Anexo de protección de datos para socios programáticos y de RTB

Last Update: May 29, 2024

Fecha de entrada en vigor: 29 de mayo de 2024

Para garantizar que Taboola tenga términos de protección de datos adecuados con nuestros socios programáticos y RTB (cada uno un “Socio”), Taboola proporciona este Anexo de Protección de Datos (el “DPA”).

Este DPA complementa automáticamente y forma parte del acuerdo comercial contractual existente entre el Socio y Taboola en relación con la prestación de RTB y servicios programáticos (“Acuerdo subyacente”).

Todos los términos en mayúscula utilizados en este DPA, pero no definidos en este DPA, tendrán los significados que se les dan en el Acuerdo subyacente.  En caso de cualquier conflicto entre este DPA y el Acuerdo subyacente, este DPA prevalecerá en la medida de dicho conflicto.

Leyes de protección de datos aplicables” significa todas y cada una de las leyes federales, nacionales, estatales u otras leyes de privacidad y protección de datos aplicables que puedan modificarse o reemplazarse ocasionalmente, incluidas, si corresponde y sin limitación, la CCPA (como se define a continuación) y las leyes europeas de protección de datos.

CCPA” significa la Ley de Privacidad del Consumidor de California (Cal. Civilización. Código §§ 1798.100 – 1798.199), modificado por la Ley de Derechos de Privacidad de California (Cal. Civilización. Código §§ 1798.100 – 1798.199).

Controlador” significa una entidad que determina los propósitos y medios de procesamiento de la Información Personal, e incluye cualquier entidad que procese Información Personal como “empresa” o “tercero” bajo la CCPA y la CPRA.

Marco de Privacidad de Datos” o “DPF” significa el Marco de Privacidad de Datos EU-EE.UU. Marco de privacidad de datos y la extensión del UK al espacio EU-EE.UU. DPF según lo establecido por los EE. UU. Ministerio de comercio.

Leyes europeas de protección de datos” significa las leyes de protección de datos de la EU y las leyes de protección de datos del UK .

Leyes de Protección de Datos de la EU” significa: (i) el Reglamento EU 2016/679 (el “EU GDPR“); (ii) la Directiva EU 2002/58/CE; y (iii) las leyes nacionales de cada estado miembro del EEE elaboradas en virtud de, de conformidad con, o que implementan (i) o (ii), o que de otro modo se relacionan con el procesamiento de datos personales; en cada caso, según se modifiquen o sustituyan periódicamente.

Información personal” significa cualquier información relacionada con una persona física identificada o identificable, e incluye cualquier información definida como “datos personales” o “información personal” según se define en las Leyes de protección de datos aplicables.

Propósito Permitido” significa los propósitos de licitación en tiempo real, relacionados con la compra y venta de anuncios en línea de conformidad con el Acuerdo Subyacente, para los cuales Taboola divulga o de otra manera pone a disposición del Socio los Datos Compartidos para su procesamiento, como se establece en el Anexo I.

Transferencia restringida” significa: (i) cuando se aplica el EU GDPR , una transferencia de datos personales del EEE a un país fuera del EEE que no está sujeto a una determinación de adecuación por parte de la Comisión Europea (una “Transferencia restringida de la EU”); y (ii) cuando se aplica el UK GDPR , una transferencia de datos personales del Reino Unido a cualquier otro país que no esté sujeto o basado en regulaciones de adecuación de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018 (una “Transferencia restringida del UK”).

Incidente de seguridad” significa una violación de seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a Datos compartidos.

Vender” y “compartir” tendrán los significados establecidos en la CCPA y la CPRA y sus reglamentaciones de implementación.

Datos compartidos” significa las categorías de información personal enumeradas en el Anexo I de este DPA.

Standard Contractual Clauses” significa: (i) cuando se aplica el EU GDPR , las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre standard contractual clauses para la transferencia de datos personales a terceros países de conformidad con el Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo (“EU SCCs”); y (ii) cuando se aplica el UK GDPR , el “Apéndice de Transferencia Internacional de Datos a las Standard Contractual Clauses de la Comisión EU ” emitido por el Comisionado de Información de conformidad con el artículo 119A(1) de la DPA de 2018 (“UK Addendum”).

