Termos de Privacidade para Proprietários de Propriedades Digitais

Last Update: October 10, 2024

Data de Vigência: 10 de outubro de 2024

Estes Termos de Privacidade da Taboola para Proprietários de Propriedades Digitais (“Termos de Privacidade do Editor”) aplicam-se aos serviços de publicidade digital da Taboola, como quando a Taboola coloca conteúdo do Anunciante nas propriedades do Editor, incluindo, mas não se limitando a, produtos e serviços do Editor como Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News e Taboola Push, nos termos de um acordo entre a Taboola e um Editor (“Acordo”), e estes Termos de Privacidade do Editor serão considerados incorporados e formarão parte integrante de qualquer Acordo. Estes Termos de Privacidade do Editor identificam os papéis e responsabilidades da Taboola e do Editor em relação aos Dados Pessoais.

Em caso de conflito entre os Termos de Privacidade do Editor e o Contrato, os Termos de Privacidade do Editor prevalecerão, a menos que a disposição em conflito no Contrato faça referência expressa à disposição em conflito destes Termos de Privacidade do Editor e especifique que substitui a disposição em conflito.

Os termos definidos nesta seção terão os significados estabelecidos abaixo, e os termos cognatos serão interpretados de acordo. Os termos em maiúsculas usados, mas não definidos nos Termos de Privacidade do Editor, terão os significados definidos no Contrato.

      1. Leis de Proteção de Dados Aplicáveis” significa todas e quaisquer leis federais, nacionais, estaduais ou outras leis de privacidade e proteção de dados aplicáveis ao Processamento que é objeto do Contrato e destes Termos de Privacidade do Editor, conforme possam ser alterados ou substituídos de tempos em tempos.
      2. Lei de Privacidade da Califórnia” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Cal. Código Civil § 1798.100 e seguintes (também, “CCPA”), conforme alterado (incluindo pela Lei de Direitos de Privacidade da Califórnia), e qualquer legislação subordinada e regulamentos de implementação.
      3. Controlador” significa: (i) uma entidade que determina os fins e os meios do Processamento de Dados Pessoais e (ii) qualquer pessoa ou entidade que se enquadre no âmbito do termo “Controlador” ou “Negócio” (ou qualquer termo substancialmente análogo) conforme definido sob as Leis de Proteção de Dados Aplicáveis.
      4. Titular dos dados” significa: (i) uma pessoa singular identificada ou identificável (e, para estes fins, uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular), e (ii) qualquer pessoa que se enquadre no âmbito do termo “titular dos dados”, “consumidor” (ou qualquer termo substancialmente análogo) conforme definido pelas Leis de Proteção de Dados.
      5. Lei de Proteção de Dados da UE” significa: (i) o Regulamento Geral de Proteção de Dados da UE (Regulamento 2016/679) (“RGPD da UE”); (ii) a Diretiva de Privacidade Eletrônica da UE (Diretiva 2002/58/CE); e (iii) quaisquer leis nacionais de proteção de dados criadas sob ou de acordo com (i) ou (ii), cada uma conforme possa ser alterada ou substituída de tempos em tempos.
      6. Dados Pessoais“significa qualquer informação relacionada a um indivíduo identificado ou identificável (e tal termo incluirá, quando exigido pela Lei de Proteção de Dados Aplicável, identificadores únicos de navegador ou dispositivo), conforme estabelecido no Anexo A, Parte B.
