Português
English
Por que usar o DingTalk acarreta riscos legais
Sua empresa utiliza o DingTalk para realizar reuniões e compartilhar documentos, o que parece bastante conveniente. No entanto, você já considerou que os nomes dos funcionários, números de telefone de clientes e até mesmo o conteúdo de contratos podem estar sendo enviados instantaneamente para servidores localizados na China continental? De acordo com a Lei n.º 8/2007 de Macau, a “Lei de Proteção de Dados Pessoais”, transferir dados pessoais para fora de Macau sem as devidas medidas de proteção constitui uma violação da lei, podendo resultar em multa de até 1 milhão de patacas.
O problema não está no próprio DingTalk, mas sim no fato de que, assim que os dados são armazenados na nuvem, isso automaticamente configura uma “transferência transfronteiriça”. O Gabinete para a Proteção de Dados Pessoais (GPDP) de Macau destaca claramente que o país ou região destinatária deve oferecer um “nível equivalente de proteção”; porém, o quadro legal da China continental difere do de Macau, dificultando a consideração de equivalência. Em 2023, várias pequenas e médias empresas já foram alvo de investigações por situações semelhantes — simplesmente utilizavam ferramentas de comunicação gratuitas e acabaram tendo de enfrentar processos regulatórios e danos à sua imagem corporativa.
O verdadeiro risco reside no descontrole. Quando você não sabe para onde seus dados estão indo, significa que perdeu o controle sobre eles. A conformidade não é um obstáculo à eficiência; pelo contrário, ela serve como a base para garantir a continuidade dos negócios.
O local dos servidores do DingTalk determina sua responsabilidade legal
Segundo o White Paper técnico da Alibaba publicado em 2023, todos os dados essenciais do DingTalk são armazenados e processados exclusivamente dentro do território chinês, estando sujeitos às leis de segurança cibernética e de segurança de dados da China. Essa arquitetura melhora a eficiência computacional, mas ao mesmo tempo coloca as empresas de Macau em uma zona cinzenta do ponto de vista jurídico: mesmo que as informações estejam criptografadas, basta que os dados deixem a jurisdição de Macau para que se configure uma violação do artigo 14 da “Lei de Proteção de Dados Pessoais”.
Certamente já vimos uma empresa financeira de Macau que, durante treinamentos internos, compartilhou por meio do DingTalk listas de clientes com nomes fictícios. Embora o conteúdo em si não fosse sensível, o fato de a transferência envolver dados transfronteiriços levou a exigências de justificativas quanto à conformidade. Mais importante ainda, as autoridades reguladoras chinesas têm o direito legal de acessar tais dados, o que gera um conflito de soberania que nem mesmo a criptografia comercial consegue resolver.
Em outras palavras, a arquitetura tecnológica define os riscos legais. Utilizar plataformas de nuvem centralizadas pode ser conveniente, mas o preço a pagar pode ser a perda do controle sobre o fluxo de dados. Somente ao reconhecer esse fato é possível dar o primeiro passo rumo à conformidade.
É necessário registrar o uso do DingTalk junto ao GPDP?
No momento, as empresas de Macau não precisam realizar um registro prévio para utilizar o DingTalk. Contudo, caso o sistema processe mais de 1.000 registros de dados pessoais, ou se trate de informações sensíveis, como saúde, finanças ou características biométricas, torna-se obrigatório notificar o GPDP. Esse procedimento não é complexo, mas extremamente importante: ignorá-lo pode resultar em sanções severas, chegando a 100 mil patacas, caso seja verificado posteriormente.
A notificação proativa não é mero formalismo; trata-se de estabelecer um histórico confiável. Uma rede de clínicas adotou o DingTalk e imediatamente realizou a notificação correspondente. Não apenas passou com êxito pela auditoria anual, como também recebeu elogios nas avaliações feitas por seus parceiros comerciais. A conformidade pode se transformar em vantagem competitiva, e não necessariamente em custo adicional.
