Termos de Privacidade do Anunciante

Last Update: November 14, 2025

Data de vigência:  14 de agosto de 2023

Estes Termos de Privacidade do Anunciante da Taboola (“Termos de Privacidade do Anunciante“) se aplicam aos serviços de publicidade digital da Taboola, como quando a Taboola distribui o conteúdo do Anunciante por meio de sua plataforma de distribuição, de acordo com um contrato entre a Taboola e um Anunciante (“Contrato“), e estes Termos de Privacidade do Anunciante devem ser considerados incorporados e parte integrante de qualquer Contrato.  Estes Termos de Privacidade do Anunciante identificam as funções e responsabilidades da Taboola e do Anunciante com relação aos Dados Pessoais.

Se houver um conflito entre os Termos de Privacidade do Anunciante e o Contrato, os Termos de Privacidade do Anunciante prevalecerão na medida desse conflito, a menos que a disposição conflitante no Contrato faça referência expressa à disposição conflitante desses Termos de Privacidade do Anunciante e especifique que ela prevalece sobre essa disposição conflitante.

Os termos definidos nesta seção terão os significados definidos abaixo, e os termos cognatos serão interpretados de acordo. Os termos em maiúsculas usados, mas não definidos nos Termos de Privacidade do Anunciante, terão os significados definidos no Contrato.

      1. Leis de Proteção de Dados Aplicáveis” significa toda e qualquer lei federal, nacional, estadual ou outras leis de privacidade e proteção de dados que se aplicam ao Processamento que é objeto do Contrato e destes Termos do Anunciante, conforme possam ser alteradas ou substituídas de tempos em tempos.
      2. Dados coletados” significa os Dados Pessoais que cada parte coleta dos Titulares dos Dados em ou por meio de seus servidores ou redes (incluindo todos os dados coletados passivamente ou legíveis por máquina, como dados baseados no tipo de navegador e identificadores de dispositivo) em conexão com o fornecimento ou recebimento dos Serviços.
      3. Controlador” significa: (i) uma entidade que determina as finalidades e os meios do Processamento de Dados Pessoais e (ii) qualquer pessoa que se enquadre no escopo do termo “controlador” (ou qualquer termo substancialmente análogo), conforme definido nas Leis de Proteção de Dados Aplicáveis.
      4. Lei de Privacidade da Califórnia” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Cal. Código Civil § 1798.100 et seq. (“CCPA“), conforme alterado (inclusive pela Lei de Direitos de Privacidade da Califórnia), e qualquer legislação subordinada e regulamentos de implementação.
      5. Titular dos dados” significa: (i) uma pessoa física identificada ou identificável (e, para esses fins, uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador on-line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física) e (ii) qualquer pessoa que se enquadre no escopo do termo “titular dos dados”, “consumidor” (ou qualquer termo substancialmente análogo), conforme definido nas Leis de Proteção de Dados.
      6. Lei de Proteção de Dados da UE” significa: (i) o Regulamento Geral de Proteção de Dados da UE (Regulamento 2016/679) (” GDPRda UE “); (ii) a Diretiva de Privacidade Eletrônica da UE (Diretiva 2002/58/CE); e (iii) quaisquer leis nacionais de proteção de dados feitas sob ou de acordo com (i) ou (ii), cada uma conforme possa ser alterada ou substituída de tempos em tempos.
      7. Fins Permitidos” tem o significado dado na seção 3.
      8. Dados Pessoais” significa qualquer informação relacionada a um Titular de Dados (incluindo, quando exigido pela Lei de Proteção de Dados Aplicável, identificadores exclusivos de navegador ou dispositivo), conforme estabelecido no Anexo A, Parte B.
      9. Processo” significa qualquer operação ou conjunto de operações realizadas em Dados Pessoais ou em conjuntos de Dados Pessoais, seja ou não por meios automatizados, tais como coleta, recebimento, registro, organização, estruturação, uso, transmissão, acesso, compartilhamento, divulgação, transferência, armazenamento, adaptação ou alteração, recuperação, consulta, disseminação ou disponibilização de outra forma, alinhamento ou combinação, agregação, inferência, derivação, análise, restrição, apagamento, destruição ou descarte ou outro manuseio de Dados Pessoais, incluindo a forma como esse termo é definido pela Lei de Proteção de Dados Aplicável.
      10. Processador” significa: (i) uma entidade que processa dados pessoais em nome de um Controlador e (ii) qualquer pessoa que se enquadre no escopo do termo “processador” (ou qualquer termo substancialmente análogo), conforme definido nas Leis de Proteção de Dados Aplicáveis.
      11. Transferência restrita” significa: (i) quando o GDPR da UE se aplicar, uma transferência de Dados Pessoais do EEE para um país fora do EEE que não esteja sujeito a uma determinação de adequação pela Comissão Europeia (uma “Transferência Restrita da UE“); e (ii) quando o GDPR do Reino Unido se aplicar, uma transferência de Dados Pessoais do Reino Unido para qualquer outro país que não esteja sujeito ou baseado em regulamentos de adequação de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018 (uma “Transferência Restrita do Reino Unido“).
      12. Venda” e “Vender” significam a troca de Dados Pessoais por dinheiro ou outra consideração valiosa, e incluem a forma como esses termos são definidos de acordo com a Lei de Proteção de Dados Aplicável.
      13. Serviços” significa os serviços prestados pela Taboola nos termos do Contrato com o Anunciante.
      14. Incidente de segurança” significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais.
      15. Cláusulas Contratuais Padrão” significa: (i) quando o GDPR da UE for aplicável, as cláusulas contratuais anexadas à Decisão de Execução 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (“Cláusulas Contratuais Padrãoda UE“); e (ii) quando o GDPR do Reino Unido for aplicável, o “Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE” emitido pelo Comissário de Informações nos termos do s.119A(1) da DPA 2018 (“Adendo do Reino Unido“).
      16. Terceiro” significa uma empresa que atua como Controlador com relação a Dados Pessoais e que não é a empresa com a qual o Titular dos Dados cujos Dados Pessoais são Processados interagiu intencionalmente; o termo inclui a forma como esse termo é definido pela Lei de Proteção de Dados Aplicável.
      17. Lei de Proteção de Dados do Reino Unido” significa: (i) a Lei de Proteção de Dados do Reino Unido de 2018, (ii) o GDPR do Reino Unido (conforme definido em s.3(10) da Lei de Proteção de Dados do Reino Unido de 2018) (“GDPR do Reino Unido“), (iii) os Regulamentos de Privacidade e Comunicações Eletrônicas (Diretiva da CE) de 2003 do Reino Unido) e (iv) quaisquer outras leis do Reino Unido feitas sob ou de acordo com (i), (ii) ou (iii), cada uma delas conforme possa ser alterada ou substituída de tempos em tempos.

