Condiciones de Privacidad del Anunciante

Last Update: November 14, 2025

Fecha de entrada en vigor:  14 de agosto de 2023

Estos Términos de Privacidad del Anunciante de Taboola (“Términos de Privacidad del Anunciante“) se aplican a los servicios de publicidad digital de Taboola, como cuando Taboola distribuye contenido del Anunciante a través de su plataforma de distribución, de conformidad con un acuerdo entre Taboola y un Anunciante (“Acuerdo“), y estos Términos de Privacidad del Anunciante se considerarán incorporados en, y forman parte integrante de, cualquier Acuerdo.  Estos Términos de Privacidad del Anunciante identifican las funciones y responsabilidades de Taboola y del Anunciante con respecto a los Datos Personales.

En caso de conflicto entre las Condiciones de Privacidad del Anunciante y el Acuerdo, las Condiciones de Privacidad del Anunciante regirán en la medida de dicho conflicto, a menos que la disposición conflictiva del Acuerdo haga referencia expresa a la disposición conflictiva de estas Condiciones de Privacidad del Anunciante y especifique que prevalece sobre dicha disposición conflictiva.

Los términos definidos en esta sección tendrán el significado que se indica a continuación, y los términos afines se interpretarán en consecuencia. Los términos en mayúsculas utilizados pero no definidos en las Condiciones de Privacidad del Anunciante tendrán los significados definidos en el Acuerdo.

      1. Leyes de Protección de Datos Aplicables” significa todas y cada una de las leyes federales, nacionales, estatales u otras leyes de privacidad y protección de datos que se aplican al Procesamiento que es objeto del Contrato y de estos Términos del Anunciante, según puedan ser modificados o sustituidos de vez en cuando.
      2. Datos recopilados” se refiere a los Datos personales que cada parte recopila de los Sujetos de datos en o a través de sus servidores o redes (incluidos todos los datos recopilados pasivamente o legibles por máquina, como los datos basados en el tipo de navegador y los identificadores de dispositivos) en relación con la prestación o recepción de los Servicios.
      3. Responsable del Tratamiento” significa: (i) una entidad que determina los fines y los medios del Tratamiento de Datos Personales, y (ii) cualquier persona que entre en el ámbito de aplicación del término “responsable del tratamiento” (o cualquier término sustancialmente análogo) tal y como se define en la Legislación Aplicable en materia de Protección de Datos.
      4. Ley de Privacidad de California” significa la Ley de Privacidad del Consumidor de California de 2018, Cal. Civil Code § 1798.100 et seq. (“CCPA“), en su versión modificada (incluida la Ley de Derechos de Privacidad de California), y cualquier legislación subordinada y normativa de aplicación.
      5. Interesado” significa: (i) una persona física identificada o identificable (y, a estos efectos, una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física), y (ii) cualquier persona que entre en el ámbito del término “interesado”, “consumidor” (o cualquier término sustancialmente análogo) tal y como se define en las Leyes de Protección de Datos.
      6. Ley de protección de datos de la UE” significa: (i) el Reglamento general de protección de datos de la UE (Reglamento 2016/679) (” GDPRde la UE “); (ii) la Directiva de privacidad electrónica de la UE (Directiva 2002/58/CE); y (iii) cualquier ley nacional de protección de datos elaborada en virtud o de conformidad con (i) o (ii), cada una de las cuales puede ser modificada o sustituida de vez en cuando.
      7. Fines permitidos” tiene el significado que se le da en la sección 3.
      8. Datos Personales” significa cualquier información relativa a un Sujeto de Datos (incluyendo, cuando lo requiera la Ley de Protección de Datos Aplicable, identificadores únicos de navegador o dispositivo), tal y como se establece en el Anexo A, Parte B.
      9. Proceso” significa cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, como la recogida, recepción, registro, organización, estructuración, uso, transmisión, acceso, uso compartido, divulgación, transferencia, almacenamiento, adaptación o alteración, recuperación, consulta, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, agregación, inferencia, derivación, análisis, restricción, supresión, destrucción o eliminación u otro tratamiento de Datos Personales, incluida la forma en que se defina dicho término en la Ley de Protección de Datos Aplicable.
      10. Encargado del Tratamiento” significa: (i) una entidad que Trata Datos Personales por cuenta de un Responsable del Tratamiento, y (ii) cualquier persona que entre en el ámbito de aplicación del término “encargado del tratamiento” (o cualquier término sustancialmente análogo) según se define en la Legislación Aplicable en materia de Protección de Datos.
      11. Transferencia Restringida” significa: (i) cuando se aplique el GDPR de la UE, una transferencia de Datos Personales desde el EEE a un país fuera del EEE que no esté sujeto a una determinación de adecuación por parte de la Comisión Europea (una “Transferencia Restringidade la UE“); y (ii) cuando se aplique el GDPR del Reino Unido, una transferencia de Datos Personales desde el Reino Unido a cualquier otro país que no esté sujeto o basado en reglamentos de adecuación de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018 (una “Transferencia Restringida del Reino Unido“).
      12. Venta” y “Vender” significan intercambiar Datos Personales por una contraprestación monetaria u otra contraprestación valiosa, e incluyen la forma en que dichos términos se definen en la Ley de Protección de Datos Aplicable.
      13. Servicios” significa los servicios prestados por Taboola en virtud del Acuerdo con el Anunciante.
      14. Incidente de seguridad“: una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a Datos Personales.
      15. Cláusulas contractuales tipo” significa: (i) cuando se aplique el GDPR de la UE, las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (“CEC de la UE“); y (ii) cuando se aplique el GDPR del Reino Unido, el “Anexo de transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión de la UE” emitido por el Comisionado de Información en virtud de s.119A(1) de la DPA 2018 (“Adenda del Reino Unido“).
      16. Tercero” significa una empresa que actúa como Controlador con respecto a los Datos Personales, y que no es la empresa con la que el Sujeto de Datos cuyos Datos Personales son Procesados ha interactuado intencionalmente; el término es inclusivo de cómo se define dicho término bajo la Ley de Protección de Datos Aplicable.
      17. Ley de Protección de Datos del Reino Unido” significa: (i) la Ley de Protección de Datos del Reino Unido de 2018, (ii) el GDPR del Reino Unido (tal como se define en s.3(10) de la Ley de Protección de Datos del Reino Unido de 2018) (“GDPR del Reino Unido“), (iii) el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) del Reino Unido de 2003), y (iv) cualquier otra ley del Reino Unido dictada en virtud o de conformidad con (i), (ii) o (iii), cada una de las cuales puede ser modificada o sustituida de vez en cuando.

