Termini sulla privacy per i proprietari di immobili digitali

Last Update: October 10, 2024

Data di entrata in vigore: 10 ottobre 2024

I presenti Termini sulla privacy di Taboola per i proprietari di immobili digitali (“Termini sulla privacy dell’editore”) si applicano ai servizi pubblicitari digitali di Taboola, ad esempio quando Taboola inserisce contenuti dell’inserzionista nelle proprietà dell’editore, inclusi, a titolo esemplificativo ma non esaustivo, prodotti e servizi dell’editore come Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News e Taboola Push, in base a un accordo tra Taboola e un editore (“Accordo”), e i presenti Termini sulla privacy dell’editore saranno considerati incorporati e costituiranno parte integrante di tali Accordi. I presenti Termini sulla privacy dell’editore identificano i ruoli e le responsabilità di Taboola e dell’editore rispetto ai Dati personali.

In caso di conflitto tra i Termini sulla privacy dell’editore e l’Accordo, i Termini sulla privacy dell’editore prevarranno a meno che la disposizione in conflitto nell’Accordo non faccia espressamente riferimento alla disposizione in conflitto dei presenti Termini sulla privacy dell’editore e specifichi che sostituisce la disposizione in conflitto.

I termini definiti in questa sezione avranno il significato indicato di seguito e i termini correlati saranno interpretati di conseguenza. I termini in maiuscolo utilizzati ma non definiti nei Termini sulla privacy dell’editore avranno il significato definito nel Contratto.

      1. Leggi applicabili sulla protezione dei dati” indica tutte le leggi federali, nazionali, statali o altre leggi applicabili sulla privacy e sulla protezione dei dati che si applicano al Trattamento oggetto del Contratto e dei presenti Termini sulla privacy dell’editore, che possono essere modificati o sostituiti di volta in volta.
      2. Legge sulla privacy della California” significa California Consumer Privacy Act del 2018, Cal. Codice Civile § 1798.100 e seguenti (anche, “CCPA”), come modificato (anche dal California Privacy Rights Act), e qualsiasi legislazione subordinata e regolamenti di attuazione.
      3. Titolare del trattamento” indica: (i) un’entità che determina le finalità e i mezzi del Trattamento dei Dati Personali, e (ii) qualsiasi persona o entità che rientri nell’ambito del termine “Titolare del trattamento”, o “Azienda” (o qualsiasi termine sostanzialmente analogo) come definito dalle Leggi Applicabili sulla Protezione dei Dati.
      4. Interessato” indica: (i) una persona fisica identificata o identificabile (e, a tal fine, una persona fisica identificabile è colui che può essere identificato, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica) e (ii) qualsiasi persona che rientri nell’ambito di applicazione del termine “interessato”, “consumatore” (o qualsiasi termine sostanzialmente analogo) come definito dalle Leggi sulla protezione dei dati.
      5. EU Data Protection Law” indica: (i) il Regolamento generale sulla protezione dei dati dell’EU (Regolamento 2016/679) (“EU GDPR”); (ii) la Direttiva EU sulla privacy elettronica (Direttiva 2002/58/CE); e (iii) qualsiasi legge nazionale sulla protezione dei dati adottata ai sensi o ai sensi di (i) o (ii), ciascuna delle quali può essere modificata o sostituita di volta in volta.
      6. Dati personali” indica qualsiasi informazione relativa a un individuo identificato o identificabile (e tale termine include, ove richiesto dalla Legge Applicabile sulla Protezione dei Dati, identificatori univoci del browser o del dispositivo), come indicato nell’Allegato A, Parte B.
