Addendum sulla protezione dei dati per RTB e partner programmatici

Last Update: May 29, 2024

Data di entrata in vigore: 29 maggio 2024

Per garantire che Taboola abbia in essere termini di protezione dei dati adeguati con i nostri partner programmatici e RTB (ciascuno un “Partner“), Taboola fornisce il presente Addendum sulla protezione dei dati (il “DPA“).

Il presente DPA integra e costituisce automaticamente parte integrante dell’accordo commerciale contrattuale esistente tra Partner e Taboola in relazione alla fornitura di servizi RTB e programmatici (“Accordo sottostante“).

Tutti i termini in maiuscolo utilizzati nel presente DPA, ma non definiti nel presente DPA, avranno il significato loro attribuito nel Contratto sottostante.  In caso di conflitto tra il presente DPA e l’Accordo di base, il presente DPA prevarrà nella misura in cui sussista tale conflitto.

Leggi applicabili sulla protezione dei dati” indica tutte le leggi federali, nazionali, statali o altre leggi sulla privacy e sulla protezione dei dati applicabili, che possono essere modificate o sostituite di volta in volta, comprese, se applicabili e senza limitazioni, il CCPA (come definito di seguito) e le leggi europee sulla protezione dei dati.

CCPA” indica il California Consumer Privacy Act (Cal. Civ. Codice §§ 1798.100 – 1798.199), come modificato dal California Privacy Rights Act (Cal. Civ. Codice §§ 1798.100 – 1798.199).

Per “Titolare del trattamento” si intende un’entità che determina le finalità e i mezzi di elaborazione delle Informazioni personali e include qualsiasi entità che elabora Informazioni personali come “azienda” o “terza parte” ai sensi del CCPA e CPRA.

Data Privacy Framework” o “DPF” indica il quadro EU-USA Quadro normativo sulla privacy dei dati e estensione del UK all’UE- EU DPF come stabilito dagli Stati Uniti Dipartimento del Commercio.

Per “leggi europee sulla protezione dei dati” si intendono le leggi sulla protezione dei dati EU e le leggi sulla protezione dei dati UK .

Per “leggi EU sulla protezione dei dati” si intendono: (i) il Regolamento EU 2016/679 (il “EU GDPR“); (ii) la Direttiva EU 2002/58/CE; e (iii) le leggi nazionali di ciascun Stato membro SEE emanate ai sensi, in conformità o che attuano (i) o (ii), o che altrimenti si riferiscono al trattamento dei dati personali; in ogni caso, come modificate o sostituite di volta in volta.

Per “Informazioni personali” si intendono tutte le informazioni relative a una persona fisica identificata o identificabile e includono tutte le informazioni definite come “dati personali” o “informazioni personali” come definite dalle Leggi applicabili sulla protezione dei dati.

Per “Scopo consentito” si intendono gli scopi di offerta in tempo reale, relativi all’acquisto e alla vendita di annunci pubblicitari online in conformità con l’Accordo sottostante, per i quali Taboola divulga o altrimenti rende disponibili i Dati condivisi al Partner per l’elaborazione, come stabilito nell’Allegato I.

Trasferimento limitato” significa: (i) laddove si applica il EU GDPR , un trasferimento di dati personali dallo SEE a un paese al di fuori dello SEE che non è soggetto a una determinazione di adeguatezza da parte della Commissione europea (un “Trasferimento limitato EU“); e (ii) laddove si applica il UK GDPR , un trasferimento di dati personali dal Regno Unito a qualsiasi altro paese che non è soggetto o basato su regolamenti di adeguatezza ai sensi della Sezione 17A del Data Protection Act 2018 del Regno Unito (un “Trasferimento limitato UK“).

Per “incidente di sicurezza” si intende una violazione della sicurezza che comporta la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso accidentale o illegale ai Dati condivisi.

Vendere” e “condividere” hanno il significato stabilito nel CCPA e CPRA e nei relativi regolamenti attuativi.

Per “Dati condivisi” si intendono le categorie di Informazioni personali elencate nell’Allegato I del presente DPA.

Per “Standard Contractual Clauses” si intendono: (i) laddove si applica il EU GDPR , le clausole contrattuali allegate alla decisione di esecuzione 2021/914 della Commissione europea del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del regolamento (EU) 2016/679 del Parlamento europeo e del Consiglio (“EU SCCs”); e (ii) laddove si applica il UK GDPR , l'”Addendum sul trasferimento internazionale di dati alle Standard Contractual Clauses della Commissione EU ” emesso dall’Information Commissioner ai sensi dell’art. 119A(1) del DPA 2018 (“UK Addendum“).

