Términos de Privacidad

Last Update: October 10, 2024

Fecha de entrada en vigor: 10 de octubre 2024

Estos Términos de privacidad del editor de Taboola (“Términos de privacidad del editor”) se aplican a los servicios de publicidad digital de Taboola, como cuando Taboola coloca contenido del anunciante en propiedades del editor, incluidos, entre otros, productos y servicios del editor como Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News y Taboola Push, de conformidad con un acuerdo entre Taboola y un editor (“Acuerdo”), y estos Términos de privacidad del editor se considerarán incorporados a, y formarán parte integral de, cualquier acuerdo de este tipo. Estos Términos de Privacidad del Editor identifican las funciones y responsabilidades de Taboola y del Editor con respecto a los Datos Personales.

En caso de conflicto entre los Términos de Privacidad del Editor y el Acuerdo, regirán los Términos de Privacidad del Editor a menos que la disposición en conflicto del Acuerdo haga referencia expresa a la disposición en conflicto de estos Términos de Privacidad del Editor y especifique que reemplaza la disposición en conflicto.

Los términos definidos en esta sección tendrán los significados establecidos a continuación, y los términos afines se interpretarán en consecuencia. Los términos en mayúscula utilizados pero no definidos en los Términos de privacidad del editor tendrán los significados definidos en el Acuerdo.