Leyes de Protección de Datos del UK” significa: (i) el EU GDPR , tal como forma parte de la legislación del UK en virtud de la sección 3 de la Ley de Retirada de la Unión Europea de 2018 (el “UK GDPR“); (ii) el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003; (iii) la Ley de Protección de Datos de 2018; y (iv) cualquier otra ley en el UK hecha bajo, de conformidad con, o que implemente (i) o (ii), o que de otra manera se relacione con el procesamiento de datos personales; en cada caso, según sea modificado o reemplazado ocasionalmente.

Sujeto al cumplimiento por parte del Socio del Acuerdo subyacente y este DPA, Taboola divulgará o pondrá a disposición del Socio los Datos compartidos para que este los procese estrictamente para el Propósito permitido.

Las partes reconocen que Taboola es un controlador de los Datos Compartidos que divulga al Socio, y que el Socio procesará los Datos Compartidos como controlador estrictamente para el Propósito Permitido.

El socio garantiza, declara y se compromete a que:

(a) procesará en todo momento los Datos Compartidos únicamente para el Propósito Permitido y de conformidad con las Leyes de Protección de Datos Aplicables;

(b) no tiene motivos para creer que las Leyes de Protección de Datos Aplicables le impiden cumplir con sus obligaciones con respecto al Procesamiento de Datos Compartidos para el Propósito Permitido;

(c) si el Socio determina que no puede procesar los Datos Compartidos para el Propósito Permitido de acuerdo con las Leyes de Protección de Datos Aplicables, notificará de inmediato a Taboola;

(d) deberá presentar y mantener en todo momento un aviso de privacidad de acceso público en su sitio web que cumpla con los requisitos de las Leyes de Protección de Datos Aplicables, y que proporcione detalles de contacto donde los titulares de los datos puedan plantear consultas relacionadas con la protección de datos;

(e) permitirá a los titulares de datos ejercer sus derechos de protección de datos de conformidad con las Leyes de Protección de Datos Aplicables, incluido (sin limitación) su derecho a oponerse al procesamiento de sus Datos Compartidos;

(f) respecto de cualquier procesamiento de Datos Compartidos que esté protegido por las Leyes Europeas de Protección de Datos, deberá:

(g) procesar Datos Compartidos únicamente cuando tenga el consentimiento para hacerlo, de conformidad con los requisitos de las Leyes Europeas de Protección de Datos; y

(h) implementará medidas técnicas y organizativas apropiadas, incluidas, como mínimo, las medidas establecidas en el Anexo II para proteger los Datos Compartidos de y contra un Incidente de Seguridad.

Taboola podrá tomar medidas razonables y apropiadas para garantizar que el Socio procese los Datos Compartidos de conformidad con el Acuerdo Subyacente y este DPA de una manera consistente con las Leyes de Protección de Datos Aplicables.

Si el Socio no cumple con el Acuerdo subyacente, este DPA o las Leyes de protección de datos aplicables, Taboola tomará medidas razonables y apropiadas para detener y remediar el uso no autorizado de los Datos compartidos (incluida la suspensión o terminación de la divulgación de los Datos compartidos al Socio).

El Socio deberá cumplir con las Leyes de Protección de Datos Aplicables y deberá brindar el mismo nivel de protección de la privacidad a los Datos Compartidos según lo requieran las Leyes de Protección de Datos Aplicables.

En el caso de que cualquiera de las partes reciba correspondencia, consulta o queja de un titular de datos, regulador u otro tercero (“Correspondencia“) relacionada con (a) la divulgación de los Datos Compartidos para el Propósito Permitido; o (b) el procesamiento de Datos Compartidos por la otra parte, deberá informar de inmediato a la otra parte dando detalles completos de los mismos, y las partes cooperarán razonablemente y de buena fe para responder a la Correspondencia de acuerdo con cualquier requisito bajo la Ley de Protección de Datos Aplicable.