Per “leggi sulla protezione dei dati UK” si intendono: (i) il EU GDPR in quanto parte integrante della legislazione UK in virtù della sezione 3 dell’European Union (Withdrawal) Act 2018 (il “UK GDPR“); (ii) il Privacy and Electronic Communications (EC Directive) Regulations 2003; (iii) il Data Protection Act 2018; e (iv) qualsiasi altra legge nel UK emanata ai sensi, in conformità a o che implementa (i) o (ii), o che altrimenti si riferisce al trattamento dei dati personali; in ogni caso, come modificato o sostituito di volta in volta.

Fatto salvo il rispetto da parte del Partner dell’Accordo di base e del presente DPA, Taboola divulgherà o altrimenti renderà disponibili i Dati condivisi al Partner affinché il Partner li elabori esclusivamente per lo Scopo consentito.

Le parti riconoscono che Taboola è titolare del trattamento dei Dati condivisi che divulga al Partner e che il Partner elaborerà i Dati condivisi in qualità di titolare del trattamento esclusivamente per lo Scopo consentito.

Il partner garantisce, dichiara e si impegna a:

(a) elaborerà in ogni momento i Dati condivisi solo per lo Scopo consentito e in conformità con le Leggi applicabili sulla protezione dei dati;

(b) non ha motivo di ritenere che le Leggi applicabili sulla protezione dei dati gli impediscano di adempiere ai propri obblighi in merito al Trattamento dei Dati Condivisi per lo Scopo Consentito;

(c) se il Partner determina di non essere in grado di elaborare i dati condivisi per lo scopo consentito in conformità con le leggi applicabili sulla protezione dei dati, ne darà immediata comunicazione a Taboola;

(d) deve sempre presentare e mantenere sul proprio sito web un’informativa sulla privacy accessibile al pubblico, conforme ai requisiti delle leggi applicabili in materia di protezione dei dati e che fornisca i recapiti a cui gli interessati possono rivolgere richieste relative alla protezione dei dati;

(e) consentirà agli interessati di esercitare i propri diritti di protezione dei dati in conformità con le Leggi applicabili sulla protezione dei dati, incluso (senza limitazioni) il diritto di opporsi al trattamento dei propri Dati condivisi;

(f) in relazione a qualsiasi elaborazione di Dati condivisi protetti dalle Leggi europee sulla protezione dei dati, dovrà:

(g) elaborare i Dati Condivisi solo laddove vi sia il consenso a farlo, in conformità con i requisiti delle Leggi Europee sulla Protezione dei Dati; e

(h) deve attuare misure tecniche e organizzative appropriate, tra cui, come minimo, le misure stabilite nell’Allegato II per proteggere i Dati condivisi da e contro un Incidente di sicurezza.

Taboola può adottare misure ragionevoli e appropriate per garantire che il Partner elabori i Dati condivisi ai sensi dell’Accordo di base e del presente DPA in modo coerente con le Leggi applicabili in materia di protezione dei dati.

Se il Partner non rispetta l’Accordo di base, il presente DPA o le Leggi applicabili sulla protezione dei dati, Taboola adotta misure ragionevoli e appropriate per interrompere e porre rimedio all’uso non autorizzato dei Dati condivisi (inclusa la sospensione o la cessazione della divulgazione dei Dati condivisi al Partner).

Il Partner dovrà rispettare le Leggi applicabili in materia di protezione dei dati e dovrà fornire lo stesso livello di protezione della privacy ai Dati condivisi richiesto dalle Leggi applicabili in materia di protezione dei dati.

Nel caso in cui una delle parti riceva corrispondenza, richiesta o reclamo da un interessato, da un regolatore o da un’altra terza parte (“Corrispondenza“) in relazione a (a) la divulgazione dei Dati condivisi per lo Scopo consentito; o (b) l’elaborazione dei Dati condivisi da parte dell’altra parte, dovrà informare tempestivamente l’altra parte fornendo tutti i dettagli degli stessi e le parti dovranno collaborare ragionevolmente e in buona fede per rispondere alla Corrispondenza in conformità con i requisiti previsti dalla Legge applicabile sulla protezione dei dati.

