Termini sulla privacy del publisher

Last Update: October 10, 2024

Data di entrata in vigore: 10 ottobre 2024

Questi Termini sulla privacy del publisher di Taboola (“Termini sulla privacy del publisher”) si applicano ai servizi pubblicitari digitali di Taboola, come quando Taboola colloca contenuti degli inserzionisti sulle proprietà dei publisher, inclusi, ma non limitati a, prodotti e servizi del publisher come Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News e Taboola Push, in base a un accordo tra Taboola e un publisher (“Accordo”), e questi Termini sulla privacy del publisher saranno considerati incorporati e costituiranno parte integrante di qualsiasi Accordo. Questi Termini sulla privacy del publisher identificano i ruoli e le responsabilità di Taboola e del publisher in relazione ai Dati personali.

In caso di conflitto tra i Termini sulla privacy del Publisher e l’Accordo, i Termini sulla privacy del Publisher prevarranno a meno che la disposizione in conflitto nell’Accordo non faccia esplicito riferimento alla disposizione in conflitto di questi Termini sulla privacy del Publisher e specifichi che essa supera la disposizione in conflitto.

I termini definiti in questa sezione avranno i significati indicati di seguito, e i termini affini saranno interpretati di conseguenza. I termini in maiuscolo utilizzati ma non definiti nei Termini sulla privacy del Publisher avranno i significati definiti nell’Accordo.

      1. Leggi sulla protezione dei dati applicabili” significa tutte le leggi federali, nazionali, statali o altre leggi sulla privacy e sulla protezione dei dati che si applicano al Trattamento oggetto dell’Accordo e di questi Termini sulla privacy del Publisher, come possono essere modificate o superate di volta in volta.
      2. Legge sulla privacy della California” significa il California Consumer Privacy Act del 2018, Cal. Codice Civile § 1798.100 e seguenti (anche, “CCPA”), come modificato (incluso dalla California Privacy Rights Act), e qualsiasi legislazione subordinata e regolamenti attuativi.
      3. Controllore” significa: (i) un’entità che determina le finalità e i mezzi del Trattamento dei Dati Personali, e (ii) qualsiasi persona o entità che rientra nell’ambito del termine “Controllore” o “Azienda” (o qualsiasi termine sostanzialmente analogo) come definito dalle Leggi sulla protezione dei dati applicabili.
      4. Interessato” significa: (i) una persona fisica identificata o identificabile (e, ai fini di queste disposizioni, una persona fisica identificabile è quella che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati di localizzazione, un identificatore online o a uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona fisica), e (ii) qualsiasi persona che rientra nell’ambito del termine “soggetto dei dati”, “consumatore” (o qualsiasi termine sostanzialmente analogo) come definito dalle Leggi sulla protezione dei dati.
      5. Legge sulla protezione dei dati dell’UE” significa: (i) il Regolamento generale sulla protezione dei dati dell’UE (Regolamento 2016/679) (“GDPR dell’UE”); (ii) la Direttiva e-Privacy dell’UE (Direttiva 2002/58/CE); e (iii) qualsiasi legge nazionale sulla protezione dei dati adottata ai sensi di (i) o (ii), ciascuna come può essere modificata o superata di volta in volta.
      6. Dati Personali” significa qualsiasi informazione che si riferisce a un individuo identificato o identificabile (e tale termine includerà, dove richiesto dalla Legge sulla protezione dei dati applicabile, identificatori unici del browser o del dispositivo), come indicato nell’Allegato A, Parte B.
        1. Dati Personali di Interazione” significa qualsiasi Dato Personale raccolto dai consumatori al momento, o dopo, un’interazione intenzionale di un consumatore con Taboola, i prodotti di Taboola, le proprietà di Taboola e le pubblicità che Taboola colloca.