        1. Dados Pessoais de Interação” significa quaisquer Dados Pessoais coletados dos consumidores no momento, ou após, uma interação intencional do consumidor com a Taboola, os produtos da Taboola, as propriedades da Taboola e os anúncios que a Taboola coloca.
        2. Dados Pessoais de Interação Passiva” significa quaisquer Dados Pessoais coletados passivamente das Propriedades do Editor, incluindo, mas não se limitando a, endereço IP, URL da página e User Agent String coletados pela Taboola, antes ou na ausência de uma interação intencional do consumidor com a Taboola, os produtos da Taboola, as propriedades da Taboola e os anúncios que a Taboola coloca.
      7. Processo” significa qualquer operação ou conjunto de operações que seja realizado em Dados Pessoais ou em conjuntos de Dados Pessoais, seja ou não por meios automatizados, como coleta, recebimento, gravação, organização, estruturação, uso, transmissão, acesso, compartilhamento, divulgação, transferência, armazenamento, adaptação ou alteração, recuperação, consulta, disseminação ou disponibilização de outra forma, alinhamento ou combinação, agregação, inferência, derivação, análise, restrição, apagamento, destruição ou descarte ou outro manuseio de Dados Pessoais, inclusive de como esse termo é definido sob a Lei de Proteção de Dados Aplicável.
      8. Processador” significa uma entidade que Processa Dados Pessoais em nome de um Controlador, e inclui como esse termo e/ou o termo “processador de dados” (ou qualquer termo substancialmente análogo) é definido sob a Lei de Proteção de Dados Aplicável.
      9. Transferência restrita” significa: (i) quando a EU GDPR se aplica, uma transferência de Dados Pessoais do EEE para um país fora do EEE que não esteja sujeito a uma determinação de adequação pela Comissão Europeia (uma “Transferência restrita da UE“); e (ii) quando a UK GDPR se aplica, uma transferência de Dados Pessoais do Reino Unido para qualquer outro país que não esteja sujeito ou baseado em regulamentos de adequação de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018 (uma “Transferência restrita do Reino Unido“).
      10. Serviços” significam serviços fornecidos pela Taboola sob o Contrato com o Editor.
      11. “Incidente de Segurança“significa uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais.
      12. “Standard Contractual Clauses” significa: (i) quando a EU GDPR se aplica, as cláusulas contratuais anexas à Decisão de Execução 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre Standard Contractual Clauses para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (“EU SCCs“); e (ii) quando a UK GDPR se aplica, o “Adendo de Transferência Internacional de Dados para as Standard Contractual Clauses da Comissão Europeia” emitido pelo Comissário de Informações nos termos do artigo 119A(1) da DPA 2018 (“UK Addendum”).
      13. Terceiros” significa uma empresa que atua como Controlador em relação aos Dados Pessoais e que não é a empresa com a qual o Titular dos Dados cujos Dados Pessoais são Tratados tenha intencionalmente interagido; o termo inclui a forma como tal termo é definido sob a Lei de Proteção de Dados Aplicável.
      14. Lei de Proteção de Dados do Reino Unido” significa: (i) a Lei de Proteção de Dados do Reino Unido de 2018, (ii) a UK GDPR (conforme definido no artigo 3(10) da Lei de Proteção de Dados do Reino Unido de 2018) (“UK GDPR”), (iii) os Regulamentos de Privacidade e Comunicações Eletrônicas (Diretiva CE) do Reino Unido de 2003 e (iv) quaisquer outras leis do Reino Unido criadas sob ou de acordo com (i), (ii) ou (iii), cada uma conforme possa ser alterada ou substituída de tempos em tempos.

