Termini Sulla Privacy dell’Inserzionista

Last Update: November 14, 2025

Data di entrata in vigore:  14 agosto 2023

Questi Termini sulla privacy dell’inserzionista di Taboola (“Termini sulla privacy dell’inserzionista”) si applicano ai servizi pubblicitari digitali di Taboola, come quando Taboola distribuisce contenuti dell’inserzionista tramite la sua piattaforma di distribuzione, ai sensi di un accordo tra Taboola e un inserzionista (“Accordo”), e questi Termini sulla privacy dell’inserzionista saranno considerati incorporati e costituiranno parte integrante di qualsiasi Accordo.  Questi Termini sulla privacy dell’inserzionista identificano i ruoli e le responsabilità di Taboola e dell’inserzionista in relazione ai Dati personali.

In caso di conflitto tra i Termini sulla privacy dell’inserzionista e l’Accordo, i Termini sulla privacy dell’inserzionista prevarranno nella misura di tale conflitto, a meno che la disposizione conflittuale nell’Accordo non faccia esplicito riferimento alla disposizione conflittuale di questi Termini sulla privacy dell’inserzionista e specifichi che prevale su quella disposizione conflittuale.

I termini definiti in questa sezione avranno i significati indicati di seguito, e i termini affini saranno interpretati di conseguenza. I termini in maiuscolo utilizzati ma non definiti nei Termini sulla privacy dell’inserzionista avranno i significati definiti nell’Accordo.