        2. Dati Personali di Interazione Passiva” significa qualsiasi Dato Personale raccolto passivamente dalle Proprietà del Publisher, inclusi, ma non limitati a, indirizzo IP, URL della pagina e stringa dell’agente utente raccolti da Taboola, prima o in assenza di un’interazione intenzionale di un consumatore con Taboola, i prodotti di Taboola, le proprietà di Taboola e le pubblicità che Taboola colloca.
      7. Trattamento” significa qualsiasi operazione o insieme di operazioni che viene eseguita su Dati Personali o su insiemi di Dati Personali, indipendentemente dal fatto che sia effettuata con mezzi automatizzati, come raccolta, ricezione, registrazione, organizzazione, strutturazione, utilizzo, trasmissione, accesso, condivisione, divulgazione, trasferimento, archiviazione, adattamento o modifica, recupero, consultazione, diffusione o altro messa a disposizione, allineamento o combinazione, aggregazione, inferenza, derivazione, analisi, restrizione, cancellazione, distruzione o smaltimento o altro trattamento di Dati Personali, inclusivo di come tale termine è definito dalla Legge sulla protezione dei dati applicabile.
      8. Responsabile del Trattamento” significa un’entità che tratta Dati Personali per conto di un Controllore, e include come tale termine e/o il termine “responsabile del trattamento” (o qualsiasi termine sostanzialmente analogo) è definito dalla Legge sulla protezione dei dati applicabile.
      9. Trasferimento Riservato” significa: (i) dove si applica il GDPR dell’UE, un trasferimento di Dati Personali dallo Spazio Economico Europeo a un paese al di fuori dello Spazio Economico Europeo che non è soggetto a una determinazione di adeguatezza da parte della Commissione Europea (un “Trasferimento Riservato dell’UE“); e (ii) dove si applica il GDPR del Regno Unito, un trasferimento di Dati Personali dal Regno Unito a qualsiasi altro paese che non è soggetto o basato su regolamenti di adeguatezza ai sensi della Sezione 17A della Legge sulla Protezione dei Dati del Regno Unito 2018 (un “Trasferimento Riservato del Regno Unito“).
      10. Servizi” significa i servizi forniti da Taboola ai sensi dell’Accordo con l’Editore.
      11. “Incidente di Sicurezza” significa una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati Personali in modo accidentale o illecito.
      12. “Clausole Contrattuali Standard” significa: (i) dove si applica il GDPR dell’UE, le clausole contrattuali allegate alla Decisione di Esecuzione 2021/914 della Commissione Europea del 4 Giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio (“CCS dell’UE”); e (ii) dove si applica il GDPR del Regno Unito, l'”Addendum al Trasferimento Internazionale dei Dati alle Clausole Contrattuali Standard della Commissione dell’UE” emesso dal Commissario per le Informazioni ai sensi del s.119A(1) della DPA 2018 (“Addendum del Regno Unito”).
      13. Terza Parte” significa un’azienda che agisce come Titolare rispetto ai Dati Personali, e che non è l’azienda con cui il Soggetto dei Dati i cui Dati Personali sono trattati ha interagito intenzionalmente; il termine include come tale termine è definito ai sensi della Legge sulla Protezione dei Dati Applicabile.
      14. Legge sulla Protezione dei Dati del Regno Unito” significa: (i) la Legge sulla Protezione dei Dati del Regno Unito 2018, (ii) il GDPR del Regno Unito (come definito nel s.3(10) della Legge sulla Protezione dei Dati del Regno Unito 2018) (“GDPR del Regno Unito”), (iii) il Regolamento sulla Privacy e le Comunicazioni Elettroniche (Direttiva CE) 2003, e (iv) qualsiasi altra legge del Regno Unito emanata ai sensi di (i), (ii) o (iii), ciascuna come può essere modificata o sostituita di volta in volta.