Para os Dados Pessoais Processados em conexão com os Serviços, cada parte concorda que processará os Dados Pessoais que coleta apenas para os fins descritos no Anexo A, Parte B (o “Finalidades permitidas”) e conforme permitido por estes Termos de Privacidade do Editor, o Contrato e as Leis de Proteção de Dados Aplicáveis, conforme cada um deles pode ser atualizado de tempos em tempos. A Taboola também pode Processar os Dados Pessoais de Interação Passiva conforme permitido pela Política de Privacidade da Taboola e conforme possa ser atualizado de tempos em tempos.

Cada Parte processará os Dados Pessoais de Interação Passiva que coleta como Controlador ou Terceiro, conforme aplicável. Cada parte processará os Dados Pessoais de Interação que coleta como Controlador ou Empresa, conforme aplicável. Divulgações (sejam elas diretas ou via uma parte que disponibiliza dados para a outra parte) de Dados Pessoais de uma parte para a outra são divulgações para Terceiros.

      1. Se a Lei de Proteção de Dados dos EUA ou de um Estado dos EUA se aplica aos Dados Pessoais, incluindo, sem limitação, a Lei de Privacidade da Califórnia, na medida em que a Taboola Processa Dados Pessoais de Interação Passiva em conexão com os Serviços, a Taboola atua como Terceiro em relação ao Editor para tais Dados Pessoais de Interação Passiva. A Taboola processará tais Dados Pessoais de Interação Passiva para os fins descritos no Anexo A, Parte B e conforme permitido por estes Termos de Privacidade do Editor, o Contrato, a Lei de Proteção de Dados Aplicável e a Política de Privacidade da Taboola, conforme cada um deles possa ser atualizado de tempos em tempos. Esses Dados Pessoais de Interação Passiva são disponibilizados apenas para a Taboola para esses fins. A Taboola fornecerá o mesmo nível de proteção de privacidade exigido das Empresas pelas Leis de Proteção de Dados dos EUA aplicáveis, incluindo, se aplicável, as Leis de Privacidade da Califórnia. O Editor tem o direito de garantir que a Taboola utilize os Dados Pessoais de Interação Passiva de maneira consistente com as obrigações do Editor. Após notificar a Taboola, o Editor tem o direito de tomar medidas razoáveis e apropriadas para interromper e corrigir o uso não autorizado dos Dados Pessoais que disponibiliza à Taboola. A Taboola informará o Editor no prazo exigido pelas Leis de Proteção de Dados Aplicáveis se a Taboola determinar que não consegue mais cumprir suas obrigações sob as Leis de Proteção de Dados Aplicáveis. Na medida em que a Taboola coleta Dados Pessoais de Interação em conexão com os Serviços, ela o fará como uma Empresa separada.

As partes reconhecem que podem Processar Dados Pessoais e que as Leis de Proteção de Dados Aplicáveis podem se aplicar ao Processamento de Dados Pessoais por cada parte. Nesse caso, cada parte deve cumprir as Leis de Proteção de Dados Aplicáveis com relação ao seu processamento de Dados Pessoais. Nesse caso, e sujeito à seção 7, cada parte será individualmente responsável por sua própria conformidade com as Leis de Proteção de Dados Aplicáveis, incluindo quaisquer requisitos aplicáveis para: (i) fornecer transparência aos Titulares dos Dados, (ii) ter consentimento ou outra base legal para o Processamento e (iii) disponibilizar um ponto de contato através do qual os Titulares dos Dados possam exercer seus direitos de proteção de dados. O Editor deve notificar prontamente a Taboola caso e na medida em que receba qualquer solicitação de direitos de proteção de dados relativa ao Processamento de Dados Pessoais da Taboola como Controlador, para que a Taboola possa atender à solicitação de acordo com suas obrigações sob a Lei de Proteção de Dados Aplicável.

  1. O editor deve encaminhar quaisquer solicitações de titulares de dados recebidas em relação aos Serviços da Taboola para Portal Global de Solicitações de Acesso de Titulares de Dados da Taboola ou U.S. Portal de Opt-Out de Direitos do Consumidor, conforme aplicável.

Se qualquer das Partes receber alguma consulta, reclamação ou correspondência (“Aviso de Terceiros”) de um indivíduo, regulador ou outro terceiro relativo ao processamento dos Dados Pessoais do Titular dos Dados em conexão com os Serviços, ele deve informar prontamente a outra Parte e as Partes devem cooperar de boa fé e conforme razoavelmente necessário para atender aos requisitos de tal Aviso de Terceiro.

No caso de qualquer das partes efetuar uma Transferência Restrita de Dados Pessoais para a outra parte, as disposições do Anexo C serão aplicáveis.

Na medida em que a Taboola coleta Dados Pessoais das Propriedades do Editor usando o código da Taboola, pixels e outras tecnologias de rastreamento, o Editor deve: (i) fornecer todos os avisos de transparência necessários aos Titulares dos Dados sobre o uso do código da Taboola para coletar Dados Pessoais das Propriedades do Editor para os Fins Permitidos, e (ii) obter (e, a qualquer momento, mediante solicitação da Taboola, fornecer a prova apropriada de) o consentimento do Titular dos Dados para tal uso do código da Taboola para os Fins Permitidos, em cada caso, de acordo com os requisitos das Leis de Proteção de Dados Aplicáveis. As obrigações do Editor a esse respeito incluem identificar a Taboola e seu uso do código da Taboola para os Fins Permitidos expressamente nos avisos de transparência e nas solicitações de consentimento que o Editor fornece aos Titulares dos Dados, bem como quaisquer outras informações exigidas pelas Leis de Proteção de Dados Aplicáveis, para que a Taboola possa fornecer seus Serviços legalmente por meio dessas Propriedades e Processar Dados Pessoais para os Fins Permitidos. A pedido por escrito, a Taboola fornecerá ao Editor as informações que ele possa razoavelmente requerer sobre o código da Taboola e o Processamento de Dados Pessoais pela Taboola por meio das Propriedades do Editor para que ele possa garantir que seus mecanismos de notificação e consentimento estejam em conformidade com as Leis de Proteção de Dados Aplicáveis. O Editor concorda especificamente que:

  1. em relação às suas Propriedades baseadas na web, a Política de Privacidade do Editor deve descrever o uso de cookies, identificadores exclusivos e tecnologias que não sejam cookies por terceiros (ou seja, Taboola) para publicidade e análise baseadas em interesses (dentro e fora das Propriedades) e fornecer um link para a página de exclusão da indústria da NAI em http://www.networkadvertising.org, a página de exclusão da indústria da DAA em http://www.aboutads.info ou (em relação a mídia e coleta de dados baseados na web europeus) um link para o link de exclusão da EDAA em http://www.youronlinechoices.eu, de uma maneira que atenda aos requisitos da Lei de Proteção de Dados Aplicável; e
  2. em relação às Propriedades baseadas em aplicativos móveis, a Política de Privacidade do Editor deve descrever o uso em seus aplicativos móveis de SDKs e a coleta de identificadores de anúncios móveis para publicidade baseada em interesses ou entre aplicativos e análise (dentro e fora das Propriedades); e fornecer uma descrição de como os usuários e Visitantes podem optar pela exclusão da coleta de dados móveis para publicidade entre aplicativos por meio das configurações do dispositivo.
  3. para suas Propriedades voltadas para a UE, o Editor deve garantir que obtenha o consentimento livremente dado, específico, informado e inequívoco dos Visitantes, de acordo com a Lei de Privacidade da UE, com relação à colocação ou acesso a quaisquer cookies da Taboola ou quaisquer outros identificadores exclusivos nos dispositivos dos Visitantes. O Editor deve fornecer aos seus Visitantes os dados de contato (que podem incluir a disponibilização desses dados por meio de sua Política de Privacidade) para que eles possam entrar em contato com o Editor para exercer seus direitos de proteção de dados (incluindo em relação aos Dados Pessoais processados em conexão com os Serviços). As obrigações acima se aplicam quando as Propriedades do Editor atraem Visitantes em jurisdições que exigem mecanismos de consentimento em relação aos Serviços.

Durante o Prazo, a Taboola pode fornecer uma política de privacidade ou uma linguagem de divulgação recomendada ao Editor. O Editor reconhece que não deve confiar nessa linguagem recomendada como, ou como substituição, por aconselhamento jurídico e que o Editor ou a Empresa são os únicos responsáveis por quaisquer divulgações em sua política de privacidade ou em seu site.

O Editor não deve fornecer ou configurar os Serviços para coletar ou, de outra forma, divulgar à Taboola quaisquer categorias especiais de dados pessoais ou informações pessoais sensíveis ou dados sensíveis (conforme definido na Lei de Proteção de Dados Aplicável) para processamento. Além disso, o Editor deve garantir que quaisquer URLs de páginas disponibilizadas à Taboola não contenham informações sobre o título do vídeo. A Taboola se reserva o direito de suspender os Serviços por falha do Editor em cumprir com este parágrafo, a menos que e até que essa falha seja corrigida.

Cada Parte deve implementar medidas de segurança técnicas e organizacionais apropriadas para proteger os Dados Pessoais dos Visitantes de um Incidente de Segurança. Essas medidas devem incluir as medidas estabelecidas no Anexo B.

Se qualquer das Partes sofrer um Incidente de Segurança em relação a Dados Pessoais que Processa e que são objeto do Contrato e destes Termos de Privacidade do Editor, essa Parte será responsável por cumprir (a suas próprias custas) quaisquer obrigações de relato que lhe sejam aplicáveis ao abrigo das Leis de Proteção de Dados Aplicáveis às autoridades de proteção de dados e/ou aos Titulares de Dados afetados, (ii) notificar a outra Parte sem demora injustificada, fornecendo as informações sobre o Incidente de Segurança que a outra Parte possa razoavelmente solicitar ou que sejam de outra forma necessárias para que a outra Parte determine se também pode ter obrigações de relato ao abrigo das Leis de Proteção de Dados Aplicáveis em relação ao Incidente de Segurança, e (iii) tomar todas as ações e medidas, sem demora injustificada, que sejam apropriadas para remediar e/ou mitigar os efeitos do Incidente de Segurança.