      1. Leyes de Protección de Datos Aplicables” se refiere a todas y cada una de las leyes federales, nacionales, estatales u otras leyes de privacidad y protección de datos aplicables al Procesamiento que es el objeto del Acuerdo y estos Términos de Privacidad del Editor, que pueden modificarse o reemplazarse de vez en cuando.
      2. Ley de Privacidad de California” significa Ley de Privacidad del Consumidor de California de 2018, Cal. Código Civil § 1798.100 y siguientes (también, “CCPA”), en su forma enmendada (incluso por la Ley de Derechos de Privacidad de California), y cualquier legislación subordinada y reglamentos de aplicación.
      3. Controlador” significa: (i) una entidad que determina los propósitos y medios del Procesamiento de Datos Personales, y (ii) cualquier persona o entidad que entre dentro del alcance del término “Controlador”, o “Negocio” (o cualquier término sustancialmente análogo) como se define en las Leyes de Protección de Datos Aplicables.
      4. Interesado” significa: (i) una persona física identificada o identificable (y, a estos efectos, una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física), y (ii) cualquier persona que entre dentro del ámbito del término “interesado”, “consumidor” (o cualquier término sustancialmente análogo) como se define en las Leyes de Protección de Datos.
      5. Ley de Protección de Datos de la UE”: (i) el Reglamento General de Protección de Datos de la UE (Reglamento 2016/679) (“RGPD de la UE”); (ii) la Directiva de privacidad electrónica de la UE (Directiva 2002/58/CE); y (iii) cualquier ley nacional de protección de datos promulgada en virtud o en cumplimiento de (i) o (ii), cada una de las cuales puede modificarse o reemplazarse de vez en cuando.
      6. Datos personales”: cualquier información que se refiera a una persona identificada o identificable (y dicho término incluirá, cuando lo exija la Ley de protección de datos aplicable, identificadores únicos de navegador o dispositivo), según se establece en el anexo A, parte B.
        1. Datos personales de interacción” significa cualquier dato personal recopilado de los consumidores en el momento, o después, de la interacción intencional de un consumidor con Taboola, los productos de Taboola, las propiedades de Taboola y los anuncios que Taboola coloca.
        2. Datos personales pasivos” significa cualquier dato personal recopilado pasivamente de las propiedades del editor, incluyendo, pero no limitado a, dirección IP, URL de página y cadena de agentes de usuario recopilados por Taboola, antes o en ausencia de la interacción intencional de un consumidor con Taboola, los productos de Taboola, las propiedades de Taboola y los anuncios que Taboola coloca.
      7. Proceso” significa cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea o no por medios automatizados, como recopilación, recepción, registro, organización, estructuración, uso, transmisión, acceso, intercambio, divulgación, transferencia, almacenamiento, adaptación o alteración, recuperación, consulta, difusión o puesta a disposición de otro modo, alineación o combinación, agregación, inferencia, derivación, análisis, restricción, supresión, destrucción o eliminación u otro manejo de Datos Personales, incluida la forma en que se define dicho término en la Ley de Protección de Datos aplicable.
      8. Encargado del tratamiento” significa una entidad que procesa datos personales en nombre de un responsable del tratamiento, e incluye la forma en que dicho término y/o el término “encargado del tratamiento” (o cualquier término sustancialmente análogo) se define en la Ley de protección de datos aplicable.
      9. Transferencia restringida” significa: (i) cuando se aplica el RGPD de la UE, una transferencia de Datos Personales desde el EEE a un país fuera del EEE que no está sujeto a una determinación de adecuación por parte de la Comisión Europea (una “Transferencia restringida de la UE”); y (ii) cuando se aplica el RGPD del Reino Unido, una transferencia de Datos Personales desde el Reino Unido a cualquier otro país que no esté sujeto o basado en regulaciones de adecuación de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido 2018 (una “Transferencia restringida del Reino Unido”).
      10. Servicios” significa los servicios prestados por Taboola en virtud del Acuerdo con el Editor.
      11. “Incidente de seguridad” significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales accidental o ilegal.
      12. “Cláusulas contractuales estándar”: (i) cuando se aplica el RGPD de la UE, las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (“ECCC de la UE”); y (ii) cuando se aplica el RGPD del Reino Unido, la “Adición internacional de transferencia de datos a las cláusulas contractuales estándar de la Comisión Europea” emitida por el Comisario de Información en virtud del artículo 119A(1) del DPA 2018 (“Adición del Reino Unido”).
      13. Tercero” significa una empresa que actúa como Controlador con respecto a los Datos Personales, y que no es la empresa con la que el Interesado cuyos Datos Personales se Procesan ha interactuado intencionalmente; el término incluye cómo se define dicho término en la Ley de Protección de Datos Aplicable.
      14. Ley de Protección de Datos del Reino Unido” significa: (i) la Ley de Protección de Datos del Reino Unido de 2018, (ii) el RGPD del Reino Unido (como se define en el artículo 3 (10) de la Ley de Protección de Datos del Reino Unido de 2018) (“RGPD del Reino Unido”), (iii) el Reglamento de Privacidad y Comunicaciones Electrónicas del Reino Unido (Directiva CE) de 2003), y (iv) cualquier otra ley del Reino Unido hecha en virtud o de conformidad con (i), (ii) o (iii), cada una de las cuales puede modificarse o reemplazarse de vez en cuando.

Para los Datos Personales Procesados en relación con los Servicios, cada parte acuerda que Procesará los Datos Personales que recopila solo para los fines descritos en el Anexo A, Parte B (los “Fines Permitidos“) y según lo permitido por estos Términos de Privacidad del Editor, el Acuerdo y las Leyes de Protección de Datos Aplicables, ya que cada uno de estos puede actualizarse de vez en cuando. Taboola también puede procesar los datos personales de interacción pasiva según lo permitido por la Política de privacidad de Taboola y según se actualice de vez en cuando.

Cada Parte procesará los Datos Personales de Interacción Pasiva que recoja como Controlador o Tercero, según corresponda. Cada parte procesará los datos personales de interacción que recopila como controlador o empresa, según corresponda. Las divulgaciones (ya sea directamente o a través de una parte que pone los datos a disposición de la otra parte) de Datos personales de una parte a la otra son divulgaciones a terceros.