Per i Dati Personali trattati in relazione ai Servizi, ciascuna parte concorda che tratterà i Dati Personali che raccoglie solo per le finalità descritte nell’Allegato A, Parte B (le “Finalità Consentite”) e come consentito da questi Termini sulla Privacy dell’Editore, dall’Accordo e dalle Leggi sulla Protezione dei Dati Applicabili, come ciascuna di queste può essere aggiornata di volta in volta. Taboola può anche trattare i Dati Personali di Interazione Passiva come consentito dalla Politica sulla Privacy di Taboola, e come può essere aggiornata di volta in volta.

Ciascuna Parte tratterà i Dati Personali di Interazione Passiva che raccoglie come Titolare o Terza Parte, a seconda dei casi. Ciascuna parte tratterà i Dati Personali di Interazione che raccoglie come Titolare o Azienda, a seconda dei casi. Le divulgazioni (sia direttamente, sia tramite una parte che rende i dati disponibili all’altra parte) di Dati Personali da una parte all’altra sono divulgazioni a Terze Parti.

      1. Se la Legge sulla Protezione dei Dati degli Stati Uniti o di uno stato degli Stati Uniti si applica ai Dati Personali, inclusa senza limitazione la Legge sulla Privacy della California, nella misura in cui Taboola tratta Dati Personali di Interazione Passiva in relazione ai Servizi, Taboola agisce come una Terza Parte per l’Editore per tali Dati Personali di Interazione Passiva. Taboola tratterà tali Dati Personali di Interazione Passiva per le finalità descritte nell’Allegato A, Parte B e come consentito da questi Termini sulla Privacy dell’Editore, dall’Accordo, dalla Legge sulla Protezione dei Dati Applicabile e dalla Politica sulla Privacy di Taboola, come ciascuna può essere aggiornata di volta in volta. Tali Dati Personali di Interazione Passiva sono resi disponibili a Taboola solo per tali scopi. Taboola fornirà lo stesso livello di protezione della privacy richiesto alle Aziende dalle leggi sulla Protezione dei Dati degli Stati Uniti applicabili, inclusa, se applicabile, la Legge sulla Privacy della California. L’Editore ha il diritto di garantire che Taboola utilizzi i Dati Personali di Interazione Passiva in modo coerente con gli obblighi dell’Editore. Dopo aver fornito notifica a Taboola, l’Editore ha il diritto di adottare misure ragionevoli e appropriate per fermare e rimediare all’uso non autorizzato dei Dati Personali che rende disponibili a Taboola. Taboola informerà l’Editore nel periodo di tempo richiesto dalle Leggi sulla Protezione dei Dati Applicabili se Taboola determina di non essere più in grado di soddisfare i propri obblighi ai sensi delle Leggi sulla Protezione dei Dati Applicabili. Nella misura in cui Taboola raccoglie Dati Personali di Interazione in relazione ai Servizi, lo farà come un’azienda separata.

Le parti riconoscono che possono trattare Dati Personali e che le Leggi sulla Protezione dei Dati Applicabili possono applicarsi al trattamento dei Dati Personali da parte di ciascuna parte. Quando questo è il caso, ciascuna parte deve conformarsi a tali Leggi sulla Protezione dei Dati Applicabili riguardo al proprio trattamento dei Dati Personali. Quando questo è il caso, e soggetto alla sezione 7, ciascuna parte sarà individualmente responsabile della propria conformità alle Leggi sulla Protezione dei Dati Applicabili, inclusi eventuali requisiti applicabili per: (i) fornire trasparenza ai Soggetti dei Dati, (ii) avere il consenso o un’altra base legale per il Trattamento, e (iii) rendere disponibile un punto di contatto attraverso il quale i Soggetti dei Dati possono esercitare i propri diritti di protezione dei dati. L’Editore deve informare prontamente Taboola se e nella misura in cui riceve una richiesta di diritti di protezione dei dati riguardante il Trattamento dei Dati Personali da parte di Taboola come Titolare, in modo che Taboola possa soddisfare la richiesta in conformità con i propri obblighi ai sensi della Legge sulla Protezione dei Dati Applicabile.

  1. L’Editore deve indirizzare eventuali richieste dei soggetti interessati ricevute riguardo ai Servizi di Taboola a Portale di Accesso ai Dati Globali di Taboola o U.S. Portale di Opt-Out dei Diritti dei Consumatori, se applicabile.

Se una delle Parti riceve un’inchiesta, un reclamo o una corrispondenza (un “Avviso di Terza Parte”) da un individuo, un regolatore o un’altra terza parte riguardante il trattamento dei Dati Personali del Soggetto dei Dati in relazione ai Servizi, deve informare prontamente l’altra Parte e le Parti devono cooperare in buona fede e come ragionevolmente necessario per affrontare i requisiti di tale Avviso di Terza Parte.

Nel caso in cui una delle parti effettui un Trasferimento Riservato di Dati Personali all’altra parte, si applicheranno le disposizioni dell’Allegato C.

Nella misura in cui Taboola raccoglie Dati Personali dalle Proprietà dell’Editore utilizzando codice Taboola, pixel e altre tecnologie di tracciamento, l’Editore deve: (i) fornire tutte le notifiche di trasparenza richieste ai Soggetti dei Dati riguardo all’uso del codice Taboola per raccogliere Dati Personali dalle Proprietà dell’Editore per le Finalità Consentite, e (ii) ottenere (e, su richiesta in qualsiasi momento da parte di Taboola, fornire prove appropriate di) consenso del Soggetto dei Dati per tale uso del codice Taboola per le Finalità Consentite, in ciascun caso in conformità con i requisiti delle Leggi sulla Protezione dei Dati Applicabili. Gli obblighi dell’Editore in questo senso includono l’identificazione di Taboola e del suo uso del codice Taboola per le Finalità Consentite espressamente all’interno delle notifiche di trasparenza e dei messaggi di consenso che l’Editore fornisce ai Soggetti dei Dati, così come qualsiasi altra informazione richiesta dalle Leggi sulla Protezione dei Dati Applicabili, in modo che Taboola possa fornire i propri Servizi legalmente attraverso tali Proprietà e trattare Dati Personali per le Finalità Consentite. Su richiesta scritta, Taboola deve fornire all’Editore tali informazioni che l’Editore può ragionevolmente richiedere riguardo al codice Taboola e al Trattamento dei Dati Personali da parte di Taboola attraverso le Proprietà dell’Editore affinché l’Editore possa garantire che i propri meccanismi di notifica e consenso siano conformi alle Leggi sulla Protezione dei Dati Applicabili. L’Editore accetta specificamente che:

  1. per quanto riguarda le sue Proprietà basate sul web, la Politica sulla Privacy dell’Editore deve descrivere l’uso di cookie, identificatori unici e tecnologie non basate su cookie da parte di terzi (cioè Taboola) per la pubblicità basata sugli interessi e l’analisi (sulle Proprietà e al di fuori di esse), e deve fornire un link alla pagina di opt-out dell’industria NAI su http://www.networkadvertising.org, alla pagina di opt-out dell’industria DAA su http://www.aboutads.info, o (per quanto riguarda i media e la raccolta di dati basati sul web europei) un link al link di opt-out EDAA su http://www.youronlinechoices.eu, in un modo che soddisfi i requisiti della Legge sulla Protezione dei Dati Applicabile; e
  2. per quanto riguarda le Proprietà basate su app mobili, la Politica sulla Privacy dell’Editore deve descrivere l’uso delle sue app mobili di SDK e la raccolta di identificatori pubblicitari mobili per la pubblicità basata sugli interessi o la pubblicità cross-app e l’analisi (sulle Proprietà e al di fuori di esse); e fornire una descrizione di come gli utenti e i Visitatori possono rinunciare alla raccolta di dati mobili per la pubblicità cross-app attraverso le impostazioni del dispositivo.
  3. per le sue Proprietà rivolte all’UE, l’Editore deve garantire di ottenere il consenso libero, specifico, informato e inequivocabile dei Visitatori in conformità con la Legge sulla Privacy dell’UE, riguardo alla collocazione o all’accesso a qualsiasi cookie Taboola o ad altri identificatori unici sui dispositivi dei Visitatori. L’Editore fornirà ai suoi Visitatori i dettagli di contatto (che possono includere la disponibilità di tali dettagli attraverso la sua Informativa sulla Privacy) affinché possano contattare l’Editore per esercitare i propri diritti in materia di protezione dei dati (inclusi quelli relativi ai Dati Personali trattati in relazione ai Servizi). Le obbligazioni precedenti si applicano quando le Proprietà dell’Editore attraggono Visitatori in giurisdizioni che richiedono meccanismi di consenso riguardo ai Servizi.

Durante il Periodo, Taboola può fornire un linguaggio raccomandato per l’informativa sulla privacy o per la divulgazione all’Editore. L’Editore riconosce che non deve fare affidamento su tale linguaggio raccomandato come, o come sostituto di, consulenza legale e che l’Editore o la Società stessa è l’unico responsabile per eventuali divulgazioni nella propria informativa sulla privacy o sul proprio sito web.

L’Editore non deve fornire o configurare i Servizi per raccogliere o altrimenti divulgare a Taboola alcuna categoria speciale di dati personali o informazioni personali sensibili o dati sensibili (come definito dalla Legge Applicabile sulla Protezione dei Dati) a Taboola per il trattamento. Inoltre, l’Editore deve garantire che gli URL delle pagine messi a disposizione di Taboola non contengano informazioni sui titoli dei video. Taboola si riserva il diritto di sospendere i Servizi per il mancato rispetto di questo paragrafo da parte dell’Editore, a meno che e fino a quando tale inadempimento non venga risolto.

Ciascuna Parte deve attuare misure di sicurezza tecniche e organizzative appropriate per proteggere i Dati Personali dei Visitatori da un Incidente di Sicurezza. Queste misure devono includere le misure stabilite nell’Allegato B.