En la medida en que cualquier transferencia de Datos Compartidos de Taboola al Socio sea una Transferencia Restringida, las Standard Contractual Clauses se incorporarán a este DPA y se aplicarán de la siguiente manera:

(a) cuando la Transferencia Restringida sea una Transferencia Restringida de la EU , las EU SCCs se aplicarán entre Taboola (como exportador de datos) y Partner (como importador de datos) de la siguiente manera:

(i) Se aplicará el Módulo Uno;

(ii) en la Cláusula 7, se aplicará la Cláusula de atraque opcional;

(iii) en la Cláusula 11, el lenguaje opcional no se aplicará;

(iv) en la Cláusula 17, se aplicará la Opción 1 y las EU SCCs se regirán por la legislación irlandesa;

(v) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;

vi) en el Anexo I:

(A) Las partes A y B se considerarán completadas con la información establecida en el Anexo A del presente DPA;

(B) La Parte C se considerará completada de conformidad con los criterios establecidos en la Cláusula 13(a) de las EU SCCs; y

(vii) El Anexo II se considerará completado con las medidas de seguridad establecidas en el Anexo B del presente DPA.

(b) cuando la Transferencia Restringida sea una Transferencia Restringida del UK , el UK Addendum se aplicará entre las partes de la siguiente manera:

(i) las EU SCCs, completadas como se establece anteriormente, se aplicarán entre las partes y se modificarán mediante el UK Addendum (completado como se establece en la subcláusula (ii) a continuación); y

(ii) las tablas 1 a 3 del UK Addendum se considerarán completadas con la información pertinente de las EU SCCs, completadas como se establece anteriormente, y las opciones “Exportador” e “Importador” se considerarán marcadas en la tabla 4.  La fecha de inicio del UK Addendum (como se establece en la tabla 1) será la fecha de entrada en vigor del presente DPA.

El socio no realizará una transferencia restringida de datos compartidos a un tercero a menos que haya realizado todos los actos y cosas que sean necesarios para garantizar que la transferencia restringida cumpla con la ley de protección de datos aplicable y cualquier Standard Contractual Clauses que haya ejecutado con Taboola.

No obstante lo anterior, si el Socio ha certificado y cumple con el DPF, las transferencias de Datos Compartidos al Socio realizadas bajo el DPF no serán una Transferencia Restringida.  En tal caso, el Socio notificará inmediatamente a Taboola si no cumple con su certificación DPF o si su certificación DPF caduca o se invalida de otro modo, en cuyo caso:

(a) cualquier transferencia de Datos Compartidos de Taboola al Socio se considerará inmediatamente una Transferencia Restringida y se aplicarán las disposiciones de Transferencia Restringida anteriores; y

(b) Taboola puede, a su absoluta discreción, optar por suspender o finalizar las transferencias de Datos Compartidos al Socio sin penalización.

El Socio defenderá a Taboola y sus directores, funcionarios, empleados, agentes y clientes (los “Indemnizados de Taboola“) de y contra todos y cada uno de los reclamos, demandas, juicios, procedimientos y acciones interpuestos por un tercero en relación con una alegación de que el Socio violó este DPA o las Leyes de protección de datos aplicables e indemnizará a los Indemnizados de Taboola por todos los daños, pérdidas, costos y gastos (incluidos los honorarios razonables de abogados) incurridos por los Indemnizados de Taboola que surjan o resulten de dicho reclamo.

El socio es el único responsable de su propio cumplimiento de las leyes de protección de datos aplicables en el procesamiento de los datos compartidos.

En caso de cualquier cambio en las Leyes de Protección de Datos Aplicables, Taboola podrá modificar y actualizar este DPA cuando y en la medida que sea necesario para cumplir con dichos cambios en las Leyes de Protección de Datos Aplicables.

A partir de la fecha de entrada en vigor del presente DPA, las referencias al “Acuerdo” en el presente DPA o en el Acuerdo Subyacente significarán el Acuerdo Subyacente tal como lo complementa el presente DPA.