Cada una de las partes tratará los Datos Recabados que recopile o reciba de la otra parte para los fines establecidos en el Anexo A, Parte B (los “Fines Permitidos“).  El Anunciante acepta que Taboola procesará los datos recogidos según lo permitido por la Política de Privacidad de Taboola (que, para evitar dudas, también será un propósito permitido para Taboola).

En la medida en que los Datos Recabados se califiquen como Datos Personales, o los contengan, en virtud de las Leyes de Protección de Datos Aplicables, cada parte tratará los Datos Recabados que recopile o reciba de la otra parte como Responsable del Tratamiento (lo que puede incluir, cuando se aplique la Ley de Privacidad de California, como Tercero, si procede).  Las divulgaciones (ya sea una transferencia, o a través de una parte que pone los datos a disposición de la otra parte) de Datos Recabados o Datos Personales de una parte a otra son divulgaciones a Terceros.

      1. Si la Ley de Protección de Datos de EE.UU. o del estado de EE.UU. se aplica a los Datos Recopilados, incluyendo sin limitación la Ley de Privacidad de California, en la medida en que Realize Pixels (anteriormente llamado “Taboola Pixels”) utilizado en relación con los Servicios Procese Datos Personales sobre un Visitante, Taboola actúa como un Tercero para el Anunciante para dichos Datos Personales. Taboola procesará dichos datos personales para los fines permitidos. Dichos datos personales sólo se ponen a disposición de Taboola para los fines permitidos.  Taboola proporcionará el mismo nivel de protección de la privacidad como se requiere de las empresas por las leyes aplicables de protección de datos de EE.UU., incluyendo en su caso, las leyes de privacidad de California. Taboola informará al Anunciante en el plazo requerido por la Ley de Protección de Datos Aplicable si Taboola determina que ya no es capaz de cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables. Tras notificar a Taboola, el Anunciante tiene derecho a tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de los Datos Personales que pone a disposición de Taboola.