        1. Per “Dati personali di interazione” si intendono tutti i Dati personali raccolti dai consumatori al momento, o in seguito, all’interazione intenzionale di un consumatore con Taboola, i prodotti Taboola, le proprietà Taboola e le pubblicità pubblicate da Taboola.
        2. Per “Dati personali passivi” si intendono tutti i Dati personali raccolti passivamente dalle Proprietà dell’editore, inclusi, a titolo esemplificativo ma non esaustivo, IP Address, URL della pagina e User Agent String raccolti da Taboola, prima o in assenza dell’interazione intenzionale di un consumatore con Taboola, i prodotti Taboola, le proprietà Taboola e gli annunci pubblicitari inseriti da Taboola.
      7. Trattamento” indica qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, sui Dati Personali o su insiemi di Dati Personali, quali raccolta, ricezione, registrazione, organizzazione, strutturazione, utilizzo, trasmissione, accesso, condivisione, divulgazione, trasferimento, conservazione, adattamento o alterazione, estrazione, consultazione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o combinazione, aggregazione, deduzione, derivazione, analisi, restrizione, cancellazione, distruzione o smaltimento o altro trattamento dei Dati Personali, ivi compreso il modo in cui tale termine è definito ai sensi della Legge Applicabile sulla Protezione dei Dati.
      8. Responsabile del trattamento” indica un soggetto che elabora i dati personali per conto di un Titolare del trattamento ed è comprensivo di come tale termine e/o il termine “responsabile del trattamento” (o qualsiasi termine sostanzialmente analogo) sia definito ai sensi della Legge applicabile sulla protezione dei dati.
      9. Trasferimento limitato” indica: (i) laddove si applichi l’EU GDPR, un trasferimento di Dati personali dal SEE a un paese al di fuori del SEE che non è soggetto a una determinazione di adeguatezza da parte della Commissione europea (un “Trasferimento limitato EU”); e (ii) laddove si applichi l’UK GDPR, un trasferimento di Dati personali dal Regno Unito a qualsiasi altro paese che non sia soggetto o basato su normative di adeguatezza ai sensi della Sezione 17A del Data Protection Act 2018 del Regno Unito (un “Trasferimento limitato UK”).
      10. Servizi” indica i servizi forniti da Taboola ai sensi del Contratto con l’Editore.
      11. “Incidente di sicurezza” indica una violazione della sicurezza che conduce alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illegale ai Dati personali.
      12. Per “Standard Contractual Clauses” si intendono: (i) laddove si applichi l’EU GDPR, le clausole contrattuali allegate alla Decisione di esecuzione 2021/914 della Commissione europea, del 4 giugno 2021, sulle Standard Contractual Clauses per il trasferimento di dati personali a paesi terzi ai sensi del Regolamento (EU) 2016/679 del Parlamento europeo e del Consiglio (“EU SCCs”); e (ii) laddove si applichi l’UK GDPR, l’“International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” emesso dal Commissario per le informazioni ai sensi dell’articolo 119A, paragrafo 1, del DPA 2018 (“UK Addendum”).
      13. Terze parti” indica un’azienda che agisce come Titolare del trattamento in relazione ai Dati personali, e che non è l’azienda con cui l’Interessato i cui Dati personali sono trattati ha intenzionalmente interagito; il termine include il modo in cui tale termine è definito ai sensi della Legge applicabile sulla protezione dei dati.
      14. UK Data Protection Law” indica: (i) l’UK Data Protection Act 2018, (ii) l’UK GDPR (come definito nella sezione 3 (10) dell’UK Data Protection Act 2018) (“UK GDPR”), (iii) l’UK Privacy and Electronic Communications (EC Directive) Regulations 2003) e (iv) qualsiasi altra legge UK emanata ai sensi o ai sensi di (i), (ii) o (iii), ciascuna delle quali può essere modificata o sostituita di volta in volta.

