Términos de Privacidad para Propietarios de Propiedades Digitales

Last Update: October 10, 2024

Fecha de Entrada en Vigencia: 10 de octubre de 2024

Estos Términos de Privacidad de Taboola para Propietarios de Propiedades Digitales (“Términos de Privacidad del Publicador”) se aplican a los servicios de publicidad digital de Taboola, como cuando Taboola coloca contenido de Anunciantes en propiedades de Publicadores, incluyendo, pero no limitado a, productos y servicios de Publicadores como Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News y Taboola Push, de acuerdo con un acuerdo entre Taboola y un Publicador (“Acuerdo”), y estos Términos de Privacidad del Publicador se considerarán incorporados y formarán parte integral de cualquier Acuerdo de este tipo. Estos Términos de Privacidad del Publicador identifican los roles y responsabilidades de Taboola y del Publicador con respecto a los Datos Personales.

Si hay un conflicto entre los Términos de Privacidad del Editor y el Acuerdo, los Términos de Privacidad del Editor prevalecerán a menos que la disposición en conflicto en el Acuerdo haga referencia expresamente a la disposición en conflicto de estos Términos de Privacidad del Editor y especifique que reemplaza la disposición en conflicto.

Los términos definidos en esta sección tendrán los significados establecidos a continuación, y los términos afines se interpretarán en consecuencia. Los términos en mayúsculas utilizados pero no definidos en los Términos de Privacidad del Editor tendrán los significados definidos en el Acuerdo.

      1. Legislaciones de Protección de Datos Aplicables” significa cualquier y todas las leyes federales, nacionales, estatales u otras leyes de privacidad y protección de datos que se apliquen al Tratamiento que es objeto del Acuerdo y estos Términos de Privacidad del Editor, según se puedan enmendar o reemplazar de vez en cuando.
      2. Ley de Privacidad de California” significa la Ley de Privacidad del Consumidor de California de 2018, Cal. Código Civil § 1798.100 y siguientes (también, “CCPA”), según enmendada (incluyendo por la Ley de Derechos de Privacidad de California), y cualquier legislación subordinada y regulaciones de implementación.
      3. Controlador” significa: (i) una entidad que determina los propósitos y medios del Tratamiento de Datos Personales, y (ii) cualquier persona o entidad que se encuentre dentro del alcance del término “Controlador” o “Negocio” (o cualquier término sustancialmente análogo) según se define en las Legislaciones de Protección de Datos Aplicables.
      4. Persona Afectada” significa: (i) una persona natural identificada o identificable (y, para estos propósitos, una persona natural identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural), y (ii) cualquier persona que se encuentre dentro del alcance del término “persona afectada”, “consumidor” (o cualquier término sustancialmente análogo) según se define en las Legislaciones de Protección de Datos.
      5. Ley de Protección de Datos de la UE” significa: (i) el Reglamento General de Protección de Datos de la UE (Reglamento 2016/679) (“EU GDPR”); (ii) la Directiva de e-Privacidad de la UE (Directiva 2002/58/CE); y (iii) cualquier ley nacional de protección de datos promulgada bajo o en virtud de (i) o (ii), cada una según se pueda enmendar o reemplazar de vez en cuando.
      6. Datos Personales” significa cualquier información que se relacione con un individuo identificado o identificable (y dicho término incluirá, cuando lo exija la Legislación de Protección de Datos Aplicables, identificadores únicos de navegador o dispositivo), como se establece en el Anexo A, Parte B.
