Términos de Privacidad del Anunciante

Last Update: November 14, 2025

Fecha de entrada en vigor:  14 de agosto de 2023

Estos Términos de Privacidad del Anunciante de Taboola (“Terminos de Privacidad del Anunciante”) se aplican a los servicios de publicidad digital de Taboola, como cuando Taboola distribuye contenido del Anunciante a través de su plataforma de distribución, Optimización Creativa Dinámica de Taboola (DCO) o Página de Aterrizaje GenAI de acuerdo con un acuerdo entre Taboola y un Anunciante (“Acuerdo”), y estos Términos de Privacidad del Anunciante se considerarán incorporados y formarán parte integral de cualquier Acuerdo de este tipo.  Estos Términos de Privacidad del Anunciante identifican los roles y responsabilidades de Taboola y del Anunciante con respecto a los Datos Personales.

Si hay un conflicto entre los Términos de Privacidad del Anunciante y el Acuerdo, los Términos de Privacidad del Anunciante prevalecerán en la medida de ese conflicto, a menos que la disposición en conflicto en el Acuerdo haga referencia expresamente a la disposición en conflicto de estos Términos de Privacidad del Anunciante y especifique que prevalece sobre esa disposición en conflicto.

Los términos definidos en esta sección tendrán los significados establecidos a continuación, y los términos afines se interpretarán en consecuencia. Los términos en mayúscula utilizados pero no definidos en los Términos de Privacidad del Anunciante tendrán los significados definidos en el Acuerdo.