Sempre que e na medida em que seja exigido pelas Leis de Proteção de Dados Aplicáveis a que cada parte esteja sujeita, cada parte deve realizar qualquer avaliação de impacto na proteção de dados em relação ao seu Processamento de Dados Pessoais para os Fins Permitidos e/ou consultar as autoridades de proteção de dados aplicáveis, quando necessário. Cada parte deve fornecer toda a cooperação e informações razoáveis solicitadas pela outra parte, quando isso for necessário para permitir que a outra parte conclua uma avaliação de impacto na proteção de dados e/ou consulte as autoridades de proteção de dados aplicáveis de acordo com as obrigações daquela outra parte ao abrigo desta secção.

A. LISTA DE PARTES

Cada parte será:

  • um controlador de dados (e exportador de dados) dos Dados Coletados que divulga ou disponibiliza à outra parte e
  • um controlador de dados (e importador de dados) dos Dados Coletados que recebe ou para os quais o acesso é disponibilizado pela outra parte.

Os detalhes de cada parte estão fornecidos abaixo.

Nome: Consulte os detalhes do Publicador estabelecidos no Contrato.

Endereço: Consulte os detalhes do Editor estabelecidos no Contrato.

Nome da pessoa de contato, cargo e detalhes de contato: Consulte os detalhes do Publicador estabelecidos no Contrato ou acordados de outra forma entre as partes por escrito.

Atividades relevantes para os dados transferidos sob estas Cláusulas: O recebimento dos Serviços, conforme estabelecido no contrato.

Assinatura e data: Este Anexo A será considerado executado após a aceitação do Publicador destes Termos de Privacidade do Publicador.

Função (controlador/processador): Controlador (quando é um exportador de dados) e Controlador (quando é um importador de dados)

 

Nome: Consulte os dados da Taboola apresentados na introdução do Contrato.

Endereço: Consulte os dados da Taboola apresentados na introdução do Contrato.

Nome da pessoa de contato, cargo e detalhes de contato: Equipe de privacidade da Taboola: privacy@taboola.com.

Atividades relevantes para os dados transferidos sob estas Cláusulas: A prestação dos Serviços, conforme estabelecido no Contrato.

Assinatura e data: Este Anexo A será considerado executado após a aceitação da Taboola destes Termos de Privacidade do Publicador.

Função (controlador/processador): Controlador (quando é um exportador de dados) e Controlador (quando é um importador de dados)

 

B. DESCRIÇÃO DO PROCESSAMENTO E TRANSFERÊNCIA 

Categorias de titulares de dados cujos dados pessoais são processados e/ou transferidos: Utilizadores

Categorias de dados pessoais processados e/ou transferidos:

Dados do dispositivo: Dispositivo do usuário, navegador e sistema operacional; informações do dispositivo móvel (todos os IDs móveis são hash) incluindo IDFAs e AAIDs; dados de cookies que podem ser lidos ou implantados pela Taboola (todos os IDs de cookies/IDs de usuário são hash); endereços IP; e-mails hash; site de referência; idioma do usuário; país/região/cidade. Se os aplicativos móveis fazem parte dos Serviços, os elementos de dados adicionais incluem lat/long truncados e imprecisos, tipo de conexão e dimensões da tela.

Dados sobre a propriedade digital visitada pelo usuário: como a plataforma foi exibida e se o usuário interagiu com a plataforma; comportamento da web ou do aplicativo.

Na medida em que o Header Bidding faz parte dos Serviços, o seguinte se aplica:

  • Dados de Bid Request / Bid Response: ID único da solicitação de licitação, objeto IMP que representa a impressão oferecida, site ou aplicativo do editor representado, Aplicativo, Dispositivo, Tipo de Leilão, Tempo Máximo, Moeda, Categorias Bloqueadas, ID do Dispositivo, ID do Usuário Taboola, Parceiros de Tag de Chamada: URL.

Com relação à Taboola Newsroom, o seguinte se aplica:

  • Eventos do site do editor: Dados de conversão
  • Informações sobre o navegador do usuário lidas do agente do usuário: A URL da página visitada, o site de referência, Sistema Operacional, tipo de navegador e versão do navegador, ID do Usuário Taboola associada e criptografada lida a partir do cookie, endereço IP associado (truncado após 30 dias).

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem plenamente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais: Não aplicável.

