Crise de conformidade do DingTalk: Como as empresas de Macau podem transformar riscos em ativos de confiança

Por que as empresas de Macau pisam na linha vermelha sem perceber

Muitas empresas de Macau, ao comunicarem dados de clientes através do DingTalk, nem sequer se apercebem de que essas informações estão a ser transmitidas para servidores na China via Alibaba Cloud — o que já viola o requisito central do artigo 6.º da Lei de Proteção de Dados Pessoais relativo à transferência transfronteiriça. Pode parecer apenas um simples envio de ficheiro, mas na realidade pode estar a ocorrer uma transferência não autorizada de dados sensíveis.

De acordo com o relatório de fiscalização de 2023 da Autoridade de Proteção de Dados Pessoais de Macau (GPDP), entre os 17 casos de infração, 5 estavam diretamente relacionados com fluxos transfronteiriços, evidenciando que o foco da supervisão passou de “se os dados foram recolhidos” para “para onde vão os dados”. Instituições financeiras e de saúde são particularmente vulneráveis; basta uma única transferência indevida para desencadear uma investigação.

O DingTalk, por si só, não é uma ferramenta ilegal, mas está configurado por defeito para armazenar dados na China continental. Isso significa que, se a empresa não definir claramente que é o responsável pelo tratamento dos dados e que o DingTalk atua apenas como subcontratante, estará, na prática, a delegar a responsabilidade pela conformidade. Quando chegar a multa, quem vai ficar com o problema será sempre você.

Depois de esclarecer os papéis, há ainda mais a fazer: celebrar acordos DPA com validade jurídica, restringir os privilégios dos administradores e implementar mecanismos de eliminação automática — tudo isto não constitui uma defesa passiva, mas sim a criação proativa de uma estrutura de governança auditável.

A criptografia ponta-a-ponta não equivale à segurança total

O DingTalk afirma suportar criptografia ponta-a-ponta, o que parece bastante seguro, mas, na verdade, aplica-se apenas às mensagens privadas individuais. Assim que se entra num chat em grupo ou num processo de aprovação, os administradores continuam a poder aceder ao conteúdo. Isto significa que, se o seu gestor de recursos humanos partilhar a folha salarial num grupo, mesmo que a mensagem seja depois retirada após ter sido lida, o histórico permanece guardado nos registos da plataforma.

Segundo o artigo 10.º da Lei de Proteção de Dados Pessoais de Macau, o responsável pelo tratamento deve adotar medidas técnicas adequadas para garantir a segurança. No entanto, auditorias independentes revelaram que a versão empresarial do DingTalk mantém, por defeito, os registos de atividade dos utilizadores durante 365 dias, incluindo endereços IP de login, informações de localização e até trajetórias de navegação. Se estes dados acumulados forem mal utilizados internamente ou expostos a ataques externos, as consequências podem ser devastadoras.

Uma abordagem realmente eficaz consiste em aplicar o princípio da minimização de dados: desativar funcionalidades desnecessárias, como o registo de presença por geolocalização e a gravação de reuniões, e definir políticas de eliminação automática entre 7 e 30 dias. Após a implementação desta estratégia, um banco local reduziu em 68% a exposição de dados e obteve uma avaliação positiva durante uma inspeção regulatória, graças à sua política clara de proteção da privacidade.

A configuração técnica não diz respeito apenas ao departamento de TI; trata-se também de uma prova do compromisso da alta direção com a conformidade. Quando chegar a hora da auditoria, poderá apresentar registos completos das suas configurações, algo muito mais convincente do que qualquer declaração verbal.

As três barreiras para uma transferência transfronteiriça legal

Para enviar dados para o exterior, não basta limitar-se a “notificar” os titulares. A GPDP deixou claro que mencionar apenas, numa política de privacidade, que “os dados podem ser transferidos para a China” não constitui uma base legal válida. É necessário obter o consentimento livre, específico e informado de cada titular; caso contrário, estará a incorrer numa violação.

O problema prático é que o DingTalk não dispõe, atualmente, de um módulo integrado para a gestão do consentimento. As empresas têm de preencher essa lacuna por conta própria, por exemplo, combinando sistemas de assinatura eletrónica com acordos DPA, de modo a garantir que todas as transferências transfronteiriças sejam documentadas de forma verificável.

