A verdade sobre o uso do DingTalk por empresas de Macau: o fluxo de dados determina os seus riscos de conformidade

O DingTalk transmite dados para a China continental. Será que isso pode causar problemas?

As empresas de Macau utilizarem o DingTalk não é ilegal por si só, mas se os seus funcionários carregarem no DingTalk folhas de ponto, fichas salariais ou registos de conversas internas, esses dados serão efetivamente armazenados em servidores localizados em Hangzhou — o que constitui um caso concreto de “transmissão de informações pessoais para o exterior”.

Uma empresa de Macau que realiza obras em Hengqin foi chamada para uma reunião pelas autoridades de cibersegurança de Zhuhai simplesmente por ter pedido aos seus funcionários que fizessem o registo de presença e enviassem cópias do seu cartão de identidade. Porquê? Porque, num período de um ano, foram transmitidas mais de 100 mil entradas de dados pessoais. De acordo com o “Método de Avaliação da Segurança da Transferência de Dados para o Estrangeiro”, tal situação já aciona a obrigação de apresentação de declaração.

Isto significa que, mesmo que a sua empresa esteja registada em Macau e o proprietário tenha origens lusófonas, desde que os dados passem por plataformas sediadas na China continental, estará sujeito à supervisão das autoridades chinesas. O verdadeiro risco não reside no facto de utilizar o DingTalk, mas sim no desconhecimento sobre o destino final dos seus dados.

Em que situações é obrigatório apresentar declaração?

A Administração do Ciberespaço da China definiu claramente três circunstâncias que exigem a apresentação de declaração: o tratamento de dados pessoais sensíveis relativos a mais de 10 mil pessoas; a transferência anual de dados pessoais de mais de 100 mil pessoas para o estrangeiro; ou a existência de dados importantes envolvidos. Por outras palavras, se tiver 500 funcionários a utilizar plenamente o DingTalk para gestão de recursos humanos, é quase certo que irá ultrapassar os limites estabelecidos.

Além disso, o conceito de “informações pessoais” é muito mais abrangente do que se imagina — cargos, departamentos, horários de trabalho e até conteúdos de comunicações internas são considerados dados passíveis de identificação. Uma subsidiária financeira que sincroniza automaticamente os resultados de avaliações de desempenho para o sistema da sede todos os meses, apesar de parecer uma operação normal, constitui na realidade uma atividade de transferência de dados de alto risco.

Já observámos que 60% das empresas sancionadas não tinham realizado qualquer classificação prévia dos seus dados. A solução é bastante simples: comece por mapear os seus dados, identificando quais informações transitam através do DingTalk, e decida então se é necessário iniciar procedimentos de conformidade. Isto não visa apenas cumprir as inspeções, mas sim proteger a sua própria organização.

Como distinguir entre baixo e alto risco?

Nem todas as utilizações do DingTalk exigem a apresentação de declaração. Se o utilizar apenas para publicar comunicados e gerir escalas de turnos, sem ligação ao sistema de RH nem armazenamento de dados de clientes, essa aplicação de baixo impacto geralmente não necessita de registo formal. No entanto, assim que começar a sincronizar automaticamente avaliações de desempenho ou a realizar backups permanentes de conversas de grupos que incluem discussões salariais, passará a encontrar-se numa zona de alto risco.

O Ministério da Indústria e Tecnologia da Informação classifica os dados em três níveis: geral, importante e crítico. Mesmo nos casos de baixo risco, é obrigatório manter registos de operações durante pelo menos seis meses para eventuais verificações. Isso implica que, mesmo quando não é necessário apresentar declaração, não se deve descuidar da capacidade de auditoria e rastreabilidade.

• O primeiro passo é estabelecer um sistema de classificação de dados: identificar quais campos (como números de cartão de identidade ou contas bancárias) poderão ser transmitidos através do DingTalk;
• O segundo passo é otimizar a configuração da Alibaba Cloud: embora não seja possível evitar completamente os servidores dentro da China, é possível solicitar instâncias dedicadas para aumentar a isolamento e a flexibilidade de auditoria.

Ao invés de enfrentar passivamente os riscos, é preferível projetar proativamente o modo de utilização. Desativar partilhas desnecessárias no armazenamento em nuvem e restringir permissões em grupos internacionais podem reduzir significativamente a pressão de conformidade.

O custo da não conformidade é maior do que se pensa

Realizar uma avaliação e apresentar a declaração para transferência de dados para o estrangeiro custa aproximadamente entre 80 mil e 150 mil dólares de Hong Kong. Parece caro? Contudo, as sanções por incumprimento podem ascender a 50 milhões de yuans ou a 5% do volume de negócios global. Pior ainda, as autoridades competentes podem ordenar diretamente a suspensão das atividades ou a revogação da licença, enquanto os responsáveis poderão ser multados individualmente entre 100 mil e 1 milhão de yuans.

Nos últimos anos, empresas estrangeiras já foram convocadas para audiências devido a vazamentos de dados ocorridos no WeChat Work. O problema não está no próprio instrumento, mas sim na falsa suposição de que “trata-se apenas de conversas” e, portanto, não constitui processamento de dados. Na realidade, uma vez que as contas são bloqueadas e os dados congelados, os projetos ficam paralisados e seguem-se perdas de clientes.

Considerar a conformidade como um investimento, e não como um custo, permite compreender o verdadeiro retorno do investimento: gastar dinheiro antecipadamente para ajustar os sistemas traduz-se em continuidade operacional e confiança por parte dos parceiros comerciais. Esta equação é facilmente compreendida pelos gestores mais perspicazes.

Como utilizar o DingTalk de forma segura

Uma subsidiária de uma empresa de jogos de Macau concluiu a atualização de conformidade em apenas seis meses, não recorrendo à substituição do sistema, mas sim implementando-a faseadamente: primeiro testou o fluxo de dados num ambiente isolado, depois desativou permissões não essenciais com base no princípio da minimização, e, por fim, obteve certificação de terceiros, garantindo consenso entre a equipa de TI e a direção superior.

De acordo com o quadro ISO/IEC 27701, a conformidade eficaz requer quatro etapas: mapeamento de dados e avaliação de riscos; assinatura de Cláusulas Contratuais Tipo (SCC); implementação de medidas técnicas de proteção; e auditorias regulares. As SCC constituem ferramentas jurídicas reconhecidas pela Administração do Ciberespaço da China e permitem comprovar o cumprimento da obrigação de informar; já a aplicação do princípio da minimização, por exemplo, desativando a sincronização de grupos internacionais, pode reduzir diretamente o risco de vazamento.

Um estudo realizado na região Ásia-Pacífico em 2024 revelou que as empresas com um roteiro estruturado economizam em média 40% do tempo de preparação. Um caminho claro diminui a resistência às decisões e permite que a tecnologia volte ao seu propósito comercial — impulsionando operações digitais sustentáveis, auditáveis e escaláveis.

A DomTech é o fornecedor oficial e designado do DingTalk em Macau, especializado em prestar serviços de DingTalk a um vasto leque de clientes. Se desejar obter mais informações sobre as aplicações da plataforma DingTalk, pode contactar diretamente o nosso serviço de apoio ao cliente online, ou telefonar para +852 95970612, ou enviar um e-mail para cs@dingtalk-macau.com. Dispomos de uma excelente equipa de desenvolvimento e operações, com vasta experiência no mercado, capaz de oferecer soluções e serviços profissionais de DingTalk!