        1. Datos Personales de Interacción” significa cualquier Datos Personales recopilados de los consumidores en el momento, o después, de la interacción intencionada de un consumidor con Taboola, los productos de Taboola, las propiedades de Taboola y los anuncios que Taboola coloca.
        2. Datos Personales de Interacción Pasiva” significa cualquier Datos Personales recopilados de manera pasiva de las Propiedades del Editor, incluyendo, pero no limitado a, dirección IP, URL de página y User Agent String recopilada por Taboola, antes o en ausencia de la interacción intencionada de un consumidor con Taboola, los productos de Taboola, las propiedades de Taboola y los anuncios que Taboola coloca.
      7. Proceso” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, como la recolección, recepción, registro, organización, estructuración, uso, transmisión, acceso, compartición, divulgación, transferencia, almacenamiento, adaptación o alteración, recuperación, consulta, difusión o de otro modo poner a disposición, alineación o combinación, agregación, inferencia, derivación, análisis, restricción, borrado, destrucción o eliminación u otro manejo de Datos Personales, inclusive cómo se define dicho término bajo la Ley de Protección de Datos Aplicable.
      8. Encargado del Tratamiento” significa una entidad que Procesa Datos Personales en nombre de un Responsable, e incluye cómo se define dicho término y/o el término “procesador de datos” (o cualquier término sustancialmente análogo) bajo la Ley de Protección de Datos Aplicable.
      9. Transferencia Restringida” significa: (i) donde se aplica el EU GDPR, una transferencia de Datos Personales desde el EEE a un país fuera del EEE que no está sujeto a una determinación de adecuación por parte de la Comisión Europea (una “Transferencia Restringida de la UE“); y (ii) donde se aplica el UK GDPR, una transferencia de Datos Personales desde el Reino Unido a cualquier otro país que no esté sujeto a o basado en regulaciones de adecuación conforme a la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018 (una “Transferencia Restringida del Reino Unido“).
      10. Servicios” significa los servicios proporcionados por Taboola bajo el Acuerdo con el Editor.
      11. “Incidente de Seguridad” significa una violación de seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada de, o acceso a, Datos Personales de manera accidental o ilegal.
      12. “Standard Contractual Clauses” significa: (i) donde se aplica el EU GDPR, las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea del 4 de junio de 2021 sobre Standard Contractual Clauses para la transferencia de datos personales a terceros países conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (“UE SCCs”); y (ii) donde se aplica el UK GDPR, el “Anexo de Transferencia Internacional de Datos a las Standard Contractual Clauses de la Comisión de la UE” emitido por el Comisionado de Información bajo s.119A(1) de la DPA 2018 (“UK Addendum”).
      13. Tercero” significa un negocio que actúa como Responsable con respecto a Datos Personales, y que no es el negocio con el que el Sujeto de Datos cuyos Datos Personales son Procesados ha interactuado intencionalmente; el término incluye cómo se define dicho término bajo la Ley de Protección de Datos Aplicable.
      14. Ley de Protección de Datos del Reino Unido” significa: (i) la Ley de Protección de Datos del Reino Unido de 2018, (ii) el UK GDPR (como se define en s.3(10) de la Ley de Protección de Datos del Reino Unido de 2018) (“UK GDPR”), (iii) las Regulaciones de Privacidad y Comunicaciones Electrónicas del Reino Unido (Directiva CE) de 2003, y (iv) cualquier otra ley del Reino Unido hecha bajo o conforme a (i), (ii) o (iii), cada una de las cuales puede ser enmendada o sustituida de vez en cuando.