      1. Las Leyes de Protección de Datos Aplicables” significa todas y cada una de las leyes federales, nacionales, estatales u otras leyes de privacidad y protección de datos que se aplican al Procesamiento que es objeto del Acuerdo y estos Términos del Anunciante, según se modifiquen o sustituyan de vez en cuando.
      2. Datos Recopilados” significa los Datos Personales que cada parte recopila de los Sujetos de Datos en o a través de sus servidores o redes (incluyendo todos los datos recopilados pasivamente o legibles por máquina, como datos basados en el tipo de navegador y los identificadores de dispositivo) en relación con la provisión o recepción de los Servicios.
      3. Controlador” significa: (i) una entidad que determina los propósitos y medios del Procesamiento de Datos Personales, y (ii) cualquier persona que se encuentre dentro del alcance del término “controlador” (o cualquier término sustancialmente análogo) según lo definido bajo las Leyes de Protección de Datos Aplicables.
      4. Ley de Privacidad de California” significa la Ley de Privacidad del Consumidor de California de 2018, Cal. Código Civil § 1798.100 y siguientes (“CCPA”), según enmendado (incluyendo por la Ley de Derechos de Privacidad de California), y cualquier legislación subordinada y regulaciones de implementación.
      5. Sujeto de Datos” significa: (i) una persona natural identificada o identificable (y, para estos propósitos, una persona natural identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural), y (ii) cualquier persona que se encuentre dentro del alcance del término “sujeto de datos”, “consumidor” (o cualquier término sustancialmente análogo) según lo definido en las Leyes de Protección de Datos.
      6. Ley de Protección de Datos de la UE” significa: (i) el Reglamento General de Protección de Datos de la UE (Reglamento 2016/679) (“UE GDPR”); (ii) la Directiva de e-Privacidad de la UE (Directiva 2002/58/CE); y (iii) cualquier ley nacional de protección de datos promulgada bajo o en virtud de (i) o (ii), cada una de las cuales puede ser enmendada o sustituida de vez en cuando.
      7. Fines Permitidos” tiene el significado dado en la sección 3.
      8. Datos Personales” significa cualquier información relacionada con un Sujeto de Datos (incluyendo, cuando lo exija la Ley de Protección de Datos Aplicable, identificadores únicos de navegador o dispositivo), como se establece en el Anexo A, Parte B.
      9. Procesar” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como recolección, recepción, registro, organización, estructuración, uso, transmisión, acceso, compartición, divulgación, transferencia, almacenamiento, adaptación o alteración, recuperación, consulta, difusión u otra disponibilidad, alineación o combinación, agregación, inferencia, derivación, análisis, restricción, borrado, destrucción o eliminación o cualquier otro manejo de Datos Personales, inclusive cómo se define dicho término bajo la Ley de Protección de Datos Aplicable.
      10. Encargado del Tratamiento” significa: (i) una entidad que Procesa Datos Personales en nombre de un Responsable, y (ii) cualquier persona que se encuentre dentro del alcance del término “encargado del tratamiento” (o cualquier término sustancialmente análogo) según lo definido en las Leyes de Protección de Datos Aplicables.
      11. Transferencia Restringida” significa: (i) donde se aplica el GDPR de la UE, una transferencia de Datos Personales desde el EEE a un país fuera del EEE que no está sujeto a una determinación de adecuación por parte de la Comisión Europea (una “Transferencia Restringida de la UE“); y (ii) donde se aplica el GDPR del Reino Unido, una transferencia de Datos Personales desde el Reino Unido a cualquier otro país que no esté sujeto a o basado en regulaciones de adecuación conforme a la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018 (una “Transferencia Restringida del Reino Unido“).
      12. Venta” y “Vender” significan intercambiar Datos Personales por consideración monetaria u otro valor, e incluyen cómo se definen dichos términos bajo la Ley de Protección de Datos Aplicable.
      13. Servicios” significa los servicios proporcionados por Taboola bajo el Acuerdo con el Anunciante.
      14. Incidente de Seguridad” significa una violación de seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada de, o acceso a, Datos Personales de manera accidental o ilegal.
      15. Standard Contractual Clauses” significa: (i) donde se aplica el GDPR de la UE, las cláusulas contractuales anexadas a la Decisión de Implementación 2021/914 de la Comisión Europea del 4 de junio de 2021 sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (“EU SCCs”); y (ii) donde se aplica el GDPR del Reino Unido, el “Anexo de Transferencia Internacional de Datos a las Standard Contractual Clauses de la Comisión de la UE” emitido por el Comisionado de Información bajo el s.119A(1) de la DPA 2018 (“UK Addendum”).
      16. Tercero” significa un negocio que actúa como Responsable con respecto a Datos Personales, y que no es el negocio con el que el Sujeto de Datos cuyos Datos Personales son Procesados ha interactuado intencionalmente; el término incluye cómo se define dicho término bajo la Ley de Protección de Datos Aplicable.
      17. Ley de Protección de Datos del Reino Unido” significa: (i) la Ley de Protección de Datos del Reino Unido de 2018, (ii) el GDPR del Reino Unido (según se define en s.3(10) de la Ley de Protección de Datos del Reino Unido de 2018) (“UK GDPR”), (iii) las Regulaciones de Privacidad y Comunicaciones Electrónicas del Reino Unido (Directiva EC) de 2003, y (iv) cualquier otra ley del Reino Unido promulgada bajo o en virtud de (i), (ii) o (iii), cada una de las cuales puede ser enmendada o sustituida de vez en cuando.

Cada parte deberá Procesar los Datos Recogidos que recoja o reciba de la otra parte para los fines establecidos en el Anexo A, Parte B (los “Fines Permitidos”).  El Anunciante acepta que Taboola Procesará los Datos Recogidos según lo permitido por la Política de Privacidad de Taboola (que, para evitar dudas, también será un Fin Permitido para Taboola).

En la medida en que los Datos Recogidos califiquen como, o contengan, Datos Personales bajo las Leyes de Protección de Datos Aplicables, cada parte deberá Procesar los Datos Recogidos que recoja o reciba de la otra parte como Responsable (lo que puede incluir, donde se aplique la Ley de Privacidad de California, como un Tercero, donde sea aplicable).  Divulgaciones (ya sea una transferencia, o a través de una parte que pone datos a disposición de la otra parte) de Datos Recogidos o Datos Personales de una parte a la otra son divulgaciones a Terceros.