      1. Si la Ley de Protección de Datos de los Estados Unidos se aplica a los Datos Personales, incluida, entre otras, la Ley de Privacidad de California, en la medida en que Taboola procese Datos Personales de Interacción Pasiva en relación con los Servicios, Taboola actuará como Tercero del Editor para dichos Datos Personales de Interacción Pasiva. Taboola procesará dichos Datos personales de interacción pasiva para los fines descritos en el Anexo A, Parte B y según lo permitido por estos Términos de privacidad del editor, el Acuerdo, la Ley de protección de datos aplicable y la Política de privacidad de Taboola, ya que cada uno puede actualizarse periódicamente. Dichos datos personales de interacción pasiva solo se ponen a disposición de Taboola para tales fines. Taboola proporcionará el mismo nivel de protección de la privacidad que se exige a las empresas por las leyes de protección de datos aplicables de los Estados Unidos, incluidas, si corresponde, las leyes de privacidad de California. El Editor tiene derecho a garantizar que Taboola utilice los Datos personales de interacción pasiva de una manera consistente con las obligaciones del Editor. Al notificar a Taboola, el Editor tiene derecho a tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de los Datos personales que pone a disposición de Taboola. Taboola informará al Editor en el plazo requerido por las Leyes de Protección de Datos aplicables si Taboola determina que ya no puede cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos aplicables. En la medida en que Taboola recopile Datos Personales de Interacción en relación con los Servicios, lo hará como un Negocio separado.

Las partes reconocen que pueden procesar datos personales y que las leyes de protección de datos aplicables pueden aplicarse al procesamiento de los datos personales por cada parte. En este caso, cada parte cumplirá con las leyes de protección de datos aplicables con respecto a su procesamiento de datos personales. Cuando sea el caso, y con sujeción a la sección 7, cada parte será individualmente responsable de su propio cumplimiento de las leyes de protección de datos aplicables, incluidos los requisitos aplicables para: (i) proporcionar transparencia a los interesados, (ii) tener consentimiento u otra base legal para el procesamiento, y (iii) poner a disposición un punto de contacto a través del cual los interesados puedan ejercer sus derechos de protección de datos. El editor notificará inmediatamente a Taboola si recibe alguna solicitud de derechos de protección de datos relacionada con el procesamiento de datos personales de Taboola como controlador, y en la medida en que lo haga, para que Taboola pueda cumplir con la solicitud de conformidad con sus obligaciones en virtud de la Ley de Protección de Datos aplicable.

  1. El Editor dirigirá cualquier solicitud de interesado recibida con respecto a los Servicios de Taboola al Portal de Solicitudes de Acceso de Interesados Globales de Taboola o a los EE. Portal de exclusión de derechos del consumidor, según corresponda.

Si cualquiera de las Partes recibe cualquier consulta, queja o correspondencia (una “Notificación de Terceros“) de un individuo, regulador u otro tercero en relación con el procesamiento de los Datos Personales del Interesado en relación con los Servicios, informará rápidamente a la otra Parte y las Partes cooperarán de buena fe y según sea razonablemente necesario para abordar los requisitos de dicha Notificación de Terceros.

En caso de que cualquiera de las partes realice una Transferencia Restringida de Datos Personales a la otra parte, se aplicará lo dispuesto en el Anexo C.

En la medida en que Taboola recopile Datos Personales de Propiedades del Editor utilizando el código Taboola, píxeles y otra tecnología de seguimiento, el Editor deberá: (i) proporcionar todos los avisos de transparencia requeridos a los Sujetos de Datos sobre el uso del código Taboola por Taboola para recopilar Datos Personales de Propiedades del Editor para los Fines Permitidos, y (ii) obtener (y, a solicitud en cualquier momento de Taboola, proporcionar pruebas adecuadas de) el consentimiento del Sujeto de Datos para dicho uso del código Taboola para los Fines Permitidos, en cada caso de acuerdo con los requisitos de las Leyes de Protección de Datos aplicables. Las obligaciones del Editor en este sentido incluyen identificar Taboola y su uso del código Taboola para los Fines Permitidos expresamente dentro de los avisos de transparencia y avisos de consentimiento que el Editor proporciona a los Sujetos de Datos, así como cualquier otra información requerida por las Leyes de Protección de Datos aplicables, para que Taboola pueda proporcionar sus Servicios legalmente a través de dichas Propiedades y Procesar Datos Personales para los Fines Permitidos. Previa solicitud por escrito, Taboola proporcionará al Editor la información que el Editor pueda requerir razonablemente sobre el código Taboola y el procesamiento de datos personales de Taboola a través de las Propiedades del Editor para el Editor para garantizar que sus mecanismos de notificación y consentimiento cumplan con las Leyes de Protección de Datos aplicables. El editor acepta específicamente que:

  1. En cuanto a sus Propiedades basadas en la web, la Política de Privacidad del Editor describirá el uso de cookies, identificadores únicos y tecnologías no relacionadas con cookies por terceros (es decir, Taboola) para la publicidad y el análisis basados en intereses (dentro y fuera de las Propiedades), y proporcionará un enlace a la página de exclusión de la industria del NAI en http://www.networkadvertising.org, a la página de exclusión de la industria del DAA en http://www.aboutads.info o (en cuanto a los medios de comunicación y la recopilación de datos basados en la web europea) a un enlace al enlace de exclusión de la EDAA en http://www.youronlinechoices.eu, de una manera que cumpla con los requisitos de la Ley de Protección de Datos aplicable; y
  2. En cuanto a las Propiedades basadas en aplicaciones móviles, la Política de privacidad del editor describirá el uso en sus aplicaciones móviles de SDK y la recopilación de identificadores de anuncios móviles para publicidad y análisis basados en intereses o entre aplicaciones (dentro y fuera de las Propiedades); y proporcionará una descripción de cómo los usuarios y visitantes pueden optar por no recopilar datos móviles para publicidad entre aplicaciones a través de la configuración del dispositivo.
  3. para sus Propiedades orientadas a la UE, el Editor se asegurará de obtener el consentimiento libre, específico, informado e inequívoco de los Visitantes de conformidad con la Ley de Privacidad de la UE, con respecto a la colocación o acceso a cualquier cookie de Taboola o cualquier otro identificador único en el dispositivo o dispositivos de los Visitantes. El Editor proporcionará a sus Visitantes los datos de contacto (que pueden incluir la puesta a disposición de esos datos a través de su Política de privacidad) para que puedan ponerse en contacto con el Editor para ejercer sus derechos de protección de datos (incluso en relación con los Datos personales procesados en relación con los Servicios). Las obligaciones anteriores se aplican cuando las Propiedades del Editor atraen Visitantes en jurisdicciones que requieren mecanismos de consentimiento con respecto a los Servicios.

Durante el Término, Taboola puede proporcionar la política de privacidad recomendada o el lenguaje de divulgación al Editor. El Editor reconoce que no se basará en el lenguaje recomendado como, o como sustituto de, el asesoramiento legal y que el Editor o la propia Compañía es la única responsable de cualquier divulgación en su política de privacidad o en su sitio web.

El Editor no proporcionará ni configurará los Servicios para recopilar o divulgar de otro modo a Taboola ninguna categoría especial de datos personales o información personal sensible o datos sensibles (como se define en la Ley de Protección de Datos Aplicable) a Taboola para su procesamiento. Además, el Editor se asegurará de que cualquier URL de página puesta a disposición de Taboola no contenga información sobre el título del vídeo. Taboola se reserva el derecho de suspender los Servicios por el incumplimiento de este párrafo por parte del Editor, a menos y hasta que dicho incumplimiento sea subsanado.

Cada Parte implementará las medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales de los Visitantes de un Incidente de Seguridad. Estas medidas incluirán las que figuran en el anexo B.

Si cualquiera de las Partes sufre un Incidente de Seguridad con respecto a los Datos Personales que Procesa y que son objeto del Acuerdo y de estas Condiciones de Privacidad del Editor, esa Parte: (i) será responsable de cumplir (a su propio costo) con cualquier obligación de informar que le corresponda en virtud de las Leyes de Protección de Datos Aplicables a las autoridades de protección de datos y/o a los Sujetos de Datos afectados, (ii) notificará a la otra Parte sin demora indebida, proporcionando la información sobre el Incidente de Seguridad que razonablemente pueda solicitar la otra Parte o que sea necesaria para que la otra Parte determine si también puede tener obligaciones de informar en virtud de las Leyes de Protección de Datos Aplicables con respecto al Incidente de Seguridad, y (iii) tomará todas las acciones y medidas, sin demora indebida, que sean apropiadas para remediar y/o mitigar los efectos del Incidente de Seguridad.

