Termos de Privacidade do Anunciante

Last Update: November 14, 2025

Data de Vigência:  14 de agosto de 2023

Estes Termos de Privacidade do Anunciante da Taboola (“Termos de Privacidade do Anunciante”) se aplicam aos serviços de publicidade digital da Taboola, como quando a Taboola distribui conteúdo do Anunciante por meio de sua plataforma de distribuição, Taboola Dynamic Creative Optimization (DCO) ou Página de Destino GenAI de acordo com um contrato entre a Taboola e um Anunciante (“Contrato”), e estes Termos de Privacidade do Anunciante serão considerados incorporados e formarão parte integrante de qualquer tal Contrato.  Estes Termos de Privacidade do Anunciante identificam os papéis e responsabilidades da Taboola e do Anunciante em relação aos Dados Pessoais.

Caso haja um conflito entre os Termos de Privacidade do Anunciante e o Acordo, os Termos de Privacidade do Anunciante prevalecerão na medida desse conflito, a menos que a disposição conflitante no Acordo faça referência expressa à disposição conflitante destes Termos de Privacidade do Anunciante e especifique que prevalece sobre essa disposição conflitante.

Os termos definidos nesta seção terão os significados estabelecidos abaixo, e os termos cognatos serão interpretados de acordo. Os termos em maiúsculas usados, mas não definidos, nos Termos de Privacidade do Anunciante terão os significados definidos no Acordo.

      1. Leis de Proteção de Dados Aplicáveis” significa todas as leis federais, nacionais, estaduais ou outras leis de privacidade e proteção de dados que se aplicam ao Processamento que é objeto do Acordo e destes Termos do Anunciante, conforme podem ser alteradas ou substituídas de tempos em tempos.
      2. Dados Coletados” significa os Dados Pessoais que cada parte coleta de Sujeitos de Dados em ou através de seus servidores ou redes (incluindo todos os dados coletados passivamente ou legíveis por máquina, como dados baseados no tipo de navegador e identificadores de dispositivo) em conexão com a prestação ou recebimento dos Serviços.
      3. Controlador” significa: (i) uma entidade que determina as finalidades e os meios do Processamento de Dados Pessoais, e (ii) qualquer pessoa que se enquadre no escopo do termo “controlador” (ou qualquer termo substancialmente análogo) conforme definido sob as Leis de Proteção de Dados Aplicáveis.
      4. Lei de Privacidade da Califórnia” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Cal. Código Civil § 1798.100 e seguintes. (“CCPA”), conforme alterado (incluindo pela Lei de Direitos de Privacidade da Califórnia), e qualquer legislação subordinada e regulamentos implementadores.
      5. Titular de Dados” significa: (i) uma pessoa natural identificada ou identificável (e, para esses fins, uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural), e (ii) qualquer pessoa que se enquadre no escopo do termo “titular de dados”, “consumidor” (ou qualquer termo substancialmente análogo) conforme definido nas Leis de Proteção de Dados.
      6. Lei de Proteção de Dados da UE” significa: (i) o Regulamento Geral de Proteção de Dados da UE (Regulamento 2016/679) (“UE GDPR”); (ii) a Diretiva de Privacidade Eletrônica da UE (Diretiva 2002/58/CE); e (iii) quaisquer leis nacionais de proteção de dados elaboradas sob ou em virtude de (i) ou (ii), cada uma podendo ser alterada ou substituída de tempos em tempos.
      7. Finalidades Permitidas” tem o significado dado na seção 3.
      8. Dados Pessoais” significa qualquer informação relacionada a um Titular de Dados (incluindo, quando exigido pela Lei de Proteção de Dados Aplicável, identificadores únicos de navegador ou dispositivo), conforme estabelecido no Anexo A, Parte B.
      9. Processar” significa qualquer operação ou conjunto de operações que é realizada sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, independentemente de serem ou não por meios automatizados, como coleta, recebimento, registro, organização, estruturação, uso, transmissão, acesso, compartilhamento, divulgação, transferência, armazenamento, adaptação ou alteração, recuperação, consulta, disseminação ou de outra forma disponibilização, alinhamento ou combinação, agregação, inferência, derivação, análise, restrição, exclusão, destruição ou descarte ou outro manuseio de Dados Pessoais, inclusive como tal termo é definido sob a Lei de Proteção de Dados Aplicável.
      10. Processador” significa: (i) uma entidade que Processa Dados Pessoais em nome de um Controlador, e (ii) qualquer pessoa que se enquadre no escopo do termo “processador” (ou qualquer termo substancialmente análogo) conforme definido nas Leis de Proteção de Dados Aplicáveis.
      11. Transferência Restrita” significa: (i) onde o GDPR da UE se aplica, uma transferência de Dados Pessoais do EEE para um país fora do EEE que não está sujeito a uma determinação de adequação pela Comissão Europeia (uma “Transferência Restrita da UE“); e (ii) onde o GDPR do Reino Unido se aplica, uma transferência de Dados Pessoais do Reino Unido para qualquer outro país que não está sujeito ou baseado em regulamentos de adequação de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018 (uma “Transferência Restrita do Reino Unido“).
      12. Venda” e “Vender” significam trocar Dados Pessoais por consideração monetária ou outro valor, e são inclusivos de como tais termos são definidos sob a Lei de Proteção de Dados Aplicável.
      13. Serviços” significa serviços prestados pela Taboola sob o Acordo com o Anunciante.
      14. Incidente de Segurança” significa uma violação de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais de forma acidental ou ilegal.
      15. Standard Contractual Clauses” significa: (i) onde o GDPR da UE se aplica, as cláusulas contratuais anexadas à Decisão de Implementação 2021/914 da Comissão Europeia de 4 de junho de 2021 sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (“UE SCCs”); e (ii) onde o GDPR do Reino Unido se aplica, o “Adendo Internacional de Transferência de Dados para as Standard Contractual Clauses da Comissão da UE” emitido pelo Comissário de Informação sob s.119A(1) da DPA 2018 (“UK Addendum”).
      16. Terceiro” significa um negócio que atua como um Controlador em relação a Dados Pessoais, e que não é o negócio com o qual o Titular de Dados cujos Dados Pessoais estão sendo Processados interagiu intencionalmente; o termo é inclusivo de como tal termo é definido sob a Lei de Proteção de Dados Aplicável.
      17. Lei de Proteção de Dados do Reino Unido” significa: (i) a Lei de Proteção de Dados do Reino Unido de 2018, (ii) o GDPR do Reino Unido (conforme definido na s.3(10) da Lei de Proteção de Dados do Reino Unido de 2018) (“UK GDPR”), (iii) os Regulamentos de Privacidade e Comunicações Eletrônicas do Reino Unido (Diretiva EC) de 2003), e (iv) quaisquer outras leis do Reino Unido elaboradas sob ou em virtude de (i), (ii) ou (iii), cada uma podendo ser alterada ou substituída de tempos em tempos.