      1. Leggi sulla protezione dei dati applicabili” significa tutte le leggi federali, nazionali, statali o altre leggi sulla privacy e sulla protezione dei dati che si applicano al trattamento oggetto dell’Accordo e di questi Termini per gli inserzionisti, come possono essere modificate o sostituite di volta in volta.
      2. Dati raccolti” significa i Dati Personali che ciascuna parte raccoglie dai Soggetti dei Dati sui propri server o reti (inclusi tutti i dati raccolti passivamente o leggibili da macchina, come i dati basati sul tipo di browser e sugli identificatori del dispositivo) in relazione alla fornitura o ricezione dei Servizi.
      3. Controllore” significa: (i) un’entità che determina le finalità e i mezzi del trattamento dei Dati Personali, e (ii) qualsiasi persona che rientra nell’ambito del termine “controllore” (o qualsiasi termine sostanzialmente analogo) come definito dalle Leggi sulla protezione dei dati applicabili.
      4. Legge sulla privacy della California” significa il California Consumer Privacy Act del 2018, Cal. Codice Civile § 1798.100 e seguenti. (“CCPA”), come modificato (incluso dalla California Privacy Rights Act), e qualsiasi legislazione subordinata e regolamenti attuativi.
      5. Soggetto dei dati” significa: (i) una persona fisica identificata o identificabile (e, per questi scopi, una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati di posizione, un identificatore online o a uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona fisica), e (ii) qualsiasi persona che rientra nell’ambito del termine “soggetto dei dati”, “consumatore” (o qualsiasi termine sostanzialmente analogo) come definito dalle Leggi sulla protezione dei dati.
      6. La legge europea sulla protezione dei dati” significa: (i) il Regolamento generale sulla protezione dei dati dell’UE (Regolamento 2016/679) (“UE GDPR”); (ii) la Direttiva europea sulla privacy elettronica (Direttiva 2002/58/CE); e (iii) qualsiasi legge nazionale sulla protezione dei dati adottata ai sensi di (i) o (ii), ciascuna come può essere modificata o sostituita di volta in volta.
      7. Scopi consentiti” ha il significato dato nella sezione 3.
      8. Dati personali” significa qualsiasi informazione relativa a un soggetto dei dati (inclusi, dove richiesto dalla legge applicabile sulla protezione dei dati, identificatori unici del browser o del dispositivo), come indicato nell’Allegato A, Parte B.
      9. Trattamento” significa qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali, sia mediante mezzi automatizzati che non, come raccolta, ricezione, registrazione, organizzazione, strutturazione, utilizzo, trasmissione, accesso, condivisione, divulgazione, trasferimento, archiviazione, adattamento o modifica, recupero, consultazione, diffusione o altro rendere disponibile, allineamento o combinazione, aggregazione, inferenza, derivazione, analisi, restrizione, cancellazione, distruzione o smaltimento o altro trattamento di dati personali, inclusivo di come tale termine è definito dalla legge applicabile sulla protezione dei dati.
      10. Responsabile del trattamento” significa: (i) un’entità che tratta dati personali per conto di un titolare del trattamento, e (ii) qualsiasi persona che rientra nell’ambito del termine “responsabile del trattamento” (o qualsiasi termine sostanzialmente analogo) come definito dalle leggi applicabili sulla protezione dei dati.
      11. Trasferimento limitato” significa: (i) dove si applica il GDPR dell’UE, un trasferimento di dati personali dallo Spazio economico europeo (SEE) a un paese al di fuori del SEE che non è soggetto a una determinazione di adeguatezza da parte della Commissione europea (un “Trasferimento limitato dell’UE“); e (ii) dove si applica il GDPR del Regno Unito, un trasferimento di dati personali dal Regno Unito a qualsiasi altro paese che non è soggetto o basato su regolamenti di adeguatezza ai sensi della Sezione 17A della Legge sulla protezione dei dati del Regno Unito del 2018 (un “Trasferimento limitato del Regno Unito“).
      12. Vendita” e “Vendere” significano scambiare dati personali per una considerazione monetaria o di altro valore, e sono inclusivi di come tali termini sono definiti dalla legge applicabile sulla protezione dei dati.
      13. Servizi” significa i servizi forniti da Taboola ai sensi dell’Accordo con l’Inserzionista.
      14. Incidente di sicurezza” significa una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai dati personali in modo accidentale o illecito.
      15. Clausole contrattuali standard” significa: (i) dove si applica il GDPR dell’UE, le clausole contrattuali allegate alla Decisione di esecuzione 2021/914 della Commissione europea del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (“Clausole SCC dell’UE”); e (ii) dove si applica il GDPR del Regno Unito, l'”Addendum per il trasferimento internazionale dei dati alle clausole contrattuali standard della Commissione dell’UE” emesso dal Commissario per le informazioni ai sensi del s.119A(1) della DPA 2018 (“Addendum del Regno Unito”).
      16. Terza parte” significa un’azienda che agisce come titolare del trattamento rispetto ai dati personali, e che non è l’azienda con cui il soggetto dei dati i cui dati personali sono trattati ha interagito intenzionalmente; il termine è inclusivo di come tale termine è definito dalla legge applicabile sulla protezione dei dati.
      17. Legge sulla protezione dei dati del Regno Unito” significa: (i) la Legge sulla protezione dei dati del Regno Unito del 2018, (ii) il GDPR del Regno Unito (come definito nel s.3(10) della Legge sulla protezione dei dati del Regno Unito del 2018) (“GDPR del Regno Unito”), (iii) il Regolamento sulla privacy e le comunicazioni elettroniche (Direttiva CE) del 2003, e (iv) qualsiasi altra legge del Regno Unito adottata ai sensi di (i), (ii) o (iii), ciascuna come può essere modificata o sostituita di volta in volta.

Ciascuna parte tratterà i dati raccolti che raccoglie o riceve dall’altra parte per gli scopi indicati nell’Allegato A, Parte B (i “Scopi consentiti”).  L’inserzionista accetta che Taboola tratterà i dati raccolti come consentito dalla Politica sulla privacy di Taboola (che, per evitare dubbi, sarà anche uno scopo consentito per Taboola).

Nella misura in cui i dati raccolti qualificano come, o contengono, dati personali ai sensi delle leggi applicabili sulla protezione dei dati, ciascuna parte tratterà i dati raccolti che raccoglie o riceve dall’altra parte come titolare del trattamento (che può includere, dove si applica la legge sulla privacy della California, come terza parte, se applicabile).  Divulgazioni (sia un trasferimento, sia tramite una parte che rende i dati disponibili all’altra parte) di dati raccolti o dati personali da una parte all’altra sono divulgazioni a terze parti.