Cuando y en la medida requerida por las Leyes de Protección de Datos aplicables a las que esté sujeta cada parte, cada parte llevará a cabo cualquier evaluación de impacto en la protección de datos con respecto a su procesamiento de datos personales para los fines permitidos y / o consultar con las autoridades de protección de datos aplicables, cuando sea necesario. Cada parte prestará toda la cooperación e información razonablemente solicitadas por la otra parte, cuando sea necesario para permitir a la otra parte completar una evaluación de impacto en la protección de datos y/o consultar con las autoridades de protección de datos aplicables de conformidad con las obligaciones de esa otra parte en virtud de esta sección.

A. LISTA DE PARTES

Cada parte será:

  • un controlador de datos (y exportador de datos) de los Datos recopilados que divulgue o ponga a disposición de la otra parte, y
  • un controlador de datos (e importador de datos) de los Datos recopilados que recibe de, o a los que la otra parte pone a disposición el acceso.

Los detalles de cada parte se proporcionan a continuación.

Nombre: Consulte los detalles del anunciante establecidos en el Acuerdo.

Dirección: Consulte los detalles del Anunciante establecidos en el Acuerdo.

Nombre de la persona de contacto, posición y datos de contacto: Consulte los detalles del Anunciante establecidos en el Acuerdo o acordados por escrito entre las partes.

Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: La recepción de los Servicios, según lo establecido en el Acuerdo.

Firma y fecha: Este Anexo A se considerará ejecutado tras la aceptación por parte del Anunciante de estos Términos de Privacidad del Anunciante.

Función (controlador/procesador): Controlador (cuando sea exportador de datos) y controlador (cuando sea importador de datos)

 

Nombre: Véanse los detalles de Taboola que figuran en la introducción al Acuerdo.

Dirección: Véanse los detalles de Taboola que figuran en la introducción al Acuerdo.

Nombre de la persona de contacto, posición y datos de contacto: El equipo de privacidad de Taboola, privacy@taboola.com.

Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: La prestación de los Servicios, según lo establecido en el Acuerdo.

Firma y fecha: Este Anexo A se considerará ejecutado tras la aceptación por Taboola de estos Términos de Privacidad del Anunciante.

Función (controlador/procesador): Controlador (cuando sea exportador de datos) y controlador (cuando sea importador de datos)

 

B. DESCRIPCIÓN DEL PROCESAMIENTO Y TRANSFERENCIA 

Categorías de interesados cuyos datos personales se tratan y/o transfieren: Usuarios

Categorías de datos personales tratados y/o transferidos:

Datos del dispositivo: Sistema operativo, tipo de navegador, versión del navegador, dirección IP (truncada en un plazo de 30 días) de la recopilación, código postal (derivado de la dirección IP), ID de usuario de Taboola hash, correos electrónicos hash, visitas iniciales y posteriores a la página web del anunciante, sexo del usuario (deducido por intereses), señales de interacción (tiempo en el sitio, profundidad de desplazamiento, profundidad de sesión), datos de conversión.

Datos sobre propiedad digital visitados por el usuario: La URL de la página visitada, el sitio web de referencia

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados, como por ejemplo una limitación estricta de los fines, restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), mantenimiento de un registro del acceso a los datos, restricciones para las transferencias posteriores o medidas de seguridad adicionales: No es aplicable.

La frecuencia del tratamiento y/o transferencia (por ejemplo, si los datos se tratan y/o transfieren de forma puntual o continua): Continuo mientras dure el Acuerdo.