      1. Si la Ley de Protección de Datos de EE. UU. o de un estado de EE. UU. se aplica a los Datos Recopilados, incluyendo, sin limitación, la Ley de Privacidad de California, en la medida en que Realize Pixels (anteriormente conocido como “Taboola Pixels”) utilice en conexión con los Servicios para Procesar Datos Personales sobre un Visitante, Taboola actúa como un Tercero para el Anunciante respecto a dichos Datos Personales. Taboola Procesará dichos Datos Personales para los Fines Permitidos. Dichos Datos Personales solo están disponibles para Taboola para los Fines Permitidos.  Taboola proporcionará el mismo nivel de protección de privacidad que se requiere a las Empresas por las leyes de Protección de Datos de EE. UU. aplicables, incluyendo, si corresponde, las Leyes de Privacidad de California. Taboola informará al Anunciante en el período de tiempo requerido por la Ley de Protección de Datos Aplicable si Taboola determina que ya no puede cumplir con sus obligaciones bajo las Leyes de Protección de Datos Aplicables. Al proporcionar aviso a Taboola, el Anunciante tiene el derecho de tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de Datos Personales que pone a disposición de Taboola.

Las partes reconocen que algunos o todos los Datos Recopilados pueden calificar como, o incluir, Datos Personales y, por lo tanto, que las Leyes de Protección de Datos Aplicables pueden aplicarse al Procesamiento de Datos Recopilados de cada parte.  Cuando este sea el caso, y sujeto a la sección 7, cada parte será individualmente responsable de su propio cumplimiento con las Leyes de Protección de Datos Aplicables, incluyendo cualquier requisito aplicable para: (i) proporcionar transparencia a los Sujetos de Datos, (ii) tener consentimiento u otra base legal para el Procesamiento, y (iii) poner a disposición un punto de contacto a través del cual los Sujetos de Datos puedan ejercer sus derechos de protección de datos.

En el caso de que cualquiera de las partes realice una Transferencia Restringida de Datos Recopilados a la otra parte, se aplicarán las disposiciones del Anexo C.

a. Taboola utiliza Realize Pixels para proporcionar los Servicios.  No obstante la sección 5, en la medida en que Taboola recopile Datos Recopilados de las propiedades digitales del Anunciante (como sitios web, aplicaciones móviles u otros) utilizando Realize Pixels, el Anunciante deberá: (i) proporcionar todos los avisos de transparencia requeridos a los Sujetos de Datos sobre el uso de Realize Pixels por parte de Taboola para recopilar Datos Recopilados de las propiedades digitales del Anunciante para los Fines Permitidos, y (ii) obtener (y, a solicitud en cualquier momento por parte de Taboola, proporcionar evidencia apropiada de) el consentimiento del Sujeto de Datos para dicho uso de Realize Pixels para los Fines Permitidos, en cada caso de acuerdo con los requisitos de las Leyes de Protección de Datos Aplicables.  Las obligaciones del Anunciante en este sentido incluyen identificar a Taboola y su uso de Realize Pixels para los Fines Permitidos expresamente dentro de los avisos de transparencia y los avisos de consentimiento que el Anunciante proporciona a los Sujetos de Datos, así como cualquier otra información requerida por las Leyes de Protección de Datos Aplicables, para que Taboola pueda proporcionar sus Servicios legalmente a través de dichas propiedades digitales y Procesar Datos Recopilados y Datos Personales para los Fines Permitidos. En la medida en que el anunciante reciba el servicio de Página de Aterrizaje de Gen AI de Taboola, Taboola proporcionará un aviso transparente y obtendrá el consentimiento del usuario.

