Termini sulla privacy per gli inserzionisti

Last Update: November 14, 2025

Data di entrata in vigore:  14 agosto 2023

Questi Termini di privacy per gli inserzionisti di Taboola (“Termini sulla privacy degli inserzionisti”) si applicano ai servizi di pubblicità digitale di Taboola, ad esempio quando Taboola distribuisce i contenuti dell’Inserzionista tramite la sua piattaforma di distribuzione, Taboola Dynamic Creative Optimization (DCO), o Pagina di destinazione GenAI ai sensi di un accordo tra Taboola e un Inserzionista (“Accordo”), e le presenti Condizioni sulla privacy dell’inserzionista saranno considerate come parte integrante di qualsiasi accordo e ne costituiranno parte integrante.  I presenti Termini sulla privacy per gli inserzionisti identificano i ruoli e le responsabilità di Taboola e dell’Inserzionista in relazione ai dati personali.

In caso di conflitto tra i Termini sulla privacy dell’inserzionista e l’Accordo, i Termini sulla privacy dell’inserzionista prevarranno nella misura del conflitto, a meno che la disposizione in conflitto nell’Accordo non faccia espressamente riferimento alla disposizione in conflitto dei presenti Termini sulla privacy dell’inserzionista e non specifichi che prevale su tale disposizione in conflitto.

I termini definiti in questa sezione avranno i significati indicati di seguito e i termini correlati saranno interpretati di conseguenza. I termini in maiuscolo utilizzati ma non definiti nei Termini sulla privacy dell’inserzionista avranno i significati definiti nel Contratto.