A frequência do processamento e/ou transferências (por exemplo, se os dados são processados e/ou transferidos de forma única ou contínua): Contínuo durante a vigência do Contrato.

Natureza do processamento: Processamento de Dados Pessoais necessários para a prestação dos Serviços, conforme estabelecido no Contrato.

Propósito(s) do processamento/transferência de dados e processamento adicional: A prestação dos Serviços, conforme estabelecido no Contrato. Para evitar dúvidas, os Fins Permitidos incluem: (i) armazenar e/ou acessar informações em um dispositivo; (ii) selecionar anúncios básicos; (iii) criar um perfil de anúncios personalizados; (iv) selecionar anúncios personalizados; (v) criar um perfil de conteúdo personalizado; (vi) selecionar conteúdo personalizado; (vii) medir o desempenho dos anúncios; (viii) medir o desempenho do conteúdo; (ix) desenvolver e melhorar produtos; (x) garantir a segurança, prevenir fraudes e depurar; (xi) entregar anúncios ou conteúdo tecnicamente; (xii) combinar e combinar fontes de dados offline; (xiii) vincular diferentes dispositivos; (xiv) receber e usar características de dispositivos enviadas automaticamente para identificação; (xv) usar dados limitados para selecionar conteúdo e (xvi) salvar e comunicar escolhas de privacidade.

Com relação à Taboola Newsroom, o seguinte se aplica: (i) rastrear eventos de conversão de assinatura.

Com relação ao Taboola Push, o seguinte propósito adicional se aplica: (i) enviar notificações para o dispositivo de um usuário.

Na medida em que o Header Bidding faz parte dos Serviços, o seguinte propósito adicional se aplica: (i) determinar se deve ou não licitar em uma colocação e exibir recomendações personalizadas.

Na medida em que o Home Page 4 You faz parte dos Serviços, o seguinte propósito adicional se aplica: (i) automatizar e curar conteúdo de editores dentro das homepages de propriedades digitais designadas.

O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar esse período:

  • Taboola: Os dados brutos são armazenados por no máximo 13 meses.
  • Anunciante: Pelo tempo necessário para receber os Serviços ou conforme especificado no Contrato.

Para transferências para (sub-)processadores, especifique também o assunto, a natureza e a duração do processamento: Não aplicável.

 

C. AUTORIDADE SUPERVISORA COMPETENTE

Autoridade supervisora competente onde a EU GDPR se aplica: A autoridade de supervisão competente para cada parte é descrita abaixo:

  • Taboola: A autoridade de supervisão competente será determinada de acordo com a Cláusula 13 das EU SCCs.
  • Anunciante: A autoridade de supervisão competente será determinada de acordo com a Cláusula 13 das EU SCCs.

Autoridade de supervisão competente onde o UK GDPR se aplica: The Information Commissioner’s Office

Descrição das medidas técnicas e organizacionais implementadas por cada parte (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em conta a natureza, o âmbito, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.

Medidas de pseudonimização e encriptação de dados pessoais: A Taboola recolhe apenas dados pseudonimizados, o que significa que não sabemos quem é o utilizador, pois não conhecemos nem processamos o nome do utilizador, o endereço de e-mail ou outros dados identificáveis. As Informações do Utilizador que recolhemos incluem, mas não se limitam a, Informações sobre o dispositivo e o sistema operativo de um Utilizador, endereço IP, as páginas web acedidas pelos Utilizadores nos sites dos nossos Clientes, o link que levou um Utilizador ao site de um Cliente, as datas e horas em que um Utilizador acede a um site de um Cliente e outros dados de navegação na web. O CookieID é anonimizado utilizando Bcrypt e o endereço IP é truncado.

Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento: A Taboola utiliza vários níveis de segurança eletrónica (ex: segurança de ponto final, segurança do lado do servidor, rastreamento de deteções, testes de penetração periódicos e recolha de inteligência profunda para rever eventos pós-morte).

Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo útil em caso de um incidente físico ou técnico: A Taboola mantém 9 centros de dados em funcionamento em todo o mundo. Cada centro de dados é utilizado como uma réplica de outro, pelo que, se um deles falhar, os dados podem ser extraídos de outro centro de dados.