Nella misura in cui qualsiasi trasferimento di Dati condivisi da Taboola al Partner sia un Trasferimento limitato, le Standard Contractual Clauses saranno incorporate nel presente DPA e si applicheranno come segue:

(a) laddove il Trasferimento Limitato sia un Trasferimento Limitato EU , le EU SCCs si applicheranno tra Taboola (in qualità di esportatore dei dati) e Partner (in qualità di importatore dei dati) come segue:

(i) Si applicherà il Modulo Uno;

(ii) nella clausola 7, si applicherà la clausola di attracco facoltativo;

(iii) nella clausola 11, la formulazione facoltativa non si applicherà;

(iv) nella clausola 17, si applicherà l’opzione 1 e le EU SCCs saranno regolate dalla legge irlandese;

(v) nella clausola 18(b), le controversie saranno risolte davanti ai tribunali irlandesi;

(vi) nell’allegato I:

(A) Le parti A e B si considerano completate con le informazioni indicate nell’allegato A del presente DPA;

(B) La parte C si considera completata in conformità ai criteri stabiliti nella clausola 13(a) delle EU SCCs; e

(vii) L’allegato II si considera completato con le misure di sicurezza stabilite nell’allegato B del presente DPA.

(b) qualora il Trasferimento Limitato sia un Trasferimento Limitato UK , l’ UK Addendum si applicherà tra le parti come segue:

(i) le EU SCCs, compilate come stabilito sopra, si applicheranno tra le parti e saranno modificate UK Addendum (compilato come stabilito nella sottoclausola (ii) di seguito); e

(ii) le tabelle da 1 a 3 UK Addendum si considerano compilate con le informazioni pertinenti provenienti dalle EU SCCs, compilate come indicato sopra, e le opzioni “Esportatore” e “Importatore” si considerano selezionate nella tabella 4.  La data di inizio UK Addendum (come indicato nella tabella 1) sarà la data di entrata in vigore del presente DPA.

Il Partner non effettuerà un ulteriore Trasferimento Limitato di Dati Condivisi a terzi a meno che non abbia eseguito tutti gli atti e le cose necessari per garantire che il Trasferimento Limitato sia conforme alla Legge sulla Protezione dei Dati applicabile e a tutte le Standard Contractual Clauses stipulate con Taboola.

Nonostante quanto sopra, se il Partner ha certificato e rispetta il DPF, i trasferimenti di Dati condivisi al Partner effettuati ai sensi del DPF non costituiranno un Trasferimento Limitato.  In tal caso, il Partner informerà immediatamente Taboola se non rispetta la propria certificazione DPF o se la sua certificazione DPF decade o è altrimenti invalidata, nel qual caso:

(a) qualsiasi trasferimento di Dati condivisi da Taboola al Partner sarà immediatamente considerato un Trasferimento limitato e si applicheranno le disposizioni sul Trasferimento limitato di cui sopra; e

(b) Taboola può, a sua assoluta discrezione, decidere di sospendere o terminare i trasferimenti di Dati condivisi al Partner senza alcuna penalità.

Il Partner difenderà Taboola e i suoi direttori, funzionari, dipendenti, agenti e clienti (i “Beneficiari Taboola“) da e contro qualsiasi reclamo, richiesta, causa, procedimento e azione intentata da terzi in relazione a un’accusa secondo cui il Partner ha violato il presente DPA o le Leggi applicabili sulla protezione dei dati e indennizzerà i Beneficiari Taboola per tutti i danni, le perdite, i costi e le spese (incluse le ragionevoli spese legali) sostenuti dai Beneficiari Taboola derivanti da o risultanti da tale reclamo.

Il Partner è l’unico responsabile della propria conformità alle Leggi applicabili in materia di protezione dei dati durante l’elaborazione dei Dati condivisi.

In caso di modifiche alle Leggi applicabili in materia di protezione dei dati, Taboola può modificare e aggiornare il presente DPA laddove e nella misura necessaria per conformarsi a tali modifiche alle Leggi applicabili in materia di protezione dei dati.

A partire dalla data di entrata in vigore del presente DPA, i riferimenti al “Contratto” nel presente DPA o al Contratto sottostante indicheranno il Contratto sottostante come integrato dal presente DPA.