Para los Datos Personales Procesados en relación con los Servicios, cada parte acuerda que Procesará los Datos Personales que recolecte solo para los propósitos descritos en el Anexo A, Parte B (los “Propósitos Permitidos”) y según lo permitido por estos Términos de Privacidad del Editor, el Acuerdo y las Leyes de Protección de Datos Aplicables, según cada uno de estos pueda ser actualizado de vez en cuando. Taboola también puede Procesar los Datos Personales de Interacción Pasiva según lo permitido por la Política de Privacidad de Taboola, y según pueda ser actualizada de vez en cuando.

Cada Parte Procesará los Datos Personales de Interacción Pasiva que recolecte como Responsable o Tercero, según corresponda. Cada parte Procesará los Datos Personales de Interacción que recolecte como Responsable o Negocio, según corresponda. Las divulgaciones (ya sea directamente, o a través de una parte que pone datos a disposición de la otra parte) de Datos Personales de una parte a la otra son divulgaciones a Terceros.

      1. Si la Ley de Protección de Datos de EE. UU. o de un estado de EE. UU. se aplica a los Datos Personales, incluyendo sin limitación la Ley de Privacidad de California, en la medida en que Taboola Procese Datos Personales de Interacción Pasiva en relación con los Servicios, Taboola actúa como un Tercero para el Editor para dichos Datos Personales de Interacción Pasiva. Taboola Procesará dichos Datos Personales de Interacción Pasiva para los propósitos descritos en el Anexo A, Parte B y según lo permitido por estos Términos de Privacidad del Editor, el Acuerdo, la Ley de Protección de Datos Aplicable y la Política de Privacidad de Taboola, según cada uno pueda ser actualizado de vez en cuando. Dichos Datos Personales de Interacción Pasiva solo se ponen a disposición de Taboola para tales propósitos. Taboola proporcionará el mismo nivel de protección de privacidad que se requiere de los Negocios por las leyes de Protección de Datos de EE. UU. aplicables, incluyendo si corresponde, las Leyes de Privacidad de California. El Editor tiene el derecho de asegurar que Taboola utilice los Datos Personales de Interacción Pasiva de una manera consistente con las obligaciones del Editor. Al notificar a Taboola, el Editor tiene el derecho de tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de Datos Personales que pone a disposición de Taboola. Taboola informará al Editor en el período de tiempo requerido por las Leyes de Protección de Datos Aplicables si Taboola determina que ya no puede cumplir con sus obligaciones bajo las Leyes de Protección de Datos Aplicables. En la medida en que Taboola recoja Datos Personales de Interacción en relación con los Servicios, lo hará como un Negocio separado.

Las partes reconocen que pueden Procesar Datos Personales y que las Leyes de Protección de Datos Aplicables pueden aplicarse al Procesamiento de Datos Personales de cada parte. Cuando este sea el caso, cada parte deberá cumplir con dichas Leyes de Protección de Datos Aplicables con respecto a su procesamiento de Datos Personales. Cuando este sea el caso, y sujeto a la sección 7, cada parte será individualmente responsable de su propio cumplimiento con las Leyes de Protección de Datos Aplicables, incluyendo cualquier requisito aplicable para: (i) proporcionar transparencia a los Sujetos de Datos, (ii) tener consentimiento u otra base legal para el Procesamiento, y (iii) poner a disposición un punto de contacto a través del cual los Sujetos de Datos puedan ejercer sus derechos de protección de datos. El Editor deberá notificar de inmediato a Taboola si y en la medida en que reciba alguna solicitud de derechos de protección de datos relacionada con el Procesamiento de Datos Personales de Taboola como Controlador, para que Taboola pueda cumplir con la solicitud de acuerdo con sus obligaciones bajo la Ley de Protección de Datos Aplicable.

  1. El Editor deberá dirigir cualquier solicitud de sujeto de datos recibida respecto a los Servicios de Taboola a Portal Global de Solicitud de Acceso de Sujetos de Datos de Taboola o EE. UU. Portal de Exclusión de Derechos del Consumidor, según corresponda.

Si alguna de las Partes recibe alguna consulta, queja o correspondencia (un “Aviso de Terceros”) de un individuo, regulador u otro tercero sobre el procesamiento de los Datos Personales del Sujeto de Datos en relación con los Servicios, deberá informar de inmediato a la otra Parte y las Partes cooperarán de buena fe y según sea razonablemente necesario para abordar los requisitos de dicho Aviso de Terceros.

En el caso de que alguna de las partes realice una Transferencia Restringida de Datos Personales a la otra parte, se aplicarán las disposiciones del Anexo C.

En la medida en que Taboola recoja Datos Personales de las Propiedades del Editor utilizando el código de Taboola, píxeles y otra tecnología de seguimiento, el Editor deberá: (i) proporcionar todos los avisos de transparencia requeridos a los Sujetos de Datos sobre el uso del código de Taboola para recoger Datos Personales de las Propiedades del Editor para los Fines Permitidos, y (ii) obtener (y, a solicitud de Taboola en cualquier momento, proporcionar evidencia apropiada de) el consentimiento del Sujeto de Datos para dicho uso del código de Taboola para los Fines Permitidos, en cada caso de acuerdo con los requisitos de las Leyes de Protección de Datos Aplicables. Las obligaciones del Editor en este sentido incluyen identificar a Taboola y su uso del código de Taboola para los Fines Permitidos expresamente dentro de los avisos de transparencia y los avisos de consentimiento que el Editor proporciona a los Sujetos de Datos, así como cualquier otra información requerida por las Leyes de Protección de Datos Aplicables, para que Taboola pueda proporcionar sus Servicios legalmente a través de dichas Propiedades y Procesar Datos Personales para los Fines Permitidos. A solicitud por escrito, Taboola deberá proporcionar al Editor la información que el Editor pueda requerir razonablemente sobre el código de Taboola y el Procesamiento de Datos Personales de Taboola a través de las Propiedades del Editor para que el Editor pueda asegurarse de que sus mecanismos de aviso y consentimiento cumplan con las Leyes de Protección de Datos Aplicables. El Editor acepta específicamente que:

  1. en cuanto a sus Propiedades basadas en la web, la Política de Privacidad del Editor describirá el uso de cookies, identificadores únicos y tecnologías no basadas en cookies por terceros (es decir, Taboola) para publicidad basada en intereses y análisis (dentro y fuera de las Propiedades), y proporcionará un enlace a la página de exclusión de la industria de la NAI en http://www.networkadvertising.org, la página de exclusión de la industria de la DAA en http://www.aboutads.info, o (en cuanto a medios y recopilación de datos basados en la web europeos) un enlace al enlace de exclusión de la EDAA en http://www.youronlinechoices.eu, de una manera que cumpla con los requisitos de la Ley de Protección de Datos Aplicable; y
  2. en lo que respecta a las Propiedades basadas en aplicaciones móviles, la Política de Privacidad del Editor describirá el uso de SDKs en sus aplicaciones móviles y la recopilación de identificadores de anuncios móviles para publicidad basada en intereses o publicidad y análisis entre aplicaciones (dentro y fuera de las Propiedades); y proporcionará una descripción de cómo los usuarios y Visitantes pueden optar por no participar en la recopilación de datos móviles para publicidad entre aplicaciones a través de la configuración del dispositivo.
  3. para sus Propiedades orientadas a la UE, el Editor deberá asegurarse de obtener el consentimiento libre, específico, informado y inequívoco de los Visitantes de acuerdo con la Ley de Privacidad de la UE, con respecto a la colocación o acceso a cualquier cookie de Taboola o cualquier otro identificador único en el(los) dispositivo(s) de los Visitantes. El Editor deberá proporcionar a sus Visitantes detalles de contacto (que pueden incluir hacer esos detalles disponibles a través de su Política de Privacidad) para que puedan contactar al Editor para ejercer sus derechos de protección de datos (incluyendo en relación con los Datos Personales procesados en conexión con los Servicios). Las obligaciones anteriores se aplican donde las Propiedades del Editor atraen a Visitantes en jurisdicciones que requieren mecanismos de consentimiento con respecto a los Servicios.

Durante el Plazo, Taboola puede proporcionar un lenguaje recomendado para la política de privacidad o divulgación al Editor. El Editor reconoce que no deberá confiar en dicho lenguaje recomendado como, o como un sustituto de, asesoría legal y que el Editor o la Compañía son los únicos responsables de cualquier divulgación en su política de privacidad o en su sitio web.

El Editor no deberá proporcionar ni configurar los Servicios para recopilar o divulgar de otro modo a Taboola ninguna categoría especial de datos personales o información personal sensible o datos sensibles (según se define bajo la Ley de Protección de Datos Aplicable) a Taboola para su procesamiento. Además, el Editor deberá asegurarse de que cualquier URL de página disponible para Taboola no contenga información sobre el título del video. Taboola se reserva el derecho de suspender los Servicios por el incumplimiento del Editor de este párrafo a menos que y hasta que dicho incumplimiento sea remediado.

Cada Parte deberá implementar medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales de los Visitantes de un Incidente de Seguridad. Estas medidas incluirán las medidas establecidas en el Anexo B.

Si alguna Parte sufre un Incidente de Seguridad respecto a los Datos Personales que procesa y que es objeto del Acuerdo y estos Términos de Privacidad del Editor, esa Parte deberá: (i) ser responsable de cumplir (a su propio costo) con cualquier obligación de reporte que le aplique bajo las Leyes de Protección de Datos Aplicables a las autoridades de protección de datos y/o a los Sujetos de Datos afectados, (ii) notificar a la otra Parte sin demora indebida, proporcionando la información sobre el Incidente de Seguridad que razonablemente pueda ser solicitada por la otra Parte o que de otro modo sea requerida para que la otra Parte determine si también puede tener obligaciones de reporte bajo las Leyes de Protección de Datos Aplicables respecto al Incidente de Seguridad, y (iii) tomar todas las acciones y medidas, sin demora indebida, que sean apropiadas para remediar y/o mitigar los efectos del Incidente de Seguridad.