Per i Dati personali trattati in relazione ai Servizi, ciascuna parte accetta di elaborare i Dati personali che raccoglie solo per gli scopi descritti nell’allegato A, parte B (le “Finalità consentite“) e come consentito dai presenti Termini sulla privacy dell’editore, dal Contratto e dalle Leggi applicabili sulla protezione dei dati, poiché ciascuno di questi può essere aggiornato di volta in volta. Taboola può anche elaborare i dati personali di interazione passiva come consentito dall’Informativa sulla privacy di Taboola e come può essere aggiornato di volta in volta.

Ciascuna Parte tratterà i Dati Personali di Interazione Passiva raccolti in qualità di Titolare del Trattamento o di Terza Parte, a seconda dei casi. Ciascuna parte tratterà i Dati personali di interazione raccolti in qualità di Titolare del trattamento o di Azienda, a seconda dei casi. Le rivelazioni (sia dirette che tramite una parte che rende i dati disponibili all’altra parte) di Dati personali da una parte all’altra sono divulgazioni a Terze Parti.

      1. Se la legge sulla protezione dei dati dello stato degli Stati Uniti o degli Stati Uniti si applica ai dati personali, inclusa, a titolo esemplificativo, la legge sulla privacy della California, nella misura in cui Taboola elabora i dati personali di interazione passiva in relazione ai Servizi, Taboola agisce come terza parte dell’editore per tali dati personali di interazione passiva. Taboola elaborerà tali Dati personali di interazione passiva per le finalità descritte nell’allegato A, parte B e come consentito dai presenti Termini sulla privacy dell’editore, dall’Accordo, dalla legge applicabile sulla protezione dei dati e dall’Informativa sulla privacy di Taboola, poiché ciascuno può essere aggiornato di volta in volta. Tali Dati Personali di Interazione Passiva sono resi disponibili a Taboola solo per tali scopi. Taboola fornirà lo stesso livello di protezione della privacy richiesto alle aziende dalle leggi statunitensi applicabili sulla protezione dei dati, incluse, se applicabili, le leggi sulla privacy della California. L’Editore ha il diritto di garantire che Taboola utilizzi i Dati Personali di Interazione Passiva in modo coerente con gli obblighi dell’Editore. Previa comunicazione a Taboola, l’Editore ha il diritto di adottare misure ragionevoli e appropriate per interrompere e porre rimedio all’uso non autorizzato dei Dati personali che mette a disposizione di Taboola. Taboola informerà l’Editore nel periodo di tempo richiesto dalle Leggi applicabili sulla protezione dei dati se Taboola determina che non è più in grado di soddisfare i suoi obblighi ai sensi delle Leggi applicabili sulla protezione dei dati. Nella misura in cui Taboola raccoglie Dati Personali di Interazione in relazione ai Servizi, lo farà come Business separato.

Le parti riconoscono che possono elaborare i dati personali e che le leggi applicabili sulla protezione dei dati possono applicarsi al trattamento dei dati personali di ciascuna parte. In tal caso, ciascuna parte si atterrà a tali Leggi applicabili sulla protezione dei dati per quanto riguarda il trattamento dei dati personali. In questo caso, e fatta salva la sezione 7, ciascuna parte sarà responsabile individualmente della propria conformità alle Leggi applicabili sulla protezione dei dati, compresi eventuali requisiti applicabili per: (i) fornire trasparenza agli interessati, (ii) avere il consenso o un’altra base legale per il trattamento e (iii) mettere a disposizione un punto di contatto attraverso il quale gli interessati possono esercitare i loro diritti di protezione dei dati. L’editore informerà prontamente Taboola se e nella misura in cui riceve qualsiasi richiesta di diritti di protezione dei dati relativa al Trattamento dei dati personali da parte di Taboola come controllore in modo che Taboola possa soddisfare la richiesta in conformità con gli obblighi previsti dalla legge applicabile sulla protezione dei dati.

  1. L’Editore indirizzerà qualsiasi richiesta di soggetto interessato ricevuta in merito ai Servizi di Taboola al Portale globale di richiesta di accesso dell’interessato o agli Stati Uniti. Portale di opt-out per i diritti dei consumatori, a seconda dei casi.

Qualora una delle Parti riceva qualsiasi richiesta, reclamo o corrispondenza (una “Notifica di Terze Parti”) da un individuo, da un’autorità di regolamentazione o da un’altra terza parte in merito al trattamento dei Dati Personali dell’Interessato in relazione ai Servizi, informerà tempestivamente l’altra Parte e le Parti collaboreranno in buona fede e nella misura ragionevolmente necessaria per soddisfare i requisiti di tale Notifica di Terze Parti.

Nel caso in cui una delle parti effettui un trasferimento limitato di dati personali all’altra parte, si applicano le disposizioni dell’allegato C.

Nella misura in cui Taboola raccoglie Dati Personali dalle Proprietà dell’Editore utilizzando codice, Pixels e altre tecnologie di tracciamento Taboola, l’Editore dovrà: (i) fornire tutte le notifiche di trasparenza richieste agli Interessati circa l’utilizzo del codice Taboola da parte di Taboola per raccogliere Dati Personali dalle Proprietà dell’Editore per le Finalità Consentite, e (ii) ottenere (e, su richiesta in qualsiasi momento da Taboola, fornire prove appropriate) il consenso dell’Interessato a tale utilizzo del codice Taboola per le Finalità Consentite, in ogni caso in conformità con i requisiti delle Leggi sulla Protezione dei Dati Applicabili. Gli obblighi del Publisher a questo proposito includono l’identificazione di Taboola e il suo utilizzo del codice Taboola per le Finalità consentite espressamente all’interno delle note di trasparenza e dei suggerimenti di consenso che il Publisher fornisce agli interessati, nonché qualsiasi altra informazione richiesta dalle Leggi applicabili sulla protezione dei dati, in modo che Taboola possa fornire i propri Servizi legalmente attraverso tali Proprietà ed elaborare i Dati personali per le Finalità consentite. Su richiesta scritta, Taboola fornirà all’Editore le informazioni che l’Editore può ragionevolmente richiedere sul codice Taboola e sul Trattamento dei Dati Personali da parte di Taboola attraverso le Proprietà dell’Editore per l’Editore per garantire che i suoi meccanismi di notifica e consenso siano conformi alle Leggi applicabili sulla protezione dei dati. L’editore accetta espressamente che:

  1. per quanto riguarda le sue Proprietà basate sul web, l’Informativa sulla privacy dell’Editore descrive l’uso di cookie, identificatori univoci e tecnologie non Cookie da parte di terzi (ad esempio Taboola) per la pubblicità e l’analisi basate sugli interessi (dentro e fuori le Proprietà), e fornisce un link alla pagina di Opt-out del settore NAI all’indirizzo http://www.networkadvertising.org, alla pagina di Opt-out del settore della DAA all’indirizzo http://www.aboutads.info, o (per quanto riguarda i media e la raccolta di dati europei basati sul web) un link al link di Opt-out EDAA all’indirizzo http://www.youronlinechoices.EU, in un modo che soddisfi i requisiti della Legge applicabile sulla protezione dei dati; e
  2. per quanto riguarda le Proprietà basate su app mobili, l’Informativa sulla privacy dell’Editore descriverà l’uso sulle sue app mobili di SDK e la raccolta di identificatori di annunci mobili per la pubblicità e l’analisi basate sugli interessi o cross-app (attiva e disattiva le Proprietà); e fornirà una descrizione di come gli utenti e i Visitatori possono rinunciare alla raccolta di dati mobili per la pubblicità cross-app attraverso le impostazioni del dispositivo.
  3. per le sue Proprietà rivolte verso l’EU, l’Editore si assicurerà di ottenere il consenso libero, specifico, informato e inequivocabile dei Visitatori in conformità con la EU Privacy Law, per quanto riguarda l’inserimento o l’accesso a qualsiasi cookie Taboola o qualsiasi altro identificatore univoco sui dispositivi dei Visitatori. L’Editore fornirà ai propri Visitatori i dettagli di contatto (che possono includere la messa a disposizione di tali dettagli attraverso la sua Informativa sulla privacy) in modo che possano contattare l’Editore per esercitare i loro diritti di protezione dei dati (anche in relazione ai Dati personali trattati in relazione ai Servizi). Gli obblighi di cui sopra si applicano laddove le Proprietà dell’Editore attraggono Visitatori in giurisdizioni che richiedono meccanismi di consenso relativamente ai Servizi.

Durante il Periodo di validità, Taboola può fornire all’Editore l’informativa sulla privacy o il linguaggio di divulgazione raccomandato. L’Editore riconosce che non si affiderà a tale linguaggio raccomandato come, o come sostituto di, consulenza legale e che l’Editore o la Società stessa è l’unico responsabile per qualsiasi divulgazione nella sua politica sulla privacy o sul suo sito web.

L’Editore non fornirà né configurerà i Servizi per raccogliere o altrimenti divulgare a Taboola alcuna categoria speciale di dati personali o informazioni personali sensibili o dati sensibili (come definiti ai sensi della legge applicabile sulla protezione dei dati) a Taboola per l’elaborazione. Inoltre, l’Editore deve garantire che gli URL delle pagine messi a disposizione di Taboola non conterranno informazioni sui titoli dei video. Taboola si riserva il diritto di sospendere i Servizi per la mancata osservanza da parte dell’Editore di questo paragrafo a meno che e fino a quando tale inadempienza non venga sanata.

Ciascuna Parte implementa adeguate misure di sicurezza tecniche e organizzative per proteggere i Dati Personali dei Visitatori da un Incidente di Sicurezza. Tali misure comprendono le misure di cui all’allegato B.

Qualora una delle Parti subisca un Incidente di Sicurezza in relazione ai Dati Personali che Elabora e che sono oggetto del Contratto e dei presenti Termini di Privacy dell’Editore, tale Parte dovrà: (i) essere responsabile dell’adempimento (a proprie spese) di qualsiasi obbligo di segnalazione che le si applichi ai sensi delle Leggi Applicabili in materia di Protezione dei Dati alle autorità di protezione dei dati e/o agli Interessati, (ii) notificare senza indebito ritardo all’altra Parte, fornendo le informazioni sull’Incidente di Sicurezza che possono essere ragionevolmente richieste dall’altra Parte o che sono altrimenti richieste all’altra Parte per determinare se può anche avere obblighi di segnalazione ai sensi delle Leggi Applicabili in materia di Protezione dei Dati in relazione all’Incidente di Sicurezza, e (iii) adottare tutte le azioni e misure, senza indebito ritardo, appropriate per porre rimedio e/o attenuare gli effetti dell’Incidente di Sicurezza.

