Português
English
Usar o DingTalk tem riscos legais?
Empresas em Macau que utilizam o DingTalk sem tratar da transferência transfronteiriça de dados efetivamente correm riscos legais. Um responsável de uma pequena ou média empresa enviou pedidos de clientes e informações dos funcionários através do DingTalk, aparentemente de forma eficiente; no entanto, como os dados são processados em servidores localizados em Hangzhou, isso pode violar o artigo 10.º da Lei de Proteção de Dados Pessoais — caso seja alvo de uma denúncia, a multa máxima pode chegar aos 100 mil patacas.
De acordo com o relatório de fiscalização de 2023 do Gabinete para a Proteção de Dados Pessoais (GPDP) de Macau, entre sete casos de infrações envolvendo plataformas de nuvem estrangeiras, quatro estavam relacionados com a transferência de dados para a China continental. Sendo o DingTalk um produto do ecossistema Alibaba, sua arquitetura central está situada em Hangzhou, e o próprio conteúdo das comunicações já constitui dados pessoais. Assim, mesmo que os funcionários utilizem a plataforma por iniciativa própria, a empresa ainda pode ser considerada “controladora de dados”, assumindo a responsabilidade pela conformidade.
Registos de incumprimento também podem afetar a elegibilidade de uma empresa para participar em concursos públicos. No futuro, as empresas com uma estrutura clara de governança de dados terão uma vantagem significativa nas negociações de parcerias e na confiança dos clientes.
Que setores devem ser especialmente cautelosos?
Os setores da saúde, educação e serviços de apoio ao jogo em Macau encontram-se num ponto crítico em termos de risco de conformidade ao adotarem o DingTalk. Se uma clínica enviar informações sobre agendamentos de pacientes via DingTalk, a eventual divulgação desses dados sensíveis para servidores estrangeiros poderá violar diretamente as exigências obrigatórias da Direção dos Serviços de Saúde quanto à armazenagem localizada, levando ao não cumprimento da revisão da licença.
A questão reside na dupla pressão exercida pelas “categorias de dados sensíveis” e pelas “autoridades competentes”. Embora a Direção de Inspecção e Coordenação de Jogos (DICJ) não proíba explicitamente o uso do DingTalk, as suas diretrizes de auditoria de segurança da informação de 2024 exigem que qualquer fornecedor que processe dados de jogadores deve demonstrar que todo o fluxo de dados é controlável. A atual arquitetura do DingTalk carece de interfaces de auditoria por terceiros, impossibilitando a demonstração de transparência.
A Direção dos Serviços de Educação e Juventude também salienta que as escolas devem apresentar um relatório de avaliação técnica antes de adotarem plataformas de aprendizagem estrangeiras. Já as instituições financeiras, embora não sejam reguladas pela DICJ, seguem as orientações do Comité de Basileia, que exigem transparência e rastreabilidade na gestão de riscos, tornando a capacidade de governança de dados das ferramentas em nuvem um foco essencial do controlo interno.
Como avaliar a viabilidade da conformidade?
Quando um escritório de contabilidade percebe que, ao passar para uma ferramenta de colaboração local, consegue eliminar a incerteza regulatória gastando apenas mais 8.000 patacas anualmente, na verdade já está a alcançar uma economia superior a 50% nos custos de risco a longo prazo. Não se trata de uma simples escolha tecnológica, mas sim de uma decisão empresarial.
Segundo a norma ISO/IEC 27701 relativa a sistemas de gestão de privacidade de informações, as empresas devem criar um “registo de atividades de tratamento” (RoPA), documentando claramente os tipos de dados, os locais de armazenagem e os períodos de retenção. Contudo, o DingTalk revela oficialmente que os registos de log são mantidos durante 180 dias, sem possibilidade de redução, o que entra diretamente em conflito com o princípio da minimização de dados.