      1. Leggi sulla protezione dei dati applicabili“si riferisce a tutte le leggi federali, nazionali, statali o altre leggi sulla privacy e sulla protezione dei dati che si applicano al trattamento che è oggetto del contratto e di queste Condizioni per gli inserzionisti, come possono essere modificate o sostituite di volta in volta.
      2. Dati raccolti” indica i Dati personali che ciascuna parte raccoglie dagli Interessati sui o tramite i propri server o reti (inclusi tutti i dati raccolti passivamente o leggibili tramite macchina, come i dati basati sul tipo di browser e sugli identificatori del dispositivo) in relazione alla fornitura o alla ricezione dei Servizi.
      3. Responsabile del trattamento“indica: (i) un’entità che determina le finalità e i mezzi del trattamento dei dati personali e (ii) qualsiasi persona che rientra nell’ambito del termine “responsabile del trattamento” (o qualsiasi termine sostanzialmente analogo) come definito dalle leggi sulla protezione dei dati applicabili.
      4. Legge sulla privacy della California” significa California Consumer Privacy Act del 2018, Cal. Codice Civile § 1798.100 e seguenti (“CCPA”), come modificato (anche dalla California Privacy Rights Act), e qualsiasi normativa secondaria e regolamenti attuativi.
      5. Interessatoindica: (i) una persona fisica identificata o identificabile (e, ai fini del presente documento, per persona fisica identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare tramite un identificativo come un nome, un numero di identificazione, dati di localizzazione, un identificativo online o uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica) e (ii) qualsiasi persona che rientri nell’ambito del termine “interessato”, “consumatore” (o qualsiasi termine sostanzialmente analogo) come definito dalle Leggi sulla protezione dei dati.
      6. Legge sulla protezione dei dati dell’UE” significa: (i) il Regolamento generale sulla protezione dei dati dell’UE (Regolamento 2016/679) (“EU GDPR”); (ii) la direttiva ePrivacy dell’UE (Direttiva 2002/58/CE); e (iii) eventuali leggi nazionali sulla protezione dei dati emanate ai sensi o in conformità con (i) o (ii), ciascuna modificata o sostituita di volta in volta.
      7. Scopi consentiti” ha il significato indicato nella sezione 3.
      8. Dati personali“si riferisce a qualsiasi informazione relativa a un interessato (inclusi, ove richiesto dalla legge sulla protezione dei dati applicabile, identificatori univoci di browser o dispositivi), come stabilito nell’allegato A, parte B.
      9. Processo“indica qualsiasi operazione o insieme di operazioni effettuate sui Dati Personali o su insiemi di Dati Personali, con o senza mezzi automatizzati, come la raccolta, la ricezione, la registrazione, l’organizzazione, la strutturazione, l’uso, la trasmissione, l’accesso, la condivisione, la divulgazione, il trasferimento, la conservazione, l’adattamento o la modifica, il recupero, la consultazione, la diffusione o la messa a disposizione in altro modo, l’allineamento o la combinazione, l’aggregazione, l’inferenza, la derivazione, l’analisi, la limitazione, la cancellazione, la distruzione o lo smaltimento o altro trattamento dei Dati Personali, incluso il modo in cui tale termine è definito ai sensi della Legge Applicabile sulla Protezione dei Dati.
      10. Elaboratore“indica: (i) un’entità che elabora i dati personali per conto di un responsabile del trattamento e (ii) qualsiasi persona che rientri nell’ambito del termine “elaboratore” (o qualsiasi termine sostanzialmente analogo) come definito dalle leggi sulla protezione dei dati applicabili.
      11. Trasferimento limitato“significa: (i) quando si applica l’EU GDPR, un trasferimento di dati personali dallo Spazio economico europeo (SEE) a un paese al di fuori dello SEE che non è soggetto a una decisione di adeguatezza da parte della Commissione europea (“Trasferimento limitato UE“); e (ii) quando si applica l’UK GDPR, un trasferimento di dati personali dal Regno Unito a qualsiasi altro paese che non sia soggetto a o basato su normative di adeguatezza ai sensi della sezione 17A della legge del Regno Unito sulla protezione dei dati del 2018 (“Trasferimento limitato del Regno Unito“).
      12. Vendita” e “Vendere” significano lo scambio di Dati Personali in cambio di una contropartita monetaria o di altro valore e includono la definizione di tali termini ai sensi della Legge Applicabile sulla Protezione dei Dati.
      13. Servizi” si intendono i servizi forniti da Taboola ai sensi dell’accordo con l’inserzionista.
      14. Incidente di sicurezza” si intende una violazione della sicurezza che porti alla distruzione accidentale o illecita, alla perdita, all’alterazione, alla divulgazione non autorizzata o all’accesso non autorizzato ai Dati Personali.
      15. Standard Contractual Clauses” significa: (i) quando si applica il Regolamento generale sulla protezione dei dati dell’UE, le clausole contrattuali allegate alla decisione di esecuzione 2021/914 della Commissione europea, del 4 giugno 2021, relativa a Standard Contractual Clauses per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (“SCCs dell’UE”); e (ii) quando si applica il Regolamento generale sulla protezione dei dati del Regno Unito, l’”Addendum per il trasferimento internazionale dei dati alle Standard Contractual Clauses della Commissione europea” emesso dall’Information Commissioner ai sensi dell’articolo 119A(1) del DPA 2018 (“Addendum del Regno Unito”).
      16. Terza parte“indica un’azienda che agisce in qualità di titolare del trattamento in relazione ai dati personali e che non è l’azienda con cui l’interessato i cui dati personali sono trattati ha intenzionalmente interagito; il termine include il modo in cui tale termine è definito ai sensi della legge sulla protezione dei dati applicabile.”
      17. Legge sulla protezione dei dati del Regno Unito” significa: (i) la legge sulla protezione dei dati del Regno Unito del 2018, (ii) il UK GDPR (come definito nell’articolo 3(10) della legge sulla protezione dei dati del Regno Unito del 2018) (“UK GDPR”), (iii) il regolamento del 2003 sulla privacy e le comunicazioni elettroniche (direttiva CE) del Regno Unito e (iv) qualsiasi altra legge del Regno Unito emanata in base o ai sensi di (i), (ii) o (iii), ciascuna modificata o sostituita di volta in volta.

Ogni parte deve elaborare i dati raccolti che raccoglie o riceve dall’altra parte per le finalità indicate nell’allegato A, parte B (“Finalità consentite”).  L’inserzionista accetta che Taboola elabori i dati raccolti come consentito dall’Informativa sulla privacy di Taboola (che, per evitare equivoci, costituirà anche una finalità consentita per Taboola).