      1. Se la legge sulla protezione dei dati degli Stati Uniti o di uno stato degli Stati Uniti si applica ai dati raccolti, inclusi senza limitazione la legge sulla privacy della California, nella misura in cui Realize Pixels (precedentemente noto come “Taboola Pixels”) utilizzato in connessione con i servizi tratta dati personali su un visitatore, Taboola agisce come terza parte per l’inserzionista per tali dati personali. Taboola tratterà tali dati personali per gli scopi consentiti. Tali Dati Personali sono resi disponibili a Taboola solo per gli Scopi Consentiti.  Taboola fornirà lo stesso livello di protezione della privacy richiesto alle Aziende dalle leggi statunitensi sulla protezione dei dati, comprese, se applicabili, le leggi sulla privacy della California. Taboola informerà l’Inserzionista nel periodo di tempo richiesto dalla Legge sulla Protezione dei Dati Applicabile se Taboola determina di non essere più in grado di soddisfare i propri obblighi ai sensi delle Leggi sulla Protezione dei Dati Applicabili. Dopo aver fornito notifica a Taboola, l’Inserzionista ha il diritto di adottare misure ragionevoli e appropriate per fermare e rimediare all’uso non autorizzato dei Dati Personali che rende disponibili a Taboola.

Le parti riconoscono che alcuni o tutti i Dati Raccolti possono qualificarsi come, o includere, Dati Personali e pertanto le Leggi sulla Protezione dei Dati Applicabili possono applicarsi al trattamento dei Dati Raccolti da ciascuna parte.  Quando questo è il caso, e soggetto alla sezione 7, ciascuna parte sarà individualmente responsabile della propria conformità alle Leggi sulla Protezione dei Dati Applicabili, comprese eventuali richieste applicabili per: (i) fornire trasparenza ai Soggetti dei Dati, (ii) avere il consenso o un’altra base legale per il Trattamento, e (iii) rendere disponibile un punto di contatto attraverso il quale i Soggetti dei Dati possono esercitare i propri diritti di protezione dei dati.

Nel caso in cui una delle parti effettui un Trasferimento Riservato di Dati Raccolti all’altra parte, si applicheranno le disposizioni dell’Allegato C.

Taboola utilizza i Pixel Realize per fornire i Servizi.  Nonostante la sezione 5, nella misura in cui Taboola raccoglie Dati Raccolti dalle proprietà digitali dell’Inserzionista (come siti web, applicazioni mobili o altro) utilizzando i Pixel Realize, l’Inserzionista dovrà: (i) fornire tutte le notifiche di trasparenza richieste ai Soggetti dei Dati riguardo all’uso dei Pixel Realize da parte di Taboola per raccogliere Dati Raccolti dalle proprietà digitali dell’Inserzionista per gli Scopi Consentiti, e (ii) ottenere (e, su richiesta in qualsiasi momento da parte di Taboola, fornire prove appropriate di) consenso del Soggetto dei Dati per tale uso dei Pixel Realize per gli Scopi Consentiti, in ciascun caso in conformità ai requisiti delle Leggi sulla Protezione dei Dati Applicabili.  Gli obblighi dell’Inserzionista in questo senso includono l’identificazione di Taboola e del suo uso dei Pixel Realize per gli Scopi Consentiti espressamente all’interno delle notifiche di trasparenza e dei messaggi di consenso che l’Inserzionista fornisce ai Soggetti dei Dati, così come qualsiasi altra informazione richiesta dalle Leggi sulla Protezione dei Dati Applicabili, in modo che Taboola possa fornire i propri Servizi legalmente attraverso tali proprietà digitali e trattare Dati Raccolti e Dati Personali per gli Scopi Consentiti.  Su richiesta scritta, Taboola fornirà all’Inserzionista le informazioni necessarie sui Pixel Realize e sul trattamento dei Dati Raccolti da parte di Taboola attraverso le proprietà digitali dell’Inserzionista affinché l’Inserzionista possa garantire che i propri meccanismi di notifica e consenso siano conformi alle Leggi sulla Protezione dei Dati Applicabili.  L’Inserzionista non dovrà attivare alcun Pixel Realize a meno e fino a quando non sia stata fornita la necessaria trasparenza e siano stati ottenuti i consensi necessari richiesti dalle Leggi sulla Protezione dei Dati Applicabili. L’Inserzionista dovrà inoltre fornire ai Soggetti dei Dati informazioni su come possono esercitare i propri diritti di protezione dei dati ai sensi delle Leggi sulla Protezione dei Dati Applicabili e fornire un punto di contatto per i Soggetti dei Dati da contattare per esercitare i propri diritti. L’Inserzionista dovrà prontamente notificare Taboola se e nella misura in cui riceve qualsiasi richiesta di diritti di protezione dei dati riguardante il trattamento dei Dati Raccolti da parte di Taboola come Titolare del Trattamento affinché Taboola possa soddisfare la richiesta in conformità ai propri obblighi ai sensi della Legge sulla Protezione dei Dati Applicabile.