Laddove e nella misura richiesta dalle Leggi applicabili in materia di protezione dei dati a cui ciascuna parte è soggetta, ciascuna parte effettua qualsiasi valutazione d’impatto sulla protezione dei dati in relazione al proprio Trattamento dei dati personali per le finalità consentite e/o si consulta con le autorità competenti in materia di protezione dei dati, ove necessario. Ciascuna parte fornisce ogni ragionevole cooperazione e informazione ragionevolmente richieste dall’altra parte, ove ciò sia necessario per consentire all’altra parte di completare una valutazione d’impatto sulla protezione dei dati e/o di consultarsi con le autorità competenti in materia di protezione dei dati conformemente agli obblighi che incombono all’altra parte ai sensi della presente sezione.

A. ELENCO DEI PARTITI

Ciascuna parte è:

  • un titolare del trattamento (ed esportatore di dati) dei Dati raccolti che divulga o rende disponibili all’altra parte, e
  • un titolare del trattamento (e un importatore di dati) dei Dati raccolti che riceve dall’altra parte o a cui l’accesso è reso disponibile.

I dettagli di ciascuna parte sono forniti di seguito.

Nome: Vedere i dettagli dell’editore indicati nel Contratto.

Indirizzo: Vedere i dettagli dell’editore indicati nel Contratto.

Nome, posizione e recapiti della persona di contatto: Vedere i dettagli dell’editore indicati nel Contratto o altrimenti concordati tra le parti per iscritto.

Attività relative ai dati trasferiti ai sensi delle presenti Clausole: La ricezione dei Servizi, come stabilito nel Contratto.

Firma e data: Il presente allegato A si considera eseguito al momento dell’accettazione da parte dell’editore dei presenti Termini sulla privacy dell’editore.

Ruolo (responsabile/incaricato del trattamento): Titolare del trattamento (dove è un esportatore di dati) e Titolare del trattamento (dove è un importatore di dati)

 

Nome: Cfr. i dettagli di Taboola riportati nell’introduzione dell’accordo.

Indirizzo: Cfr. i dettagli di Taboola riportati nell’introduzione dell’accordo.

Nome, posizione e recapiti della persona di contatto: Team privacy di Taboola: privacy@taboola.com.

Attività relative ai dati trasferiti ai sensi delle presenti Clausole: La fornitura dei Servizi, come stabilito nel Contratto.

Firma e data: Il presente allegato A si considera eseguito al momento dell’accettazione da parte di Taboola dei presenti Termini sulla privacy dell’editore.

Ruolo (responsabile/incaricato del trattamento): Titolare del trattamento (dove è un esportatore di dati) e Titolare del trattamento (dove è un importatore di dati)

 

B. DESCRIZIONE DEL TRATTAMENTO E DEL TRASFERIMENTO

Categorie di interessati i cui dati personali sono trattati e/o trasferiti: Utenti

Categorie di dati personali trattati e/o trasferiti:

Dati del dispositivo: Dispositivo, browser e sistema operativo dell’utente; informazioni sul dispositivo mobile (tutti gli ID mobili sono sottoposti a hash) inclusi IDFAs e AAIDs; dati Cookie che possono essere letti o implementati da Taboola (tutti gli ID Cookie/ID utente sono sottoposti a hash); indirizzi IP; email con hash; sito Web di riferimento; lingua dell’utente; paese / regione / città. Se le app per dispositivi mobili fanno parte dei Servizi, ulteriori elementi di dati includono lat/long troncato e impreciso, tipo di connessione e dimensioni dello schermo.

Dati sulla proprietà digitale visitata dall’utente: come è stata visualizzata la piattaforma e se l’utente ha interagito con la piattaforma; comportamento web o app.

Nella misura in cui Header Bidding fa parte dei Servizi, si applica quanto segue:

  • Bid Request/Response Data: ID univoco della Bid Request, IMP object che rappresenta l’impressione offerta, Sito Publisher o app rappresentata, App, Dispositivo, Tipo di asta, Tempo massimo, Valuta, Categorie bloccate, ID dispositivo, ID utente Taboola, Tag partner chiamanti: URL.

Per quanto riguarda Taboola Newsroom, vale quanto segue:

  • Eventi dal sito dell’editore: Dati di conversione
  • Informazioni sul browser dell’utente lette dallo user agent: L’URL della pagina visitata, il sito web di riferimento, il sistema operativo, il tipo di browser e la versione del browser, l’ID utente Taboola hash associato letto dal Cookie, l’indirizzo IP associato (troncato dopo 30 giorni).

Dati sensibili trasferiti (se applicabile) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, quali ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso (compreso l’accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro dell’accesso ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive: Non pertinente.