Las partes reconocen que algunos o todos los Datos Recabados pueden calificarse como Datos Personales o incluirlos y, por lo tanto, que las Leyes de Protección de Datos Aplicables pueden ser de aplicación al Tratamiento de los Datos Recabados por cada parte.  En tal caso, y sin perjuicio de lo dispuesto en la sección 7, cada una de las partes será individualmente responsable de su propio cumplimiento de la legislación aplicable en materia de protección de datos, incluidos los requisitos aplicables para: (i) ofrecer transparencia a los interesados, (ii) contar con el consentimiento u otra base jurídica para el tratamiento, y (iii) poner a disposición un punto de contacto a través del cual los interesados puedan ejercer sus derechos en materia de protección de datos.

En caso de que una de las partes realice una Transferencia Restringida de Datos Recabados a la otra parte, se aplicarán las disposiciones del Anexo C.

Taboola utiliza Realize Pixels para proporcionar los Servicios.  Sin perjuicio de la sección 5, en la medida en que Taboola recopile Datos Recopilados de las propiedades digitales del Anunciante (tales como sitios web, aplicaciones móviles o de otro tipo) utilizando Realize Pixels, el Anunciante deberá: (i) proporcionar todos los avisos de transparencia requeridos a los Sujetos de Datos sobre el uso de Taboola de Realize Pixels para recopilar Datos Recopilados de las propiedades digitales del Anunciante para los Fines Permitidos, y (ii) obtener (y, a petición en cualquier momento de Taboola, proporcionar evidencia apropiada de) el consentimiento del Sujeto de Datos para dicho uso de Realize Pixels para los Fines Permitidos, en cada caso de conformidad con los requisitos de las Leyes de Protección de Datos Aplicables.  Las obligaciones del Anunciante en este sentido incluyen la identificación de Taboola y su uso de Realize Pixels para los Propósitos Permitidos expresamente dentro de los avisos de transparencia y los avisos de consentimiento que el Anunciante proporciona a los Sujetos de Datos, así como cualquier otra información requerida por las Leyes de Protección de Datos Aplicables, para que Taboola pueda proporcionar sus Servicios legalmente a través de dichas propiedades digitales y Procesar los Datos Recopilados y los Datos Personales para los Propósitos Permitidos.  Previa solicitud por escrito, Taboola proporcionará al Anunciante la información que sea necesaria sobre los Realize Pixels y el Procesamiento de Taboola de los Datos Recopilados a través de las propiedades digitales del Anunciante para que el Anunciante se asegure de que sus mecanismos de notificación y consentimiento cumplirán con las Leyes de Protección de Datos Aplicables.  El Anunciante no disparará ningún Píxel Realizado a menos que y hasta que se haya proporcionado toda la transparencia necesaria y se hayan obtenido todos los consentimientos requeridos en virtud de las Leyes de Protección de Datos Aplicables. El Anunciante proporcionará además a los Sujetos de Datos información sobre cómo pueden ejercer sus derechos de protección de datos en virtud de las Leyes de Protección de Datos Aplicables, y proporcionará un punto de contacto para que los Sujetos de Datos se pongan en contacto con el fin de ejercer sus derechos. El Anunciante deberá notificar inmediatamente a Taboola si y en la medida en que reciba cualquier solicitud de derechos de protección de datos en relación con el Tratamiento de Datos Recopilados por Taboola como Controlador para que Taboola pueda cumplir con la solicitud de conformidad con sus obligaciones en virtud de la Ley de Protección de Datos Aplicable.

Si Taboola, a petición del Anunciante, pasa Datos Personales al socio de atribución del Anunciante o al Anunciante con fines de atribución, el Anunciante representa y garantiza que: (i) su socio de atribución es un Procesador en nombre del Anunciante; (ii) a menos que se recopile de forma independiente, el Anunciante y el socio de atribución utilizarán dichos Datos Personales únicamente con fines de atribución; y (iii) el socio de atribución y el Anunciante eliminarán todos los Datos Personales pasados dentro de los treinta (30) días siguientes a la última identificación del Visitante como procedente de Taboola.

