Empresas de Macau usam o DingTalk para evitar as zonas de risco de multas: a responsabilidade pela conformidade é incontornável

Por que as plataformas de comunicação transfronteiriças precisam de revisão de conformidade?

As empresas em Macau que utilizam o DingTalk frequentemente negligenciam o risco de os dados serem transferidos silenciosamente para o exterior. O DingTalk é suportado pela Alibaba Cloud, e seus principais data centers estão localizados no interior da China. Assim que você carrega informações como carteiras de identidade dos funcionários, registros salariais ou detalhes de contato dos clientes, esses dados já são considerados "transferência transfronteiriça".

De acordo com o Artigo 12 da Lei n.º 8/2005, a Lei de Proteção de Dados Pessoais, a transferência de dados pessoais para fora de Macau exige que o destinatário possua "medidas de proteção adequadas"; caso contrário, pode acarretar uma multa de até 50 mil patacas. Instituições financeiras, de saúde e de recursos humanos estão particularmente em risco — imagine um colega do departamento de RH colocando as contas bancárias de todos os funcionários em uma planilha do DingTalk; se isso for descoberto durante uma auditoria, não será apenas um problema de TI, mas sim uma falha na governança corporativa.

O mais importante é que, mesmo sendo um "usuário comum", a lei o considera um "controlador de dados". O tribunal não aceitará a justificativa de que "a plataforma foi configurada dessa forma"; você deverá provar que fez todos os esforços razoáveis para proteger os dados. Portanto, a conformidade não é uma escolha, mas um requisito básico para a operação.

É necessário solicitar autorização às autoridades de Macau para usar o DingTalk?

Atualmente, não há regulamentação em Macau exigindo que as empresas obtenham permissão ou realizem registro prévio antes de utilizar o DingTalk. Em outras palavras, você pode começar a usá-lo imediatamente, sem necessidade de apresentar documentos ou aguardar aprovação.

Contudo, fique atento: se você processa sistematicamente dados sensíveis de mais de 50 funcionários — por exemplo, coletando automaticamente dados de frequência, locais de marcação de ponto, salários e documentos de identificação — estará ativando o "sistema de notificação de tratamento de sistemas" recomendado pela Orientação Privacidade n.º 2/2019. Embora esse mecanismo seja voluntário, as autoridades reguladoras o considerarão um indicador da sua postura responsável.

Por exemplo, uma rede de clínicas que armazena escalas de médicos e registros de agendamentos de pacientes no DingTalk, se todos os dados forem armazenados centralizadamente e sem criptografia, poderá ser considerada pelo órgão competente como não tendo adotado medidas preventivas suficientes em caso de vazamento de dados. Por outro lado, se você apresentar proativamente um relatório de avaliação breve descrevendo como restringiu os direitos de acesso e criptografou campos sensíveis, poderá construir confiança e reduzir riscos futuros.

Os metadados são mais perigosos do que o conteúdo das conversas

Muitas empresas pensam que basta não carregar arquivos para estarem seguras, mas isso está completamente errado. A cada reunião, marcação de ponto ou envio de mensagem no DingTalk, uma grande quantidade de metadados é coletada automaticamente — incluindo endereços IP, modelos de dispositivos, horários de login, localizações geográficas e ambientes de rede. Um relatório do HKCERT de 2023 aponta que sete desses tipos de dados são suficientes, isoladamente ou combinados, para identificar uma pessoa.

O que isso significa? Mesmo que você não revele explicitamente quem é quem, hackers ou terceiros podem rastrear funcionários específicos por meio de padrões de comportamento. Ainda mais problemático é que esses dados geralmente não são cobertos por auditorias internas, tornando-se pontos cegos em termos de conformidade.

• Risco dos metadados: o acúmulo ao longo do tempo pode traçar rotinas diárias e até inferir condições de saúde
• Princípio da minimização: desative permissões desnecessárias, como impedir que usuários não administradores ativem a função de gravação de vídeo

A maneira verdadeiramente segura de lidar com isso é reduzir a coleta de dados desnecessários no nível técnico, em vez de esperar que ocorra um incidente para então remediar a situação.

Estabelecer políticas de conformidade é o caminho a longo prazo

Em vez de ficar constantemente preocupado com a questão de "precisar ou não registrar", é melhor adotar uma abordagem proativa e criar políticas internas de uso. Já vimos uma empresa de construção em Macau que, após implementar um sistema de permissões hierárquicas, viu suas reclamações por vazamento de dados zerarem e o nível de conscientização dos funcionários sobre informações sensíveis aumentar em mais de 60%.

Segundo a norma ISO/IEC 27001, políticas documentadas + treinamentos periódicos são considerados medidas razoáveis para mitigar responsabilidades. Você pode definir permissões por cargo: executivos seniores podem usar gravação de vídeo, enquanto funcionários comuns têm essa função automaticamente desativada; grupos exclusivos do departamento de RH devem armazenar contratos criptografados para evitar divulgações acidentais.

Quando as políticas são efetivamente implementadas, o DingTalk deixa de ser apenas uma ferramenta de comunicação e passa a ser um veículo de negócios auditável e controlável. As autoridades reguladoras, ao verem que você possui sistemas, registros e programas de educação, tenderão a reconhecer sua empresa como responsável.

Cinco etapas para concluir a implantação da conformidade

A conformidade não precisa ser algo complexo. Já ajudamos várias pequenas e médias empresas em Macau a implementá-la, e em média três meses são suficientes para estabelecer um ambiente sólido. O processo é o seguinte:

1. Identificar os riscos: verificar quais departamentos utilizam o DingTalk para tratar dados sensíveis
2. Gerenciar permissões: definir direitos de acesso e funcionalidades conforme o nível hierárquico
3. Controlar os dados: limpar registros históricos sensíveis e habilitar técnicas de pseudonimização
4. Comunicar com transparência: considerar a apresentação de um resumo de avaliação à GPDP
5. Tecnologias de proteção: ativar criptografia ponta-a-ponta, autenticação de dois fatores e alertas de login

Após a conclusão, realize uma revisão a cada seis meses; em média, a maturidade da conformidade aumentará em 40%. Um grupo de saúde conseguiu, seguindo esse procedimento, passar por uma auditoria externa e conquistar ainda mais confiança de seus parceiros.

DomTech é o provedor oficial e designado do DingTalk em Macau, especializado em fornecer serviços relacionados ao DingTalk para uma ampla base de clientes. Se você deseja saber mais sobre as aplicações da plataforma DingTalk, entre em contato diretamente com nosso atendimento online ou ligue para +852 95970612, ou envie um e-mail para cs@dingtalk-macau.com. Contamos com uma excelente equipe de desenvolvimento e operações, além de vasta experiência no mercado, capazes de oferecer soluções e serviços profissionais de DingTalk!