Processos para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do processamento: A Taboola mantém processos rigorosos para testar a eficácia de seus controles (técnicos e organizacionais). Temos registro e monitoramento do sistema, testes de recuperação de desastres mensais (no mínimo), testes de penetração trimestrais, firewalls protegendo a web e honeypots espalhados pela rede para encontrar qualquer atividade maliciosa. Além disso, temos um programa de recompensas que nos ajuda a monitorar constantemente nossa rede.

Medidas para identificação e autorização de usuários: Todo usuário da Taboola está associado a um nome de usuário e senha dedicados. Todo acesso à rede interna da Taboola é feito com 2FA usando a autenticação do Google. Os usuários são criados apenas pelo departamento de TI, durante o processo de integração e apenas após receber todos os detalhes e o contrato assinado do departamento de RH.

Medidas para a proteção de dados durante a transmissão: A Taboola suporta qualquer transmissão de dados por meio de protocolos de transmissão seguros (HTTPS e TLS v1.2 no mínimo). Além disso, os sistemas que podem conter PII são protegidos e os dados são mantidos em formato hash e anonimizados.

Medidas para a proteção de dados durante o armazenamento: Os dados armazenados em nossos bancos de dados são anonimizados e em formato hash usando Bcrypt. O acesso ao banco de dados é minimizado e baseado no princípio de “necessidade de saber para os negócios”.

Medidas para garantir a segurança física dos locais onde os dados pessoais são processados: Cada um dos centros de dados globais da Taboola (nos EUA, Europa e Ásia) tem todos os seus servidores localizados em armários trancados que são mantidos exclusivamente para uso da Taboola. Esses armários são mantidos por empresas que são certificadas pela SOC2 ou que a Taboola revisou suas medidas de segurança. Além disso, qualquer acesso aos servidores requer permissão por escrito e registrada. Todos os escritórios da Taboola também são controlados e exigem que os funcionários usem cartões de acesso para entrar. Além disso, apenas um número limitado de funcionários tem acesso aos servidores da Taboola e qualquer acesso também requer permissão por escrito e registrada.

Medidas para garantir o registro de eventos: A Taboola implementa ferramentas de monitoramento e os registros são coletados em nosso sistema SIEM, que nos alerta sobre qualquer evento suspeito e também é monitorado pela equipe NOC.

Medidas para garantir a configuração do sistema, incluindo a configuração padrão: Os servidores são verificados quanto a desvios de configuração e nível de correção. Relatórios e/ou alertas são configurados em ambos e o nível de correção relevante é confirmado. Novas correções são distribuídas usando o Puppet. Todas as revisões técnicas são gerenciadas por meio do aplicativo de P&D e obtidas por meio de um processo formal de revisão (QA) após a codificação e a implementação dos processos de CI/CD também.

Medidas para governança e gerenciamento de TI e segurança de TI internas: A Taboola é certificada ISO 27001:2013 e 27701. A Taboola tem uma Política de Segurança da Informação em vigor, que afirma que o Conselho de Administração e a administração da Taboola estão comprometidos em preservar a confidencialidade, integridade e disponibilidade de todos os ativos de informações físicas e eletrônicas em toda a organização. A Taboola realiza treinamentos de segurança para todos os novos funcionários, treinamentos de phishing para todos os funcionários globalmente e treinamentos de segurança regulares para todos os funcionários, além de dedicar sessões para os grupos de P&D.

Medidas para certificação/garantia de processos e produtos: Auditorias internas trimestrais/semestrais/anuais em vários processos e sistemas para validar que a Taboola está em conformidade com seus objetivos e medidas de segurança definidas.

Medidas para garantir a minimização de dados: A Taboola limita intencionalmente os dados que coleta como parte dos princípios globais de minimização de dados da Taboola, processando apenas os dados limitados necessários para nossos propósitos comerciais específicos. Além disso, a Taboola não tem a capacidade, nem qualquer necessidade comercial, de “fazer engenharia reversa” em nenhum dos pontos de dados usados em nosso algoritmo para fornecer nossos serviços. Mais especificamente, os pontos de dados que a Taboola coleta nunca são indicativos da identidade de um usuário — pois a Taboola não coleta nem processa informações como nome do usuário, número de telefone, e-mail ou endereços físicos. Em vez disso, a Taboola coleta apenas identificadores pseudônimos, que identificam apenas características sobre o dispositivo de um usuário. Isso inclui endereços IP (que são truncados após a coleta e só podem identificar a localização geral do código postal do dispositivo, mas nunca uma geolocalização precisa) e, em alguns casos limitados, endereços de e-mail em formato hash (que são inerentemente irreversíveis e não podem ser descriptografados para revelar o endereço de e-mail original). Além disso, mesmo quando usados coletivamente, os dados que coletamos nunca podem produzir o nome, número de telefone, e-mail ou endereço físico de um indivíduo, e nossos engenheiros não trabalham de forma alguma para alcançar esse objetivo. Além disso, a Taboola faz e registra avaliações de impacto na privacidade, em um esforço para minimizar os riscos à privacidade de nossos serviços, processos e políticas.