Cada una de las partes aplicará las medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Recabados y/o los Datos Personales que Procese de y contra un Incidente de Seguridad.  Estas medidas incluirán las que figuran en el Anexo B.

Si alguna de las Partes sufre un Incidente de Seguridad con respecto a los Datos Recabados y/o los Datos Personales que Procese y que sean objeto del Acuerdo y de las presentes Condiciones de Privacidad del Anunciante, dicha Parte deberá: (i) será responsable de cumplir (a su costa) cualquier obligación de notificación que le sea aplicable en virtud de las Leyes de Protección de Datos Aplicables a las autoridades de protección de datos y/o a los Sujetos de Datos afectados, (ii) notificará a la otra Parte sin demora indebida proporcionando la información sobre el incidente de seguridad que la otra Parte pueda solicitar razonablemente o que sea necesaria para que la otra Parte determine si también puede tener obligaciones de notificación en virtud de la legislación aplicable en materia de protección de datos con respecto al incidente de seguridad, y (iii) adoptar todas las acciones y medidas, sin demora injustificada, que sean adecuadas para remediar y/o mitigar los efectos del incidente de seguridad.

Cuando y en la medida en que lo exijan las Leyes de Protección de Datos Aplicables a las que cada parte esté sujeta, cada parte llevará a cabo cualquier evaluación de impacto de protección de datos con respecto a su Tratamiento de Datos Recabados y/o Datos Personales para los Fines Permitidos y/o consultará con las autoridades de protección de datos aplicables, cuando sea necesario.  Cada una de las partes proporcionará toda la cooperación e información razonables que solicite la otra parte, cuando sea necesario para permitir a la otra parte completar una evaluación de impacto de la protección de datos y/o consultar con las autoridades de protección de datos aplicables de conformidad con las obligaciones de esa otra parte en virtud de la presente sección 11.

 

A. LISTA DE PARTIDOS

Cada parte será:

      • un controlador de datos (y exportador de datos) de los Datos Recogidos que revela, o pone a disposición, de la otra parte, y
      • un controlador de datos (e importador de datos) de los Datos Recopilados que recibe de la otra parte, o a los que ésta facilita el acceso.

A continuación figuran los datos de cada parte.

Nombre: Véanse los datos del Anunciante que figuran en el Acuerdo.

Dirección: Véanse los datos del Anunciante que figuran en el Acuerdo.

Nombre, cargo y datos de la persona de contacto: Véanse los datos del Anunciante establecidos en el Contrato o acordados de otro modo entre las partes por escrito.

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: La recepción de los Servicios, tal y como se establece en el Acuerdo.

Firma y fecha: El presente Anexo A se considerará ejecutado en el momento en que el Anunciante acepte las presentes Condiciones de Privacidad del Anunciante.

Función (controlador/procesador): Controlador (cuando es exportador de datos) y Controlador (cuando es importador de datos)

 

Nombre: Véanse los detalles de Taboola en la introducción del Acuerdo.

Dirección: Véanse los detalles de Taboola en la introducción del Acuerdo.

Nombre, cargo y datos de la persona de contacto: El equipo de privacidad de Taboola, privacy@taboola.com.

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: La prestación de los Servicios, tal y como se establece en el Contrato.

Firma y fecha: Este Anexo A se considerará ejecutado tras la aceptación de Taboola de estas Condiciones de Privacidad del Anunciante.

Función (controlador/procesador): Controlador (cuando es exportador de datos) y Controlador (cuando es importador de datos)

 

B. DESCRIPCIÓN DEL TRATAMIENTO Y LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se tratan y/o transfieren: Usuarios

Categorías de datos personales tratados y/o transferidos:

Datos del dispositivo: Sistema operativo, tipo de navegador, versión del navegador, dirección IP (truncada en 30 días) de recopilación, código postal (derivado de la dirección IP), ID de usuario de Taboola con hash, correos electrónicos con hash, visitas iniciales y posteriores a páginas en el sitio web del Anunciante, sexo del usuario (inferido por intereses), señales de compromiso (tiempo en el sitio, profundidad de desplazamiento, profundidad de sesión), datos de conversión.

Datos sobre la propiedad digital visitada por el usuario: La URL de la página visitada, el sitio web de referencia

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales: No se aplica.