b. A solicitud por escrito, Taboola proporcionará al Anunciante la información necesaria sobre Realize Pixels y el Procesamiento de Datos Recopilados por parte de Taboola a través de las propiedades digitales del Anunciante para que el Anunciante pueda asegurarse de que sus mecanismos de aviso y consentimiento cumplan con las Leyes de Protección de Datos Aplicables.  El Anunciante no deberá activar ningún Realize Pixels a menos y hasta que se haya proporcionado la transparencia necesaria y se hayan obtenido los consentimientos necesarios requeridos bajo las Leyes de Protección de Datos Aplicables.

c. El Anunciante deberá proporcionar además a los Sujetos de Datos información sobre cómo pueden ejercer sus derechos de protección de datos bajo las Leyes de Protección de Datos Aplicables, y proporcionar un punto de contacto para que los Sujetos de Datos se comuniquen con el fin de ejercer sus derechos. El Anunciante deberá notificar de inmediato a Taboola si y en la medida en que reciba alguna solicitud de derechos de protección de datos relacionada con el Procesamiento de Datos Recopilados por parte de Taboola como Controlador, para que Taboola pueda cumplir con la solicitud de acuerdo con sus obligaciones bajo la Ley de Protección de Datos Aplicable.

Si Taboola, a solicitud del Anunciante, transfiere Datos Personales al socio de atribución del Anunciante o al Anunciante para fines de atribución, el Anunciante declara y garantiza que: (i) su socio de atribución es un Procesador en nombre del Anunciante; (ii) a menos que se recojan de forma independiente, el Anunciante y el socio de atribución utilizarán dichos Datos Personales únicamente para fines de atribución; y (iii) el socio de atribución y el Anunciante eliminarán todos los Datos Personales transferidos dentro de los treinta (30) días posteriores a la última identificación del Visitante como proveniente de Taboola.

Cada parte deberá implementar medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Recogidos y/o Datos Personales que Procese de y contra un Incidente de Seguridad.  Estas medidas incluirán las medidas establecidas en el Anexo B.

Si alguna de las Partes sufre un Incidente de Seguridad respecto a los Datos Recogidos y/o Datos Personales que Procese y que son objeto del Acuerdo y estos Términos de Privacidad del Anunciante, esa Parte deberá: (i) ser responsable de cumplir (a su propio costo) con cualquier obligación de reporte que le aplique bajo las Leyes de Protección de Datos Aplicables ante las autoridades de protección de datos y/o Sujetos de Datos afectados, (ii) notificar a la otra Parte sin demora indebida, proporcionando la información sobre el Incidente de Seguridad que razonablemente pueda ser solicitada por la otra Parte o que de otro modo sea requerida para que la otra Parte determine si también puede tener obligaciones de reporte bajo las Leyes de Protección de Datos Aplicables respecto al Incidente de Seguridad, y (iii) tomar todas las acciones y medidas, sin demora indebida, que sean apropiadas para remediar y/o mitigar los efectos del Incidente de Seguridad.

Donde y en la medida en que sea requerido por las Leyes de Protección de Datos Aplicables a las que cada parte está sujeta, cada parte deberá llevar a cabo cualquier evaluación de impacto de protección de datos respecto a su Procesamiento de Datos Recogidos y/o Datos Personales para los Fines Permitidos y/o consultar con las autoridades de protección de datos aplicables, cuando sea necesario.  Cada parte deberá proporcionar toda la cooperación e información razonablemente solicitada por la otra parte, donde esto sea necesario para permitir que la otra parte complete una evaluación de impacto de protección de datos y/o consulte con las autoridades de protección de datos aplicables de acuerdo con las obligaciones de esa otra parte bajo esta sección 11.

 

A. LISTA DE PARTES

Cada parte será:

      • un controlador de datos (y exportador de datos) de los Datos Recopilados que divulga o pone a disposición a la otra parte, y
      • un controlador de datos (y importador de datos) de los Datos Recopilados que recibe de, o a los que se le da acceso por, la otra parte.