Se Taboola, su richiesta dell’Inserzionista, trasmette Dati Personali al partner di attribuzione dell’Inserzionista o all’Inserzionista per scopi di attribuzione, l’Inserzionista dichiara e garantisce che: (i) il suo partner di attribuzione è un Titolare del Trattamento per conto dell’Inserzionista; (ii) salvo diversa raccolta indipendente, l’Inserzionista e il partner di attribuzione utilizzeranno tali Dati Personali esclusivamente per scopi di attribuzione; e (iii) il partner di attribuzione e l’Inserzionista cancelleranno tutti i Dati Personali trasmessi entro trenta (30) giorni dall’ultima identificazione del Visitatore come proveniente da Taboola.

Ciascuna parte deve attuare misure di sicurezza tecniche e organizzative appropriate per proteggere i Dati Raccolti e/o i Dati Personali che elabora da e contro un Incidente di Sicurezza.  Queste misure devono includere le misure stabilite nell’Allegato B.

Se una delle Parti subisce un Incidente di Sicurezza riguardante i Dati Raccolti e/o i Dati Personali che elabora e che sono oggetto del Contratto e di questi Termini sulla Privacy degli Inserzionisti, quella Parte deve: (i) essere responsabile dell’adempimento (a proprie spese) di eventuali obblighi di segnalazione che le si applicano ai sensi delle Leggi sulla Protezione dei Dati Applicabili alle autorità di protezione dei dati e/o ai Soggetti Dati interessati, (ii) notificare l’altra Parte senza indebito ritardo, fornendo tali informazioni sull’Incidente di Sicurezza come possono essere ragionevolmente richieste dall’altra Parte o come è altrimenti richiesto per consentire all’altra Parte di determinare se può avere anche obblighi di segnalazione ai sensi delle Leggi sulla Protezione dei Dati Applicabili in relazione all’Incidente di Sicurezza, e (iii) adottare tutte le azioni e misure appropriate, senza indebito ritardo, per rimediare e/o mitigare gli effetti dell’Incidente di Sicurezza.

Dove e nella misura in cui richiesto dalle Leggi sulla Protezione dei Dati Applicabili a cui ciascuna parte è soggetta, ciascuna parte deve effettuare una valutazione d’impatto sulla protezione dei dati riguardante il suo trattamento dei Dati Raccolti e/o dei Dati Personali per le Finalità Consentite e/o consultare le autorità di protezione dei dati applicabili, se necessario.  Ciascuna parte deve fornire tutta la cooperazione e le informazioni ragionevolmente richieste dall’altra parte, dove ciò è necessario per consentire all’altra parte di completare una valutazione d’impatto sulla protezione dei dati e/o consultare le autorità di protezione dei dati applicabili in conformità con gli obblighi di quest’altra parte ai sensi di questa sezione 11.

 

A. ELENCO DELLE PARTI

Ogni parte sarà:

      • un titolare del trattamento (e esportatore di dati) dei Dati raccolti che divulga o rende disponibili all’altra parte, e
      • un titolare del trattamento (e importatore di dati) dei Dati raccolti che riceve da, o a cui viene reso disponibile l’accesso da, l’altra parte.