La frequenza del trattamento e/o dei trasferimenti (ad esempio, se i dati sono trattati e/o trasferiti una tantum o in modo continuativo): Continuo per tutta la durata dell’accordo.

Natura del trattamento: Trattamento dei Dati Personali necessari per la fornitura dei Servizi, come stabilito nel Contratto.

Finalità del trattamento / trasferimento dei dati e ulteriore trattamento: La fornitura dei Servizi, come stabilito nel Contratto. A scanso di equivoci, le Finalità consentite includono: (i) archiviazione e/o accesso alle informazioni su un dispositivo; (ii) selezione di annunci di base; (iii) creazione di un profilo di annunci personalizzato; (iv) selezione di annunci personalizzati; (v) creazione di un profilo di contenuto personalizzato; (vi) selezione di contenuti personalizzati; (vii) misurazione delle prestazioni pubblicitarie; (viii) misurazione delle prestazioni dei contenuti; (ix) sviluppo e miglioramento dei prodotti; (x) garanzia di sicurezza, prevenzione di frodi e debug; (xi) distribuzione tecnica di annunci o contenuti; (xii) corrispondenza e combinazione di fonti di dati offline; (xiii) collegamento di dispositivi diversi; (xiv) ricezione e utilizzo di caratteristiche del dispositivo inviate automaticamente per l’identificazione; (xv) utilizzo di dati limitati per selezionare i contenuti e (xvi) salvataggio e comunicazione delle scelte di privacy.

Per quanto riguarda Taboola Newsroom, si applica quanto segue: (i) monitoraggio degli eventi di conversione degli abbonamenti.

Per quanto riguarda Taboola Push, si applica il seguente scopo aggiuntivo: (i) inviare notifiche al dispositivo di un utente.

Nella misura in cui Header Bidding fa parte dei Servizi, si applicherà il seguente scopo aggiuntivo: (i) determinare se fare un’offerta per un posizionamento e fornire raccomandazioni personalizzate.

Nella misura in cui l’utente fa parte dei Servizi, si applicherà il seguente scopo aggiuntivo: (i) automatizzare e curare i contenuti degli editori all’interno delle homepage di proprietà digitali designate.

Il periodo di conservazione dei dati personali o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:

  • Taboola: I dati grezzi vengono conservati per un massimo di 13 mesi.
  • Advertiser: Per tutto il tempo necessario a ricevere i Servizi o come diversamente specificato nel Contratto.

Per i trasferimenti a (sub)incaricati del trattamento, specificare anche l’oggetto, la natura e la durata del trattamento: Non pertinente.

 

C. AUTORITÀ DI CONTROLLO COMPETENTE

Autorità di controllo competente in cui si applica l’EU GDPR: L’autorità di vigilanza competente per ciascuna parte è la seguente:

  • Taboola: L’autorità di vigilanza competente è determinata conformemente alla clausola 13 dell’EU SCCs.
  • Advertiser: L’autorità di vigilanza competente è determinata conformemente alla clausola 13 dell’EU SCCs.

Autorità di controllo competente in cui si applica l’UK GDPR: Ufficio del Commissario per l’informazione

Descrizione delle misure tecniche e organizzative attuate da ciascuna parte (comprese eventuali certificazioni pertinenti) per garantire un livello adeguato di sicurezza, tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

Misure di pseudonimizzazione e crittografia dei dati personali: Taboola raccoglie solo dati pseudonimizzati, il che significa che non sappiamo chi sei perché non conosciamo né elaboriamo il nome, l’indirizzo e-mail o altri dati identificabili dell’utente. Le Informazioni sull’Utente che raccogliamo includono, a titolo esemplificativo ma non esaustivo, le Informazioni sul dispositivo e sul sistema operativo di un Utente, IP Address, le pagine web a cui gli Utenti accedono all’interno dei siti web dei nostri Clienti, il link che ha portato un Utente al sito web di un Cliente, le date e le ore in cui un Utente accede al sito web di un Cliente e altri dati di navigazione web. Il CookieID viene reso anonimo utilizzando Bcrypt e IP Address viene troncato.

Misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di trattamento: Taboola utilizza più livelli di sicurezza elettronica (ad esempio: sicurezza degli endpoint, sicurezza lato server, tracciamento dei rilevamenti, test di penetrazione periodici e raccolta di informazioni approfondite per rivedere gli eventi post mortem).

Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico: Taboola mantiene 9 data center operativi in tutto il mondo. Ogni data center viene utilizzato come una replica l’uno dell’altro quindi se uno cade i dati possono essere estratti da un altro data center.