Nella misura in cui i dati raccolti rientrano nella categoria dei dati personali o li contengono ai sensi delle leggi sulla protezione dei dati applicabili, ogni parte elabora i dati raccolti che raccoglie o riceve dall’altra parte in qualità di titolare del trattamento (che può includere, ove applicabile, in base alla legge sulla privacy della California, anche in qualità di terza parte).  Le divulgazioni (che siano trasferimenti o avvengano tramite una parte che rende i dati disponibili all’altra parte) di dati raccolti o dati personali da una parte all’altra sono divulgazioni a terze parti.

      1. Se la legge sulla protezione dei dati degli Stati Uniti o di uno stato degli Stati Uniti si applica ai dati raccolti, inclusi, a titolo esemplificativo ma non esaustivo, la legge sulla privacy della California, nella misura in cui i Realize Pixels (precedentemente denominati “Taboola Pixels”) utilizzati in connessione con i servizi elaborano dati personali su un visitatore, Taboola agisce in qualità di terza parte per l’inserzionista per tali dati personali. Taboola elaborerà tali Dati Personali per le Finalità Permesse. Tali Dati Personali sono resi disponibili a Taboola esclusivamente per le Finalità Permesse.  Taboola fornirà lo stesso livello di protezione della privacy richiesto alle Imprese dalle leggi vigenti sulla protezione dei dati negli Stati Uniti, incluse, se applicabile, le leggi sulla privacy della California. Taboola informerà l’Inserzionista nel termine previsto dalla legge sulla protezione dei dati applicabile se Taboola determina che non è più in grado di adempiere ai propri obblighi ai sensi delle leggi sulla protezione dei dati applicabili. Dopo aver inviato la notifica a Taboola, l’Inserzionista ha il diritto di adottare misure ragionevoli e appropriate per fermare e porre rimedio all’uso non autorizzato dei Dati Personali che mette a disposizione di Taboola.

Le parti riconoscono che alcuni o tutti i Dati Raccogliuti possono essere considerati o includere Dati Personali e che pertanto le leggi sulla protezione dei dati applicabili possono applicarsi all’elaborazione dei Dati Raccogliuti da parte di ciascuna parte.  In tal caso, e salvo quanto previsto dalla sezione 7, ciascuna parte è individualmente responsabile del proprio rispetto delle leggi sulla protezione dei dati applicabili, inclusi tutti i requisiti applicabili per: (i) garantire la trasparenza nei confronti degli interessati, (ii) ottenere il consenso o un’altra base giuridica per l’elaborazione e (iii) mettere a disposizione un punto di contatto tramite il quale gli interessati possono esercitare i propri diritti in materia di protezione dei dati.

Nel caso in cui una delle parti effettui un trasferimento limitato dei dati raccolti all’altra parte, si applicano le disposizioni dell’Allegato C.

a. Taboola utilizza i Realize Pixels per fornire i Servizi.  Nonostante la sezione 5, nella misura in cui Taboola raccoglie i Dati raccolti dalle proprietà digitali dell’Inserzionista (come siti web, applicazioni mobili o altro) utilizzando i Realize Pixels, l’Inserzionista dovrà: (i) fornire tutte le comunicazioni di trasparenza richieste ai Soggetti interessati riguardo all’uso dei Realize Pixels da parte di Taboola per raccogliere i Dati raccolti dalle proprietà digitali dell’Inserzionista per gli Scopi consentiti, e (ii) ottenere (e, su richiesta in qualsiasi momento da parte di Taboola, fornire le opportune prove di) il consenso del Soggetto interessato a tale uso dei Realize Pixels per gli Scopi consentiti, in ogni caso in conformità con i requisiti delle Leggi sulla protezione dei dati applicabili.  Gli obblighi dell’Inserzionista in questo senso includono l’identificazione di Taboola e del suo uso dei Realize Pixels per gli Scopi consentiti espressamente all’interno delle comunicazioni di trasparenza e dei prompt di consenso che l’Inserzionista fornisce ai Soggetti interessati, così come qualsiasi altra informazione richiesta dalle Leggi sulla protezione dei dati applicabili, in modo che Taboola possa fornire i suoi Servizi legalmente attraverso tali proprietà digitali e Elaborare i Dati raccolti e i Dati personali per gli Scopi consentiti. Nella misura in cui l’inserzionista riceve il servizio di Pagina di destinazione GenAI di Taboola, Taboola fornirà una comunicazione trasparente e otterrà il consenso dell’utente.