Cada parte processará os Dados Coletados que coletar ou receber da outra parte para as finalidades estabelecidas no Anexo A, Parte B (as “Finalidades Permitidas“).  O Anunciante concorda que a Taboola processará os Dados Coletados conforme permitido pela Política de Privacidade da Taboola (que, para evitar dúvidas, também será uma Finalidade Permitida para a Taboola).

Na medida em que os Dados Coletados se qualificarem como, ou contiverem, Dados Pessoais de acordo com as Leis de Proteção de Dados Aplicáveis, cada parte deverá Processar os Dados Coletados que coletar ou receber da outra parte como Controlador (o que pode incluir, quando a Lei de Privacidade da Califórnia for aplicável, como Terceiro, quando aplicável).  Divulgações (seja uma transferência ou por meio de uma parte que disponibiliza dados para a outra parte) de Dados Coletados ou Dados Pessoais de uma parte para a outra são divulgações a Terceiros.

      1. Se a Lei de Proteção de Dados dos EUA ou do estado dos EUA se aplicar aos Dados Coletados, incluindo, sem limitação, a Lei de Privacidade da Califórnia, na medida em que a Realize Pixels (anteriormente denominada “Taboola Pixels”) usada em conexão com os Serviços processe Dados Pessoais sobre um Visitante, a Taboola atuará como Terceiro para o Anunciante em relação a tais Dados Pessoais. A Taboola processará tais Dados Pessoais para as Finalidades Permitidas. Esses Dados Pessoais são disponibilizados à Taboola somente para as Finalidades Permitidas.  A Taboola fornecerá o mesmo nível de proteção de privacidade exigido das Empresas pelas Leis de Proteção de Dados aplicáveis dos EUA, incluindo, se aplicável, as Leis de Privacidade da Califórnia. A Taboola informará o Anunciante no período de tempo exigido pela Lei de Proteção de Dados Aplicável se a Taboola determinar que não é mais capaz de cumprir suas obrigações sob as Leis de Proteção de Dados Aplicáveis. Mediante notificação à Taboola, o Anunciante tem o direito de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado dos Dados Pessoais que ele disponibiliza à Taboola.