Los detalles de cada parte se proporcionan a continuación.

Nombre: Ver los detalles del Anunciante establecidos en el Acuerdo.

Dirección: Ver los detalles del Anunciante establecidos en el Acuerdo.

Nombre de la persona de contacto, cargo y detalles de contacto: Ver los detalles del Anunciante establecidos en el Acuerdo o de otro modo acordados entre las partes por escrito.

Actividades relevantes para los datos transferidos bajo estas Cláusulas: La recepción de los Servicios, como se establece en el Acuerdo.

Firma y fecha: Este Anexo A se considerará ejecutado tras la aceptación de estos Términos de Privacidad por parte del Anunciante.

Rol (controlador/procesador): Controlador (donde es un exportador de datos) y Controlador (donde es un importador de datos)

 

Nombre: Vea los detalles de Taboola establecidos en la introducción del Acuerdo.

Dirección: Vea los detalles de Taboola establecidos en la introducción del Acuerdo.

Nombre de la persona de contacto, cargo y detalles de contacto: El equipo de privacidad de Taboola, privacy@taboola.com.

Actividades relevantes para los datos transferidos bajo estas Cláusulas: La provisión de los Servicios, como se establece en el Acuerdo.

Firma y fecha: Este Anexo A se considerará ejecutado tras la aceptación de estos Términos de Privacidad por parte de Taboola.

Rol (controlador/procesador): Controlador (donde es un exportador de datos) y Controlador (donde es un importador de datos)

 

B. DESCRIPCIÓN DEL PROCESAMIENTO Y TRANSFERENCIA

Categorías de sujetos de datos cuyos datos personales son procesados y/o transferidos: Usuarios

Categorías de datos personales procesados y/o transferidos:

Datos del dispositivo: Sistema operativo, tipo de navegador, versión del navegador, dirección IP (truncada dentro de los 30 días) de la recopilación, código postal (derivado de la dirección IP), ID de usuario de Taboola encriptado, correos electrónicos encriptados, visitas iniciales y posteriores a la página en el sitio web del anunciante, género del usuario (inferido por intereses), señales de compromiso (tiempo en el sitio, profundidad de desplazamiento, profundidad de sesión), datos de conversión.

Datos sobre la propiedad digital visitada por el usuario: La URL de la página visitada, el sitio web de referencia

  • En la medida en que DCO sea parte de los servicios, Taboola también procesa los siguientes datos:

Datos del Dispositivo: ID de cookie de Taboola o ID de dispositivo, dependiendo de la plataforma), dirección IP enmascarada, ID de clic de Taboola, User agent string, país, tipo de usuario, incluyendo información de nuevo usuario/usuario recurrente (si es compartida por el anunciante), información del producto (vinculada a la URL específica), incluyendo precio y disponibilidad de las páginas de artículos

Datos del Evento: moneda, IDs de producto, ID de pedido, ID de categoría, categoría, término de búsqueda, detalles del carrito, valor e IDs de campaña.

Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que tengan en cuenta plenamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo, limitación estricta de propósito, restricciones de acceso (incluido el acceso solo para el personal que ha seguido una formación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales: No aplicable.

La frecuencia del procesamiento y/o transferencias (por ejemplo, si los datos se procesan y/o transfieren de manera única o continua): Continua durante la duración del Acuerdo.

Naturaleza del procesamiento: Procesamiento de Datos Personales necesarios para la prestación de los Servicios, según lo establecido en el Acuerdo.