Se una delle Parti subisce un Incidente di Sicurezza riguardante Dati Personali che tratta e che è oggetto dell’Accordo e di questi Termini sulla Privacy dell’Editore, quella Parte deve: (i) essere responsabile per l’adempimento (a proprie spese) di eventuali obblighi di segnalazione che le si applicano ai sensi delle Leggi Applicabili sulla Protezione dei Dati alle autorità di protezione dei dati e/o ai Soggetti Dati interessati, (ii) notificare l’altra Parte senza indebito ritardo, fornendo tali informazioni sull’Incidente di Sicurezza come possono essere ragionevolmente richieste dall’altra Parte o come è altrimenti richiesto per consentire all’altra Parte di determinare se potrebbe avere anche obblighi di segnalazione ai sensi delle Leggi Applicabili sulla Protezione dei Dati in relazione all’Incidente di Sicurezza, e (iii) adottare tutte le azioni e misure necessarie, senza indebito ritardo, per rimediare e/o mitigare gli effetti dell’Incidente di Sicurezza.

Dove e nella misura in cui richiesto dalle Leggi Applicabili sulla Protezione dei Dati a cui ciascuna parte è soggetta, ciascuna parte deve effettuare qualsiasi valutazione d’impatto sulla protezione dei dati riguardante il proprio Trattamento di Dati Personali per le Finalità Consentite e/o consultare le autorità di protezione dei dati applicabili, se necessario. Ciascuna parte deve fornire tutta la cooperazione e le informazioni ragionevolmente richieste dall’altra parte, dove ciò è necessario per consentire all’altra parte di completare una valutazione d’impatto sulla protezione dei dati e/o consultare le autorità di protezione dei dati applicabili in conformità con gli obblighi di quest’altra parte ai sensi di questa sezione.

A. ELENCO DELLE PARTI

Ogni parte sarà:

  • un titolare del trattamento (e esportatore di dati) dei Dati raccolti che divulga o rende disponibili all’altra parte, e
  • un titolare del trattamento (e importatore di dati) dei Dati raccolti che riceve da, o a cui viene reso accessibile, l’altra parte.

I dettagli di ciascuna parte sono forniti di seguito.

Nome: Vedi i dettagli dell’inserzionista riportati nell’Accordo.

Indirizzo: Vedi i dettagli dell’inserzionista riportati nell’Accordo.

Nome, posizione e dettagli di contatto della persona di riferimento: Vedi i dettagli dell’inserzionista riportati nell’Accordo o diversamente concordato tra le parti per iscritto.

Attività rilevanti per i dati trasferiti ai sensi di queste Clausole: La ricezione dei Servizi, come indicato nell’Accordo.

Firma e data: Questo Allegato A si considera eseguito all’accettazione da parte dell’Inserzionista di questi Termini sulla Privacy dell’Inserzionista.

Ruolo (titolare/trasformatore): Titolare (dove è un esportatore di dati) e Titolare (dove è un importatore di dati)

 

Nome: Vedi i dettagli di Taboola riportati nell’introduzione all’Accordo.

Indirizzo: Vedi i dettagli di Taboola riportati nell’introduzione all’Accordo.

Nome, posizione e dettagli di contatto della persona di riferimento: Il team privacy di Taboola, privacy@taboola.com.

Attività rilevanti per i dati trasferiti ai sensi di queste Clausole: La fornitura dei Servizi, come stabilito nell’Accordo.

Firma e data: Questo Allegato A si considera eseguito all’accettazione da parte di Taboola di questi Termini sulla Privacy dell’Inserzionista.

Ruolo (titolare/trasformatore): Titolare (dove è un esportatore di dati) e Titolare (dove è un importatore di dati)

 

B. DESCRIZIONE DEL PROCESSO E DEL TRASFERIMENTO 

Categorie di soggetti i cui dati personali sono trattati e/o trasferiti: Utenti

Categorie di dati personali trattati e/o trasferiti:

Device Data: Sistema operativo, tipo di browser, versione del browser, indirizzo IP (troncato entro 30 giorni) di raccolta, codice postale (derivato dall’indirizzo IP), ID utente Taboola hashato, email hashate, visite iniziali e successive alle pagine sul sito web dell’Inserzionista, genere dell’utente (dedotto dagli interessi), segnali di coinvolgimento (tempo sul sito, profondità di scorrimento, profondità della sessione), dati di conversione.

Dati sulla proprietà digitale visitata dall’utente: L’URL della pagina visitata, il sito web di riferimento

Dati sensibili trasferiti (se applicabile) e restrizioni o misure di sicurezza applicate che tengono pienamente in considerazione la natura dei dati e i rischi coinvolti, come ad esempio una rigorosa limitazione degli scopi, restrizioni di accesso (incluso l’accesso solo per il personale che ha seguito una formazione specializzata), mantenere un registro degli accessi ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive: Non applicabile.