Naturaleza del tratamiento: Tratamiento de Datos Personales necesarios para la prestación de los Servicios, según lo establecido en el Acuerdo.

Finalidad(es) del tratamiento/transferencia de datos y tratamiento posterior: La prestación de los Servicios, según lo establecido en el Acuerdo. Para evitar dudas, los propósitos permitidos incluyen: (i) almacenar y/o acceder a información en un dispositivo; (ii) seleccionar anuncios básicos; (iii) crear un perfil de anuncios personalizado; (iv) seleccionar anuncios personalizados; (v) crear un perfil de contenido personalizado; (vi) seleccionar contenido personalizado; (vii) medir el rendimiento de los anuncios; (viii) medir el rendimiento de los contenidos; (ix) desarrollar y mejorar productos; (x) garantizar la seguridad, prevenir fraudes y depuración; (xi) entregar anuncios o contenido técnicamente; (xii) emparejar y combinar fuentes de datos sin conexión; (xiii) vincular diferentes dispositivos; (xiv) recibir y utilizar características de dispositivos enviadas automáticamente para la identificación; (xv) utilizar datos limitados para seleccionar contenido, y (xvi) comprender a las audiencias a través de estadísticas.

El período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período:

  • Taboola: Los datos brutos se almacenan durante un máximo de 13 meses.
  • Anunciante: Durante el tiempo que sea necesario para recibir los Servicios o según lo especificado en el Acuerdo.

Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento: No es aplicable.

 

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

Autoridad competente de control cuando se aplique el RGPD de la UE: La autoridad de supervisión competente para cada parte es la siguiente:

  • Taboola: La autoridad de supervisión competente se determinará de conformidad con la cláusula 13 de las CCCC de la UE.
  • Anunciante: La autoridad de supervisión competente se determinará de conformidad con la cláusula 13 de las CCCC de la UE.

Autoridad de supervisión competente cuando se aplique el RGPD del Reino Unido: Oficina del Comisionado de Información

Descripción de las medidas técnicas y organizativas aplicadas por cada parte (incluidas las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Medidas de seudonimización y cifrado de los datos personales: Taboola recopila solo datos seudónimos, lo que significa que no sabemos quién es usted porque no conocemos ni procesamos el nombre del usuario, la dirección de correo electrónico u otros datos identificables. La información de usuario que recopilamos incluye, pero no se limita a, información sobre el dispositivo y sistema operativo de un usuario, dirección IP, las páginas web a las que acceden los usuarios dentro de los sitios web de nuestros clientes, el enlace que llevó a un usuario al sitio web de un cliente, las fechas y horas en que un usuario accede al sitio web de un cliente y otros datos de navegación web. El CookieID se anonimiza mediante Bcrypt y la dirección IP se trunca.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento: Taboola utiliza múltiples niveles de seguridad electrónica (por ejemplo: seguridad de endpoints, seguridad del lado del servidor, seguimiento de detecciones, pruebas periódicas de penetración y recopilación de inteligencia profunda para revisar eventos post mortem).

Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico: Taboola mantiene 9 centros de datos operando en todo el mundo. Cada centro de datos se utiliza como una replicación de uno al otro por lo que si uno se cae los datos se pueden extraer de otro centro de datos.

Procesos para comprobar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento: Taboola mantiene estrictos procesos para probar la eficacia de sus controles (tanto técnicos como organizativos). Contamos con registro y monitoreo del sistema, pruebas mensuales (al menos) de DR, pruebas trimestrales de penetración, firewalls que protegen la web y honeypots repartidos por la red para detectar cualquier actividad maliciosa. Además, tenemos un programa de recompensas que nos ayuda a monitorear constantemente nuestra red.

Medidas de identificación y autorización del usuario: Cada usuario en Taboola está asociado con un nombre de usuario y contraseña dedicados. Cada acceso a la red interna de Taboola se realiza con 2FA mediante autenticación de Google. Los usuarios son creados solo por el departamento de TI, durante el proceso de incorporación y solo después de recibir todos los detalles y el contrato firmado por el departamento de recursos humanos.