Propósito(s) del procesamiento / transferencia de datos y procesamiento adicional: La provisión de los Servicios, como se establece en el Acuerdo. Para evitar dudas, los Propósitos Permitidos incluyen: (i) almacenar y/o acceder a información en un dispositivo; (ii) seleccionar anuncios básicos; (iii) crear un perfil de anuncios personalizado; (iv) seleccionar anuncios personalizados; (v) crear un perfil de contenido personalizado; (vi) seleccionar contenido personalizado; (vii) medir el rendimiento de los anuncios; (viii) medir el rendimiento del contenido; (ix) desarrollar y mejorar productos; (x) garantizar la seguridad, prevenir fraudes y depurar; (xi) entregar técnicamente anuncios o contenido; (xii) emparejar y combinar fuentes de datos fuera de línea; (xiii) vincular diferentes dispositivos; (xiv) recibir y utilizar características del dispositivo enviadas automáticamente para identificación; (xv) usar datos limitados para seleccionar contenido, y (xvi) understanding audiences through statistics.

El período durante el cual se conservarán los datos personales, o, si eso no es posible, los criterios utilizados para determinar ese período:

      • Taboola: Los datos en bruto se almacenan por un máximo de 13 meses.
      • Anunciante: Durante el tiempo que sea necesario para recibir los Servicios o según lo especificado en el Acuerdo.

Para transferencias a (sub-) procesadores, también especifique el tema, la naturaleza y la duración del procesamiento: No aplicable.

 

C. AUTORIDAD SUPERVISORA COMPETENTE

Autoridad de supervisión competente donde se aplica el EU GDPR: La autoridad de supervisión competente para cada parte se describe a continuación:

      • Taboola: La autoridad de supervisión competente se determinará de acuerdo con la Cláusula 13 de los EU SCCs.
      • Anunciante: La autoridad de supervisión competente se determinará de acuerdo con la Cláusula 13 de los EU SCCs.

Autoridad de supervisión competente donde se aplica el UK GDPR: La Oficina del Comisionado de Información

 

Descripción de las medidas técnicas y organizativas implementadas por cada parte (incluidas las certificaciones relevantes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y el propósito del procesamiento, y los riesgos para los derechos y libertades de las personas físicas.

Medidas de seudonimización y cifrado de datos personales: Taboola solo recopila datos seudonimizados, lo que significa que no sabemos quién eres porque no conocemos ni procesamos el nombre, la dirección de correo electrónico u otros datos identificables del usuario. La información del usuario que recopilamos incluye, pero no se limita a, información sobre el dispositivo y el sistema operativo de un usuario, dirección IP, las páginas web accedidas por los usuarios dentro de los sitios web de nuestros clientes, el enlace que llevó a un usuario al sitio web de un cliente, las fechas y horas en que un usuario accede al sitio web de un cliente y otros datos de navegación web. El CookieID se anonimiza utilizando Bcrypt y la dirección IP se trunca.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento: Taboola utiliza múltiples niveles de seguridad electrónica (por ejemplo: seguridad en el punto final, seguridad del lado del servidor, seguimiento de detecciones, pruebas de penetración periódicas y recopilación de inteligencia profunda para revisar eventos post-mortem).

Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico: Taboola mantiene 9 centros de datos operando en todo el mundo. Cada centro de datos se utiliza como una replicación del otro, por lo que si uno falla, los datos pueden ser extraídos de otro centro de datos.

Procesos para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento: Taboola mantiene procesos estrictos para probar la efectividad de sus controles (tanto técnicos como organizativos). Tenemos registro y monitoreo del sistema en su lugar, pruebas de DR mensuales (al menos), pruebas de penetración trimestrales, cortafuegos que protegen la web y honeypots distribuidos por la red para encontrar cualquier actividad maliciosa. Además, tenemos un programa de recompensas que nos ayuda a monitorear constantemente nuestra red.

Medidas para la identificación y autorización de usuarios: Cada usuario en Taboola está asociado con un nombre de usuario y una contraseña dedicados. Todo acceso a la red interna de Taboola se realiza con 2FA utilizando la autenticación de Google. Los usuarios son creados únicamente por el departamento de TI, durante el proceso de incorporación y solo después de recibir todos los detalles y el contrato firmado del departamento de recursos humanos.