b. Su richiesta scritta, Taboola fornirà all’Inserzionista le informazioni necessarie sui Realize Pixels e sull’Elaborazione dei Dati raccolti da parte di Taboola attraverso le proprietà digitali dell’Inserzionista affinché l’Inserzionista possa garantire che i suoi meccanismi di comunicazione e consenso siano conformi alle Leggi sulla protezione dei dati applicabili.  L’inserzionista non può attivare alcun Realize Pixels a meno che e fino a quando non sia stata fornita la necessaria trasparenza e non siano stati ottenuti i necessari consensi richiesti dalle Leggi sulla protezione dei dati applicabili.

c. L’inserzionista fornirà inoltre agli interessati informazioni su come possono esercitare i loro diritti in materia di protezione dei dati ai sensi delle Leggi sulla protezione dei dati applicabili e fornirà un punto di contatto a cui gli interessati possono rivolgersi per esercitare i loro diritti. L’inserzionista notifica tempestivamente a Taboola se e nella misura in cui riceve una richiesta di diritti in materia di protezione dei dati relativa all’elaborazione dei dati raccolti da parte di Taboola in qualità di responsabile del trattamento, affinché Taboola possa soddisfare la richiesta in conformità con i suoi obblighi ai sensi della Legge sulla protezione dei dati applicabile.

Se Taboola, su richiesta dell’inserzionista, trasmette i dati personali al partner di attribuzione dell’inserzionista o all’inserzionista stesso a fini di attribuzione, l’inserzionista dichiara e garantisce che: (i) il suo partner di attribuzione è un responsabile del trattamento per conto dell’inserzionista; (ii) a meno che non siano stati raccolti in modo indipendente, l’inserzionista e il partner di attribuzione utilizzeranno tali dati personali esclusivamente per scopi di attribuzione; e (iii) il partner di attribuzione e l’inserzionista elimineranno tutti i dati personali trasmessi entro trenta (30) giorni dall’ultima identificazione del visitatore come proveniente da Taboola.

Ogni parte attua misure tecniche e organizzative di sicurezza appropriate per proteggere i dati raccolti e/o i dati personali che elabora da e contro un incidente di sicurezza.  Tali misure includono le misure di cui all’allegato B.

Se una delle Parti subisce un Incidente di Sicurezza in relazione ai Dati Raccogli e/o ai Dati Personali che elabora e che sono oggetto del Contratto e delle presenti Condizioni sulla Privacy dell’Inserzionista, la Parte interessata dovrà: (i) essere responsabile dell’adempimento (a proprie spese) di tutti gli obblighi di segnalazione che le competono ai sensi delle Leggi Applicabili sulla Protezione dei Dati alle autorità per la protezione dei dati e/o agli Interessati colpiti, (ii) notificare l’altro Parte senza indebito ritardo, fornendo le informazioni sull’Incidente di Sicurezza che l’altra Parte potrebbe ragionevolmente richiedere o che sono altrimenti necessarie affinché l’altra Parte possa determinare se potrebbe essere soggetta a obblighi di segnalazione ai sensi delle Leggi Applicabili sulla Protezione dei Dati in relazione all’Incidente di Sicurezza, e (iii) adottare senza indebito ritardo tutte le azioni e le misure appropriate per porre rimedio e/o mitigare gli effetti dell’Incidente di Sicurezza.

Ove e nella misura in cui sia richiesto dalle Leggi Applicabili sulla Protezione dei Dati a cui è soggetta ciascuna parte, ciascuna parte dovrà effettuare una valutazione dell’impatto sulla protezione dei dati in relazione al suo Trattamento dei Dati Raccogli e/o dei Dati Personali per gli Scopi Consentiti e/o consultare le autorità competenti per la protezione dei dati, se necessario.  Ciascuna parte dovrà fornire ogni ragionevole cooperazione e informazione ragionevolmente richiesta dall’altra parte, ove ciò sia necessario per consentire all’altra parte di completare una valutazione dell’impatto sulla protezione dei dati e/o consultare le autorità competenti per la protezione dei dati in conformità agli obblighi di tale altra parte ai sensi della presente sezione 11.