Muitas empresas acreditam erroneamente que a encriptação ponta-a-ponta garante total segurança, sem perceber que o controlo das chaves continua a estar nas mãos da plataforma. Ao combinar o RoPA com a minimização de dados, é possível construir uma lista de verificação prática:
- Os dados são transferidos transfronteiriçamente para a China continental?
- É possível desativar os registos ou o rastreamento de comportamentos desnecessários?
- Há autoridade para definir autonomamente o ciclo de eliminação de dados?
A configuração técnica pode garantir a conformidade?
A configuração técnica não substitui a responsabilidade legal — esta é uma realidade que as empresas em Macau precisam enfrentar. Mesmo ativando controlos de permissões de grupo ou a funcionalidade de retirada de mensagens, a versão padrão SaaS do DingTalk continuará a sincronizar registos de login, identificadores de dispositivos e registos de chamadas para servidores na China continental, constituindo, de facto, uma transferência transfronteiriça de dados pessoais, o que infringe diretamente a linha vermelha da Lei de Proteção de Dados Pessoais.
O documento da Alibaba Cloud indica que apenas a “versão privada do DingTalk” permite a localização dos dados, restringindo todo o fluxo de dados ao ambiente exclusivo da empresa. No entanto, este modelo tem um preço mínimo superior a 200 mil patacas e exige uma equipa IT dedicada para a sua operação, sendo apenas viável para grandes organizações.
Muitas PME pensam erradamente que basta desativar a área de armazenamento na nuvem ou impedir a sincronização para garantir a conformidade, mas o parecer do GPDP sublinha: “As medidas técnicas não podem sobrepor-se às obrigações legais”. A arquitetura subjacente do sistema é o fator determinante para a conformidade. Em vez de remediar posteriormente, é preferível avaliar antecipadamente o modelo de implantação da plataforma e integrar os custos de conformidade no cálculo do ROI da transformação digital.
O que devem fazer as empresas?
A configuração técnica é apenas o ponto de partida; a verdadeira gestão de riscos começa com ações sistemáticas. Para utilizar o DingTalk de forma legal, as empresas em Macau devem iniciar imediatamente um “guia de conformidade em cinco etapas”: inventariar a situação atual, classificar os dados, consultar assessoria jurídica, selecionar o modelo de implantação e estabelecer políticas internas. Uma empresa de construção de médio porte, após implementar este processo, concluiu a transição em seis semanas, evitando potenciais multas e aumentando a confiança dos clientes.
A primeira etapa, o “mapeamento de dados” (Data Mapping), é crucial. Segundo as orientações do Comissário de Privacidade de Hong Kong, esta prática pode reduzir em 70% as lacunas de conformidade. Embora Macau ainda não tenha publicado documentos equivalentes, o GPDP já citou essa metodologia, considerando-a parte das “medidas razoáveis”.
Políticas sem evidências de execução são meramente teóricas. As empresas devem incluir um “mecanismo de registo da formação dos funcionários” nas suas políticas internas para construírem uma base sólida de defesa. A integração dos três pilares — mapeamento de dados, medidas razoáveis e políticas internas — não visa apenas cumprir a legislação, mas também criar uma estrutura de governança auditável e replicável.
A conformidade não é o objetivo final, mas sim o ponto de partida para a transformação digital. Em vez de se adaptarem passivamente às ferramentas, as empresas deveriam projetar proativamente um ambiente de trabalho autónomo e controlável — essa é a verdadeira garantia da sustentabilidade empresarial.
A DomTech é o fornecedor oficial e designado do DingTalk em Macau, especializado em prestar serviços de DingTalk a um vasto leque de clientes. Se desejar obter mais informações sobre as aplicações da plataforma DingTalk, pode contactar diretamente o nosso serviço de apoio ao cliente online, ou ligar para +852 95970612, ou enviar um e-mail para cs@dingtalk-macau.com. Dispomos de uma excelente equipa de desenvolvimento e operação e manutenção, com vasta experiência no mercado, capazes de oferecer soluções e serviços profissionais de DingTalk!