I dettagli di ciascuna parte sono forniti di seguito.

Nome: Vedi i dettagli dell’inserzionista riportati nell’Accordo.

Indirizzo: Vedi i dettagli dell’inserzionista riportati nell’Accordo.

Nome, posizione e dettagli di contatto della persona di riferimento: Vedi i dettagli dell’inserzionista riportati nell’Accordo o diversamente concordati tra le parti per iscritto.

Attività rilevanti per i dati trasferiti ai sensi di queste Clausole: La ricezione dei Servizi, come indicato nell’Accordo.

Firma e data: Questo Allegato A si considera eseguito all’accettazione da parte dell’Inserzionista di questi Termini sulla Privacy dell’Inserzionista.

Ruolo (titolare/trasformatore): Titolare (dove è un esportatore di dati) e Titolare (dove è un importatore di dati)

 

Nome: Vedi i dettagli di Taboola riportati nell’introduzione all’Accordo.

Indirizzo: Vedi i dettagli di Taboola riportati nell’introduzione all’Accordo.

Nome, posizione e dettagli di contatto della persona di riferimento: Il team privacy di Taboola, privacy@taboola.com.

Attività rilevanti per i dati trasferiti ai sensi di queste Clausole: La fornitura dei Servizi, come stabilito nell’Accordo.

Firma e data: Questo Allegato A si considera eseguito all’accettazione da parte di Taboola di questi Termini sulla Privacy dell’Inserzionista.

Ruolo (titolare/trasformatore): Titolare (dove è un esportatore di dati) e Titolare (dove è un importatore di dati)

 

B. DESCRIZIONE DEL PROCESSO E DEL TRASFERIMENTO

Categorie di soggetti i cui dati personali sono trattati e/o trasferiti: Utenti

Categorie di dati personali trattati e/o trasferiti:

Data del dispositivo: Sistema operativo, tipo di browser, versione del browser, indirizzo IP (troncato entro 30 giorni) di raccolta, codice postale (derivato dall’indirizzo IP), ID utente Taboola hashato, email hashate, visite iniziali e successive alla pagina del sito web dell’inserzionista, genere dell’utente (inferred by interests), segnali di coinvolgimento (tempo sul sito, profondità di scorrimento, profondità della sessione), dati di conversione.

Dati sulla proprietà digitale visitata dall’utente: L’URL della pagina visitata, il sito web di riferimento

Dati sensibili trasferiti (se applicabile) e restrizioni o misure di sicurezza applicate che tengono pienamente in considerazione la natura dei dati e i rischi coinvolti, come ad esempio una rigorosa limitazione di scopo, restrizioni di accesso (incluso l’accesso solo per il personale che ha seguito una formazione specializzata), mantenere un registro degli accessi ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive: Non applicabile.

La frequenza del trattamento e/o dei trasferimenti (ad es. se i dati vengono trattati e/o trasferiti una sola volta o in modo continuativo): Continuo per la durata dell’Accordo.

Natura del trattamento: Trattamento dei Dati Personali necessario per la fornitura dei Servizi, come stabilito nell’Accordo.

Scopo(i) del trattamento / trasferimento dei dati e ulteriore trattamento: La fornitura dei Servizi, come stabilito nell’Accordo. Per evitare dubbi, gli Scopi Consentiti includono: (i) memorizzare e/o accedere a informazioni su un dispositivo; (ii) selezionare pubblicità di base; (iii) creare un profilo pubblicitario personalizzato; (iv) selezionare pubblicità personalizzate; (v) creare un profilo di contenuti personalizzati; (vi) selezionare contenuti personalizzati; (vii) misurare le prestazioni pubblicitarie; (viii) misurare le prestazioni dei contenuti; (ix) sviluppare e migliorare i prodotti; (x) garantire la sicurezza, prevenire frodi e debug; (xi) fornire tecnicamente annunci o contenuti; (xii) abbinare e combinare fonti di dati offline; (xiii) collegare dispositivi diversi; (xiv) ricevere e utilizzare caratteristiche del dispositivo inviate automaticamente per identificazione; (xv) utilizzare dati limitati per selezionare contenuti, e (xvi) understanding audiences through statistics.