 

A. ELENCO DELLE PARTI

Ogni parte è:

      • un responsabile del trattamento dei dati (e dell’esportazione dei dati) dei dati raccolti che divulga o rende disponibile all’altra parte, e
      • un responsabile del trattamento dei dati (e dell’importazione dei dati) dei dati raccolti che riceve o a cui l’accesso è reso disponibile dall’altra parte.

I dettagli di ciascuna parte sono forniti di seguito.

Nome: Vedi i dettagli dell’Inserzionista indicati nel Contratto.

Indirizzo: Vedi i dettagli dell’Inserzionista indicati nel Contratto.

Nome, posizione e dettagli di contatto della persona di riferimento: Vedi i dettagli dell’Inserzionista indicati nel Contratto o altrimenti concordati tra le parti per iscritto.

Attività pertinenti ai dati trasferiti ai sensi delle presenti Clausole: La ricezione dei Servizi, come indicato nel Contratto.

Firma e data: Il presente Allegato A si considera eseguito con l’accettazione da parte dell’Inserzionista delle presenti Condizioni sulla privacy dell’Inserzionista.

Ruolo (titolare del trattamento/responsabile del trattamento): Titolare del trattamento (quando è un esportatore di dati) e titolare del trattamento (quando è un importatore di dati)

 

Nome: Vedi i dettagli di Taboola indicati nell’introduzione al Contratto.

Indirizzo: Vedi i dettagli di Taboola indicati nell’introduzione al Contratto.

Nome, posizione e dettagli di contatto della persona di riferimento: Il team per la privacy di Taboola, privacy@taboola.com.

Attività pertinenti ai dati trasferiti ai sensi delle presenti Clausole: La fornitura dei Servizi, come stabilito nel Contratto.

Firma e data: Il presente Allegato A si considera eseguito al momento dell’accettazione da parte di Taboola delle presenti Condizioni sulla privacy per gli inserzionisti.

Ruolo (titolare del trattamento/responsabile del trattamento): Titolare del trattamento (quando è un esportatore di dati) e titolare del trattamento (quando è un importatore di dati)

 

B. DESCRIZIONE DEL TRATTAMENTO E DEL TRASFERIMENTO

Categorie di interessati i cui dati personali sono trattati e/o trasferiti: Utenti

Categorie di dati personali trattati e/o trasferiti:

Dati del dispositivo: Sistema operativo, tipo di browser, versione del browser, indirizzo IP (ridotto entro 30 giorni dalla raccolta), codice postale (derivato dall’indirizzo IP), ID utente Taboola criptato, email criptate, visite alla pagina iniziale e successive sul sito web dell’inserzionista, sesso dell’utente (dedotto dagli interessi), segnali di coinvolgimento (tempo trascorso sul sito, profondità di scorrimento, profondità della sessione), dati di conversione.

Dati sulla proprietà digitale visitata dall’utente: L’URL della pagina visitata, il sito web di riferimento

  • Nella misura in cui il DCO fa parte dei servizi, Taboola elabora anche i seguenti dati:

Dati del dispositivo: ID cookie o ID dispositivo di Taboola, a seconda della piattaforma), indirizzo IP mascherato, ID clic di Taboola, User agent string, Paese, tipo di utente, incluse le informazioni su un utente nuovo/di ritorno (se condivise dall’inserzionista), informazioni sul prodotto (legate all’URL specifico), compreso il prezzo e la disponibilità dalle pagine degli articoli

Dati evento: valuta, ID prodotto, ID ordine, ID categoria, categoria, termine di ricerca, dettagli del carrello, valore e ID campagna.

Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che tengono pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio la rigorosa limitazione delle finalità, le restrizioni di accesso (ivi compreso l’accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un registro degli accessi ai dati, le restrizioni per i trasferimenti successivi o le misure di sicurezza aggiuntive: Non applicabile.

La frequenza dell’elaborazione e/o dei trasferimenti (ad es. se i dati sono elaborati e/o trasferiti in modo occasionale o continuo): Continuo per tutta la durata del Contratto.

Natura dell’elaborazione: Elaborazione dei dati personali necessari per la fornitura dei servizi, come stabilito nel contratto.