Procedimenti per testare, valutare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento: Taboola mantiene processi rigorosi per testare l’efficacia dei suoi controlli (sia tecnici che organizzativi). Abbiamo logging e monitoraggio del sistema in atto, test DR mensili (almeno), test di penetrazione trimestrali, firewall che proteggono il web e honeypot sparsi in tutta la rete per trovare qualsiasi attività dannosa. Inoltre, abbiamo un programma di taglie in atto che ci aiuta a monitorare costantemente la nostra rete.

Misure per l’identificazione e l’autorizzazione degli utenti: Ogni utente di Taboola è associato a un nome utente e una password dedicati. Ogni accesso alla rete interna di Taboola avviene con 2FA utilizzando l’autenticazione di Google. Gli utenti vengono creati solo dal reparto IT, durante il processo di onboarding e solo dopo aver ricevuto tutti i dettagli e il contratto firmato dal dipartimento HR.

Misure per la protezione dei dati durante la trasmissione: Taboola supporta qualsiasi trasmissione di dati attraverso protocolli di trasmissione sicuri (minimo HTTPS e TLS v1.2). Inoltre, i sistemi che potrebbero contenere PII sono protetti e i dati vengono mantenuti in hashing e anonimizzati.

Misure per la protezione dei dati durante la conservazione: I dati che sono memorizzati all’interno dei nostri database sono anonimizzati e sottoposti ad hashing usando Bcrypt. L’accesso al DB è minimizzato e basato sul principio ‘business need to know’.

Misure per garantire la sicurezza fisica dei luoghi in cui i dati personali sono trattati: Ognuno dei data center globali di Taboola (negli Stati Uniti, in Europa e in Asia) ha tutti i suoi server situati in armadi chiusi a chiave che sono mantenuti esclusivamente ad uso di Taboola. Questi armadi sono mantenuti da aziende che sono SOC2-certified o Taboola ha rivisto le loro misure di sicurezza. Inoltre, qualsiasi accesso ai server richiede un permesso scritto e registrato. Anche tutti gli uffici Taboola sono controllati e richiedono ai dipendenti di utilizzare le carte di accesso per entrare. Inoltre, solo un numero limitato di dipendenti ha accesso ai server di Taboola e qualsiasi accesso richiede anche un permesso scritto e registrato.

Misure per garantire la registrazione degli eventi: Taboola implementa strumenti di monitoraggio e i registri vengono raccolti nel nostro sistema SIEM che ci avvisa su qualsiasi evento sospetto e viene anche monitorato dal team NOC.

Misure per garantire la configurazione del sistema, compresa la configurazione predefinita: I server vengono scansionati sia per la deriva di configurazione che per il livello di patch. La segnalazione e/o l’avviso sono impostati su entrambi e il livello di patch pertinente è confermato. Le nuove patch vengono distribuite usando Puppet. Tutte le revisioni tecniche sono gestite attraverso l’applicazione R & S e ottenute attraverso un processo formale di revisione (QA) dopo la codifica e CI/CD processes sono implementati.

Misure per la governance e la gestione interna della sicurezza IT e IT: Taboola è certificata ISO 27001:2013 e 27701. Taboola ha una Politica di Sicurezza delle Informazioni che afferma che il Consiglio di Amministrazione e la direzione di Taboola si impegnano a preservare la riservatezza, l’integrità e la disponibilità di tutti i beni informativi fisici ed elettronici in tutta la loro organizzazione. Taboola tiene corsi di formazione sulla sicurezza per tutti i nuovi dipendenti, corsi di phishing per tutti i dipendenti a livello globale e corsi di formazione regolari sulla sicurezza per tutti i dipendenti e anche sessioni dedicate per gruppi di ricerca e sviluppo.

Misure di certificazione/garanzia di processi e prodotti: Audit interno trimestrale / semestrale / annuale su più processi e sistemi per convalidare che Taboola stia rispettando i suoi obiettivi di sicurezza e le misure definite.