La frequenza del trattamento e/o dei trasferimenti (ad es. se i dati vengono trattati e/o trasferiti una sola volta o in modo continuativo): Continuo per la durata dell’Accordo.

Natura del trattamento: Trattamento dei Dati Personali necessario per la fornitura dei Servizi, come stabilito nell’Accordo.

Scopo(i) del trattamento / trasferimento dei dati e ulteriore trattamento: La fornitura dei Servizi, come stabilito nell’Accordo. Per evitare dubbi, gli Scopi Consentiti includono: (i) memorizzare e/o accedere a informazioni su un dispositivo; (ii) selezionare pubblicità di base; (iii) creare un profilo pubblicitario personalizzato; (iv) selezionare pubblicità personalizzate; (v) creare un profilo di contenuti personalizzati; (vi) selezionare contenuti personalizzati; (vii) misurare le prestazioni pubblicitarie; (viii) misurare le prestazioni dei contenuti; (ix) sviluppare e migliorare prodotti; (x) garantire la sicurezza, prevenire frodi e fare debug; (xi) fornire tecnicamente annunci o contenuti; (xii) abbinare e combinare fonti di dati offline; (xiii) collegare dispositivi diversi; (xiv) ricevere e utilizzare caratteristiche del dispositivo inviate automaticamente per identificazione; (xv) utilizzare dati limitati per selezionare contenuti, e (xvi) comprendere il pubblico attraverso statistiche.

Il periodo per il quale i dati personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:

  • Taboola: I dati grezzi sono conservati per un massimo di 13 mesi.
  • Inserzionista: Per tutto il tempo necessario per ricevere i Servizi o come altrimenti specificato nell’Accordo.

Per i trasferimenti a (sub-) elaboratori, specificare anche oggetto, natura e durata del trattamento: Non applicabile.

 

C. AUTORITÀ DI CONTROLLO COMPETENTE

Autorità di controllo competente dove si applica il GDPR dell’UE: L’autorità di controllo competente per ciascuna parte è come descritto di seguito:

  • Taboola: L’autorità di vigilanza competente sarà determinata in conformità con la Clausola 13 delle SCC dell’UE.
  • Inserzionista: L’autorità di vigilanza competente sarà determinata in conformità con la Clausola 13 delle SCC dell’UE.

Autorità di vigilanza competente dove si applica il GDPR del Regno Unito: Ufficio del Commissario per le Informazioni

Descrizione delle misure tecniche e organizzative attuate da ciascuna parte (inclusi eventuali certificati pertinenti) per garantire un livello appropriato di sicurezza, tenendo conto della natura, dell’ambito, del contesto e dello scopo del trattamento, e dei rischi per i diritti e le libertà delle persone fisiche.

Misure di pseudonimizzazione e crittografia dei dati personali: Taboola raccoglie solo dati pseudonimizzati, il che significa che non sappiamo chi sei perché non conosciamo o trattiamo il nome, l’indirizzo email o altri dati identificabili dell’utente. Le informazioni sugli utenti che raccogliamo includono, ma non si limitano a, informazioni sul dispositivo e sul sistema operativo di un utente, indirizzo IP, le pagine web accessibili dagli utenti all’interno dei siti web dei nostri clienti, il link che ha portato un utente al sito web di un cliente, le date e gli orari in cui un utente accede al sito web di un cliente e altri dati di navigazione web. Il CookieID è anonimizzato utilizzando Bcrypt e l’indirizzo IP è troncato.

Misure per garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione: Taboola utilizza più livelli di sicurezza elettronica (es: sicurezza degli endpoint, sicurezza lato server, tracciamento delle rilevazioni, test di penetrazione periodici e raccolta di intelligence approfondita per rivedere eventi post-mortem).

Misure per garantire la capacità di ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di un incidente fisico o tecnico: Taboola mantiene 9 centri dati operativi in tutto il mondo. Ogni centro dati è utilizzato come replica di un altro, quindi se uno si guasta, i dati possono essere estratti da un altro centro dati.

Processi per testare, valutare e verificare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza dell’elaborazione: Taboola mantiene processi rigorosi per testare l’efficacia dei suoi controlli (sia tecnici che organizzativi). Abbiamo registrazione e monitoraggio dei sistemi in atto, test DR mensili (almeno), test di penetrazione trimestrali, firewall che proteggono il web e honeypot distribuiti nella rete per trovare eventuali attività dannose. Inoltre, abbiamo un programma di ricompensa in atto che ci aiuta a monitorare costantemente la nostra rete.