Finalità del trattamento/trasferimento dei dati e ulteriore elaborazione: La fornitura dei Servizi, come stabilito nel Contratto. Per evitare dubbi, gli Scopi consentiti includono: (i) memorizzazione e/o accesso alle informazioni su un dispositivo; (ii) selezione di annunci pubblicitari di base; (iii) creazione di un profilo di annunci personalizzati; (iv) selezione di annunci personalizzati; (v) creazione di un profilo di contenuti personalizzati; (vi) selezione di contenuti personalizzati; (vii) misurazione delle prestazioni degli annunci pubblicitari; (viii) misurazione delle prestazioni dei contenuti; (ix) sviluppo e miglioramento dei prodotti; (x) garanzia della sicurezza, prevenzione delle frodi e debug; (xi) distribuzione tecnica di annunci o contenuti; (xii) corrispondenza e combinazione di fonti di dati offline; (xiii) collegamento di diversi dispositivi; (xiv) ricezione e utilizzo delle caratteristiche del dispositivo inviate automaticamente per l’identificazione; (xv) utilizzo di dati limitati per selezionare i contenuti e (xvi) uComprendere il pubblico attraverso le statistiche.

Il periodo per il quale i dati personali saranno conservati o, se non è possibile, i criteri utilizzati per determinare tale periodo:

      • Taboola: I dati grezzi sono conservati per un massimo di 13 mesi.
      • Advertiser: Per tutto il tempo necessario per ricevere i Servizi o come altrimenti specificato nel Contratto.

Per i trasferimenti a (sotto-)elaboratori, specificare anche oggetto, natura e durata dell’elaborazione: Non applicabile.

 

C. AUTORITÀ DI CONTROLLO COMPETENTE

Autorità di controllo competente in cui si applica l’EU GDPR: L’autorità di controllo competente per ciascuna parte è descritta di seguito:

      • Taboola: L’autorità di controllo competente è determinata in conformità alla Clausola 13 delle EU SCCs.
      • Advertiser: L’autorità di controllo competente è determinata in conformità alla Clausola 13 delle EU SCCs.

Autorità di controllo competente in cui si applica il UK GDPR: Ufficio del Commissario per l’informazione

 

Descrizione delle misure tecniche e organizzative implementate da ciascuna parte (incluse eventuali certificazioni pertinenti) per garantire un livello di sicurezza adeguato, tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

Misure di pseudonimizzazione e crittografia dei dati personali: Taboola raccoglie solo dati pseudonimizzati, il che significa che non sappiamo chi sei perché non conosciamo o elaboriamo il nome dell’utente, l’indirizzo e-mail o altri dati identificabili. Le informazioni sugli utenti che raccogliamo includono, ma non sono limitate a, informazioni sul dispositivo e sul sistema operativo dell’utente, l’indirizzo IP, le pagine web a cui gli utenti accedono all’interno dei siti web dei nostri clienti, il link che ha portato un utente al sito web di un cliente, le date e gli orari di accesso di un utente al sito web di un cliente e altri dati di navigazione web. L’ID del cookie è reso anonimo tramite Bcrypt e l’indirizzo IP è troncato.

Misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza continuativa dei sistemi e dei servizi di trattamento: Taboola utilizza più livelli di sicurezza elettronica (ad es.: sicurezza dei punti finali, sicurezza lato server, monitoraggio delle rilevazioni, test di penetrazione periodici e raccolta approfondita di informazioni per rivedere gli eventi post-mortem).

Misure per garantire la possibilità di ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico: Taboola gestisce 9 data center operativi in tutto il mondo. Ogni data center viene utilizzato come replica dell’altro, quindi se uno viene disattivato i dati possono essere estratti da un altro data center.

Processi per testare, valutare ed esaminare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza dell’elaborazione: Taboola mantiene processi rigorosi per testare l’efficacia dei propri controlli (sia tecnici che organizzativi). Abbiamo attivato il logging e il monitoraggio dei sistemi, test di ripristino mensili (almeno), test di penetrazione trimestrali, firewall che proteggono il web e honeypot distribuiti in tutta la rete per individuare eventuali attività malevole. Inoltre, abbiamo attivato un programma di ricompense che ci aiuta a monitorare costantemente la nostra rete.

Misure per l’identificazione e l’autorizzazione degli utenti: Ogni utente di Taboola è associato a un nome utente e a una password dedicati. Ogni accesso alla rete interna di Taboola avviene tramite 2FA utilizzando l’autenticazione di Google. Gli utenti vengono creati solo dal reparto IT, durante il processo di onboarding e solo dopo aver ricevuto tutti i dettagli e il contratto firmato dal reparto HR.