Il periodo per il quale i dati personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:

      • Taboola: I dati grezzi sono conservati per un massimo di 13 mesi.
      • Inserzionista: Per tutto il tempo necessario per ricevere i Servizi o come altrimenti specificato nell’Accordo.

Per trasferimenti a (sub-) elaboratori, specificare anche oggetto, natura e durata del trattamento: Non applicabile.

 

C. AUTORITÀ DI CONTROLLO COMPETENTE

Autorità di controllo competente dove si applica il GDPR dell’UE: L’autorità di vigilanza competente per ciascuna parte è come descritto di seguito:

      • Taboola: L’autorità di vigilanza competente sarà determinata in conformità con la Clausola 13 delle SCC dell’UE.
      • Inserzionista: L’autorità di vigilanza competente sarà determinata in conformità con la Clausola 13 delle SCC dell’UE.

Autorità di vigilanza competente dove si applica il GDPR del Regno Unito: L’Ufficio del Commissario per le Informazioni

 

Descrizione delle misure tecniche e organizzative attuate da ciascuna parte (inclusi eventuali certificati pertinenti) per garantire un livello adeguato di sicurezza, tenendo conto della natura, dell’ambito, del contesto e dello scopo del trattamento, e dei rischi per i diritti e le libertà delle persone fisiche.

Misure di pseudonimizzazione e crittografia dei dati personali: Taboola raccoglie solo dati pseudonimizzati, il che significa che non sappiamo chi sei perché non conosciamo o trattiamo il nome, l’indirizzo email o altri dati identificabili dell’utente. Le informazioni sugli utenti che raccogliamo includono, ma non si limitano a, informazioni sul dispositivo e sul sistema operativo di un utente, indirizzo IP, le pagine web accessibili dagli utenti all’interno dei siti web dei nostri clienti, il link che ha portato un utente al sito web di un cliente, le date e gli orari in cui un utente accede a un sito web di un cliente e altri dati di navigazione web. Il CookieID è anonimizzato utilizzando Bcrypt e l’indirizzo IP è troncato.

Misure per garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione: Taboola utilizza più livelli di sicurezza elettronica (es: sicurezza degli endpoint, sicurezza lato server, tracciamento delle rilevazioni, test di penetrazione periodici e raccolta di intelligence approfondita per rivedere eventi post-mortem).

Misure per garantire la capacità di ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di un incidente fisico o tecnico: Taboola mantiene 9 centri dati operativi in tutto il mondo. Ogni centro dati è utilizzato come replica di un altro, quindi se uno si guasta, i dati possono essere estratti da un altro centro dati.

Processi per testare, valutare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento: Taboola mantiene processi rigorosi per testare l’efficacia dei suoi controlli (sia tecnici che organizzativi). Abbiamo registrazione e monitoraggio del sistema in atto, test DR mensili (almeno), test di penetrazione trimestrali, firewall che proteggono il web e honeypot distribuiti nella rete per trovare eventuali attività dannose. Inoltre, abbiamo un programma di ricompensa in atto che ci aiuta a monitorare costantemente la nostra rete.

Misure per l’identificazione e l’autorizzazione degli utenti: Ogni utente in Taboola è associato a un nome utente e una password dedicati. Ogni accesso alla rete interna di Taboola avviene con 2FA utilizzando l’autenticazione di Google. Gli utenti vengono creati solo dal dipartimento IT, durante il processo di onboarding e solo dopo aver ricevuto tutti i dettagli e il contratto firmato dal dipartimento HR.

Misure per la protezione dei dati durante la trasmissione: Taboola supporta qualsiasi trasmissione di dati attraverso protocolli di trasmissione sicuri (HTTPS e TLS v1.2 come minimo). Inoltre, i sistemi che potrebbero contenere PII sono protetti e i dati sono mantenuti in forma hash e anonimizzati.