Donde y en la medida en que sea requerido por las Leyes de Protección de Datos Aplicables a las que cada parte está sujeta, cada parte deberá llevar a cabo cualquier evaluación de impacto de protección de datos respecto a su Procesamiento de Datos Personales para los Fines Permitidos y/o consultar con las autoridades de protección de datos aplicables, cuando sea necesario. Cada parte deberá proporcionar toda la cooperación razonable y la información razonablemente solicitada por la otra parte, donde esto sea necesario para permitir que la otra parte complete una evaluación de impacto de protección de datos y/o consulte con las autoridades de protección de datos aplicables de acuerdo con las obligaciones de esa otra parte bajo esta sección.

A. LISTA DE PARTES

Cada parte será:

  • un controlador de datos (y exportador de datos) de los Datos Recopilados que divulga o pone a disposición a la otra parte, y
  • un controlador de datos (y importador de datos) de los Datos Recopilados que recibe de, o a los que se le da acceso por, la otra parte.

Los detalles de cada parte se proporcionan a continuación.

Nombre: Vea los detalles del Editor establecidos en el Acuerdo.

Dirección: Ver los detalles del Editor establecidos en el Acuerdo.

Nombre de la persona de contacto, cargo y detalles de contacto: Ver los detalles del Editor establecidos en el Acuerdo o de otro modo acordados entre las partes por escrito.

Actividades relevantes para los datos transferidos bajo estas Cláusulas: La recepción de los Servicios, como se establece en el Acuerdo.

Firma y fecha: Este Anexo A se considerará ejecutado tras la aceptación de estos Términos de Privacidad del Editor por parte del Editor.

Rol (controlador/procesador): Controlador (donde es un exportador de datos) y Controlador (donde es un importador de datos)

 

Nombre: Ver los detalles de Taboola establecidos en la introducción del Acuerdo.

Dirección: Ver los detalles de Taboola establecidos en la introducción del Acuerdo.

Nombre de la persona de contacto, cargo y detalles de contacto: El equipo de privacidad de Taboola: privacy@taboola.com.

Actividades relevantes para los datos transferidos bajo estas Cláusulas: La provisión de los Servicios, como se establece en el Acuerdo.

Firma y fecha: Este Anexo A se considerará ejecutado tras la aceptación de estos Términos de Privacidad de Taboola por parte de Taboola.

Rol (controlador/procesador): Controlador (donde es un exportador de datos) y Controlador (donde es un importador de datos)

 

B. DESCRIPCIÓN DEL PROCESAMIENTO Y TRANSFERENCIA 

Categorías de sujetos de datos cuyos datos personales son procesados y/o transferidos: Usuarios

Categorías de datos personales procesados y/o transferidos:

Datos del dispositivo: Datos del dispositivo del usuario, navegador y sistema operativo; información del dispositivo móvil (todos los ID móviles están encriptados) incluyendo IDFAs y AAIDs; datos de cookies que pueden ser leídos o utilizados por Taboola (todos los ID de cookies/ID de usuario están encriptados); direcciones IP; correos electrónicos encriptados; sitio web de referencia; idioma del usuario; país / región / ciudad. Si las aplicaciones móviles son parte de los Servicios, los elementos de datos adicionales incluyen latitud/longitud truncadas e imprecisas, tipo de conexión y dimensiones de la pantalla.

Datos sobre la propiedad digital visitada por el usuario: cómo se mostró la plataforma y si el usuario interactuó con la plataforma; comportamiento en la web o en la aplicación.

En la medida en que el Header Bidding sea parte de los Servicios, se aplica lo siguiente:

  • Datos de Bid Request / Bid Response: ID único de la solicitud de oferta, objeto IMP que representa la impresión ofrecida, sitio o aplicación del editor representado, Aplicación, Dispositivo, Tipo de subasta, Tiempo máximo, Moneda, Categorías bloqueadas, ID del dispositivo, ID de usuario de Taboola, Socios de etiquetas de llamada: URL.

Con respecto a Taboola Newsroom, se aplica lo siguiente:

  • Eventos del sitio web del editor: Datos de conversión
  • Información sobre el navegador del usuario leída desde el agente de usuario: La URL de la página visitada, el sitio web de referencia, sistema operativo, tipo de navegador y versión del navegador, ID de usuario de Taboola encriptado asociado leído de la cookie, dirección IP asociada, (truncada después de 30 días).

Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que consideren plenamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo, limitación estricta de propósito, restricciones de acceso (incluido el acceso solo para el personal que ha seguido una formación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales: No aplicable.

La frecuencia del procesamiento y/o transferencias (por ejemplo, si los datos se procesan y/o transfieren de manera única o continua): Continua durante la duración del Acuerdo.

