Bandeira do Brasil

Português

Data da publicação: 05 de dezembro de 2024

Data última atualização: 05 de dezembro de 2024

Essas Condições Gerais de Transferência Internacional de Dados Pessoas é aplicável aos casos em que, em razão da prestação de serviços e/ou parceria comercial firmada com a Fairfax Brasil Seguros Corporativos S/A, haverá a transferência internacional de dados pessoais, conforme exigência da Resolução CD/ANPD nº 19, de 23/08/2024, em cumprimento ao disposto na Lei nº 13.709, de 14/08/2018.

CONDIÇÕES GERAIS DE TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

Clausulado padrão da Resolução CD/ANPD nº 19 de 23/08/2024

FAIRFAX BRASIL SEGUROS CORPORATIVOS S.A., com sede na Alameda Santos, nº 1940, 4º andar, cidade de São Paulo, estado de São Paulo, inscrita no CNPJ/MF sob o nº 10.793.428/0001-92, em cumprimento ao disposto na Lei nº 13.709, de 14/08/2018, combinado com o disposto na Resolução CD/ANPD nº 19 de 23/08/2024, apresenta as Condições Gerais de Transferência Internacional de Dados Pessoais, com base nas cláusulas a seguir apresentadas:

1) Definições (cláusula 6 da Resolução)

1.1 Para os fins destas Cláusulas, serão consideradas as definições do art. 5° da Lei nº 13.709, de 14 de agosto de 2018, e do art. 3º do Regulamento de Transferência Internacional de Dados Pessoais, sem prejuízo de outros atos normativos expedidos pela ANPD. As Partes concordam, ainda, em considerar os termos e seus respectivos significados, conforme exposto a seguir:

  • a) Agentes de tratamento: o Controlador e o Operador.
  • b) ANPD: Autoridade Nacional de Proteção de Dados.
  • c) Contrato Coligado: Instrumento contratual firmado entre as Partes ou, pelo menos, entre uma destas e um terceiro, incluindo um Terceiro Controlador, que possua propósito comum, vinculação ou relação de dependência com o contrato que rege a Transferência Internacional de Dados.
  • d) Controlador: Parte ou terceiro ("Terceiro Controlador") a quem compete as decisões referentes ao tratamento de Dados Pessoais.
  • e) Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável.
  • f) Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • g) Eliminação: Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
  • h) Exportador: Agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para Importador.
  • i) Importador: Agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe Dados Pessoais transferidos por Exportador.
  • j) Legislação Nacional: Conjunto de dispositivos constitucionais, legais e regulamentares brasileiros a respeito da proteção de Dados Pessoais, incluindo a Lei nº 13.709, de 14 de agosto de 2018, o Regulamento de Transferência Internacional de Dados e outros atos normativos expedidos pela ANPD.
  • k) Lei de Arbitragem: Lei nº 9.307, de 23 de setembro de 1996.
  • l) Medidas de Segurança: Medidas técnicas e administrativas adotadas para proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
  • m) Órgão de Pesquisa: Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
  • n) Operador: Parte ou terceiro, incluindo um Subcontratado, que realiza o tratamento de Dados Pessoais em nome do Controlador.
  • o) Parte Designada: Parte do contrato designada para cumprir, na condição de Controlador, obrigações específicas relativas à transparência, direitos dos Titulares e comunicação de incidentes de segurança.
  • p) Partes: Exportador e Importador.
  • q) Solicitação de Acesso: Solicitação de atendimento obrigatório, por força de lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais objeto da Transferência Internacional de Dados regida por este Termo de Adesão.
  • r) Subcontratado: Agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para realizar tratamento de Dados Pessoais após uma Transferência Internacional de Dados.
  • s) Terceiro Controlador: Controlador dos Dados Pessoais que fornece instruções por escrito para a realização, em seu nome, da Transferência Internacional de Dados entre Operadores regida por estas.
  • t) Titular: Pessoa natural a quem se referem os Dados Pessoais que são objeto da Transferência Internacional de Dados regida por este Termo de Adesão.
  • u) Transferência: Modalidade de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a Dados Pessoais a outro agente de tratamento.
  • v) Transferência Internacional de Dados: Transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
  • w) Transferência Posterior: Transferência Internacional de Dados, originada de um Importador, e destinada a um terceiro, incluindo um Subcontratado, desde que não configure Solicitação de Acesso.