Cada parte deverá Processar os Dados Coletados que coleta ou recebe da outra parte para as finalidades estabelecidas no Anexo A, Parte B (as “Finalidades Permitidas”).  O Anunciante concorda que a Taboola Processará os Dados Coletados conforme permitido pela Política de Privacidade da Taboola (que, para evitar dúvidas, também será uma Finalidade Permitida para a Taboola).

Na medida em que os Dados Coletados se qualifiquem como, ou contenham, Dados Pessoais sob as Leis de Proteção de Dados Aplicáveis, cada parte deverá Processar os Dados Coletados que coleta ou recebe da outra parte como um Controlador (o que pode incluir, onde a Lei de Privacidade da Califórnia se aplica, como um Terceiro, quando aplicável).  Divulgações (seja uma transferência, ou via uma parte disponibilizando dados para a outra parte) de Dados Coletados ou Dados Pessoais de uma parte para a outra são divulgações a Terceiros.

      1. Se a Lei de Proteção de Dados dos EUA ou de um estado dos EUA se aplicar aos Dados Coletados, incluindo, sem limitação, a Lei de Privacidade da Califórnia, na medida em que os Realize Pixels (anteriormente nomeados como “Taboola Pixels”) usados em conexão com os Serviços Processem Dados Pessoais sobre um Visitante, a Taboola atua como um Terceiro para o Anunciante para tais Dados Pessoais. A Taboola processará tais Dados Pessoais para os Fins Permitidos. Esses Dados Pessoais são disponibilizados apenas para a Taboola para os Fins Permitidos.  A Taboola fornecerá o mesmo nível de proteção de privacidade exigido das Empresas pelas leis de Proteção de Dados dos EUA aplicáveis, incluindo, se aplicável, as Leis de Privacidade da Califórnia. A Taboola informará o Anunciante no período de tempo exigido pela Lei de Proteção de Dados Aplicável se a Taboola determinar que não pode mais cumprir suas obrigações sob as Leis de Proteção de Dados Aplicáveis. Após notificar a Taboola, o Anunciante tem o direito de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado de Dados Pessoais que disponibiliza à Taboola.