Naturaleza del procesamiento: Procesamiento de Datos Personales necesarios para la prestación de los Servicios, según lo establecido en el Acuerdo.

Propósito(s) del procesamiento / transferencia de datos y procesamiento adicional: La provisión de los Servicios, como se establece en el Acuerdo. Con el fin de evitar dudas, los Propósitos Permitidos incluyen: (i) almacenar y/o acceder a información en un dispositivo; (ii) seleccionar anuncios básicos; (iii) crear un perfil de anuncios personalizado; (iv) seleccionar anuncios personalizados; (v) crear un perfil de contenido personalizado; (vi) seleccionar contenido personalizado; (vii) medir el rendimiento de los anuncios; (viii) medir el rendimiento del contenido; (ix) desarrollar y mejorar productos; (x) garantizar la seguridad, prevenir fraudes y depurar; (xi) entregar técnicamente anuncios o contenido; (xii) emparejar y combinar fuentes de datos fuera de línea; (xiii) vincular diferentes dispositivos; (xiv) recibir y utilizar características del dispositivo enviadas automáticamente para identificación; (xv) utilizar datos limitados para seleccionar contenido, y (xvi) guardar y comunicar elecciones de privacidad.

Con respecto a Taboola Newsroom, lo siguiente se aplica: (i) seguimiento de eventos de conversión de suscripción.

Con respecto a Taboola Push, el siguiente propósito adicional se aplica: (i) enviar notificaciones al dispositivo de un usuario.

En la medida en que Header Bidding sea parte de los Servicios, se aplicará el siguiente propósito adicional: (i) determinar si ofertar por una ubicación y servir recomendaciones personalizadas.

En la medida en que Home Page 4 You sea parte de los Servicios, se aplicará el siguiente propósito adicional: (i) automatizar y curar contenido de editores dentro de las páginas de inicio de propiedades digitales designadas.

El período durante el cual se retendrán los datos personales, o, si eso no es posible, los criterios utilizados para determinar ese período:

  • Taboola: Los datos en bruto se almacenan por un máximo de 13 meses.
  • Anunciante: Durante el tiempo que sea necesario para recibir los Servicios o según lo especificado de otra manera en el Acuerdo.

Para transferencias a (sub-) procesadores, también especifique el tema, la naturaleza y la duración del procesamiento: No aplicable.

 

C. AUTORIDAD SUPERVISORA COMPETENTE

Autoridad de supervisión competente donde se aplica el EU GDPR: La autoridad de supervisión competente para cada parte se describe a continuación:

  • Taboola: La autoridad de supervisión competente se determinará de acuerdo con la Cláusula 13 de los EU SCCs.
  • Anunciante: La autoridad de supervisión competente se determinará de acuerdo con la Cláusula 13 de los EU SCCs.

Autoridad de supervisión competente donde se aplica el UK GDPR: La Oficina del Comisionado de Información

Descripción de las medidas técnicas y organizativas implementadas por cada parte (incluyendo cualquier certificación relevante) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, alcance, contexto y propósito del procesamiento, y los riesgos para los derechos y libertades de las personas naturales.

Medidas de seudonimización y encriptación de datos personales: Taboola solo recopila datos seudonimizados, lo que significa que no sabemos quién eres porque no conocemos ni procesamos el nombre, la dirección de correo electrónico u otros datos identificables del usuario. La información del usuario que recopilamos incluye, pero no se limita a, información sobre el dispositivo y el sistema operativo de un usuario, dirección IP, las páginas web a las que acceden los usuarios dentro de los sitios web de nuestros clientes, el enlace que llevó a un usuario al sitio web de un cliente, las fechas y horas en que un usuario accede al sitio web de un cliente y otros datos de navegación web. El CookieID se anonimiza utilizando Bcrypt y la dirección IP se trunca.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento: Taboola utiliza múltiples niveles de seguridad electrónica (por ejemplo: seguridad en el punto final, seguridad del lado del servidor, seguimiento de detecciones, pruebas de penetración periódicas y recopilación de inteligencia profunda para revisar eventos post-mortem).

Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico: Taboola mantiene 9 centros de datos operando en todo el mundo. Cada centro de datos se utiliza como una replicación del otro, por lo que si uno falla, los datos se pueden extraer de otro centro de datos.

