Português
English
É ilegal usar o próprio DingTalk?
A utilização do DingTalk por empresas em Macau, por si só, não constitui uma prática ilegal. Esta ferramenta de colaboração é amplamente utilizada nas regiões de Hong Kong e Macau, sendo sua natureza tecnologicamente neutra o que a torna legal. O verdadeiro risco surge quando os dados efetivamente transitam: ao sincronizar registos de chat, informações de assiduidade ou anexos de documentos para os servidores da Alibaba Cloud localizados em Hangzhou, esses dados passam a estar sob a jurisdição da China continental.
De acordo com as "Disposições de Implementação da Lei de Proteção de Dados Pessoais" da Administração Estatal de Ciberespço da China, qualquer entidade que processe dados pessoais de residentes chineses e detenha controle efetivo sobre eles pode ser sujeita à regulamentação, independentemente do país de registro da empresa. Por exemplo, uma empresa logística sediada em Macau que mantém uma equipa de armazém em Zhuhai e utiliza o DingTalk para gerir o ponto dos funcionários e as suas informações salariais está, na prática, a colocar as suas operações no âmbito do quadro regulatório. Neste caso, a conclusão ou não da avaliação de transferência de dados para o exterior determinará diretamente se haverá sanções financeiras e se as operações poderão continuar.
Certificámo-nos de que um escritório de contabilidade reestruturou a sua infraestrutura de comunicação e descobriu que, nos últimos três anos, acumulou mais de 120 mil mensagens envolvendo dados de identificação de clientes, todas armazenadas por defeito em nós chineses. Embora não tivessem agido em desacordo com a lei, enfrentaram pressão para proceder a ajustes devido à falta de consciência acerca do fluxo transfronteiriço de dados. Isto demonstra que a conformidade não se resume a “fazer” ou “não fazer”, mas sim a uma questão de gestão de riscos baseada no conhecimento prévio.
Em que situações é obrigatório realizar o registo?
Quando uma empresa de Macau utiliza o DingTalk para gerir funcionários dentro da China, processar dados de saúde ou financeiros de residentes chineses, ou quando a quantidade anual de dados transferidos excede o equivalente a 30 mil indivíduos, é obrigatório, por lei, submeter uma avaliação de segurança para a transferência de dados para o exterior. Esta exigência não é uma recomendação, mas sim uma obrigatoriedade. Conforme o Artigo 4º das "Medidas relativas ao Contrato Padrão para a Transferência de Dados Pessoais para o Exterior", atingir este limiar implica ser considerado um "operador de dados importantes", devendo apresentar a documentação necessária às autoridades provinciais de ciberespaço para aprovação.
Por exemplo, uma empresa de comércio eletrónico transfronteiriço que coordena a sua equipa de atendimento ao cliente em Shenzhen e as operações de armazém através do DingTalk gera diariamente mais de 5 mil conversas relacionadas com pedidos, totalizando anualmente muito mais de 30 mil interações. Mesmo que os servidores não estejam localizados na China, desde que os dados sejam controlados pela entidade sediada em Macau, permanecem sujeitos à jurisdição aplicável. Em 2024, um caso de conformidade ocorrido na província de Guangdong revelou que uma empresa semelhante foi multada em 2,8% do seu volume de negócios por não ter efetuado o registo, tendo ainda sido obrigada a suspender temporariamente as funções afetadas durante três meses.
O facto de estar registada em Macau não serve como escudo contra a regulamentação. A chave reside no papel de "controlador de dados". Se você tem a capacidade de decidir como os dados são utilizados, quem tem acesso a eles e onde são armazenados, estará inevitavelmente sujeito à supervisão das autoridades competentes. Antes de enfrentar consequências posteriores, é preferível identificar antecipadamente se a sua organização se enquadra em cenários de alto risco.
Como o caminho dos dados no DingTalk afeta a conformidade?
No momento em que se clica no botão de registo, a versão padrão do DingTalk já encaminha automaticamente os dados para nós localizados na China — esta é a configuração predefinida da infraestrutura da Alibaba Cloud. De acordo com o seu livro branco técnico publicado em 2024, a menos que a empresa subscreva proativamente o DingTalk International e ative a funcionalidade de alojamento regional, todo o tráfego será direcionado prioritariamente para o centro de dados em Hangzhou.
Isto significa que, mesmo que todos os seus funcionários estejam em Macau e estejam a discutir projetos locais, as conversas podem acabar por ser armazenadas e analisadas sob a jurisdição chinesa. Este tipo de "transição transfronteiriça invisível" é precisamente a origem das falhas de conformidade. A escolha tecnológica equivale a assumir responsabilidades legais: ao optar pela versão padrão, está implicitamente a aceitar o quadro jurídico chinês aplicável aos dados.