Misure per la protezione dei dati durante la conservazione: I dati memorizzati all’interno dei nostri database sono anonimizzati e hashati utilizzando Bcrypt. L’accesso al DB è ridotto al minimo e basato sul principio del ‘business need to know’.

Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali: Ciascuno dei centri dati globali di Taboola (negli Stati Uniti, in Europa e in Asia) ha tutti i suoi server situati in armadi chiusi a chiave che sono mantenuti esclusivamente per l’uso di Taboola. Questi armadi sono mantenuti da aziende che sono certificate SOC2 o Taboola ha esaminato le loro misure di sicurezza. Inoltre, qualsiasi accesso ai server richiede un permesso scritto e registrato. Tutti gli uffici di Taboola sono anche controllati e richiedono ai dipendenti di utilizzare carte di accesso per entrare. Inoltre, solo un numero limitato di dipendenti ha accesso ai server di Taboola e qualsiasi accesso richiede anche un permesso scritto e registrato.

Misure per garantire la registrazione degli eventi: Taboola implementa strumenti di monitoraggio e i log vengono raccolti nel nostro sistema SIEM che ci avvisa su qualsiasi evento sospetto e viene anche monitorato dal team NOC.

Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita: I server vengono scansionati sia per la deriva di configurazione che per il livello di patch. La segnalazione e/o l’allerta sono impostate su entrambi e il livello di patch pertinente è confermato. Le nuove patch vengono distribuite utilizzando Puppet. Tutte le revisioni tecniche sono gestite attraverso l’applicazione R&D e ottenute tramite un processo formale di revisione (QA) dopo che i processi di codifica e CI/CD sono stati implementati.

Misure per la governance e la gestione interna dell’IT e della sicurezza IT: Taboola è certificata ISO 27001:2013 e 27701. Taboola ha in atto una Politica di Sicurezza delle Informazioni che afferma che il Consiglio di Amministrazione e la direzione di Taboola sono impegnati a preservare la riservatezza, l’integrità e la disponibilità di tutti i beni informativi fisici ed elettronici all’interno della loro organizzazione. Taboola tiene corsi di formazione sulla sicurezza per tutti i nuovi dipendenti, corsi di formazione sul phishing per tutti i dipendenti a livello globale e corsi di formazione sulla sicurezza regolari per tutti i dipendenti, dedicando anche sessioni per i gruppi R&D.

Misure per la certificazione/garanzia dei processi e dei prodotti: Audit interno trimestrale/semestrale/annuale su più processi e sistemi per convalidare che Taboola stia rispettando i suoi obiettivi e le misure di sicurezza definite.

Misure per garantire la minimizzazione dei dati: Taboola limita intenzionalmente i dati che raccogliamo come parte dei principi globali di minimizzazione dei dati di Taboola, elaborando solo i dati limitati necessari per i nostri specifici scopi aziendali. Inoltre, Taboola non ha la capacità, né alcun bisogno aziendale, di “ingegnerizzare inversamente” alcuno dei punti dati utilizzati nel nostro algoritmo per fornire i nostri servizi. Più specificamente, i punti dati che Taboola raccoglie non sono mai indicativi dell’identità di un utente, poiché Taboola non raccoglie né elabora informazioni come nome, numero di telefono, email o indirizzi fisici. Invece, Taboola raccoglie solo identificatori pseudonimi, che identificano semplicemente caratteristiche del dispositivo di un utente. Ciò include indirizzi IP (che vengono troncati al momento della raccolta e possono solo identificare la posizione generale del codice postale del dispositivo, ma mai una geolocalizzazione precisa) e, in alcune limitate istanze, indirizzi email hashati (che sono intrinsecamente irreversibili e non possono essere decrittografati per rivelare l’indirizzo email originale). Inoltre, anche quando utilizzati collettivamente, i dati che raccogliamo non possono mai produrre il nome, il numero di telefono, l’email o l’indirizzo fisico di un individuo, e i nostri ingegneri non lavorano in alcun modo per raggiungere questo obiettivo. In aggiunta, Taboola effettua e registra valutazioni di impatto sulla privacy nel tentativo di ridurre i rischi per la privacy dei nostri servizi, processi e politiche.