A forma mais segura é criar uma tripla camada de proteção composta por DPA + SCCs + políticas internas: primeiro, celebre um acordo de processamento de dados para delinear as responsabilidades; em seguida, utilize cláusulas contratuais padrão (SCCs) para colmatar as lacunas legais nas transferências internacionais; por fim, estabeleça normas internas para padronizar os procedimentos. Depois de adotar este modelo, uma instituição financeira de Macau conseguiu reduzir o tempo de revisão da conformidade em 40% e aumentar significativamente a confiança dos seus parceiros.

Esta estrutura não só diminui os riscos, mas também permite que as empresas avancem de forma consistente na transformação digital regional, sem ficarem travadas por receios de incumprimento.

É mesmo mais barato mudar de ferramenta?

Há quem diga: “Então, basta trocar para uma plataforma local.” Mas a verdade é que soluções locais como Signal Business ou Matrix custam cerca de $128 por utilizador, por ano, quase 78% mais do que o DingTalk. Para uma empresa com 50 colaboradores, isso representa um custo adicional superior a 140 mil patacas ao longo de cinco anos, sem contar com os gastos de formação necessários para os funcionários se adaptarem ao novo sistema nem com as interrupções na colaboração.

O ponto crucial é que nem todo “processamento local” é automaticamente conforme e nem todos os investimentos em conformidade garantem proteção jurídica. Algumas plataformas afirmam manter os dados dentro da região, mas carecem de registos de auditoria ou controlo de permissões, o que, em vez disso, aumenta as áreas de sombra na gestão.

Ao invés de perseguir o ideal de risco zero, é preferível adotar uma análise baseada em “mapas de calor de risco” e em “retorno sobre o investimento em conformidade”. Essa abordagem ajuda a visualizar as diferenças entre as diversas soluções no que diz respeito à localização dos dados, à frequência das inspeções regulatórias e à rapidez na resposta a incidentes, permitindo tomar decisões fundamentadas em termos de custo-benefício.

O que realmente precisa não é da ferramenta mais segura, mas sim de uma solução capaz de equilibrar as exigências legais com a realidade empresarial. O DingTalk pode não ser perfeito, mas pode ser utilizado corretamente.

Cinco passos para construir um roteiro de conformidade viável

Ao invés de temer uma penalização, é melhor criar proativamente um plano de conformidade exequível. Temos ajudado várias empresas de Macau a integrar com sucesso o DingTalk e identificamos cinco etapas-chave:

• Primeiro passo: iniciar um PIA (Avaliação de Impacto sobre a Proteção de Dados), seguindo a norma ISO/IEC 27701 para identificar cenários de alto risco, como a partilha de dados de RH entre departamentos.
• Segundo passo: elaborar um mapa de dados, indicando como os dados circulam pelos grupos, pelas unidades de armazenamento na nuvem e pelos processos de aprovação.
• Terceiro passo: conceber uma matriz de funções e permissões, aplicando o princípio da “menor privilégio” para evitar acessos desnecessários.
• Quarto passo: implementar auditorias automatizadas dos registos, revendo mensalmente comportamentos anormais de descarga de dados.
• Quinto passo: estabelecer um ciclo de feedback, ajustando as configurações em tempo real face a alterações regulatórias.

Este método não só cumpre os requisitos mínimos de conformidade, mas também liberta valor comercial: as empresas transformam a sua capacidade de cumprimento em ativos de confiança, aumentando a sua vontade de cooperar internacionalmente e obtendo uma vantagem competitiva na corrida pela transformação digital.

A DomTech é o fornecedor oficial e designado do DingTalk em Macau, especializado em serviços dedicados aos nossos clientes. Se desejar saber mais sobre as aplicações da plataforma DingTalk, pode contactar diretamente o nosso serviço de apoio ao cliente online, ou ligar para +852 95970612 ou enviar um e-mail para cs@dingtalk-macau.com. Dispomos de uma excelente equipa de desenvolvimento e operações, com vasta experiência no mercado, capaz de oferecer soluções e serviços profissionais de DingTalk!