Medidas para la protección de datos durante la transmisión: Taboola admite cualquier transmisión de datos a través de protocolos de transmisión seguros (HTTPS y TLS v1.2 como mínimo). Además, los sistemas que pueden contener PII están asegurados y los datos se mantienen encriptados y anonimizados.

Medidas para la protección de datos durante el almacenamiento: Los datos que se almacenan en nuestras bases de datos están anonimizados y encriptados utilizando Bcrypt. El acceso a la base de datos se minimiza y se basa en el principio de ‘necesidad de saber’ empresarial.

Medidas para garantizar la seguridad física de los lugares donde se procesan datos personales: Cada uno de los centros de datos globales de Taboola (en EE. UU., Europa y Asia) tiene todos sus servidores ubicados en armarios cerrados que se mantienen exclusivamente para el uso de Taboola. Estos armarios son mantenidos por empresas que están certificadas por SOC2 o que Taboola ha revisado sus medidas de seguridad. Además, cualquier acceso a los servidores requiere permiso por escrito y registrado. Todas las oficinas de Taboola también están controladas y requieren que los empleados usen tarjetas de acceso para entrar. Además, solo un número limitado de empleados tiene acceso a los servidores de Taboola y cualquier acceso también requiere permiso por escrito y registrado.

Medidas para garantizar el registro de eventos: Taboola implementa herramientas de monitoreo y los registros se recopilan en nuestro sistema SIEM, que nos alerta sobre cualquier evento sospechoso y también es monitoreado por el equipo de NOC.

Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada: Los servidores son escaneados tanto por desviaciones de configuración como por nivel de parches. La generación de informes y/o alertas se establece en ambos y se confirma el nivel de parche relevante. Se distribuyen nuevos parches utilizando Puppet. Todas las revisiones técnicas se gestionan a través de la aplicación de I+D y se obtienen a través de un proceso formal de revisión (QA) después de que se implementan la codificación y los procesos de CI/CD.

Medidas para la gobernanza y gestión de TI y seguridad de TI internas: Taboola está certificada en ISO 27001:2013 y 27701. Taboola tiene una Política de Seguridad de la Información que establece que la Junta Directiva y la dirección de Taboola están comprometidas a preservar la confidencialidad, integridad y disponibilidad de todos los activos de información físicos y electrónicos en toda su organización. Taboola realiza capacitaciones de seguridad para todos los nuevos empleados, capacitaciones sobre phishing para todos los empleados a nivel global, y capacitaciones regulares de seguridad para todos los empleados, además de sesiones dedicadas para grupos de I+D.

Medidas para la certificación/aseguramiento de procesos y productos: Auditoría interna trimestral / semestral / anual sobre múltiples procesos y sistemas para validar que Taboola está cumpliendo con sus objetivos y medidas de seguridad definidos.

Medidas para garantizar la minimización de datos: Taboola limita intencionalmente los datos que recopilamos como parte de los principios globales de minimización de datos de Taboola, procesando solo los datos limitados necesarios para nuestros propósitos comerciales específicos. Además, Taboola no tiene la capacidad, ni ninguna necesidad comercial, de “ingeniería inversa” de ninguno de los puntos de datos utilizados en nuestro algoritmo para proporcionar nuestros servicios. Más específicamente, los puntos de datos que Taboola recopila nunca son indicativos de la identidad de un usuario, ya que Taboola no recopila ni procesa información como el nombre del usuario, número de teléfono, correo electrónico o direcciones físicas. En cambio, Taboola solo recopila identificadores seudónimos, que simplemente identifican características sobre el dispositivo de un usuario. Esto incluye direcciones IP (que se truncaron al ser recopiladas y solo pueden identificar la ubicación general del código postal del dispositivo, pero nunca una geolocalización precisa) y, en algunas instancias limitadas, direcciones de correo electrónico hash (que son inherentemente irreversibles y no pueden ser descifradas para revelar la dirección de correo electrónico original). Además, incluso cuando se utilizan colectivamente, los datos que recopilamos nunca pueden producir el nombre, número de teléfono, correo electrónico o dirección física de un individuo, y nuestros ingenieros no trabajan de ninguna manera para lograr este objetivo. Adicionalmente, Taboola realiza y registra evaluaciones de impacto sobre la privacidad en un esfuerzo por minimizar los riesgos de privacidad de nuestros servicios, procesos y políticas.