Misure per garantire la minimizzazione dei dati: Taboola limita intenzionalmente i dati che raccogliamo come parte dei principi globali di minimizzazione dei dati di Taboola di elaborare solo i dati limitati necessari per i nostri scopi aziendali specifici. Inoltre, Taboola non ha la capacità, né alcuna necessità aziendale, di “reverse engineering” di nessuno dei punti dati utilizzati nel nostro algoritmo al fine di fornire i nostri servizi. Più specificamente, i punti dati che Taboola raccoglie non sono mai indicativi dell’identità di un utente, poiché Taboola non raccoglie né elabora informazioni come nome, numero di telefono, e-mail o indirizzi fisici dell’utente. Invece, Taboola raccoglie solo identificatori pseudonimi, che identificano semplicemente le caratteristiche del dispositivo di un utente. Ciò include gli indirizzi IP (che vengono troncati al momento della raccolta e possono identificare solo la posizione generale del codice postale del dispositivo, ma mai una geolocalizzazione precisa) e, in alcuni casi limitati, gli indirizzi email hash (che sono intrinsecamente irreversibili e non possono essere decifrati per rivelare l’indirizzo email originale). Inoltre, anche se utilizzati collettivamente, i dati che raccogliamo non possono mai produrre il nome, il numero di telefono, l’e-mail o l’indirizzo fisico di un individuo e i nostri ingegneri non lavorano in alcun modo per raggiungere questo obiettivo. Inoltre, Taboola effettua e registra valutazioni di impatto sulla privacy nel tentativo di ridurre al minimo i rischi per la privacy dei nostri servizi, processi e politiche.

Misure per garantire la qualità dei dati: I dati sono raccolti direttamente dall’utente e quest’ultimo ha la possibilità di correggere eventuali dati associati al proprio CookieID tramite il portale di richiesta di accesso per soggetto Taboola: https://accessrequest.taboola.com/access

Misure per garantire una conservazione limitata dei dati: Conserviamo le Informazioni dell’Utente, raccolte direttamente per scopi di pubblicazione di annunci, per un massimo di tredici (13) mesi dall’ultima interazione dell’Utente con i nostri Servizi (spesso per un periodo di tempo più breve), dopodiché de-identificamo i dati rimuovendo identificatori univoci o aggregando i dati. Questo processo viene eseguito automaticamente.

Misure per garantire la responsabilità: Taboola effettua molteplici audit di sicurezza e penetration test (ma non per tutti i sistemi). Taboola utilizza anche provider cloud certificati ISO e conformi ad altre certificazioni rilevanti per il cloud per il mantenimento delle salvaguardie fisiche di un server.

Misure per consentire la portabilità dei dati e garantire la cancellazione: Taboola relativo allo smaltimento dei media stesso per tutti i tipi di media in quanto potrebbe contenere PII. Qualsiasi supporto deve essere completamente pulito prima di essere riutilizzato o smaltito. Qualsiasi disposizione dei media è documentata. I dipendenti sono invitati a non stampare alcun documento che possa contenere informazioni personali.

  1. Nella misura in cui una parte effettua un trasferimento limitato dei dati raccolti all’altra parte, le Standard Contractual Clauses saranno incorporate nei presenti Termini sulla privacy dell’editore e si applicheranno come segue:

a. se il trasferimento ristretto è un trasferimento limitato EU, le EU SCCs si applicheranno tra le parti come segue:

  1. (i) si applicherà il modulo uno;
  2. (ii) nella clausola 7, si applicherà la clausola di attracco opzionale;
  3. (iv) nella Clausola 11, non si applicherà la lingua facoltativa;
  4. (v) nella clausola 17 si applicherà l’opzione 1 e le EU SCCs saranno disciplinate dalla legge irlandese;
  5. (vi) nella clausola 18(b), le controversie saranno risolte dinanzi ai tribunali irlandesi;
  6. (vii) Le parti A, B e C dell’allegato I si considerano completate con le informazioni di cui alle parti A, B e C dell’allegato A dei presenti Termini sulla privacy dell’editore; e
  7. (vii) l’allegato II si considera completato con le misure di sicurezza di cui all’allegato B delle presenti Condizioni sulla privacy dell’editore;

b. nel caso in cui il Trasferimento Limitato sia un Trasferimento Limitato UK, l’UK Addendum si applicherà tra le parti come segue:

(i) gli EU SCCs, compilati come sopra indicato, si applicano tra le parti e devono essere modificati dall’UK Addendum (completato come indicato nella sottoclausola (ii) di seguito); e

ii) le tabelle da 1 a 3 dell’UK Addendum si considerano completate con le informazioni pertinenti dell’EU SCCs, compilate come sopra indicato, e le opzioni “Esportatore” e “Importatore” si considerano verificate nella tabella 4. La data di inizio dell’UK Addendum (come indicato nella tabella 1) sarà la Data di efficacia dei presenti Termini sulla privacy dell’editore.

2. Trasferimenti limitati successivi: Nessuna delle parti effettuerà un successivo trasferimento limitato dei dati raccolti che ricevono dall’altra parte a meno che non abbia compiuto tutti gli atti e le cose necessari per garantire che tale trasferimento limitato sia conforme alla legge applicabile sulla protezione dei dati e a qualsiasi Standard Contractual Clauses concordato con l’altra parte.