A. ELENCO DELLE PARTI

[tabella id=13 /]

[tabella id=14 /]

B. DESCRIZIONE DEL TRASFERIMENTO

[tabella id=15 /]

C. AUTORITÀ DI VIGILANZA COMPETENTE

[tabella id=16 /]

Descrizione delle misure tecniche e organizzative attuate da ciascuna parte (incluse eventuali certificazioni pertinenti) per garantire un livello di sicurezza adeguato, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche. Il partner dichiara e garantisce di avere adottato misure tecniche e organizzative adeguate, sostanzialmente simili alle misure di sicurezza di Taboola indicate di seguito.

Misure di pseudonimizzazione e crittografia dei dati personali: Taboola raccoglie solo dati pseudonimizzati, il che significa che non sappiamo chi sei perché non conosciamo né elaboriamo il nome, l’indirizzo email o altri dati identificabili dell’utente. Le informazioni utente che raccogliamo includono, a titolo esemplificativo ma non esaustivo, informazioni sul dispositivo e sul sistema operativo dell’utente, l’indirizzo IP, le pagine web a cui accedono gli utenti all’interno dei siti web dei nostri clienti, il collegamento che ha portato un utente al sito web di un cliente, le date e gli orari in cui un utente accede al sito web di un cliente e altri dati di navigazione web. Il CookieID viene reso anonimo tramite Bcrypt e l’indirizzo IP viene troncato.

Misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di elaborazione: Taboola utilizza più livelli di sicurezza elettronica (ad esempio: sicurezza degli endpoint, sicurezza lato server, monitoraggio dei rilevamenti, test di penetrazione periodici e raccolta di informazioni approfondite per esaminare gli eventi post-mortem).

Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico: Taboola gestisce 9 data center operativi in ​​tutto il mondo. Ogni data center viene utilizzato come replica di un altro, quindi se uno si guasta i dati possono essere estratti dall’altro data center.

Procedure per testare, valutare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento: Taboola adotta rigorosi processi per testare l’efficacia dei suoi controlli (sia tecnici che organizzativi). Abbiamo implementato un sistema di registrazione e monitoraggio, test DR mensili (almeno), test di penetrazione trimestrali, firewall a protezione del Web e honeypot distribuiti sulla rete per individuare qualsiasi attività dannosa. Inoltre, abbiamo un programma di ricompensa che ci aiuta a monitorare costantemente la nostra rete.

Misure per l’identificazione e l’autorizzazione dell’utente: A ogni utente di Taboola sono associati un nome utente e una password dedicati. Ogni accesso alla rete interna di Taboola avviene tramite 2FA utilizzando l’autenticazione di Google. Gli utenti vengono creati solo dal reparto IT, durante il processo di onboarding e solo dopo aver ricevuto tutti i dettagli e il contratto firmato dal reparto Risorse Umane.

Misure per la protezione dei dati durante la trasmissione: Taboola supporta qualsiasi trasmissione di dati tramite protocolli di trasmissione sicuri (HTTPS e TLS v1.2 come minimo). Inoltre, i sistemi che potrebbero contenere informazioni personali identificabili (PII) sono protetti e i dati vengono mantenuti in forma anonima e sottoposti a hash.

Misure per la protezione dei dati durante la conservazione: I dati memorizzati nei nostri database vengono resi anonimi e sottoposti a hash tramite Bcrypt. L’accesso al database è ridotto al minimo e basato sul principio “business need to know”.

Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali: In ciascuno dei data center globali di Taboola (negli Stati Uniti, in Europa e in Asia) tutti i server sono collocati in armadi chiusi a chiave, riservati esclusivamente all’uso di Taboola. Questi armadi sono gestiti da aziende SOC2-certified o che hanno verificato le loro misure di sicurezza tramite Taboola . Inoltre, qualsiasi accesso ai server richiede un’autorizzazione scritta e registrata. Anche tutti gli uffici Taboola sono controllati e per entrare i dipendenti devono utilizzare delle tessere di accesso. Inoltre, solo un numero limitato di dipendenti ha accesso ai server di Taboola e qualsiasi accesso richiede un’autorizzazione scritta e registrata.

Misure per garantire la registrazione degli eventi: Taboola implementa strumenti di monitoraggio e i registri vengono raccolti nel nostro sistema SIEM , che ci avvisa di qualsiasi evento sospetto e viene monitorato anche dal team NOC .

Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita: I server vengono analizzati sia per rilevare eventuali deviazioni della configurazione che per rilevare il livello di patch. Su entrambi vengono impostati report e/o avvisi e viene confermato il livello di patch pertinente. Le nuove patch vengono distribuite tramite Puppet. Tutte le revisioni tecniche vengono gestite tramite l’applicazione R&D e ottenute tramite un processo formale di revisione (QA) dopo l’implementazione CI/CD processes .

Misure per la governance e la gestione interna dell’IT e della sicurezza IT: Taboola è certificata ISO/IEC 27001:2013 e ISO/IEC 27701:2019. Taboola ha adottato una politica sulla sicurezza delle informazioni che stabilisce che il consiglio di amministrazione e la direzione di Taboola si impegnano a preservare la riservatezza, l’integrità e la disponibilità di tutte le risorse informatiche fisiche ed elettroniche all’interno della loro organizzazione. Taboola organizza corsi di formazione sulla sicurezza per tutti i nuovi dipendenti, corsi di formazione sul phishing per tutti i dipendenti a livello globale e corsi di formazione sulla sicurezza regolari per tutti i dipendenti, oltre a sessioni dedicate ai gruppi di ricerca e sviluppo.

Misure per la certificazione/garanzia dei processi e dei prodotti: Audit interno trimestrale/semestrale/annuale su più processi e sistemi per convalidare che Taboola rispetti gli obiettivi e le misure di sicurezza definiti.

Misure per garantire la minimizzazione dei dati: Taboola limita intenzionalmente i dati che raccogliamo nell’ambito dei principi globali di minimizzazione dei dati di Taboola, elaborando solo i dati limitati necessari per i nostri specifici scopi aziendali. Inoltre, Taboola non ha la capacità, né ha alcuna necessità aziendale, di effettuare il “reverse engineering” di nessuno dei punti dati utilizzati nel nostro algoritmo per fornire i nostri servizi. Più specificamente, i dati raccolti da Taboola non sono mai indicativi dell’identità di un utente, poiché Taboola non raccoglie né elabora informazioni quali nome, numero di telefono, indirizzo email o indirizzo fisico dell’utente. Taboola raccoglie invece solo identificatori pseudonimi, che identificano semplicemente le caratteristiche del dispositivo di un utente. Ciò include gli indirizzi IP (che vengono troncati al momento della raccolta e possono identificare solo la posizione generale del codice postale del dispositivo, ma mai una geolocalizzazione precisa) e, in alcuni casi limitati, gli indirizzi e-mail sottoposti a hash (che sono intrinsecamente irreversibili e non possono essere decifrati per rivelare l’indirizzo e-mail originale). Inoltre, anche se utilizzati collettivamente, i dati che raccogliamo non potranno mai restituire il nome, il numero di telefono, l’indirizzo e-mail o l’indirizzo fisico di un individuo, e i nostri ingegneri non si adoperano in alcun modo per raggiungere questo obiettivo. Inoltre, Taboola effettua e registra valutazioni dell’impatto sulla privacy nel tentativo di ridurre al minimo i rischi per la privacy dei nostri servizi, processi e politiche.

Misure per garantire la qualità dei dati: I dati vengono raccolti direttamente dall’utente e all’utente viene data la possibilità di correggere tutti i dati taboola.com al proprio CookieID tramite il portale Taboola Subject Access Request: https://accessrequest.taboola.com/access

Misure per garantire una conservazione limitata dei dati: Conserviamo le informazioni dell’utente, raccolte direttamente allo scopo di pubblicare annunci pubblicitari, per un massimo di tredici (13) mesi dall’ultima interazione dell’utente con i nostri servizi (spesso per un periodo di tempo più breve), dopodiché rendiamo anonimi i dati rimuovendo gli identificatori univoci o aggregandoli. Questo processo avviene automaticamente.

Misure per garantire la responsabilità: Taboola esegue molteplici audit di sicurezza e test di penetrazione (ma non per tutti i sistemi). Taboola si avvale anche di provider cloud certificati ISO e conformi ad altre certificazioni rilevanti per il cloud per il mantenimento delle misure di sicurezza fisiche di un server.

Misure per consentire la portabilità dei dati e garantirne la cancellazione: Le Taboola relative allo smaltimento dei supporti sono le stesse per tutti i tipi di supporti, poiché potrebbero contenere PII. Tutti i supporti devono essere completamente puliti prima di essere riutilizzati o smaltiti. Ogni smaltimento dei supporti è documentato. Ai dipendenti viene chiesto di non stampare alcun documento che possa contenere informazioni personali.