Medidas para garantizar la calidad de los datos: Los datos se recopilan directamente del usuario y se le da la oportunidad de corregir cualquier dato asociado con su CookieID a través del Portal de Solicitud de Acceso de Taboola: https://accessrequest.taboola.com/access

Medidas para garantizar la retención limitada de datos: Retenemos la Información del Usuario, que se recopila directamente con el propósito de servir anuncios, por un máximo de trece (13) meses desde la última interacción del Usuario con nuestros Servicios (a menudo por un período más corto), después del cual desidentificamos los datos eliminando identificadores únicos o agregando los datos. Este proceso se realiza automáticamente.

Medidas para garantizar la responsabilidad: Taboola realiza múltiples auditorías de seguridad y pruebas de penetración (pero no para todos los sistemas). Taboola también utiliza proveedores de nube que están certificados por ISO y que cumplen con otras certificaciones relevantes para la nube para mantener las salvaguardias físicas de un servidor.

Medidas para permitir la portabilidad de datos y garantizar la eliminación: Cualquier medio debe ser completamente borrado antes de ser reutilizado o desechado. Cualquier eliminación de medios está documentada. Se instruye a los empleados a no imprimir ningún papel que pueda contener información personal.

  1. En la medida en que una parte realice una Transferencia Restringida de Datos Recogidos a la otra parte, las Standard Contractual Clauses se incorporarán a estos Términos de Privacidad del Anunciante y se aplicarán de la siguiente manera:
    1. donde la Transferencia Restringida es una Transferencia Restringida de la UE, las SCC de la UE se aplicarán entre las partes de la siguiente manera:
      1. Se aplicará el Módulo Uno;
      2. en la Cláusula 7, se aplicará la Cláusula de acoplamiento opcional;
      3. en la Cláusula 11, no se aplicará el idioma opcional;
      4. en la Cláusula 17, se aplicará la Opción 1, y las SCC de la UE estarán regidas por la ley irlandesa;
      5. en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
      6. Las Partes A, B y C del Anexo I se considerarán completadas con la información establecida en las Partes A, B y C del Anexo A de estos Términos de Privacidad del Anunciante; y
      7. El Anexo II se considerará completado con las medidas de seguridad establecidas en el Anexo B de estos Términos de Privacidad del Anunciante;
    2. donde la Transferencia Restringida es una Transferencia Restringida del Reino Unido, el Anexo del Reino Unido se aplicará entre las partes de la siguiente manera:
      1. las SCC de la UE, completadas como se establece arriba, se aplicarán entre las partes, y serán modificadas por el Anexo del Reino Unido (completado como se establece en la subcláusula (ii) a continuación);
      2. las tablas 1 a 3 del UK Addendum se considerarán completadas con la información relevante de los EU SCCs, completadas como se establece arriba, y las opciones “Exportador” e “Importador” se considerarán marcadas en la tabla 4. La fecha de inicio del UK Addendum (como se establece en la tabla 1) será la Fecha Efectiva de estos Términos de Privacidad del Anunciante.
  2. Transferencias Restringidas Posteriores:  Ninguna de las partes realizará una Transferencia Restringida Posterior de Datos Recopilados que reciba de la otra parte a menos que haya realizado todos los actos y cosas necesarios para garantizar que dicha Transferencia Restringida Posterior cumpla con la Ley de Protección de Datos Aplicable y cualquier Standard Contractual Clauses que haya acordado con la otra parte.