As partes reconhecem que alguns ou todos os Dados Coletados podem qualificar-se como, ou incluir, Dados Pessoais e, portanto, que as Leis de Proteção de Dados Aplicáveis podem se aplicar ao Processamento de Dados Coletados de cada parte.  Quando este for o caso, e sujeito à seção 7, cada parte será individualmente responsável por sua própria conformidade com as Leis de Proteção de Dados Aplicáveis, incluindo quaisquer requisitos aplicáveis para: (i) fornecer transparência aos Titulares de Dados, (ii) ter consentimento ou outra base legal para o Processamento, e (iii) disponibilizar um ponto de contato através do qual os Titulares de Dados possam exercer seus direitos de proteção de dados.

No caso de qualquer parte realizar uma Transferência Restrita de Dados Coletados para a outra parte, as disposições do Anexo C se aplicarão.

a. A Taboola usa Realize Pixels para fornecer os Serviços.  Não obstante a seção 5, na medida em que a Taboola coleta Dados Coletados das propriedades digitais do Anunciante (como sites, aplicativos móveis ou de outra forma) usando Realize Pixels, o Anunciante deverá: (i) fornecer todos os avisos de transparência exigidos aos Titulares de Dados sobre o uso de Realize Pixels pela Taboola para coletar Dados Coletados das propriedades digitais do Anunciante para os Fins Permitidos, e (ii) obter (e, a pedido a qualquer momento da Taboola, fornecer evidência apropriada de) consentimento do Titular de Dados para tal uso de Realize Pixels para os Fins Permitidos, em cada caso de acordo com os requisitos das Leis de Proteção de Dados Aplicáveis.  As obrigações do Anunciante a esse respeito incluem identificar a Taboola e seu uso de Realize Pixels para os Fins Permitidos expressamente dentro dos avisos de transparência e dos prompts de consentimento que o Anunciante fornece aos Titulares de Dados, bem como qualquer outra informação exigida pelas Leis de Proteção de Dados Aplicáveis, para que a Taboola possa fornecer seus Serviços legalmente através dessas propriedades digitais e Processar Dados Coletados e Dados Pessoais para os Fins Permitidos. Na medida em que o anunciante receba o serviço de Página de Destino Gen AI da Taboola, a Taboola deverá fornecer um aviso transparente e obter o consentimento do usuário.

b. Mediante solicitação por escrito, a Taboola deverá fornecer ao Anunciante as informações necessárias sobre os Realize Pixels e o Processamento de Dados Coletados pela Taboola através das propriedades digitais do Anunciante para que o Anunciante possa garantir que seus mecanismos de aviso e consentimento estejam em conformidade com as Leis de Proteção de Dados Aplicáveis.  O Anunciante não deverá disparar nenhum Realize Pixels a menos e até que qualquer transparência necessária tenha sido fornecida e quaisquer consentimentos necessários exigidos pelas Leis de Proteção de Dados Aplicáveis tenham sido obtidos.

c. O Anunciante deverá ainda fornecer aos Titulares de Dados informações sobre como podem exercer seus direitos de proteção de dados sob as Leis de Proteção de Dados Aplicáveis e fornecer um ponto de contato para que os Titulares de Dados possam entrar em contato para exercer seus direitos. O Anunciante deverá notificar prontamente a Taboola se e na medida em que receber qualquer solicitação de direitos de proteção de dados referente ao Processamento de Dados Coletados da Taboola como Controlador, para que a Taboola possa cumprir a solicitação de acordo com suas obrigações sob a Lei de Proteção de Dados Aplicável.

Se a Taboola, a pedido do Anunciante, passar Dados Pessoais para o parceiro de atribuição do Anunciante ou para o Anunciante para fins de atribuição, o Anunciante declara e garante que: (i) seu parceiro de atribuição é um Processador em nome do Anunciante; (ii) salvo se coletados de forma independente, o Anunciante e o parceiro de atribuição usarão tais Dados Pessoais exclusivamente para fins de atribuição; e (iii) o parceiro de atribuição e o Anunciante excluirão todos os Dados Pessoais passados dentro de trinta (30) dias após identificar pela última vez o Visitante como vindo da Taboola.