3) Interpretação (cláusula 8 da Resolução)

2.1 Qualquer aplicação destas Cláusulas deve ocorrer de acordo com os seguintes termos:

  • a) Estas Cláusulas devem sempre ser interpretadas de forma mais favorável ao Titular e de acordo com as disposições da Legislação Nacional;
  • b) Em caso de dúvida sobre o significado de termos destas Cláusulas, aplica-se o significado que mais se alinha com a Legislação Nacional;
  • c) Nenhum item destas Cláusulas, incluindo-se aqui um Contrato Coligado e as disposições previstas na Seção IV da Resolução CD/ANPD nº 19 de 23/08/2024, poderá ser interpretado com o objetivo de limitar ou excluir a responsabilidade de qualquer uma das Partes em relação a obrigações previstas na Legislação Nacional; e
  • d) As disposições das Seções I e II da Resolução CD/ANPD nº 19 de 23/08/2024, prevalecem em caso de conflito de interpretação com Cláusulas adicionais e demais disposições previstas nas Seções III e IV, também da Resolução CD/ANPD nº 19 de 23/08/2024. A Seção I, também corresponde ao Termo de Adesão às Condições Gerais de Transferência Internacional de Dados Pessoais.

3) Transferências Posteriores (cláusula 3 da Resolução)

O Importador não poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, salvo nas hipóteses previstas no item 19.3.

4) Legislação aplicável e fiscalização da ANPD (cláusula 7 da Resolução)

A Transferência Internacional de Dados objeto das presentes Cláusulas submete-se à Legislação Nacional e à fiscalização da ANPD, incluindo o poder de aplicar medidas preventivas e sanções administrativas a ambas as Partes, conforme o caso, bem como o de limitar, suspender ou proibir as transferências internacionais decorrentes destas Cláusulas ou de um Contrato Coligado.

5) Responsabilidade das Partes (cláusula 4 da Resolução)

Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, caberá à Parte Designada abaixo, na condição de Controlador, a responsabilidade pelo cumprimento das seguintes obrigações previstas nestas Cláusulas:

5.1 A Fairfax será a responsável por publicar o documento previsto na Cláusula de Transparência.

5.2 A Fairfax será a responsável por atender às solicitações de Titulares de que trata a Cláusula de Direitos dos Titulares.

5.3 A Fairfax será a responsável por realizar a comunicação de incidente de segurança prevista na Cláusula de Comunicação de Incidentes de Segurança.

5.4 A Fairfax é responsável pelo atendimento às determinações da ANPD e pela garantia dos direitos dos Titulares, bem como pela reparação dos danos causados, observado o disposto na Cláusula de Responsabilidade e Ressarcimento de Danos.

5.5 Caso a transferência internacional de dados ocorra entre Operadores, o Exportador declara e garante que a transferência é efetuada em conformidade com as instruções fornecidas por escrito pela Fairfax.

5.6 O Exportador responde, solidariamente, pelos danos causados pela Transferência Internacional de Dados caso esta seja realizada em desconformidade com as obrigações da Legislação Nacional ou com as instruções lícitas do Terceiro Controlador, hipótese em que o Exportador se equipara a Controlador, conforme disposto nas Cláusulas de Responsabilidade e Ressarcimento de Danos, Transparência, Direitos dos Titulares e Comunicação de Incidentes de Segurança.

5.7 Caso seja verificada a equiparação a Controlador de que trata o item 5.6, caberá ao Exportador o cumprimento das obrigações previstas nas Cláusulas de Transparência, Direitos dos Titulares e Comunicação de Incidentes de Segurança.

5.8 Ressalvado o disposto nos itens 5.5 e 5.6, não se aplica às Partes, na condição de Operadores, o disposto nas Cláusulas de Transparência, Direitos dos Titulares e Comunicação de Incidente de Segurança.