As partes reconhecem que alguns ou todos os Dados Coletados podem se qualificar como, ou incluir, Dados Pessoais e, portanto, que as Leis de Proteção de Dados Aplicáveis podem se aplicar ao Processamento de Dados Coletados de cada parte.  Quando esse for o caso, e sujeito à seção 7, cada parte será individualmente responsável por sua própria conformidade com as Leis de Proteção de Dados Aplicáveis, incluindo quaisquer requisitos aplicáveis para: (i) fornecer transparência aos Titulares dos Dados, (ii) ter consentimento ou outra base legal para o Processamento e (iii) disponibilizar um ponto de contato por meio do qual os Titulares dos Dados possam exercer seus direitos de proteção de dados.

No caso de uma das partes fazer uma Transferência Restrita de Dados Coletados para a outra parte, as disposições do Anexo C serão aplicadas.

A Taboola usa a Realize Pixels para fornecer os Serviços.  Não obstante a seção 5, na medida em que a Taboola coletar Dados Coletados das propriedades digitais do Anunciante (como sites, aplicativos móveis ou outros) usando o Realize Pixels, o Anunciante deverá: (i) fornecer todos os avisos de transparência exigidos aos Titulares dos Dados sobre o uso do Realize Pixels pela Taboola para coletar Dados Coletados das propriedades digitais do Anunciante para as Finalidades Permitidas, e (ii) obter (e, mediante solicitação a qualquer momento pela Taboola, fornecer evidência apropriada) o consentimento do Titular dos Dados para tal uso do Realize Pixels para as Finalidades Permitidas, em cada caso de acordo com os requisitos das Leis de Proteção de Dados Aplicáveis.  As obrigações do Anunciante a esse respeito incluem a identificação da Taboola e seu uso dos Realize Pixels para as Finalidades Permitidas expressamente nos avisos de transparência e nos prompts de consentimento que o Anunciante fornece aos Titulares dos Dados, bem como quaisquer outras informações exigidas pelas Leis de Proteção de Dados Aplicáveis, para que a Taboola possa fornecer seus Serviços legalmente por meio de tais propriedades digitais e processar os Dados Coletados e os Dados Pessoais para as Finalidades Permitidas.  Mediante solicitação por escrito, a Taboola fornecerá ao Anunciante as informações necessárias sobre os Realize Pixels e o Processamento de Dados Coletados pela Taboola através das propriedades digitais do Anunciante, para que o Anunciante possa garantir que seus mecanismos de notificação e consentimento estejam em conformidade com as Leis de Proteção de Dados Aplicáveis.  O Anunciante não disparará nenhum Realize Pixels a menos que e até que qualquer transparência necessária tenha sido fornecida e quaisquer consentimentos necessários exigidos pelas Leis de Proteção de Dados Aplicáveis tenham sido obtidos. O Anunciante também deve fornecer aos Titulares dos Dados informações sobre como eles podem exercer seus direitos de proteção de dados de acordo com as Leis de Proteção de Dados Aplicáveis e fornecer um ponto de contato para que os Titulares dos Dados entrem em contato para exercer seus direitos. O Anunciante notificará prontamente a Taboola se e na medida em que receber qualquer solicitação de direitos de proteção de dados em relação ao Processamento de Dados Coletados pela Taboola como Controlador, para que a Taboola possa cumprir a solicitação de acordo com suas obrigações sob a Lei de Proteção de Dados Aplicável.

Se a Taboola, a pedido do Anunciante, passar Dados Pessoais para o parceiro de atribuição do Anunciante ou para o Anunciante para fins de atribuição, o Anunciante declara e garante que: (i) seu parceiro de atribuição é um Processador em nome do Anunciante; (ii) a menos que coletados de forma independente, o Anunciante e o parceiro de atribuição usarão esses Dados Pessoais apenas para fins de atribuição; e (iii) o parceiro de atribuição e o Anunciante excluirão todos os Dados Pessoais transmitidos dentro de trinta (30) dias após a última identificação do Visitante como proveniente da Taboola.

Cada parte deverá implementar medidas de segurança técnicas e organizacionais adequadas para proteger os Dados Coletados e/ou os Dados Pessoais que processa de e contra um Incidente de Segurança.  Essas medidas devem incluir as medidas estabelecidas no Anexo B.