Procesos para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento: Taboola mantiene procesos estrictos para probar la efectividad de sus controles (tanto técnicos como organizativos). Tenemos registro y monitoreo del sistema en su lugar, pruebas de DR mensuales (al menos), pruebas de penetración trimestrales, cortafuegos que protegen la web y honeypots distribuidos por la red para encontrar cualquier actividad maliciosa. Además, tenemos un programa de recompensas que nos ayuda a monitorear constantemente nuestra red.

Medidas para la identificación y autorización de usuarios: Cada usuario en Taboola está asociado con un nombre de usuario y una contraseña dedicados. Cada acceso a la red interna de Taboola se realiza con 2FA utilizando la autenticación de Google. Los usuarios son creados solo por el departamento de TI, durante el proceso de incorporación y solo después de recibir todos los detalles y el contrato firmado del departamento de recursos humanos.

Medidas para la protección de datos durante la transmisión: Taboola admite cualquier transmisión de datos a través de protocolos de transmisión seguros (HTTPS y TLS v1.2 como mínimo). Además, los sistemas que podrían contener PII están asegurados y los datos se mantienen encriptados y anonimizados.

Medidas para la protección de datos durante el almacenamiento: Los datos que se almacenan en nuestras bases de datos son anonimizados y hashados utilizando Bcrypt. El acceso a la base de datos se minimiza y se basa en el principio de ‘necesidad de saber’ empresarial.

Medidas para garantizar la seguridad física de los lugares donde se procesan datos personales: Cada uno de los centros de datos globales de Taboola (en EE. UU., Europa y Asia) tiene todos sus servidores ubicados en armarios cerrados que se mantienen exclusivamente para el uso de Taboola. Estos armarios son mantenidos por empresas que están certificadas por SOC2 o que Taboola ha revisado sus medidas de seguridad. Además, cualquier acceso a los servidores requiere permiso por escrito y registrado. Todas las oficinas de Taboola también están controladas y requieren que los empleados usen tarjetas de acceso para entrar. Además, solo un número limitado de empleados tiene acceso a los servidores de Taboola y cualquier acceso también requiere permiso por escrito y registrado.

Medidas para garantizar el registro de eventos: Taboola implementa herramientas de monitoreo y los registros se recopilan en nuestro sistema SIEM, que nos alerta sobre cualquier evento sospechoso y también es monitoreado por el equipo de NOC.

Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada: Los servidores son escaneados tanto para desviaciones de configuración como para niveles de parches. Se establecen informes y/o alertas en ambos y se confirma el nivel de parche relevante. Los nuevos parches se distribuyen utilizando Puppet. Todas las revisiones técnicas se gestionan a través de la aplicación de I+D y se obtienen a través de un proceso formal de revisión (QA) después de que se implementan la codificación y los procesos de CI/CD.

Medidas para la gobernanza y gestión interna de TI y seguridad de TI: Taboola está certificada por ISO 27001:2013 y 27701. Taboola tiene una Política de Seguridad de la Información que establece que la Junta Directiva y la dirección de Taboola están comprometidas a preservar la confidencialidad, integridad y disponibilidad de todos los activos de información físicos y electrónicos en toda su organización. Taboola realiza capacitaciones de seguridad para todos los nuevos empleados, capacitaciones sobre phishing para todos los empleados a nivel global y capacitaciones regulares de seguridad para todos los empleados, además de sesiones dedicadas para grupos de I+D.

Medidas para la certificación/aseguramiento de procesos y productos: Auditoría interna trimestral / semestral / anual sobre múltiples procesos y sistemas para validar que Taboola está cumpliendo con sus objetivos y medidas de seguridad definidos.

Medidas para garantizar la minimización de datos: Taboola limita intencionadamente los datos que recopilamos como parte de los principios globales de minimización de datos de Taboola, procesando solo los datos limitados necesarios para nuestros fines comerciales específicos. Además, Taboola no tiene la capacidad, ni ninguna necesidad comercial, de “ingeniería inversa” de ninguno de los puntos de datos utilizados en nuestro algoritmo para proporcionar nuestros servicios. Más específicamente, los puntos de datos que Taboola recopila nunca son indicativos de la identidad de un usuario, ya que Taboola no recopila ni procesa información como el nombre del usuario, número de teléfono, correo electrónico o direcciones físicas. En su lugar, Taboola solo recopila identificadores seudónimos, que simplemente identifican características sobre el dispositivo de un usuario. Esto incluye direcciones IP (que se truncaron al ser recopiladas y solo pueden identificar la ubicación general del código postal del dispositivo, pero nunca una geolocalización precisa) y, en algunas instancias limitadas, direcciones de correo electrónico hash (que son inherentemente irreversibles y no pueden ser descifradas para revelar la dirección de correo electrónico original). Además, incluso cuando se utilizan colectivamente, los datos que recopilamos nunca pueden producir el nombre, número de teléfono, correo electrónico o dirección física de un individuo, y nuestros ingenieros no trabajan de ninguna manera para lograr este objetivo. Adicionalmente, Taboola realiza y registra evaluaciones de impacto sobre la privacidad en un esfuerzo por minimizar los riesgos de privacidad de nuestros servicios, procesos y políticas.