Misure per l’identificazione e l’autorizzazione degli utenti: Ogni utente in Taboola è associato a un nome utente e una password dedicati. Ogni accesso alla rete interna di Taboola avviene con 2FA utilizzando l’autenticazione di Google. Gli utenti sono creati solo dal dipartimento IT, durante il processo di onboarding e solo dopo aver ricevuto tutti i dettagli e il contratto firmato dal dipartimento HR.

Misure per la protezione dei dati durante la trasmissione: Taboola supporta qualsiasi trasmissione di dati attraverso protocolli di trasmissione sicuri (HTTPS e TLS v1.2 come minimo). Inoltre, i sistemi che potrebbero contenere PII sono protetti e i dati sono mantenuti hashati e anonimizzati.

Misure per la protezione dei dati durante l’archiviazione: I dati memorizzati all’interno dei nostri database sono anonimizzati e hashati utilizzando Bcrypt. L’accesso al DB è minimizzato e basato secondo il principio del ‘business need to know’.

Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali: Ciascuno dei centri dati globali di Taboola (negli Stati Uniti, in Europa e in Asia) ha tutti i suoi server situati in armadi chiusi a chiave, mantenuti esclusivamente per l’uso di Taboola. Questi armadi sono mantenuti da aziende che sono certificate SOC2 o Taboola ha esaminato le loro misure di sicurezza. Inoltre, qualsiasi accesso ai server richiede un permesso scritto e registrato. Tutti gli uffici di Taboola sono anche controllati e richiedono ai dipendenti di utilizzare carte di accesso per entrare. Inoltre, solo un numero limitato di dipendenti ha accesso ai server di Taboola e qualsiasi accesso richiede anche un permesso scritto e registrato.

Misure per garantire la registrazione degli eventi: Taboola implementa strumenti di monitoraggio e i log vengono raccolti nel nostro sistema SIEM che ci avvisa su qualsiasi evento sospetto e viene anche monitorato dal team NOC.

Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita: I server vengono scansionati sia per la deriva di configurazione che per il livello di patch. La segnalazione e/o l’allerta sono impostate su entrambi e il livello di patch rilevante è confermato. Le nuove patch vengono distribuite utilizzando Puppet. Tutte le revisioni tecniche sono gestite attraverso l’applicazione R&D e ottenute attraverso un processo formale di revisione (QA) dopo che i processi di codifica e CI/CD sono stati implementati.

Misure per la governance e la gestione della sicurezza IT interna: Taboola è certificata ISO 27001:2013 e 27701. Taboola ha una Politica di Sicurezza delle Informazioni in atto che afferma che il Consiglio di Amministrazione e la direzione di Taboola sono impegnati a preservare la riservatezza, l’integrità e la disponibilità di tutti gli asset informativi fisici ed elettronici all’interno della loro organizzazione. Taboola tiene corsi di formazione sulla sicurezza per tutti i nuovi dipendenti, corsi di formazione sul phishing per tutti i dipendenti a livello globale e corsi di formazione sulla sicurezza regolari per tutti i dipendenti e sessioni dedicate anche per i gruppi R&D.

Misure per la certificazione/assicurazione dei processi e dei prodotti: Audit interno trimestrale / semestrale / annuale su più processi e sistemi per convalidare che Taboola stia rispettando i suoi obiettivi di sicurezza e le misure definite.

Misure per garantire la minimizzazione dei dati: Taboola limita intenzionalmente i dati che raccogliamo come parte dei principi globali di minimizzazione dei dati di Taboola, elaborando solo i dati limitati necessari per i nostri specifici scopi aziendali. Inoltre, Taboola non ha la capacità, né alcun bisogno aziendale, di “ingegnerizzare” alcuno dei punti dati utilizzati nel nostro algoritmo per fornire i nostri servizi. Più specificamente, i punti dati che Taboola raccoglie non sono mai indicativi dell’identità di un utente, poiché Taboola non raccoglie né elabora informazioni come nome, numero di telefono, email o indirizzi fisici dell’utente. Invece, Taboola raccoglie solo identificatori pseudonimi, che identificano semplicemente caratteristiche del dispositivo di un utente. Questo include indirizzi IP (che vengono troncati al momento della raccolta e possono solo identificare la posizione generale del codice postale del dispositivo, ma mai una geolocalizzazione precisa) e, in alcune limitate istanze, indirizzi email hashati (che sono intrinsecamente irreversibili e non possono essere decrittografati per rivelare l’indirizzo email originale). Inoltre, anche quando utilizzati collettivamente, i dati che raccogliamo non possono mai produrre il nome, il numero di telefono, l’email o l’indirizzo fisico di un individuo, e i nostri ingegneri non lavorano in alcun modo per raggiungere questo obiettivo. In aggiunta, Taboola effettua e registra valutazioni di impatto sulla privacy nel tentativo di ridurre i rischi per la privacy dei nostri servizi, processi e politiche.