La frecuencia del tratamiento y/o las transferencias (por ejemplo, si los datos se tratan y/o transfieren de forma puntual o continua): Continua durante la vigencia del Acuerdo.

Naturaleza del tratamiento: Tratamiento de los Datos Personales necesarios para la prestación de los Servicios, según lo establecido en el Acuerdo.

Finalidad(es) del tratamiento/transferencia y tratamiento posterior de los datos: La prestación de los Servicios, tal y como se establece en el Contrato. Para evitar cualquier duda, los Fines Permitidos incluyen: (i) almacenar y/o acceder a información en un dispositivo; (ii) seleccionar anuncios básicos; (iii) crear un perfil de anuncios personalizados; (iv) seleccionar anuncios personalizados; (v) crear un perfil de contenidos personalizados; (vi) seleccionar contenidos personalizados; (vii) medir el rendimiento de los anuncios; (viii) medir el rendimiento de los contenidos; (ix) desarrollar y mejorar productos; (x) garantizar la seguridad, prevenir el fraude y depurar; (xi) entregar técnicamente anuncios o contenidos; (xii) cotejar y combinar fuentes de datos fuera de línea; (xiii) vincular diferentes dispositivos; (xiv) recibir y utilizar características de dispositivos enviadas automáticamente para su identificación; (xv) utilizar datos limitados para seleccionar contenidos, y (xvi)comprender audiencias a través de estadísticas.

El periodo durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho periodo:

      • Taboola: Los datos brutos se conservan un máximo de 13 meses.
      • Anunciante: Durante el tiempo que sea necesario para recibir los Servicios o según se especifique en el Contrato.

Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento: No se aplica.

 

C. AUTORIDAD DE CONTROL COMPETENTE

Autoridad de control competente cuando se aplica el GDPR de la UE: La autoridad de control competente para cada parte es la que se describe a continuación:

      • Taboola: La autoridad de supervisión competente se determinará de conformidad con la cláusula 13 de las CEC de la UE.
      • Anunciante: La autoridad de supervisión competente se determinará de conformidad con la cláusula 13 de las CEC de la UE.

Autoridad de control competente cuando se aplica el GDPR del Reino Unido: Oficina del Comisario de Información

 

Descripción de las medidas técnicas y organizativas aplicadas por cada parte (incluidas las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Medidas de seudonimización y cifrado de datos personales: Taboola sólo recoge datos seudonimizados, lo que significa que no sabemos quién eres porque no conocemos ni procesamos el nombre del usuario, dirección de correo electrónico u otros datos identificables. La información del usuario que recopilamos incluye, entre otros, información sobre el dispositivo y el sistema operativo del usuario, la dirección IP, las páginas web a las que acceden los usuarios dentro de los sitios web de nuestros clientes, el enlace que llevó a un usuario al sitio web de un cliente, las fechas y horas en las que un usuario accede al sitio web de un cliente y otros datos de navegación web. El CookieID se anonimiza utilizando Bcrypt y la dirección IP se trunca.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento: Taboola utiliza múltiples niveles de seguridad electrónica (por ejemplo: seguridad de punto final, seguridad del lado del servidor, rastreo de detecciones, pruebas de penetración periódicas y recopilación de inteligencia profunda para revisar eventos post-mortem).

Medidas para garantizar la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico: Taboola mantiene 9 centros de datos que operan en todo el mundo. Cada centro de datos se utiliza como réplica de otro, de modo que si uno se cae, los datos pueden extraerse de otro centro de datos.

Procesos para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento: Taboola mantiene procesos estrictos para comprobar la eficacia de sus controles (tanto técnicos como organizativos). Disponemos de sistemas de registro y supervisión, pruebas de RD mensuales (como mínimo), pruebas de penetración trimestrales, cortafuegos que protegen la web y honeypots repartidos por toda la red para detectar cualquier actividad maliciosa. Además, contamos con un programa de recompensas que nos ayuda a vigilar constantemente nuestra red.