5.9 As Partes fornecerão, em qualquer hipótese, todas as informações de que dispuserem e que se demonstrarem necessárias para que o Terceiro Controlador possa atender às determinações da ANPD e cumprir adequadamente as obrigações previstas na Legislação Nacional relacionadas à transparência, ao atendimento dos direitos dos titulares e à comunicação de incidentes de segurança à ANPD.

5.10 As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.

5.11 Em caso de recebimento de solicitação de Titular, a Parte deverá:

  • a) atender à solicitação, quando dispuser das informações necessárias;
  • b) informar ao Titular o canal de atendimento disponibilizado pelo Terceiro Controlador; ou
  • c) encaminhar a solicitação para o Terceiro Controlador o quanto antes, a fim de viabilizar a resposta no prazo previsto na Legislação Nacional.

5.12 As Partes devem manter o registro de incidentes de segurança com dados pessoais, nos termos da Legislação Nacional.

6) Finalidade (cláusula 5 da Resolução)

6.1 Estas Cláusulas se apresentam como mecanismo viabilizador do fluxo internacional seguro de Dados Pessoais, estabelecem garantias mínimas e condições válidas para a realização de Transferência Internacional de Dados e visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do Titular e do regime de proteção de dados previstos na Legislação Nacional.

12) Possibilidade de adesão de terceiros (cláusula 9 da Resolução)

12.1 Em comum acordo entre as Partes, é possível a um agente de tratamento aderir a estas Cláusulas na condição de Exportador ou de Importador, por meio do preenchimento e assinatura de documento escrito, que integrará o presente instrumento.

12.2 A parte aderente terá os mesmos direitos e obrigações das Partes originárias, conforme a posição assumida de Exportador ou Importador e de acordo com a categoria de agente de tratamento correspondente.

11) Obrigação das partes (cláusula 10 da Resolução)

11.1 As Partes se comprometem a adotar e, quando necessário, demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das disposições destas Cláusulas e da Legislação Nacional e, inclusive, da eficácia dessas medidas e, em especial:

  • a) Utilizar os Dados Pessoais somente para as finalidades específicas descritas no Termo de Adesão sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, observadas, em qualquer caso, as limitações, garantias e salvaguardas previstas nestas Cláusulas;
  • b) Garantir a compatibilidade do tratamento com as finalidades informadas ao Titular, de acordo com o contexto do tratamento;
  • c) Limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de Dados Pessoais;
  • d) Garantir aos Titulares, observado o disposto na Cláusula 5:
    • d.1. Informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
    • d.2. Consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus Dados Pessoais;
    • d.3. A exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

e) Adotar as medidas de segurança apropriadas e compatíveis com os riscos envolvidos na Transferência Internacional de Dados regida por estas Cláusulas;

f) Não realizar tratamento de Dados Pessoais para fins discriminatórios ilícitos ou abusivos;

g) Assegurar que qualquer pessoa que atue sob sua autoridade, inclusive subcontratados ou qualquer agente que com ele colabore, de forma gratuita ou onerosa, realize tratamento de dados apenas em conformidade com suas instruções e com o disposto nestas Cláusulas; e

h) Manter registro das operações de tratamento dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, e apresentar a documentação pertinente à ANPD, quando solicitado.

12) Dados pessoais sensíveis (cláusula 11 da Resolução)

12.1 Caso a Transferência Internacional de Dados envolva Dados Pessoais sensíveis, as Partes aplicarão salvaguardas adicionais, incluindo medidas de segurança específicas e proporcionais aos riscos da atividade de tratamento, à natureza específica dos dados e aos interesses, direitos e garantias a serem protegidos, conforme descrito na Cláusula 26.

13) Dados pessoais de crianças e adolescentes (cláusula 12 da Resolução)

13.1 Caso a Transferência Internacional de Dados envolva Dados Pessoais de crianças e adolescentes, as Partes aplicarão salvaguardas adicionais, incluindo medidas que assegurem que o tratamento seja realizado em seu melhor interesse, nos termos da Legislação Nacional e dos instrumentos pertinentes de direito internacional.