Medidas para garantizar la calidad de los datos: Los datos se recopilan directamente del usuario y se le da la oportunidad de corregir cualquier dato asociado con su CookieID a través del Portal de Solicitud de Acceso de Taboola: https://accessrequest.taboola.com/access

Medidas para garantizar la retención limitada de datos: Retenemos la Información del Usuario, que se recopila directamente con el propósito de servir anuncios, por un máximo de trece (13) meses desde la última interacción del Usuario con nuestros Servicios (a menudo por un período más corto), después del cual desidentificamos los datos eliminando identificadores únicos o agregando los datos. Este proceso se realiza automáticamente.

Medidas para garantizar la responsabilidad: Taboola realiza múltiples auditorías de seguridad y pruebas de penetración (pero no para todos los sistemas). Taboola también utiliza proveedores de nube que están certificados por ISO y que cumplen con otras certificaciones relevantes para la nube para mantener las salvaguardias físicas de un servidor.

Medidas para permitir la portabilidad de datos y garantizar la eliminación: Taboola relacionado con la eliminación de medios es el mismo para todo tipo de medios, ya que podría contener PII. Cualquier medio debe ser completamente borrado antes de ser reutilizado o desechado. Cualquier disposición de medios está documentada. Se instruye a los empleados a no imprimir ningún papel que pueda contener información personal.

  1. En la medida en que una parte realice una Transferencia Restringida de Datos Recogidos a la otra parte, las Standard Contractual Clauses se incorporarán a estos Términos de Privacidad del Editor y se aplicarán de la siguiente manera:

a. cuando la Transferencia Restringida sea una Transferencia Restringida de la UE, las SCC de la UE se aplicarán entre las partes de la siguiente manera:

  1. (i) Módulo Uno se aplicará;
  2. (ii) en la Cláusula 7, se aplicará la Cláusula de acoplamiento opcional;
  3. (iv) en la Cláusula 11, el idioma opcional no se aplicará;
  4. (v) en la Cláusula 17, se aplicará la Opción 1, y las SCC de la UE estarán regidas por la ley irlandesa;
  5. (vi) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
  6. (vii) Las Partes A, B y C del Anexo I se considerarán completadas con la información establecida en las Partes A, B y C del Anexo A de estos Términos de Privacidad del Editor; y
  7. (vii) El Anexo II se considerará completado con las medidas de seguridad establecidas en el Anexo B de estos Términos de Privacidad del Editor;

b. cuando la Transferencia Restringida sea una Transferencia Restringida del Reino Unido, el Anexo del Reino Unido se aplicará entre las partes de la siguiente manera:

(i) las SCC de la UE, completadas como se establece arriba, se aplicarán entre las partes, y serán modificadas por el Anexo del Reino Unido (completado como se establece en la subcláusula (ii) a continuación); y

(ii) las tablas 1 a 3 del Anexo del Reino Unido se considerarán completadas con la información relevante de las SCC de la UE, completadas como se establece arriba, y las opciones “Exportador” e “Importador” se considerarán marcadas en la tabla 4. La fecha de inicio del Anexo del Reino Unido (como se establece en la tabla 1) será la Fecha de Entrada en Vigencia de estos Términos de Privacidad del Editor.

2. Transferencias Restringidas Posteriores: Ninguna de las partes realizará una Transferencia Restringida Posterior de Datos Recogidos que reciba de la otra parte a menos que haya realizado todos los actos y cosas necesarios para garantizar que dicha Transferencia Restringida Posterior cumpla con la Ley de Protección de Datos Aplicable y cualquier Cláusula Contractual Estándar que haya acordado con la otra parte.