Cada parte deverá implementar medidas de segurança técnicas e organizacionais apropriadas para proteger os Dados Coletados e/ou Dados Pessoais que Processa contra um Incidente de Segurança.  Essas medidas incluirão as medidas estabelecidas no Anexo B.

Se qualquer Parte sofrer um Incidente de Segurança em relação aos Dados Coletados e/ou Dados Pessoais que Processa e que são objeto do Acordo e destes Termos de Privacidade do Anunciante, essa Parte deverá: (i) ser responsável por cumprir (às suas próprias custas) quaisquer obrigações de relatório que se apliquem a ela sob as Leis de Proteção de Dados Aplicáveis para autoridades de proteção de dados e/ou Sujeitos de Dados afetados, (ii) notificar a outra Parte sem demora indevida, fornecendo as informações sobre o Incidente de Segurança que possam ser razoavelmente solicitadas pela outra Parte ou que sejam de outra forma necessárias para que a outra Parte determine se também pode ter obrigações de relatório sob as Leis de Proteção de Dados Aplicáveis em relação ao Incidente de Segurança, e (iii) tomar todas as ações e medidas, sem demora indevida, que sejam apropriadas para remediar e/ou mitigar os efeitos do Incidente de Segurança.

Onde e na medida em que exigido pelas Leis de Proteção de Dados Aplicáveis às quais cada parte está sujeita, cada parte deverá realizar qualquer avaliação de impacto sobre a proteção de dados em relação ao seu Processamento de Dados Coletados e/ou Dados Pessoais para os Fins Permitidos e/ou consultar as autoridades de proteção de dados aplicáveis, quando necessário.  Cada parte deverá fornecer toda a cooperação e informações razoavelmente solicitadas pela outra parte, onde isso for necessário para permitir que a outra parte complete uma avaliação de impacto sobre a proteção de dados e/ou consulte as autoridades de proteção de dados aplicáveis de acordo com as obrigações da outra parte sob esta seção 11.

 

A. LISTA DE PARTES

Cada parte será:

      • um controlador de dados (e exportador de dados) dos Dados Coletados que divulga ou disponibiliza à outra parte, e
      • um controlador de dados (e importador de dados) dos Dados Coletados que recebe da outra parte ou aos quais o acesso é disponibilizado pela outra parte.

Os detalhes de cada parte são fornecidos abaixo.

Nome: Veja os detalhes do Anunciante estabelecidos no Contrato.

Endereço: Veja os detalhes do Anunciante estabelecidos no Contrato.

Nome, cargo e detalhes de contato da pessoa de contato: Veja os detalhes do Anunciante estabelecidos no Contrato ou conforme acordado entre as partes por escrito.

Atividades relevantes para os dados transferidos sob estas Cláusulas: O recebimento dos Serviços, conforme estabelecido no Contrato.

Assinatura e data: Este Anexo A será considerado executado após a aceitação destes Termos de Privacidade do Anunciante pelo Anunciante.

Função (controlador/processador): Controlador (onde é um exportador de dados) e Controlador (onde é um importador de dados)

 

Nome: Veja os detalhes da Taboola estabelecidos na introdução ao Acordo.

Endereço: Veja os detalhes da Taboola estabelecidos na introdução ao Acordo.

Nome, cargo e detalhes de contato da pessoa de contato: Equipe de privacidade da Taboola, privacy@taboola.com.

Atividades relevantes para os dados transferidos sob estas Cláusulas: A prestação dos Serviços, conforme estabelecido no Acordo.

Assinatura e data: Este Anexo A será considerado executado após a aceitação destes Termos de Privacidade da Taboola.

Função (controlador/processador): Controlador (onde é um exportador de dados) e Controlador (onde é um importador de dados)

 

B. DESCRIÇÃO DO PROCESSAMENTO E TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são processados e/ou transferidos: Usuários

Categorias de dados pessoais processados e/ou transferidos:

Dados do Dispositivo: Sistema operacional, tipo de navegador, versão do navegador, endereço IP (truncado dentro de 30 dias) da coleta, código postal (derivado do endereço IP), ID de usuário Taboola hash, e-mails hash, visitas iniciais e subsequentes na página do site do Anunciante, gênero do usuário (inferido por interesses), sinais de engajamento (tempo no site, profundidade de rolagem, profundidade da sessão), dados de conversão.