A. LISTA DE PARTIDOS

[tabla id=13 /]

[tabla id=14 /]

B. DESCRIPCIÓN DE LA TRANSFERENCIA

[tabla id=15 /]

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

[tabla id=16 /]

Descripción de las medidas técnicas y organizativas implementadas por cada parte (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento y los riesgos para los derechos y libertades de las personas físicas. El socio declara y garantiza que cuenta con medidas técnicas y organizativas apropiadas sustancialmente similares a las medidas de seguridad de Taboola que se detallan a continuación.

Medidas de seudonimización y cifrado de datos personales: Taboola recopila únicamente datos seudonimizados, lo que significa que no sabemos quién es usted porque no conocemos ni procesamos el nombre del usuario, la dirección de correo electrónico u otros datos identificables. La información de usuario que recopilamos incluye, entre otros datos, información sobre el dispositivo y el sistema operativo del usuario, la dirección IP, las páginas web a las que acceden los usuarios dentro de los sitios web de nuestros clientes, el enlace que llevó a un usuario al sitio web de un cliente, las fechas y horas en que un usuario accede al sitio web de un cliente y otros datos de navegación web. El CookieID se anonimiza mediante Bcrypt y la dirección IP se trunca.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento: Taboola utiliza múltiples niveles de seguridad electrónica (por ejemplo: seguridad de puntos finales, seguridad del lado del servidor, seguimiento de detecciones, pruebas de penetración periódicas y recopilación de inteligencia profunda para revisar eventos post mortem).

Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico: Taboola mantiene 9 centros de datos operando alrededor del mundo. Cada centro de datos se utiliza como una réplica de otro, de modo que si uno falla, los datos se pueden extraer de otro centro de datos.

Procesos para probar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento: Taboola mantiene procesos estrictos para probar la efectividad de sus controles (tanto técnicos como organizativos). Contamos con registro y monitoreo del sistema, pruebas de DR mensuales (al menos), pruebas de penetración trimestrales, firewalls que protegen la web y honeypots distribuidos por la red para encontrar cualquier actividad maliciosa. Además, contamos con un programa de recompensas que nos ayuda a monitorear constantemente nuestra red.

Medidas de identificación y autorización de usuarios: Cada usuario de Taboola está asociado a un nombre de usuario y una contraseña dedicados. Cada acceso a la red interna de Taboola se realiza con 2FA utilizando la autenticación de Google. Los usuarios son creados únicamente por el departamento de TI, durante el proceso de incorporación y solo después de recibir todos los detalles y el contrato firmado del departamento de RR.HH.

Medidas de protección de datos durante la transmisión: Taboola admite cualquier transmisión de datos a través de protocolos de transmisión segura (HTTPS y TLS v1.2 como mínimo). Además, los sistemas que pueden contener información de identificación personal (PII) están protegidos y los datos se mantienen cifrados y anónimos.

Medidas para la protección de datos durante el almacenamiento: Los datos que se almacenan en nuestras bases de datos se anonimizan y se procesan mediante Bcrypt. El acceso a la base de datos se minimiza y se basa en el principio de “necesidad de saber del negocio”.

Medidas para garantizar la seguridad física de los lugares en los que se procesan datos personales: Cada uno de los centros de datos globales de Taboola (en EE. UU., Europa y Asia) tiene todos sus servidores ubicados en gabinetes cerrados que se mantienen exclusivamente para el uso de Taboola. Estos gabinetes son mantenidos por empresas que cuentan con SOC2-certified o Taboola ha revisado sus medidas de seguridad. Además, cualquier acceso a los servidores requiere un permiso escrito y registrado. Todas las oficinas de Taboola también están controladas y requieren que los empleados utilicen tarjetas de acceso para ingresar. Además, sólo un número limitado de empleados tiene acceso a los servidores de Taboola y cualquier acceso también requiere un permiso escrito y registrado.

Medidas para garantizar el registro de eventos: Taboola implementa herramientas de monitoreo y los registros se recopilan en nuestro sistema SIEM que nos alerta sobre cualquier evento sospechoso y también es monitoreado por el equipo NOC .

Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada: Los servidores se escanean para detectar desviaciones de configuración y niveles de parches. Se configuran informes y/o alertas en ambos y se confirma el nivel de parche relevante. Los nuevos parches se distribuyen mediante Puppet. Todas las revisiones técnicas se gestionan a través de la aplicación de I+D y se obtienen mediante un proceso formal de revisión (QA) después de que también se implementan los CI/CD processes .

Medidas para la gobernanza y gestión interna de TI y de la seguridad informática: Taboola cuenta con las certificaciones ISO/IEC 27001:2013 e ISO/IEC 27701:2019. Taboola cuenta con una Política de Seguridad de la Información que establece que la Junta Directiva y la gerencia de Taboola están comprometidos a preservar la confidencialidad, integridad y disponibilidad de todos los activos de información físicos y electrónicos en toda su organización. Taboola ofrece capacitaciones de seguridad para todos los empleados nuevos, capacitaciones sobre phishing para todos los empleados a nivel mundial y capacitaciones de seguridad regulares para todos los empleados y también dedica sesiones para grupos de I+D.

Medidas de certificación/aseguramiento de procesos y productos: Auditoría interna trimestral / semestral / anual en múltiples procesos y sistemas para validar que Taboola está cumpliendo con sus objetivos y medidas de seguridad definidas.

Medidas para garantizar la minimización de datos: Taboola limita intencionalmente los datos que recopilamos como parte de los principios globales de minimización de datos de Taboola de procesar solo los datos limitados necesarios para nuestros fines comerciales específicos. Además, Taboola no tiene la capacidad, ni ninguna necesidad comercial, de “realizar ingeniería inversa” en ninguno de los puntos de datos utilizados en nuestro algoritmo para brindar nuestros servicios. Más específicamente, los puntos de datos que recopila Taboola nunca son indicativos de la identidad de un usuario, ya que Taboola no recopila ni procesa información como el nombre del usuario, el número de teléfono, el correo electrónico o las direcciones físicas. En cambio, Taboola recopila únicamente identificadores seudónimos, que simplemente identifican características sobre el dispositivo de un usuario. Esto incluye direcciones IP (que se truncan al momento de la recopilación y solo pueden identificar la ubicación del código postal general del dispositivo, pero nunca una geolocalización precisa) y, en algunos casos limitados, direcciones de correo electrónico en hash (que son inherentemente irreversibles y no se pueden descifrar para revelar la dirección de correo electrónico original). Además, incluso cuando se utilizan de forma colectiva, los datos que recopilamos nunca pueden producir el nombre, el número de teléfono, el correo electrónico o la dirección física de un individuo, y nuestros ingenieros no trabajan de ninguna manera para lograr este objetivo. Además, Taboola realiza y registra evaluaciones de impacto sobre la privacidad en un esfuerzo por minimizar los riesgos de privacidad de nuestros servicios, procesos y políticas.

Medidas para garantizar la calidad de los datos: Los datos se recopilan directamente del usuario y se le brinda la oportunidad de corregir cualquier dato asociado con su CookieID a través del Portal de solicitud de acceso de sujeto de Taboola : https://accessrequest.taboola.com/access

Medidas para garantizar la retención limitada de datos: Conservamos la información del usuario, que se recopila directamente con el fin de mostrar anuncios, durante un máximo de trece (13) meses desde la última interacción del usuario con nuestros servicios (a menudo durante un período de tiempo más corto), después de lo cual desidentificamos los datos eliminando identificadores únicos o agregando los datos. Este proceso se realiza automáticamente.

Medidas para garantizar la rendición de cuentas: Taboola realiza múltiples auditorías de seguridad y pruebas de penetración (pero no para todos los sistemas). Taboola también utiliza proveedores de nube que cuentan con certificación ISO y que cumplen con otras certificaciones relevantes para la nube para mantener las protecciones físicas de un servidor.

Medidas para permitir la portabilidad de datos y garantizar el borrado: Taboola relacionada con la eliminación de medios es la misma para todo tipo de medios, ya que pueden contener información de identificación personal (PII). Cualquier medio debe limpiarse completamente antes de reutilizarlo o desecharlo. Toda eliminación de medios queda documentada. Se instruye a los empleados a no imprimir ningún papel que pueda contener información personal.