem de uma única conta de “superadministrador” para operar o DingTalk. Este modelo de poder centralizado, se abusado ou mal utilizado, pode ter consequências devastadoras. A solução reside na aplicação do princípio do “menor privilégio” recomendado pela ISO/IEC 27001: cada pessoa deve dispor apenas das permissões mínimas necessárias para desempenhar as suas funções.

A funcionalidade de “permissão personalizada” do DingTalk é uma ferramenta essencial. Por exemplo, um assistente de recursos humanos num hotel de cadeia pode editar a estrutura organizacional, mas não tem acesso à API; já um especialista financeiro pode aprovar pagamentos, mas não consegue visualizar o histórico de conversas. Desta forma, o impacto de um comprometimento ou eliminação acidental de dados por parte de uma única conta é reduzido em mais de 60%.

Com a “auditoria de registos de operações”, todas as alterações podem ser rastreadas até ao seu autor. Isto não é apenas uma medida de segurança, mas também permite cumprir a obrigação legal do GPDP de manter um “registo das atividades de tratamento” — só apresentando provas durante as auditorias é possível demonstrar verdadeira conformidade.

Se estas funcionalidades não forem desativadas, cedo ou tarde surgirão problemas

Mesmo o melhor design de permissões é insuficiente face a algumas funcionalidades de alto risco que estão ativadas por defeito. Em Macau, uma empresa de equipamentos de jogo já foi alvo de uma fuga de informação confidencial depois de não desativar a opção de “adicionar automaticamente pessoas externas a grupos”, permitindo que concorrentes se infiltrassem num grupo dedicado a um projeto. Como resultado, a empresa enfrentou indemnizações contratuais e uma investigação regulatória.

Um relatório da PwC de 2024 indica que 43% das fugas de dados resultam de configurações incorretas das ferramentas de colaboração. A função de “recomendação de atalhos” do DingTalk analisa o comportamento de comunicação e sugere adicionar contactos externos; se não for desativada manualmente, viola o princípio da “minimização de dados”.

Já a “marcação de ponto por código QR” gera registos de localização, considerados dados pessoais sensíveis, que exigem, por lei, consentimento escrito específico; por outro lado, a “resumo de reuniões por IA” envia gravações de voz para treino de modelos de terceiros, o que pode implicar uma transferência transfronteiriça. Estas funcionalidades não são proibidas, mas devem ser ativadas apenas após uma avaliação formal de risco e um processo de informação aos funcionários.

Como redigir uma política de utilização que passe numa auditoria

Desativar as funcionalidades de alto risco é apenas o primeiro passo. A verdadeira prova de conformidade é uma política de utilização do DingTalk assinada por todos os departamentos. Segundo as diretrizes do Gabinete de Auditoria de Macau de 2024, as instituições devem disponibilizar “documentos de governança das comunicações digitais” como evidência de controlo interno, mas atualmente apenas 29% das entidades auditadas possuem normas escritas específicas para plataformas como esta.

Uma política eficaz deve incluir dois elementos centrais: primeiro, o “período de retenção de dados”, por exemplo, estipulando que o histórico de conversas não deve ser mantido por mais de seis anos, conforme a lei, e sincronizando esta definição com a funcionalidade de “limpeza automática” do DingTalk; segundo, a “atribuição de responsabilidades de conformidade”: a área de TI fica encarregada da configuração técnica, enquanto os chefes de departamento devem verificar regularmente o estado das contas dos seus subordinados, especialmente garantindo o cancelamento imediato das contas quando ocorre a saída de um funcionário.

Esta política não é um memorando técnico da área de TI, mas antes um contrato operacional seguido por toda a empresa. Quando a política deixa de ser algo meramente documentado e passa a fazer parte do dia a dia, a organização demonstra uma cultura de governança proativa, em vez de uma postura reativa de correção de erros.

Investir em conformidade vale realmente a pena?

Evidências provenientes de seis pequenas e médias empresas em Macau mostram que, por cada 10 mil patacas investidas na otimização da conformidade do DingTalk, é possível evitar, em média, 38 mil patacas em potenciais perdas. Estas incluem multas, custos judiciais e, ainda mais prejudicial, o dano à reputação da marca. Uma empresa de tecnologia turística chegou a ver o seu contrato com um parceiro rescindido devido à falta de registo completo das comunicações; posteriormente, os esforços de remediação custaram-lhe 240 mil patacas. Em comparação, o investimento inicial em modelos de conformidade e formação foi de apenas 72 mil patacas, o que representa um retorno sobre o investimento de 233%.

Há ainda dois valores intangíveis frequentemente negligenciados: em primeiro lugar, a “garantia de continuidade do negócio” — as empresas sujeitas a investigações por questões de conformidade ficam, em média, paralisadas durante 5,3 dias; a implementação prévia destas medidas pode praticamente eliminar esse risco. Em segundo lugar, a “confiança de terceiros” aumenta, tornando mais fácil superar auditorias nas cadeias de fornecimento de Hong Kong e internacionais.

A conformidade deixou de ser um centro de custos e passou a ser um catalisador da maturidade digital. Permite às empresas adotarem a inovação colaborativa mais rapidamente, mantendo os riscos sob controle.

A DomTech é o prestador de serviços oficialmente designado para o DingTalk em Macau, especializado em fornecer serviços do DingTalk a uma vasta gama de clientes. Se desejar obter mais informações sobre as aplicações da plataforma DingTalk, pode contactar diretamente o nosso serviço de apoio ao cliente online, ou através do telefone +852 95970612, ou do e-mail cs@dingtalk-macau.com. Dispomos de uma excelente equipa de desenvolvimento e operação e manutenção, com vasta experiência no mercado, capazes de oferecer soluções e serviços profissionais de DingTalk!