14) Uso legal dos dados (cláusula 13 da Resolução)

14.1 O Exportador garante que os Dados Pessoais foram coletados, tratados e transferidos para o Importador de acordo com a Legislação Nacional.

15) Transparência (cláusula 14 da Resolução)

15.1 A Parte Designada publicará, em sua página na Internet, documento contendo informações facilmente acessíveis redigidas em linguagem simples, clara e precisa sobre a realização da Transferência Internacional de Dados, incluindo, pelo menos, informações sobre:

  • a) A forma, a duração e a finalidade específica da transferência internacional;
  • b) O país de destino dos dados transferidos;
  • c) A identificação e os contatos da Parte Designada;
  • d) O uso compartilhado de dados pelas Partes e a finalidade;
  • e) As responsabilidades dos agentes que realizarão o tratamento;
  • f) Os direitos do Titular e os meios para o seu exercício, incluindo canal de fácil acesso;
  • g) Disponibilizado para atendimento às suas solicitações e o direito de peticionar contra o Controlador perante a ANPD; e
  • h) Transferências Posteriores, incluindo as relativas aos destinatários e à finalidade da transferência.

15.2 O documento referido no item 15.1. poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou documento equivalente.

15.3 A pedido, as Partes devem disponibilizar, gratuitamente, ao Titular uma cópia destas Cláusulas, observados os segredos comercial e industrial.

15.4 Todas as informações disponibilizadas aos titulares, nos termos destas Cláusulas, deverão ser redigidas na língua portuguesa.

16) Direitos dos Titulares (cláusula 15 da Resolução)

16.1 O Titular tem direito a obter da Parte Designada, em relação aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, a qualquer momento, e mediante requisição, nos termos da Legislação Nacional:

  • a) Confirmação da existência de tratamento;
  • b) Acesso aos dados;
  • c) Correção de dados incompletos, inexatos ou desatualizados;
  • d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com estas Cláusulas e com o disposto na Legislação Nacional;
  • e) Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;
  • f) Eliminação dos Dados Pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas na Cláusula 21;
  • g) Informação das entidades públicas e privadas com as quais as Partes realizaram uso compartilhado de dados;
  • h) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • i) Revogação do consentimento mediante procedimento gratuito e facilitado, ratificados os tratamentos realizados antes do requerimento de eliminação;
  • j) Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
  • k) Informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

16.2 O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nestas Cláusulas ou na Legislação Nacional.

16.3 O prazo para atendimento às solicitações previstas nesta Cláusula e no item 15.3. é de 15 (quinze) dias contados da data do requerimento do titular, ressalvada a hipótese de prazo distinto estabelecido em regulamentação específica da ANPD.

16.4 Caso a solicitação do Titular seja direcionada à Parte não designada como responsável pelas obrigações previstas nesta Cláusula ou no item 15.3., a Parte deverá:

  • a) Informar ao Titular o canal de atendimento disponibilizado pela Parte Designada; ou
  • b) Encaminhar a solicitação para a Parte Designada o quanto antes, a fim de viabilizar a resposta no prazo previsto no item 15.3.

16.5 As Partes deverão informar, imediatamente, aos Agentes de Tratamento com os quais tenham realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

16.6 As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.

17) Comunicação de Incidentes (cláusula 16 da Resolução)

17.1 A Parte Designada deverá comunicar à ANPD e aos Titulares, no prazo de 3 (três) dias úteis, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante para os Titulares, observado o disposto na Legislação Nacional.

17.2 O Importador deve manter o registro de incidentes de segurança nos termos da Legislação Nacional.

18) Responsabilidades e ressarcimento de danos (cláusula 17 da Resolução)

18.1 A Parte que, em razão do exercício da atividade de tratamento de Dados Pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação às disposições destas Cláusulas e da Legislação Nacional, é obrigada a repará-lo.

18.2 O Titular poderá pleitear a reparação do dano causado por quaisquer das Partes em razão da violação destas Cláusulas.