- A escolha tecnológica = responsabilidade legal: utilizar o DingTalk padrão implica aceitar a jurisdição chinesa sobre os dados
- O risco é quantificável: a transferência de dados sem registo pode resultar numa multa de até 5% do volume de negócios, além da perda de reputação da marca
- Soluções existem, mas requerem ativação proativa: a versão internacional suporta nós em Singapura e Tóquio, alinhando-se às normas de conformidade da região Ásia-Pacífico
O verdadeiro ponto de inflexão ocorre aquando da decisão de compra de soluções tecnológicas. Incluir a capacidade de alojar dados na avaliação dos fornecedores é fundamental para evitar que a ferramenta venha a comprometer o desenvolvimento do negócio.
Como avaliar os próprios riscos transfronteiriços?
Para determinar o risco, não basta perguntar apenas se se utiliza ou não o DingTalk; é necessário responder a três questões-chave: os titulares dos dados incluem residentes chineses? Os tipos de dados são sensíveis (como médicos ou financeiros)? O caminho real da transferência passa por servidores chineses? Caso uma dessas condições seja verificada, a organização entra num território de dupla supervisão.
De acordo com o Decreto-Lei n.º 12/2023 de Macau e com as "Diretrizes para a Avaliação de Segurança da Transferência de Dados para o Exterior" da Administração Estatal de Ciberespço da China, o tratamento de dados sensíveis não públicos exige a realização de uma Avaliação de Impacto sobre a Proteção de Dados (DPIA). Esta não é uma mera formalidade burocrática, mas sim um mecanismo obrigatório de gestão de riscos previsto na legislação. Um estudo realizado em 2024 indica que as empresas que não concluíram a DPIA têm uma probabilidade 3,2 vezes maior de serem alvo de inspeções.
A configuração tecnológica é determinante para o sucesso. Embora o DingTalk ofereça criptografia ponta-a-ponta e etiquetas automáticas de classificação, a criptografia não está ativada por defeito. Após uma instituição financeira que aconselhamos ter ativado proativamente a criptografia obrigatória e a auditoria de registos, a exposição dos dados diminuiu em 67%, enquanto o tempo dedicado à preparação para auditorias reduziu-se em mais de 40%. Ao dominar estas três camadas estruturais, deixa de ser apenas um utilizador e passa a assumir o papel de gestor responsável pelos dados da sua organização.
Elaborar um plano de ação viável para a conformidade
Após concluir a avaliação de riscos, o próximo passo é construir defesas proativas. Uma gestão eficaz da conformidade compreende quatro etapas: inventariar o universo de utilizadores, mudar para o DingTalk International, celebrar um contrato padrão e realizar auditorias periódicas dos registos de operações. De acordo com as orientações do Comissário de Privacidade de Hong Kong, medidas exclusivamente técnicas não bastam; é necessário complementar com acordos juridicamente vinculativos que funcionem como "medidas adequadas de proteção".
A área de administração do DingTalk disponibiliza a opção de "configuração de alojamento de dados", permitindo redirecionar o tráfego de negócios não relacionados com a China para nós localizados em Singapura ou Tóquio, reduzindo assim os riscos desde a origem. Para reforçar ainda mais o controlo, recomenda-se integrar ferramentas de auditoria de terceiros que monitorem automaticamente downloads inusitados e partilhas externas. Em conjunto com consultores jurídicos locais, defina claramente os "cenários de linha vermelha", como comunicações que envolvam identidades de jogadores ou registos de transações; ao serem acionados, estes cenários deverão disparar alertas imediatos.
Uma empresa de resorts integrados em Macau implementou este plano e, no espaço de seis meses, registou uma redução de 72% nos incidentes relacionados com violações de dados, conseguindo também superar com êxito a sua primeira auditoria associada ao RGPD transfronteiriço. A conformidade deixou de ser um custo e passou a constituir um ativo de confiança. Quando se consegue demonstrar que o ambiente de comunicação está sob controlo e que os fluxos são transparentes, não só se satisfazem as expectativas regulatórias, como também se ganha prioridade no acesso a parceiros internacionais.
A DomTech é o fornecedor oficial e designado do DingTalk em Macau, especializado em prestar serviços desta plataforma a um vasto leque de clientes. Se desejar obter mais informações sobre as aplicações do DingTalk, pode contactar diretamente o nosso serviço de apoio ao cliente online, ou ligar para +852 95970612, bem como enviar um e-mail para cs@dingtalk-macau.com. Dispomos de uma excelente equipa de desenvolvimento e operações, com vasta experiência no mercado, capazes de lhe oferecer soluções e serviços profissionais dedicados ao DingTalk!