Mesmo quando os dados históricos não podem ser separados, é possível remediar a situação por meio de contratos e soluções técnicas. O objetivo não é interromper o uso da ferramenta, mas sim demonstrar que sua empresa possui capacidade para gerenciar os riscos.
Como preencher as lacunas de conformidade com contratos e tecnologia
Enquanto a legislação ainda não acompanha a evolução da tecnologia, as empresas podem agir por conta própria. Assine um “Contrato de Processamento de Dados” (DPA) conforme a norma ISO/IEC 27701, definindo claramente que sua empresa atua como “controlador” e o DingTalk como “processador”, além de especificar seis responsabilidades fundamentais: minimização de dados, restrições às transferências transfronteiriças, direito de auditoria, supervisão de subcontratados, notificação em caso de vazamento e eliminação de dados após a rescisão do contrato. Tais cláusulas não se limitam a meros papéis legais; constituem, na realidade, um plano de implementação interna.
Do ponto de vista técnico, desativar a sincronização em nuvem e impedir o compartilhamento em grupos externos já permite um controle básico das interações. Uma abordagem mais avançada consiste em implantar servidores locais de cache, transmitindo ao DingTalk apenas resumos criptografados, enquanto os dados reais permanecem em Macau. Algumas instituições financeiras multinacionais já adotaram esse modelo híbrido, reduzindo em mais de 70% o volume de dados enviados à China continental.
Após implementarem essas medidas, um grupo de varejo de Macau viu um aumento de 40% na eficiência de suas comunicações, pois mantinha registros locais atualizados, eliminando a necessidade de constantes verificações. A conformidade não retarda as operações; ao contrário, pode impulsionar a produtividade.
Cinco passos para criar uma estratégia de comunicação empresarial segura
Uma vez concluídas as etapas relacionadas aos contratos e às correções técnicas, começa o verdadeiro desafio: como desenvolver uma capacidade de resistência sustentável frente aos riscos? A resposta não está na substituição de ferramentas, mas na redefinição da lógica do fluxo de dados, caminhando rumo a uma “comunicação de confiança zero”.
- Faça um inventário das ferramentas atualmente utilizadas: desde o DingTalk e o WhatsApp até o e-mail, identifique quais sistemas estão transmitindo dados de clientes ou informações financeiras;
- Avalie o nível de risco associado às transferências transfronteiriças: classifique os sistemas em alto, médio e baixo risco, com base na localização dos servidores, nos padrões de criptografia e na jurisdição aplicável;
- Desenvolva uma política de classificação de dados: defina o que constitui informação sensível e estipule como deve ser transmitida e armazenada;
- Escolha alternativas compatíveis com a conformidade: considere opções como Signal for Business ou Mattermost com implantação local, que oferecem criptografia ponta a ponta e estão em conformidade com os marcos regulatórios do GDPR e da APAC;
- Realize auditorias regulares de conformidade: analise trimestralmente os registros de acesso e os níveis de permissão, identificando eventuais anomalias de forma tempestiva.
Uma instituição financeira de Macau, após concluir esses cinco passos, conseguiu reduzir seus custos anuais de conformidade em 40%, além de obter reconhecimento internacional em seu relatório de ESG. As decisões tomadas hoje sobre a infraestrutura de comunicação impactam diretamente a confiança dos investidores e o acesso ao mercado amanhã. Uma governança sólida já se tornou um ativo valioso na era digital.
A DomTech é o fornecedor oficial e exclusivo do DingTalk em Macau, especializado em oferecer serviços dedicados a uma ampla base de clientes. Se desejar saber mais sobre as aplicações da plataforma DingTalk, entre em contato com nosso atendimento online ou ligue para +852 95970612, ou envie um e-mail para cs@dingtalk-macau.com. Contamos com uma excelente equipe de desenvolvimento e operação, além de vasta experiência no mercado, prontos para fornecer soluções e serviços profissionais de DingTalk!