Dados sobre a propriedade digital visitada pelo usuário: A URL da página visitada, o site de referência

  • Na medida em que o DCO faz parte dos serviços, a Taboola também processa os seguintes dados:

Dados do Dispositivo: ID de cookie da Taboola ou ID do dispositivo, dependendo da plataforma), Endereço IP mascarado, ID de clique da Taboola, User Agent String, País, Tipo de usuário, incluindo informações de novo/retornando usuário (se compartilhadas pelo anunciante), Informações do produto (ligadas à URL específica), incluindo preço e disponibilidade das páginas de itens

Dados de Evento: moeda, IDs de produtos, ID do pedido, ID da categoria, categoria, termo de busca, detalhes do carrinho, valor e IDs de campanha.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que considerem plenamente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de propósito, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), mantendo um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais: Não aplicável.

A frequência do processamento e/ou transferências (por exemplo, se os dados são processados e/ou transferidos uma única vez ou de forma contínua): Contínuo durante a vigência do Contrato.

Natureza do processamento: Processamento de Dados Pessoais necessário para a prestação dos Serviços, conforme estabelecido no Contrato.

Finalidade(s) do processamento/transferência de dados e processamento adicional: A prestação dos Serviços, conforme estabelecido no Acordo. Para evitar dúvidas, os Fins Permitidos incluem: (i) armazenar e/ou acessar informações em um dispositivo; (ii) selecionar anúncios básicos; (iii) criar um perfil de anúncios personalizado; (iv) selecionar anúncios personalizados; (v) criar um perfil de conteúdo personalizado; (vi) selecionar conteúdo personalizado; (vii) medir o desempenho de anúncios; (viii) medir o desempenho de conteúdo; (ix) desenvolver e melhorar produtos; (x) garantir segurança, prevenir fraudes e depurar; (xi) entregar tecnicamente anúncios ou conteúdo; (xii) combinar e unir fontes de dados offline; (xiii) vincular diferentes dispositivos; (xiv) receber e usar características de dispositivo enviadas automaticamente para identificação; (xv) usar dados limitados para selecionar conteúdo, e (xvi) ucompreender audiências por meio de estatísticas.

O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar esse período:

      • Taboola: Os dados brutos são armazenados por no máximo 13 meses.
      • Anunciante: Pelo tempo que for necessário para receber os Serviços ou conforme especificado de outra forma no Contrato.

Para transferências para (sub-)processadores, também especifique o assunto, natureza e duração do processamento: Não aplicável.

 

C. AUTORIDADE SUPERVISORA COMPETENTE

Autoridade supervisora competente onde se aplica o EU GDPR: A autoridade supervisora competente para cada parte é conforme descrito abaixo:

      • Taboola: A autoridade supervisora competente será determinada de acordo com a Cláusula 13 dos EU SCCs.
      • Anunciante: A autoridade supervisora competente será determinada de acordo com a Cláusula 13 dos EU SCCs.

Autoridade supervisora competente onde se aplica o UK GDPR: Escritório do Comissário de Informação

 

Descrição das medidas técnicas e organizacionais implementadas por cada parte (incluindo quaisquer certificações relevantes) para garantir um nível apropriado de segurança, levando em consideração a natureza, escopo, contexto e finalidade do processamento, e os riscos para os direitos e liberdades das pessoas naturais.

Medidas de pseudonimização e criptografia de dados pessoais: A Taboola coleta apenas dados pseudonimizados, o que significa que não sabemos quem você é porque não conhecemos ou processamos o nome, endereço de e-mail ou outros dados identificáveis do usuário. As Informações do Usuário que coletamos incluem, mas não se limitam a, informações sobre o dispositivo e sistema operacional de um Usuário, IP Address, as páginas da web acessadas pelos Usuários dentro dos sites de nossos Clientes, o link que levou um Usuário ao site de um Cliente, as datas e horários em que um Usuário acessa o site de um Cliente e outros dados de navegação na web. O CookieID é anonimizado usando Bcrypt e o endereço IP é truncado.

Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento: A Taboola utiliza múltiplos níveis de segurança eletrônica (ex: segurança de endpoint, segurança do lado do servidor, rastreamento de detecções, testes de penetração periódicos e coleta de inteligência profunda para revisar eventos pós-morte).

Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso a dados pessoais de forma oportuna em caso de um incidente físico ou técnico: A Taboola mantém 9 centros de dados operando ao redor do mundo. Cada data center é usado como uma replicação um do outro, então se um falhar, os dados podem ser extraídos de outro data center.

Processos para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento: A Taboola mantém processos rigorosos para testar a eficácia de seus controles (tanto técnicos quanto organizacionais). Temos registro e monitoramento de sistema em vigor, testes de DR mensais (pelo menos), testes de penetração trimestrais, Firewalls protegendo a web e honeypots espalhados pela rede para encontrar qualquer atividade maliciosa. Além disso, temos um programa de recompensas em vigor que nos ajuda a monitorar constantemente nossa rede.

Medidas para identificação e autorização de usuários: Cada usuário no Taboola está associado a um nome de usuário e senha dedicados. Todo acesso à rede interna do Taboola é feito com 2FA usando autenticação do Google. Os usuários são criados apenas pelo departamento de TI, durante o processo de integração e somente após receber todos os detalhes e contrato assinado do departamento de RH.

Medidas para a proteção de dados durante a transmissão: O Taboola suporta qualquer transmissão de dados através de protocolos de transmissão seguros (HTTPS e TLS v1.2 no mínimo). Além disso, sistemas que podem conter PII são protegidos e os dados são mantidos hash e anonimizados.

Medidas para a proteção de dados durante o armazenamento: Os dados armazenados em nossos bancos de dados são anonimizados e hash usando Bcrypt. O acesso ao DB é minimizado e baseado no princípio de ‘necessidade de saber’ para os negócios.

Medidas para garantir a segurança física dos locais onde os dados pessoais são processados: Cada um dos centros de dados globais do Taboola (nos EUA, Europa e Ásia) tem todos os seus servidores localizados em armários trancados que são mantidos exclusivamente para uso do Taboola. Esses armários são mantidos por empresas que são certificadas SOC2 ou que o Taboola revisou suas medidas de segurança. Além disso, qualquer acesso aos servidores requer permissão por escrito e registrada. Todos os escritórios do Taboola também são controlados e exigem que os funcionários usem cartões de acesso para entrar. Além disso, apenas um número limitado de funcionários tem acesso aos servidores do Taboola e qualquer acesso também requer permissão por escrito e registrada.

Medidas para garantir o registro de eventos: O Taboola implementa ferramentas de monitoramento e os logs são coletados para nosso sistema SIEM, que nos alerta sobre qualquer evento suspeito e também é monitorado pela equipe NOC.

Medidas para garantir a configuração do sistema, incluindo configuração padrão: Os servidores são verificados tanto para desvio de configuração quanto para nível de patch. Relatórios e/ou alertas são configurados em ambos e o nível de patch relevante é confirmado. Novos patches são distribuídos usando Puppet. Todas as revisões técnicas são gerenciadas através do aplicativo de P&D e obtidas por meio de um processo formal de revisão (QA) após a codificação e os processos de CI/CD serem implementados também.

Medidas para governança e gestão de TI e segurança da informação interna: A Taboola é certificada pela ISO 27001:2013 e 27701. A Taboola possui uma Política de Segurança da Informação que afirma que o Conselho de Diretores e a gestão da Taboola estão comprometidos em preservar a confidencialidade, integridade e disponibilidade de todos os ativos de informação físicos e eletrônicos em toda a sua organização. A Taboola realiza treinamentos de segurança para todos os novos funcionários, treinamentos sobre phishing para todos os funcionários globalmente, e treinamentos regulares de segurança para todos os funcionários, além de dedicar sessões para grupos de P&D.

Medidas para certificação/garantia de processos e produtos: Auditoria interna trimestral/semestral/anual em múltiplos processos e sistemas para validar que a Taboola está cumprindo suas metas e medidas de segurança definidas.