Misure per la protezione dei dati durante la trasmissione: Taboola supporta qualsiasi trasmissione di dati tramite protocolli di trasmissione sicuri (HTTPS e TLS v1.2 come minimo). Inoltre, i sistemi che potrebbero contenere PII sono protetti e i dati sono mantenuti in formato hash e anonimizzati.

Misure per la protezione dei dati durante l’archiviazione: I dati archiviati nei nostri database sono anonimizzati e in formato hash utilizzando Bcrypt. L’accesso al database è limitato e basato sul principio del “bisogno aziendale di sapere”.

Misure per garantire la sicurezza fisica dei luoghi in cui vengono elaborati i dati personali: Ciascuno dei data center globali di Taboola (negli Stati Uniti, in Europa e in Asia) ha tutti i suoi server situati in armadi chiusi a chiave che sono mantenuti esclusivamente per l’uso di Taboola. Questi armadi sono gestiti da società che sono certificate SOC2 o che Taboola ha esaminato per le loro misure di sicurezza. Inoltre, qualsiasi accesso ai server richiede un permesso scritto e registrato. Tutti gli uffici di Taboola sono inoltre controllati e i dipendenti sono tenuti a utilizzare tessere di accesso per entrare. Inoltre, solo un numero limitato di dipendenti ha accesso ai server di Taboola e anche per l’accesso è necessario un permesso scritto e registrato.

Misure per garantire la registrazione degli eventi: Taboola implementa strumenti di monitoraggio e i registri vengono raccolti nel nostro sistema SIEM che ci avvisa in caso di eventi sospetti e viene inoltre monitorato dal team NOC.

Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita: I server vengono sottoposti a scansione per individuare eventuali deviazioni nella configurazione e il livello di patch. Sono impostati rapporti e/o avvisi su entrambi e viene confermato il livello di patch pertinente. Le nuove patch vengono distribuite tramite Puppet. Tutti i controlli tecnici sono gestiti tramite l’applicazione R&D e ottenuti tramite un processo formale di revisione (QA) dopo la codifica e l’implementazione dei processi CI/CD.

Misure per la governance e la gestione IT interne e della sicurezza IT: Taboola è certificata ISO 27001:2013 e 27701. Taboola ha una politica di sicurezza delle informazioni che stabilisce che il consiglio di amministrazione e la dirigenza di Taboola si impegnano a preservare la riservatezza, l’integrità e la disponibilità di tutti i beni informativi fisici ed elettronici in tutta la loro organizzazione. Taboola organizza corsi di formazione sulla sicurezza per tutti i nuovi dipendenti, corsi di formazione sul phishing per tutti i dipendenti a livello globale e corsi di formazione sulla sicurezza regolari per tutti i dipendenti, oltre a sessioni dedicate ai gruppi di ricerca e sviluppo.

Misure per la certificazione/garanzia dei processi e dei prodotti: Audit interni trimestrali/semestriali/annuali su più processi e sistemi per convalidare che Taboola rispetti gli obiettivi e le misure di sicurezza definiti.

Misure per garantire la minimizzazione dei dati: Taboola limita intenzionalmente i dati che raccogliamo come parte dei principi globali di minimizzazione dei dati di Taboola, elaborando solo i dati limitati necessari per i nostri specifici scopi aziendali. Inoltre, Taboola non ha la possibilità, né alcun bisogno aziendale, di “invertire l’ingegneria” di nessuno dei punti dati utilizzati nel nostro algoritmo per fornire i nostri servizi. Più specificamente, i punti dati che Taboola raccoglie non sono mai indicativi dell’identità di un utente, poiché Taboola non raccoglie o elabora informazioni come il nome dell’utente, il numero di telefono, l’indirizzo e-mail o gli indirizzi fisici. Invece, Taboola raccoglie solo identificatori pseudonimi, che identificano semplicemente le caratteristiche del dispositivo di un utente. Questo include gli indirizzi IP (che vengono troncati al momento della raccolta e possono solo identificare la posizione generale del codice postale del dispositivo, ma mai una geolocalizzazione precisa) e, in alcuni casi limitati, indirizzi email hash (che sono intrinsecamente irreversibili e non possono essere decifrati per rivelare l’indirizzo email originale). Inoltre, anche quando utilizzati collettivamente, i dati che raccogliamo non possono mai produrre il nome, il numero di telefono, l’indirizzo email o l’indirizzo fisico di un individuo, e i nostri ingegneri non lavorano in alcun modo per raggiungere questo obiettivo. Inoltre, Taboola effettua e registra valutazioni dell’impatto sulla privacy nel tentativo di minimizzare i rischi per la privacy dei nostri servizi, processi e politiche.