Medidas de protección de datos durante la transmisión: Taboola soporta cualquier transmisión de datos a través de protocolos de transmisión seguros (HTTPS y TLS v1.2 como mínimo). Además, se protegen los sistemas que pueden contener información de identificación personal y los datos se mantienen en hash y anónimos.

Medidas de protección de datos durante el almacenamiento: Los datos almacenados en nuestras bases de datos se anonimizan y se someten a hash mediante Bcrypt. El acceso a la base de datos se minimiza y se basa en el principio de «necesidad de saber del negocio».

Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales: Cada uno de los centros de datos globales de Taboola (en Estados Unidos, Europa y Asia) tiene todos sus servidores ubicados en gabinetes cerrados que se mantienen exclusivamente para el uso de Taboola. Estos gabinetes son mantenidos por compañías que tienen la certificación SOC2 o Taboola ha revisado sus medidas de seguridad. Además, cualquier acceso a los servidores requiere permiso escrito y registrado. Todas las oficinas de Taboola también están controladas y requieren que los empleados usen tarjetas de acceso para ingresar. Además, solo un número limitado de empleados tiene acceso a los servidores de Taboola y cualquier acceso también requiere permiso escrito y registrado.

Medidas para garantizar el registro de eventos: Taboola implementa herramientas de monitoreo y los registros se recopilan en nuestro sistema SIEM que nos alerta sobre cualquier evento sospechoso y también siendo monitoreado por el equipo de NOC.

Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada: Los servidores se analizan tanto para la deriva de configuración como para el nivel de parche. Los informes y/o alertas se establecen en ambos y se confirma el nivel de parche pertinente. Los nuevos parches se distribuyen con Puppet. Todas las revisiones técnicas se gestionan a través de la aplicación de I + D y se obtienen a través de un proceso formal de revisión (QA) después de la codificación y los procesos de CI / CD también se implementan.

Medidas para la gobernanza y gestión interna de la seguridad informática y de las TI: Taboola cuenta con la certificación ISO 27001:2013 y 27701. Taboola cuenta con una Política de Seguridad de la Información que establece que el Consejo de Administración y la dirección de Taboola se comprometen a preservar la confidencialidad, integridad y disponibilidad de todos los activos de información física y electrónica en toda su organización. Taboola realiza capacitaciones en seguridad para todos los nuevos empleados, capacitaciones en phishing para todos los empleados en todo el mundo, y capacitaciones regulares en seguridad para todos los empleados y también dedica sesiones para grupos de I+D.

Medidas de certificación/garantía de procesos y productos: Auditoría interna trimestral / semestral / anual sobre múltiples procesos y sistemas para validar que Taboola está cumpliendo con sus metas y medidas de seguridad definidas.

Medidas para reducir al mínimo los datos: Taboola limita intencionalmente los datos que recopilamos como parte de los principios de minimización de datos globales de Taboola de procesar solo los datos limitados necesarios para nuestros fines comerciales específicos. Además, Taboola no tiene la capacidad, ni ninguna necesidad de negocio, de “ingeniería inversa” de ninguno de los puntos de datos utilizados en nuestro algoritmo con el fin de proporcionar nuestros servicios. Más específicamente, los puntos de datos que Taboola recopila nunca son indicativos de la identidad de un usuario, ya que Taboola no recopila ni procesa información como el nombre del usuario, número de teléfono, correo electrónico o direcciones físicas. En su lugar, Taboola recopila solo identificadores seudónimos, que simplemente identifican características sobre el dispositivo de un usuario. Esto incluye las direcciones IP (que se truncan tras la recopilación y solo pueden identificar la ubicación general del código postal del dispositivo, pero nunca una geolocalización precisa) y, en algunos casos limitados, las direcciones de correo electrónico hash (que son inherentemente irreversibles y no se pueden descifrar para revelar la dirección de correo electrónico original). Además, incluso cuando se usan colectivamente, los datos que recopilamos nunca pueden producir el nombre, número de teléfono, correo electrónico o dirección física de una persona, y nuestros ingenieros no trabajan de ninguna manera para lograr este objetivo. Además, Taboola realiza y registra evaluaciones de impacto de privacidad en un esfuerzo por minimizar los riesgos de privacidad de nuestros servicios, procesos y políticas.