Medidas para garantir a minimização de dados: A Taboola limita intencionalmente os dados que coletamos como parte dos princípios globais de minimização de dados da Taboola, processando apenas os dados limitados necessários para nossos propósitos comerciais específicos. Além disso, a Taboola não tem a capacidade, nem qualquer necessidade comercial, de “reverter engenharia” qualquer um dos pontos de dados usados em nosso algoritmo para fornecer nossos serviços. Mais especificamente, os pontos de dados que a Taboola coleta nunca indicam a identidade de um usuário — já que a Taboola não coleta ou processa informações como nome, número de telefone, e-mail ou endereços físicos do usuário. Em vez disso, a Taboola coleta apenas identificadores pseudônimos, que apenas identificam características sobre o dispositivo de um usuário. Isso inclui endereços IP (que são truncados ao serem coletados e podem apenas identificar a localização geral do código postal do dispositivo, mas nunca uma geolocalização precisa) e, em algumas instâncias limitadas, endereços de e-mail hash (que são inerentemente irreversíveis e não podem ser descriptografados para revelar o endereço de e-mail original). Além disso, mesmo quando usados coletivamente, os dados que coletamos nunca podem produzir o nome, número de telefone, e-mail ou endereço físico de um indivíduo, e nossos engenheiros não trabalham de forma alguma para alcançar esse objetivo. Além disso, a Taboola realiza e registra avaliações de impacto à privacidade na tentativa de minimizar os riscos de privacidade de nossos serviços, processos e políticas.

Medidas para garantir a qualidade dos dados: Os dados são coletados diretamente do usuário e o usuário tem a oportunidade de corrigir quaisquer dados associados ao seu CookieID através do Portal de Solicitação de Acesso da Taboola: https://accessrequest.taboola.com/access

Medidas para garantir a retenção limitada de dados: Retemos Informações do Usuário, que são coletadas diretamente para fins de veiculação de anúncios, por no máximo treze (13) meses a partir da última interação do Usuário com nossos Serviços (geralmente por um período mais curto), após o qual desidentificamos os dados removendo identificadores únicos ou agregando os dados. Este processo é feito automaticamente.

Medidas para garantir a responsabilidade: A Taboola realiza múltiplas auditorias de segurança e testes de penetração (mas não para todos os sistemas). A Taboola também utiliza provedores de nuvem que são certificados pela ISO e que cumprem outras certificações relevantes para a nuvem para manter as salvaguardas físicas de um servidor.

Medidas para permitir a portabilidade de dados e garantir a exclusão: Qualquer mídia deve ser completamente apagada antes de ser reutilizada ou descartada. Qualquer descarte de mídia é documentado. Os funcionários são instruídos a não imprimir nenhum papel que possa conter informações pessoais.

  1. Na medida em que uma parte faça uma Transferência Restrita de Dados Coletados para a outra parte, as Cláusulas Contratuais Padrão serão incorporadas a estes Termos de Privacidade do Anunciante e se aplicarão da seguinte forma:
    1. onde a Transferência Restrita é uma Transferência Restrita da UE, as EU SCCs se aplicarão entre as partes da seguinte forma:
      1. O Módulo Um se aplicará;
      2. na Cláusula 7, a Cláusula de anexo opcional se aplicará;
      3. na Cláusula 11, a linguagem opcional não se aplicará;
      4. na Cláusula 17, a Opção 1 se aplicará, e as EU SCCs serão regidas pela lei irlandesa;
      5. na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda;
      6. As Partes A, B e C do Anexo I serão consideradas completas com as informações estabelecidas nas Partes A, B e C do Anexo A a estes Termos de Privacidade do Anunciante; e
      7. O Anexo II será considerado completo com as medidas de segurança estabelecidas no Anexo B a estes Termos de Privacidade do Anunciante;
    2. onde a Transferência Restrita é uma Transferência Restrita do Reino Unido, o Adendo do Reino Unido se aplicará entre as partes da seguinte forma:
      1. as EU SCCs, completadas conforme estabelecido acima, se aplicarão entre as partes e serão modificadas pelo Adendo do Reino Unido (completadas conforme estabelecido na subcláusula (ii) abaixo); e
      2. as tabelas 1 a 3 do Adendo do Reino Unido serão consideradas completas com as informações relevantes das EU SCCs, completadas conforme estabelecido acima, e as opções “Exportador” e “Importador” serão consideradas marcadas na tabela 4. A data de início do UK Addendum (conforme estabelecido na tabela 1) será a Data Efetiva destes Termos de Privacidade do Anunciante.
  2. Transferências Restritas em Andamento:  Nenhuma das partes fará uma Transferência Restrita em Andamento de Dados Coletados que receber da outra parte, a menos que tenha realizado todos os atos e coisas necessárias para garantir que tal Transferência Restrita em Andamento esteja em conformidade com a Lei de Proteção de Dados Aplicável e quaisquer Cláusulas Contratuais Padrão que tenha acordado com a outra parte.