18.3 A defesa dos interesses e dos direitos dos Titulares poderá ser pleiteada em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente acerca dos instrumentos de tutela individual e coletiva.

18.4 A Parte que atuar como Operador responde, solidariamente, pelos danos causados pelo tratamento quando descumprir as presentes Cláusulas ou quando não tiver seguido as instruções lícitas do Controlador, ressalvado o disposto no item 18.6.

18.5 Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao Titular respondem, solidariamente, por estes danos, ressalvado o disposto no item 18.6.

18.6 Não caberá responsabilização das Partes se comprovado que:

  • a) Não realizaram o tratamento de Dados Pessoais que lhes é atribuído;
  • b) Embora tenham realizado o tratamento de Dados Pessoais que lhes é atribuído, não houve violação a estas Cláusulas ou à Legislação Nacional; ou
  • c) O dano é decorrente de culpa exclusiva do Titular ou de terceiro que não seja destinatário de Transferência Posterior ou subcontratado pelas Partes.

18.7 Nos termos da Legislação Nacional, o juiz poderá inverter o ônus da prova a favor do Titular quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo Titular resultar-lhe excessivamente onerosa.

18.8 As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos desta Cláusula podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

18.9 A Parte que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

19) Salvaguardas para Transferência Posterior (cláusula 18 da Resolução)

19.1 O Importador somente poderá realizar Transferências Posteriores dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas se expressamente autorizado, conforme as hipóteses e condições descritas na Cláusula 3.

19.2 Em qualquer caso, o Importador:

  • a) Deve assegurar que a finalidade da Transferência Posterior é compatível com as finalidades específicas descritas no Termo de Adesão às Cláusulas Padronizadas de Transferência Internacional de Dados Pessoais na Cláusula 2;
  • b) Deve garantir, mediante instrumento contratual escrito, que as salvaguardas previstas nestas Condições Gerais serão observadas pelo terceiro destinatário da Transferência Posterior; e
  • c) Para fins destas Cláusulas, e em relação aos Dados Pessoais transferidos, será considerado responsável por eventuais irregularidades praticadas pelo terceiro destinatário da Transferência Posterior.

19.3 A Transferência Posterior poderá, ainda, ser realizada com base em outro mecanismo válido de Transferência Internacional de Dados previsto na Legislação Nacional, independentemente da autorização de que trata a Cláusula 3.

20) Notificação de Solicitação de Acesso (cláusula 19 da Resolução)

20.1 O Importador notificará o Exportador e o Titular sobre Solicitação de Acesso relacionada aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, ressalvada a hipótese de vedação de notificação pela lei do país de tratamento dos dados.

20.2 O Importador adotará as medidas legais cabíveis, incluindo ações judiciais, para proteger os direitos dos Titulares sempre que houver fundamento jurídico adequado para questionar a legalidade da Solicitação de Acesso e, se for o caso, a vedação de realizar a notificação referida no item 20.1.

20.3 Para atender às solicitações da ANPD e do Exportador, o Importador deve manter registro de Solicitações de Acesso, incluindo data, solicitante, finalidade da solicitação, tipo de dados solicitados, número de solicitações recebidas e medidas legais adotadas.

21) Término do tratamento e eliminação dos dados (cláusula 20 da Resolução)

21.1 As Partes deverão eliminar os Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Condições Gerais e Termo após o término do tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação apenas para as seguintes finalidades:

a) Cumprimento de obrigação legal ou regulatória pelo Controlador;

b) Estudo por Órgão de Pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais;

c) Transferência a terceiro, desde que respeitados os requisitos previstos nestas Condições Gerais e na Legislação Nacional; e

d) Uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

21.2 Para fins destas Condições Gerais e Termo, considera-se que o término do tratamento ocorrerá quando:

a) Alcançada a finalidade prevista nestas Condições Gerais e Termo;

b) Os Dados Pessoais deixarem de ser necessários ou pertinentes ao alcance da finalidade específica prevista nestas Condições Gerais e Termo;

c) Finalizado o período de tratamento;

d) Atendida solicitação do Titular; e

e) Determinado pela ANPD, quando houver violação ao disposto nestas Condições Gerais e na Legislação Nacional.