Misure per garantire la qualità dei dati: I dati vengono raccolti direttamente dall’utente e all’utente viene data l’opportunità di correggere qualsiasi dato associato al proprio CookieID tramite il Portale di Richiesta di Accesso del Soggetto Taboola: https://accessrequest.taboola.com/access

Misure per garantire una limitata conservazione dei dati: Conserviamo le Informazioni sugli Utenti, che vengono raccolte direttamente per scopi pubblicitari, per un massimo di tredici (13) mesi dall’ultima interazione dell’Utente con i nostri Servizi (spesso per un periodo di tempo più breve), dopo di che de-identifichiamo i dati rimuovendo identificatori unici o aggregando i dati. Questo processo avviene automaticamente.

Misure per garantire la responsabilità: Taboola esegue più audit di sicurezza e test di penetrazione (ma non per tutti i sistemi). Taboola utilizza anche fornitori di cloud che sono certificati ISO e che rispettano altre certificazioni rilevanti per il cloud per mantenere le misure di sicurezza fisica del server.

Misure per consentire la portabilità dei dati e garantire la cancellazione: La gestione dei media da parte di Taboola è la stessa per tutti i tipi di media poiché potrebbe contenere informazioni personali identificabili (PII). Qualsiasi media deve essere completamente cancellato prima di essere riutilizzato o smaltito. Qualsiasi smaltimento di media è documentato. I dipendenti sono istruiti a non stampare alcun documento che potrebbe contenere informazioni personali.

  1. Nella misura in cui una parte effettua un Trasferimento Riservato di Dati Raccolti all’altra parte, le Clausole Contrattuali Standard saranno incorporate in questi Termini sulla Privacy degli Inserzionisti e si applicheranno come segue:
    1. dove il Trasferimento Riservato è un Trasferimento Riservato dell’UE, le SCC dell’UE si applicheranno tra le parti come segue:
      1. Il Modulo Uno si applicherà;
      2. nella Clausola 7, si applicherà la Clausola di docking opzionale;
      3. nella Clausola 11, la lingua opzionale non si applicherà;
      4. nella Clausola 17, si applicherà l’Opzione 1, e le SCC dell’UE saranno regolate dalla legge irlandese;
      5. nella Clausola 18(b), le controversie saranno risolte davanti ai tribunali d’Irlanda;
      6. Le Parti A, B e C dell’Allegato I saranno considerate completate con le informazioni contenute nelle Parti A, B e C dell’Allegato A a questi Termini sulla Privacy degli Inserzionisti; e
      7. L’Allegato II sarà considerato completato con le misure di sicurezza stabilite nell’Allegato B a questi Termini sulla Privacy degli Inserzionisti;
    2. dove il Trasferimento Riservato è un Trasferimento Riservato del Regno Unito, l’Addendum del Regno Unito si applicherà tra le parti come segue:
      1. le SCC dell’UE, completate come sopra, si applicheranno tra le parti e saranno modificate dall’Addendum del Regno Unito (completato come stabilito nella sub-clausola (ii) di seguito); e
      2. le tabelle 1 a 3 dell’Addendum del Regno Unito saranno considerate completate con le informazioni pertinenti delle SCC dell’UE, completate come sopra, e le opzioni “Esportatore” e “Importatore” saranno considerate selezionate nella tabella 4. La data di inizio dell’Addendum del Regno Unito (come stabilito nella tabella 1) sarà la Data di Efficacia di questi Termini sulla Privacy degli Inserzionisti.
  2. Trasferimenti Riservati in Avanzamento:  Nessuna delle parti effettuerà un trasferimento riservato in avanti dei Dati Raccolti che riceve dall’altra parte a meno che non abbia compiuto tutti gli atti e le cose necessarie per garantire che tale trasferimento riservato in avanti sia conforme alla Legge Applicabile sulla Protezione dei Dati e a qualsiasi Clausola Contrattuale Standard concordata con l’altra parte.