Misure per garantire la qualità dei dati: I dati vengono raccolti direttamente dall’utente e all’utente viene data l’opportunità di correggere eventuali dati associati al proprio CookieID tramite il Portale di Richiesta di Accesso del Soggetto di Taboola: https://accessrequest.taboola.com/access

Misure per garantire una limitata conservazione dei dati: Conserviamo le Informazioni sugli Utenti, che vengono raccolte direttamente per scopi pubblicitari, per un massimo di tredici (13) mesi dall’ultima interazione dell’Utente con i nostri Servizi (spesso per un periodo di tempo più breve), dopo di che de-identifichiamo i dati rimuovendo identificatori unici o aggregando i dati. Questo processo avviene automaticamente.

Misure per garantire la responsabilità: Taboola effettua più audit di sicurezza e test di penetrazione (ma non per tutti i sistemi). Taboola utilizza anche fornitori di cloud che sono certificati ISO e che rispettano altre certificazioni rilevanti per il cloud per mantenere le salvaguardie fisiche di un server.

Misure per consentire la portabilità dei dati e garantire la cancellazione: Taboola relativa allo smaltimento dei media è la stessa per tutti i tipi di media poiché potrebbe contenere PII. Qualsiasi media deve essere completamente cancellato prima di essere riutilizzato o smaltito. Qualsiasi smaltimento di media è documentato. I dipendenti sono istruiti a non stampare alcun documento che possa contenere informazioni personali.

  1. Nella misura in cui una parte effettua un Trasferimento Riservato di Dati Raccolti all’altra parte, le Clausole Contrattuali Standard saranno incorporate in questi Termini sulla Privacy degli Editori e si applicheranno come segue:

a. dove il Trasferimento Riservato è un Trasferimento Riservato dell’UE, le SCC dell’UE si applicheranno tra le parti come segue:

  1. (i) Modulo Uno si applicherà;
  2. (ii) nella Clausola 7, si applicherà la Clausola di docking opzionale;
  3. (iv) nella Clausola 11, la lingua opzionale non si applicherà;
  4. (v) nella Clausola 17, si applicherà l’Opzione 1, e le SCC dell’UE saranno regolate dalla legge irlandese;
  5. (vi) nella Clausola 18(b), le controversie saranno risolte davanti ai tribunali d’Irlanda;
  6. (vii) le Parti A, B e C dell’Allegato I saranno considerate completate con le informazioni contenute nelle Parti A, B e C dell’Allegato A a questi Termini sulla Privacy degli Editori; e
  7. (vii) l’Allegato II sarà considerato completato con le misure di sicurezza stabilite nell’Allegato B a questi Termini sulla Privacy degli Editori;

b. dove il Trasferimento Riservato è un Trasferimento Riservato del Regno Unito, l’Addendum del Regno Unito si applicherà tra le parti come segue:

(i) le SCC dell’UE, completate come indicato sopra, si applicheranno tra le parti e saranno modificate dall’Addendum del Regno Unito (completato come indicato nella sub-clausola (ii) di seguito); e

(ii) le tabelle 1 a 3 dell’Addendum del Regno Unito saranno considerate completate con le informazioni pertinenti delle SCC dell’UE, completate come indicato sopra, e le opzioni “Esportatore” e “Importatore” saranno considerate selezionate nella tabella 4. La data di inizio dell’Addendum del Regno Unito (come indicato nella tabella 1) sarà la Data di Efficacia di questi Termini sulla Privacy degli Editori.

2. Trasferimenti Riservati Inoltrati: Nessuna delle parti effettuerà un Trasferimento Riservato Inoltrato di Dati Raccolti che riceve dall’altra parte a meno che non abbia compiuto tutti gli atti e le cose necessarie per garantire che tale Trasferimento Riservato Inoltrato sia conforme alla Legge Applicabile sulla Protezione dei Dati e a qualsiasi Clausola Contrattuale Standard concordata con l’altra parte.