Medidas para garantir a qualidade dos dados: Os dados são coletados diretamente do usuário e o usuário tem a oportunidade de corrigir quaisquer dados associados ao seu CookieID por meio do Portal de Solicitação de Acesso do Assunto Taboola: https://accessrequest.taboola.com/access

Medidas para garantir a retenção limitada de dados: Retenhamos as Informações do Usuário, que são coletadas diretamente para fins de veiculação de anúncios, por no máximo treze (13) meses a partir da última interação do Usuário com nossos Serviços (geralmente por um período de tempo menor), após o que desidentificamos os dados, removendo identificadores únicos ou agregando os dados. Esse processo é feito automaticamente.

Medidas para garantir a responsabilidade: A Taboola faz várias auditorias de segurança e testes de penetração (mas não para todos os sistemas). A Taboola também utiliza provedores de nuvem que são certificados pela ISO e que estão em conformidade com outras certificações relevantes para a nuvem para manter as salvaguardas físicas de um servidor.

Medidas para permitir a portabilidade dos dados e garantir a exclusão: A Taboola está relacionada com a eliminação de mídia, o mesmo para todo tipo de mídia, pois ela pode conter informações de identificação pessoal. Qualquer mídia deve ser totalmente apagada antes de ser reutilizada ou descartada. A eliminação de qualquer mídia é documentada. Os funcionários são instruídos a não imprimir nenhum papel que possa conter informações pessoais.

  1. Na medida em que uma parte faz uma Transferência Restrita de Dados Coletados para a outra parte, as Standard Contractual Clauses serão incorporadas a estes Termos de Privacidade do Editor e aplicadas da seguinte forma:

a. quando a Transferência Restrita for uma Transferência Restrita da UE, as Standard Contractual Clauses da UE serão aplicadas entre as partes da seguinte forma:

  1. (i)           O Módulo Um será aplicado;
  2. (ii)           na Cláusula 7, a Cláusula de acoplamento opcional será aplicada;
  3. (iv)          na Cláusula 11, a linguagem opcional não será aplicada;
  4. (v)           na Cláusula 17, a Opção 1 será aplicada e as Standard Contractual Clauses da UE serão regidas pela lei irlandesa;
  5. (vi)          na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda;
  6. (vii)         As partes A, B e C do Anexo I serão consideradas completas com as informações estabelecidas nas partes A, B e C do Anexo A destes Termos de Privacidade do Editor; e
  7. (vii)         O Anexo II será considerado completo com as medidas de segurança estabelecidas no Anexo B destes Termos de Privacidade do Editor;

b. quando a Transferência Restrita for uma Transferência Restrita do Reino Unido, o Adendo do Reino Unido será aplicável entre as partes da seguinte forma:

(i)           os EU SCCs, completados conforme estabelecido acima, serão aplicáveis entre as partes e serão modificados pelo Adendo do Reino Unido (completado conforme estabelecido na subcláusula (ii) abaixo); e

(ii)          as tabelas 1 a 3 do Adendo do Reino Unido serão consideradas completas com as informações relevantes dos EU SCCs, completados conforme estabelecido acima, e as opções “Exportador” e “Importador” serão consideradas marcadas na tabela 4. A data de início do Adendo do Reino Unido (conforme estabelecido na tabela 1) será a Data de Vigência destes Termos de Privacidade do Editor.

2. Transferências Restritas Adicionalmente: Nenhuma das partes fará uma Transferência Restrita Adicional dos Dados Coletados que receber da outra parte, a menos que tenha realizado todos os atos e ações necessários para garantir que essa Transferência Restrita Adicional esteja em conformidade com a Lei de Proteção de Dados Aplicável e quaisquer Standard Contractual Clauses que tenha acordado com a outra parte.