Medidas de identificación y autorización de usuarios: Cada usuario en Taboola está asociado con un nombre de usuario y contraseña dedicados. Todos los accesos a la red interna de Taboola se realizan con 2FA utilizando la autenticación de Google. Los usuarios son creados únicamente por el departamento de TI, durante el proceso de incorporación y sólo después de recibir todos los detalles y el contrato firmado del departamento de RRHH.

Medidas de protección de datos durante la transmisión: Taboola soporta cualquier transmisión de datos a través de protocolos de transmisión seguros (HTTPS y TLS v1.2 como mínimo). Además, los sistemas que puedan contener IPI están protegidos y los datos se mantienen con hash y anónimos.

Medidas de protección de datos durante el almacenamiento: Los datos almacenados en nuestras bases de datos se anonimizan y se codifican mediante Bcrypt. El acceso a la base de datos se reduce al mínimo y se basa en el principio de “necesidad empresarial de conocer”.

Medidas para garantizar la seguridad física de los lugares en los que se tratan datos personales: Cada uno de los centros de datos globales de Taboola (en EE.UU., Europa y Asia), tiene todos sus servidores ubicados en armarios cerrados que se mantienen exclusivamente para el uso de Taboola. El mantenimiento de estos armarios corre a cargo de empresas que cuentan con la certificación SOC2 o cuyas medidas de seguridad han sido revisadas por Taboola. Además, cualquier acceso a los servidores requiere un permiso por escrito y registrado. Todas las oficinas de Taboola también están controladas y requieren que los empleados utilicen tarjetas de acceso para entrar. Además, sólo un número limitado de empleados tienen acceso a los servidores de Taboola y cualquier acceso también requiere un permiso por escrito y registrado.

Medidas para garantizar el registro de eventos: Taboola implementa herramientas de monitoreo y los registros se recopilan en nuestro sistema SIEM que nos alerta sobre cualquier evento sospechoso y también es monitoreado por el equipo NOC.

Medidas para garantizar la configuración del sistema, incluida la configuración por defecto: Se analizan los servidores para comprobar tanto la desviación de la configuración como el nivel de parches. Se establecen informes y/o alertas en ambos y se confirma el nivel de parche pertinente. Los nuevos parches se distribuyen mediante Puppet. Todas las revisiones técnicas se gestionan a través de la aplicación de I+D y se obtienen mediante un proceso formal de revisión (QA) tras la codificación y los procesos CI/CD también se implementan.

Medidas para la gobernanza y gestión internas de la TI y la seguridad informática: Taboola cuenta con las certificaciones ISO 27001:2013 y 27701. Taboola tiene una Política de Seguridad de la Información que establece que el Consejo de Administración y la gestión de Taboola se comprometen a preservar la confidencialidad, integridad y disponibilidad de todos los activos de información física y electrónica en toda su organización. Taboola lleva a cabo formaciones de seguridad para todos los nuevos empleados, formaciones de phishing para todos los empleados a nivel global, y formaciones de seguridad regulares para todos los empleados y también dedica sesiones para grupos de I+D.

Medidas de certificación/garantía de procesos y productos: Auditoría interna trimestral / semestral / anual sobre múltiples procesos y sistemas para validar que Taboola cumple con sus objetivos y medidas de seguridad definidos.

Medidas para garantizar la minimización de los datos: Taboola limita intencionalmente los datos que recopilamos como parte de los principios globales de minimización de datos de Taboola de procesar sólo los datos limitados necesarios para nuestros fines comerciales específicos. Además, Taboola no tiene la capacidad, ni ninguna necesidad comercial, de “ingeniería inversa” de cualquiera de los puntos de datos utilizados en nuestro algoritmo con el fin de proporcionar nuestros servicios. Más específicamente, los puntos de datos que Taboola recoge nunca son indicativos de la identidad de un usuario – como Taboola no recoge ni procesa información como el nombre del usuario, número de teléfono, correo electrónico o direcciones físicas. En su lugar, Taboola sólo recopila identificadores seudónimos, que simplemente identifican características sobre el dispositivo de un usuario. Esto incluye direcciones IP (que se truncan en el momento de la recopilación y sólo pueden identificar la ubicación general del código postal del dispositivo, pero nunca una geolocalización precisa) y, en algunos casos limitados, direcciones de correo electrónico con hash (que son intrínsecamente irreversibles y no pueden descifrarse para revelar la dirección de correo electrónico original). Además, incluso cuando se utilizan colectivamente, los datos que recopilamos nunca pueden producir el nombre, el número de teléfono, el correo electrónico o la dirección física de una persona, y nuestros ingenieros no trabajan en modo alguno para lograr este objetivo. Además, Taboola realiza y registra evaluaciones de impacto de privacidad en un esfuerzo por minimizar los riesgos de privacidad de nuestros servicios, procesos y políticas.