22) Segurança no tratamento dos dados (cláusula 21 da Resolução)

22.1 As Partes deverão adotar medidas de segurança que garantam proteção aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, mesmo após o seu término.

22.2 As Partes informarão, na Cláusula 26, as Medidas de Segurança adotadas, considerando a natureza das informações tratadas, as características específicas e a finalidade do tratamento, o estado atual da tecnologia e os riscos para os direitos dos Titulares, especialmente no caso de dados pessoais sensíveis e de crianças e adolescentes.

22.3 As Partes deverão realizar os esforços necessários para adotar medidas periódicas de avaliação e revisão visando manter nível de segurança adequado às características do tratamento de dados.

23) Legislação do país destinatário dos dados (cláusula 22 da Resolução)

23.1 O Importador declara que não identificou leis ou práticas administrativas do país destinatário dos Dados Pessoais que o impeçam de cumprir as obrigações assumidas nestas Cláusulas.

23.2 Sobrevindo alteração normativa que altere esta situação, o Importador notificará, de imediato, o Exportador para avaliação da continuidade do contrato.

24) Descumprimento de obrigações pelo Importador (cláusula 23 da Resolução)

24.1 Havendo violação das salvaguardas e garantias previstas nestas Cláusulas ou a impossibilidade de seu cumprimento pelo Importador, o Exportador deverá ser comunicado imediatamente, ressalvado o disposto no item 20.1.

24.2 Recebida a comunicação de que trata o item 24.1 ou verificado o descumprimento destas Cláusulas pelo Importador, o Exportador adotará as providências pertinentes para assegurar a proteção aos direitos dos Titulares e a conformidade da Transferência Internacional de Dados com a Legislação Nacional e as presentes Cláusulas, podendo, conforme o caso:

a) Suspender a Transferência Internacional de Dados;

b) solicitar a devolução dos Dados Pessoais, sua transferência a um terceiro, ou a sua eliminação; e

c) rescindir o contrato.

25) Eleição do foro e jurisdição (cláusula 24 da Resolução)

25.1 Aplica-se a estas Cláusulas a legislação brasileira e qualquer controvérsia entre as Partes decorrente destas Cláusulas será resolvida perante os tribunais competentes do Brasil, observado, se for o caso, o foro eleito pelas Partes no Termo de Adesão às Condições Gerais de Transferência Internacional de Dados Pessoais (cláusulas padronizadas da Resolução CD/ANPD nº 19 de 23/08/2024).

25.2 Os Titulares podem ajuizar ações judiciais contra o Exportador ou o Importador, conforme sua escolha, perante os tribunais competentes no Brasil, inclusive naqueles localizados no local de sua residência.

25.3 Em comum acordo, as Partes poderão se valer da arbitragem para resolver os conflitos decorrentes destas Cláusulas, desde que realizada no Brasil e conforme as disposições da Lei de Arbitragem.

26) Medidas de segurança adotadas (Seção III da Resolução)

A Fairfax adota como padrão as seguintes medidas de segurança em todos os seus processos e controles que envolvem transferência internacional de dados:

  • Padrões de segurança baseados no CIS Controls;
  • Criptografia em trânsito e em repouso;
  • Logon único de acesso aos sistemas;
  • Autenticação de dois fatores;
  • Gestão robusta de vulnerabilidades, incluindo endpoints, varreduras periódicas e pentest;
  • Prevenção contra perda de dados – DLP;
  • Treinamentos periódicos e informativos de segurança da informação e privacidade;
  • Políticas e procedimentos publicados e revisados periodicamente;
  • Auditorias periódicas sobre seus processos e controles de segurança;

27) Cláusulas Adicionais e Anexos (Seção IV da Resolução)

27.1 Estas Condições Gerais de Transferência Internacional de Dados Pessoais se refere ao clausulado padrão da Resolução CD/ANPD nº 19 de 23/08/2024 e não pode ser alterada.