GDPR na Fairview.

Nosso papel

A Fairview atua como operadora de dados (data processor) para os dados operacionais que nossos clientes conectam à plataforma (registros de CRM, dados de faturamento, dados de produto, desempenho de anúncios). Nossos clientes atuam como controladores de dados (data controllers). Para os dados de conta e faturamento dos próprios clientes, a Fairview é a controladora de dados.

Essa distinção é equivalente, em termos gerais, à diferenciação entre operador e controlador prevista nos artigos 5º, VI e VII da LGPD brasileira, embora as obrigações específicas e as bases legais variem conforme o regime aplicável a cada titular de dados. Operamos dentro das instruções documentadas do controlador, mantendo registro das atividades de tratamento conforme exige o artigo 30 do GDPR.

Indicamos um Data Protection Officer (DPO) acessível por meio do endereço de contato informado nesta página. O DPO é responsável por monitorar a conformidade interna, atuar como ponto focal para autoridades supervisoras e responder a dúvidas de titulares quanto ao exercício de seus direitos.

Acordo de Processamento de Dados (DPA)

A Fairview oferece um DPA pré-assinado que inclui as Cláusulas Contratuais Padrão (Standard Contractual Clauses) da União Europeia para transferências internacionais de dados, bem como o adendo do Reino Unido (UK Addendum) quando aplicável. Solicite uma cópia em privacy@getfairview.com.

O DPA detalha as instruções de tratamento, medidas técnicas e organizacionais de segurança, obrigações de notificação de incidentes, suporte a solicitações de titulares e os termos para auditoria. Para clientes empresariais, aceitamos negociar adendos específicos quando justificado pelo perfil de risco. O DPA é parte integrante do contrato principal e prevalece em caso de conflito sobre matéria de proteção de dados.

Para transferências internacionais ao Brasil, as cláusulas observam adicionalmente os requisitos do capítulo V da LGPD, incluindo as Cláusulas Padrão Contratuais aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD) quando publicadas e aplicáveis.

Subprocessadores

A Fairview utiliza um conjunto reduzido de subprocessadores para entregar o serviço (infraestrutura em nuvem, envio de e-mails transacionais, monitoramento de erros). A lista atualizada está disponível mediante solicitação. Notificações sobre mudanças relevantes são enviadas aos administradores da conta com antecedência adequada.

Avaliamos cada subprocessador antes da contratação, exigindo garantias contratuais alinhadas ao GDPR, incluindo cláusulas padrão de transferência internacional, certificações de segurança reconhecidas e capacidade de atender solicitações de titulares de dados. Acompanhamos periodicamente o desempenho de cada parceiro em segurança da informação e privacidade.

Os clientes têm o direito de se opor à inclusão de um novo subprocessador relevante no prazo informado na notificação. Caso a objeção não possa ser superada, oferecemos alternativas razoáveis, incluindo a possibilidade de rescisão do contrato sem ônus quando aplicável.

Residência de dados

Os dados de clientes são hospedados em regiões da União Europeia por padrão para clientes da UE. Hospedagem em região dos Estados Unidos está disponível mediante solicitação para clientes americanos. Os dados são criptografados em repouso (AES-256) e em trânsito (TLS 1.3).

Para transferências internacionais de dados, baseamo-nos nas Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia, em decisões de adequação quando aplicáveis e em medidas técnicas e organizacionais complementares, conforme exigido pela jurisprudência Schrems II. Realizamos Transfer Impact Assessments (TIAs) sempre que aplicável, documentando os riscos avaliados e as salvaguardas adicionais adotadas.

Os backups são armazenados em regiões compatíveis com o regime de origem do dado. A pseudonimização e a segregação lógica entre tenants são aplicadas como medidas técnicas adicionais para reduzir o impacto potencial de incidentes.

Seus direitos

Os titulares de dados têm direitos sob o GDPR que incluem acesso, retificação, exclusão (direito ao esquecimento), restrição do tratamento, portabilidade e oposição. Para exercer esses direitos, entre em contato com o seu controlador de dados (o cliente da Fairview cujo workspace contém seus dados). Para dados controlados pela Fairview (conta/faturamento), escreva para privacy@getfairview.com.

Atendemos solicitações de titulares dentro do prazo legal de até um mês, podendo ser estendido por mais dois meses em casos de complexidade comprovada, com a devida justificativa enviada ao titular. Quando a solicitação for manifestamente infundada ou excessiva, podemos cobrar taxa razoável ou recusar atendimento, sempre com fundamentação clara e direito de reclamação à autoridade supervisora.

Você tem o direito de apresentar reclamação à autoridade supervisora competente em seu país de residência habitual, local de trabalho ou local da suposta infração. Para titulares no Brasil, o órgão competente é a Autoridade Nacional de Proteção de Dados (ANPD).

Notificação de incidentes

Em caso de violação de dados pessoais que represente risco aos direitos e liberdades dos titulares, notificamos a autoridade supervisora competente em até 72 horas após termos conhecimento do incidente, conforme exigido pelo artigo 33 do GDPR. Quando o risco for elevado, comunicamos os titulares afetados sem atraso indevido.

Mantemos um registro interno de todos os incidentes de segurança, com descrição do fato, das categorias e quantidades de titulares afetados, das medidas adotadas e dos efeitos observados. Para clientes empresariais, fornecemos relatórios detalhados de incidentes relevantes dentro dos prazos contratuais aplicáveis.

Medidas técnicas e organizacionais

Aplicamos controles consistentes com o estado da arte para proteger os dados pessoais: criptografia em repouso e em trânsito, autenticação multifator obrigatória para acessos administrativos, princípio de menor privilégio, segregação de ambientes (produção, homologação e desenvolvimento), revisões periódicas de acesso e treinamento contínuo da equipe em privacidade e segurança da informação.

Realizamos avaliações de impacto à proteção de dados (DPIA) para novos projetos que envolvam tratamento de alto risco, conforme o artigo 35 do GDPR e o artigo 38 da LGPD. Quando aplicável, consultamos a autoridade supervisora previamente ao início do tratamento.

Contato

Dúvidas sobre privacidade e proteção de dados: privacy@getfairview.com

Para usuários no Brasil sujeitos à LGPD, consulte a página dedicada /pt-br/lgpd. Documentos relacionados: Política de Privacidade, Política de Cookies e Termos de Serviço.