Misure per garantire la qualità dei dati: I dati sono raccolti direttamente dall’utente e all’utente viene data la possibilità di correggere eventuali dati associati al suo CookieID tramite il Portale di richiesta di accesso dei soggetti Taboola: https://accessrequest.taboola.com/access

Misure per garantire la limitazione della conservazione dei dati: Conserviamo le informazioni dell’utente, raccolte direttamente ai fini della pubblicazione di annunci, per un massimo di tredici (13) mesi dall’ultima interazione dell’utente con i nostri servizi (spesso per un periodo di tempo più breve), dopo di che disidentifichiamo i dati rimuovendo gli identificatori univoci o aggregando i dati. Questo processo è automatizzato.

Misure per garantire la responsabilità: Taboola effettua più audit di sicurezza e test di penetrazione (ma non per tutti i sistemi). Taboola utilizza anche provider cloud certificati ISO e conformi ad altre certificazioni pertinenti al cloud per mantenere le salvaguardie fisiche di un server.

Misure per consentire la portabilità dei dati e garantire la cancellazione: Tutti i supporti devono essere completamente cancellati prima di essere riutilizzati o smaltiti. Lo smaltimento dei supporti è documentato. I dipendenti sono istruiti a non stampare alcun documento che potrebbe contenere informazioni personali.

  1. Nella misura in cui una parte effettua un Trasferimento Limitato di Dati Raccogli all’altra parte, le Clausole Contrattuali Standard saranno incorporate nelle presenti Condizioni sulla Privacy dell’Inserzionista e si applicheranno come segue:
    1. in cui il trasferimento limitato è un trasferimento limitato dell’UE, le EU SCC si applicheranno tra le parti come segue:
      1. si applicherà il modulo uno;
      2. nella clausola 7, si applicherà la clausola di aggancio facoltativa;
      3. nella clausola 11, la lingua facoltativa non si applicherà;
      4. nella clausola 17, si applicherà l’opzione 1 e le EU SCC saranno regolate dalla legge irlandese;
      5. nella clausola 18(b), le controversie saranno risolte davanti ai tribunali irlandesi;
      6. le parti A, B e C dell’allegato I saranno considerate completate con le informazioni riportate nelle parti A, B e C dell’allegato A alle presenti Condizioni sulla privacy dell’inserzionista; e
      7. l’allegato II sarà considerato completato con le misure di sicurezza riportate nell’allegato B alle presenti Condizioni sulla privacy dell’inserzionista; e
    2. in cui il trasferimento limitato è un trasferimento limitato del Regno Unito, l’Addendum del Regno Unito si applicherà tra le parti come segue:
      1. si applicheranno le EU SCC, completate come sopra indicato, e saranno modificate dall’Addendum del Regno Unito (completato come indicato nella sottoclausola (ii) qui sotto); e
      2. Le tabelle da 1 a 3 dell’UK Addendum sono considerate completate con le informazioni pertinenti delle EU SCC, completate come sopra indicato, e le opzioni “Esportazione” e “Importazione” sono considerate selezionate nella tabella 4. La data di inizio dell’UK Addendum (come indicato nella tabella 1) è la Data di efficacia delle presenti Condizioni sulla privacy dell’inserzionista.
  2. Trasferimenti limitati successivi:  Nessuna delle parti effettuerà un trasferimento limitato successivo dei dati raccolti che riceve dall’altra parte, a meno che non abbia compiuto tutti gli atti e le azioni necessari per garantire che tale trasferimento limitato successivo sia conforme alla legge sulla protezione dei dati applicabile e a qualsiasi clausola contrattuale standard concordata con l’altra parte.