Medidas para garantizar la calidad de los datos: Los datos se recopilan directamente del usuario y se le da la oportunidad de corregir cualquier dato asociado con su CookieID a través del Portal de Solicitud de Acceso al Asunto Taboola: https://accessrequest.taboola.com/access

Medidas para garantizar una retención limitada de datos: Conservamos la Información del Usuario, que se recopila directamente con el fin de publicar anuncios, durante un máximo de trece (13) meses a partir de la última interacción del Usuario con nuestros Servicios (a menudo durante un período de tiempo más corto), después de cuyo tiempo desidentificamos los datos eliminando identificadores únicos o agregando los datos. Este proceso se realiza automáticamente.

Medidas para garantizar la rendición de cuentas: Taboola realiza múltiples auditorías de seguridad y pruebas de penetración (pero no para todos los sistemas). Taboola también utiliza proveedores en la nube que tienen certificación ISO y que cumplen con otras certificaciones relevantes para la nube para mantener las protecciones físicas de un servidor.

Medidas para permitir la portabilidad de los datos y garantizar su supresión: Taboola relacionado con la eliminación de medios de comunicación igual para todo tipo de medios, ya que podría contener PII. Cualquier medio debe limpiarse completamente antes de ser reutilizado o desechado. Cualquier eliminación de medios está documentada. Los empleados tienen instrucciones de no imprimir ningún papel que pueda contener información personal.

  1. En la medida en que una parte realice una Transferencia Restringida de Datos Recopilados a la otra parte, las Cláusulas Contractuales Estándar se incorporarán a estos Términos de Privacidad del Editor y se aplicarán de la siguiente manera:

a. cuando la transferencia restringida sea una transferencia restringida de la UE, las CCCC de la UE se aplicarán entre las partes de la siguiente manera:

  1. i) Se aplicará el módulo uno;
  2. (ii) en la cláusula 7, se aplicará la cláusula de atraque opcional;
  3. iv) en la cláusula 11, no se aplicará el lenguaje facultativo;
  4. v) en la cláusula 17, se aplicará la opción 1, y las CCCC de la UE se regirán por el Derecho irlandés;
  5. (vi) en la cláusula 18(b), los conflictos se resolverán ante los tribunales de Irlanda;
  6. (vii) Las Partes A, B y C del Anexo I se considerarán completadas con la información establecida en las Partes A, B y C del Anexo A de estas Condiciones de Privacidad del Editor; y
  7. (vii) El Anexo II se considerará completado con las medidas de seguridad establecidas en el Anexo B de estas Condiciones de Privacidad del Editor;

b. cuando la transferencia restringida sea una transferencia restringida del Reino Unido, la adición del Reino Unido se aplicará entre las partes de la siguiente manera:

i) las CCCC de la UE, cumplimentadas según lo establecido anteriormente, se aplicarán entre las partes, y serán modificadas por la adición del Reino Unido (completada según lo establecido en la subcláusula ii) siguiente); y

ii) los cuadros 1 a 3 de la adición del Reino Unido se considerarán completados con la información pertinente de las CCCC de la UE, completados como se ha indicado anteriormente, y las opciones “Exportador” e “Importador” se considerarán marcadas en el cuadro 4. La fecha de inicio de la adición del Reino Unido (como se establece en la tabla 1) será la fecha de entrada en vigor de estos Términos de privacidad del editor.

2. Transferencias restringidas posteriores: Ninguna de las partes realizará una transferencia restringida de datos recopilados que reciba de la otra parte a menos que haya hecho todos los actos y cosas necesarios para garantizar que dicha transferencia restringida cumpla con la Ley de Protección de Datos aplicable y las cláusulas contractuales estándar que haya acordado con la otra parte.