Medidas para garantizar la calidad de los datos: Los datos se recogen directamente del usuario y este tiene la oportunidad de corregir cualquier dato asociado a su CookieID a través del Portal de Solicitud de Acceso del Sujeto de Taboola: https://accessrequest.taboola.com/access

Medidas para garantizar una conservación limitada de los datos: Conservamos la información del usuario, que se recopila directamente con fines publicitarios, durante un máximo de trece (13) meses a partir de la última interacción del usuario con nuestros servicios (a menudo durante un período de tiempo más corto), tras lo cual desidentificamos los datos eliminando identificadores únicos o agregando los datos. Este proceso se realiza automáticamente.

Medidas para garantizar la rendición de cuentas: Taboola realiza múltiples auditorías de seguridad y pruebas de penetración (pero no para todos los sistemas). Taboola también utiliza proveedores en la nube que cuentan con la certificación ISO y que cumplen con otras certificaciones relevantes para la nube para mantener las salvaguardas físicas de un servidor.

Medidas para permitir la portabilidad de los datos y garantizar su supresión: Taboola se refiere a la eliminación de medios de comunicación de todo tipo, ya que pueden contener PII. Todos los soportes deben limpiarse completamente antes de reutilizarse o desecharse. Cualquier eliminación de medios queda documentada. Los empleados tienen instrucciones de no imprimir ningún papel que pueda contener información personal.

  1. En la medida en que una de las partes realice una Transferencia Restringida de Datos Recabados a la otra parte, las Cláusulas Contractuales Tipo se incorporarán a las presentes Condiciones de Privacidad del Anunciante y se aplicarán de la siguiente manera:
    1. cuando la Transferencia Restringida sea una Transferencia Restringida de la UE, las CEC de la UE se aplicarán entre las partes de la siguiente manera:
      1. Se aplicará el Módulo Uno;
      2. en la cláusula 7, se aplicará la cláusula de acoplamiento opcional;
      3. en la cláusula 11, no se aplicará el lenguaje opcional;
      4. en la cláusula 17, se aplicará la opción 1, y las CEC de la UE se regirán por la legislación irlandesa;
      5. en la cláusula 18(b), los litigios se resolverán ante los tribunales de Irlanda;
      6. Las Partes A, B y C del Anexo I se considerarán completadas con la información establecida en las Partes A, B y C del Anexo A de las presentes Condiciones de Privacidad del Anunciante; y
      7. El Anexo II se considerará completado con las medidas de seguridad establecidas en el Anexo B de las presentes Condiciones de Privacidad del Anunciante;
    2. cuando la Transferencia Restringida sea una Transferencia Restringida al Reino Unido, el Apéndice del Reino Unido se aplicará entre las partes como se indica a continuación:
      1. se aplicarán entre las partes las CEC de la UE, cumplimentadas según lo establecido anteriormente, y se modificarán mediante el Addendum del Reino Unido (cumplimentado según lo establecido en la subcláusula (ii) siguiente); y
      2. las tablas 1 a 3 del Addendum del Reino Unido se considerarán completadas con la información pertinente de los CEC de la UE, cumplimentada según lo establecido anteriormente, y las opciones “Exportador” e “Importador” se considerarán marcadas en la tabla 4. La fecha de inicio del Apéndice del Reino Unido (tal y como se establece en la tabla 1) será la Fecha de entrada en vigor de las presentes Condiciones de privacidad del anunciante.
  2. Transferencias restringidas hacia adelante:  Ninguna de las partes realizará una Transferencia Restringida de los Datos Recabados que reciba de la otra parte a menos que haya realizado todos los actos y gestiones necesarios para garantizar que dicha Transferencia Restringida cumple la Ley de Protección de Datos Aplicable y las Cláusulas Contractuales Tipo que haya acordado con la otra parte.