Em resposta às queixas apresentadas e por outras razões, o Gabinete para a Protecção de Dados Pessoais (doravante designado por GPDP) desenvolveu os trabalhos preliminares de coordenação e fiscalização do tratamento de dados pessoais das principais plataformas de delivery relativas a comida e mercadorias (doravante designado por “plataforma de delivery”) . Actualmente, os trabalhos estão praticamente concluídos e as entidades responsáveis das três principais plataformas de delivery foram penalizadas por terem sido detectadas a existência de alguns problemas de conformidade procedimental, sendo que duas delas foram punidas com sanções acessórias de advertência.
Com o desenvolvimento dos serviços de delivery, é cada vez mais comum os cidadãos utilizarem as aplicações de telemóvel de plataforma de delivery, pelo que as entidades responsáveis das referidas plataformas de delivery precisam de tratar uma grande quantidade de dados pessoais dos utilizadores. No entanto, quando as várias plataformas de delivery tratam dados pessoais, não têm consciência de conformidade suficiente, nem desenvolvem, de forma satisfatória, trabalhos de conformidade da protecção de dados pessoais, nem cumprem dentro do prazo o procedimento de obrigação de notificação do tratamento automatizado de dados pessoais de acordo com as disposições da Lei da Protecção de Dados Pessoais (a “notificação” em causa assemelha-se ao “registo para arquivo” do Interior da China), embora prometam ou garantam aos utilizadores a protecção de dados pessoais no contrato ou nas cláusulas. Ao mesmo tempo, em relação à transferência dos dados pessoais dos clientes para local situado fora da RAEM, as duas entidades responsáveis não cumpriram a obrigação de notificação nos termos da lei. Além disso, quando o GPDP interveio para pedir a correção e o cumprimento da obrigação de notificação, uma das entidades responsáveis não prestou atenção aos trabalhos de conformidade e forneceu informações falsas no cumprimento da obrigação de notificação, induzindo o GPDP em erro.
Considerando que o acto de incumprimento da obrigação de notificação violou as disposições da Lei da Protecção de Dados Pessoais, o que constitui uma infracção administrativa, o GPDP aplicou, nos termos da lei, sanções a três entidades responsáveis.
As duas das entidades responsáveis transferiram os dados para local situado fora de Macau, mas o grau de importância dado aos trabalhos de conformidade relativos à Lei da Protecção de Dados Pessoais é insuficiente, pelo que o respectivo nível de gestão deve ser elevado, a definição e a execução da política do tratamento de dados pessoais devem ser melhoradas, uma vez que as respectivas infracções colocaram os direitos e interesses legítimos dos titulares dos dados em riscos desnecessários durante um longo período de tempo, o GPDP aplicou, nos termos da lei, sanções acessórias de advertência a estas duas entidades responsáveis, nos termos da alínea 3) do artigo 43.º da Lei da Protecção de Dados Pessoais.
Quanto à prestação de informações falsas por uma outra entidade responsável no cumprimento da obrigação de notificação, o GPDP aceitou a sua explicação, considerando que a mesma constitui apenas uma infracção administrativa por negligência, não necessitando de seguir o procedimento criminal, no entanto, foi-lhe aplicada a correspondente sanção nos termos da lei.
Devido às limitações de poderes e a não existência de indícios de que os dados dos clientes tenham sido tratados ilegalmente, o GPDP não pode, por enquanto, tomar a iniciativa de investigar se os dados concretos foram tratados indevidamente pelas respectivas plataformas, acredita-se que as três entidades podem proteger os dados pessoais dos clientes de acordo com o princípio de auto-disciplina comercial, no entanto, é inaceitável que não presta atenção aos trabalhos de conformidade da protecção de dados pessoais, o que deve ser melhorado. Através da coordenação e aplicação de sanções, o GPDP exigiu às entidades responsáveis que reforçassem a consciência de conformidade e protegessem bem os dados pessoais dos clientes. Acredita-se que as entidades responsáveis podem retirar os devidos ensinamentos e proceder, atempadamente, a melhorias eficazes.
O GPDP continua a prestar atenção à situação de tratamento de dados pessoais das diversas plataformas, tomando como referência as experiências de supervisão do Interior da China e internacionais, coordenando e fiscalizando oportunamente, esforçando-se ao máximo para proteger os dados pessoais dos cidadãos e turistas, de modo a que as indústrias relacionadas de Macau possam seguir a lei e seguir, de forma racional e eficaz, o caminho do desenvolvimento de alta qualidade.