Se uma das Partes sofrer um Incidente de segurança com relação aos Dados coletados e/ou Dados pessoais que ela processa e que são objeto do Contrato e destes Termos de privacidade do anunciante, essa Parte deverá: (i) ser responsável pelo cumprimento (a seu próprio custo) de quaisquer obrigações de comunicação que se apliquem a ela de acordo com as Leis de Proteção de Dados Aplicáveis às autoridades de proteção de dados e/ou aos Titulares de Dados afetados, (ii) notificar a outra Parte sem atraso indevido, (ii) notificar a outra Parte sem atraso injustificado, fornecendo as informações sobre o Incidente de Segurança que possam ser razoavelmente solicitadas pela outra Parte ou que sejam necessárias para que a outra Parte determine se ela também pode ter obrigações de comunicação de acordo com as Leis de Proteção de Dados Aplicáveis em relação ao Incidente de Segurança, e (iii) tomar todas as ações e medidas, sem atraso injustificado, que sejam apropriadas para remediar e/ou mitigar os efeitos do Incidente de Segurança

Quando e na medida exigida pelas Leis de Proteção de Dados Aplicáveis às quais cada parte está sujeita, cada parte deverá realizar qualquer avaliação de impacto de proteção de dados em relação ao seu Processamento de Dados Coletados e/ou Dados Pessoais para as Finalidades Permitidas e/ou consultar as autoridades de proteção de dados aplicáveis, quando necessário.  Cada parte deverá fornecer toda a cooperação e informações razoáveis solicitadas pela outra parte, quando necessário, para permitir que a outra parte conclua uma avaliação de impacto sobre a proteção de dados e/ou consulte as autoridades de proteção de dados aplicáveis, de acordo com as obrigações da outra parte nos termos desta seção 11.

 

A. LISTA DE PARTES

Cada parte deverá ser:

      • um controlador de dados (e exportador de dados) de Dados Coletados que divulga ou disponibiliza para a outra parte, e
      • um controlador de dados (e importador de dados) dos Dados Coletados que recebe da outra parte, ou aos quais o acesso é disponibilizado por ela.

Os detalhes de cada parte são fornecidos abaixo.

Nome: Veja os detalhes do Anunciante definidos no Contrato.

Endereço: Veja os detalhes do Anunciante definidos no Contrato.

Nome da pessoa de contato, cargo e detalhes de contato: Veja os detalhes do Anunciante definidos no Contrato ou de outra forma acordados por escrito entre as partes.

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: O recebimento dos Serviços, conforme estabelecido no Contrato.

Assinatura e data: Este Anexo A será considerado executado mediante a aceitação, pelo Anunciante, destes Termos de Privacidade do Anunciante.

Função (controlador/processador): Controlador (quando for um exportador de dados) e Controlador (quando for um importador de dados)

 

Nome: Veja os detalhes da Taboola descritos na introdução do Contrato.

Endereço: Veja os detalhes da Taboola descritos na introdução do Contrato.

Nome da pessoa de contato, cargo e detalhes de contato: Equipe de privacidade da Taboola, privacy@taboola.com.

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: A prestação dos Serviços, conforme estabelecido no Contrato.

Assinatura e data: Este Anexo A será considerado executado mediante a aceitação pela Taboola destes Termos de Privacidade do Anunciante.

Função (controlador/processador): Controlador (quando for um exportador de dados) e Controlador (quando for um importador de dados)

 

B. DESCRIÇÃO DO PROCESSAMENTO E DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são processados e/ou transferidos: Usuários

Categorias de dados pessoais processados e/ou transferidos:

Dados do dispositivo: Sistema operacional, tipo de navegador, versão do navegador, endereço IP (truncado em 30 dias) da coleta, CEP (derivado do endereço IP), ID de usuário da Taboola com hash, e-mails com hash, visitas iniciais e subsequentes à página no site do Anunciante, gênero do usuário (inferido por interesses), sinais de engajamento (tempo no site, profundidade de rolagem, profundidade da sessão), dados de conversão.

Dados sobre a propriedade digital visitada pelo usuário: O URL da página visitada, o site de referência

Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais: Não aplicável.

A frequência do processamento e/ou das transferências (por exemplo, se os dados são processados e/ou transferidos em uma base única ou contínua): Contínuo durante a vigência do Contrato.

Natureza do processamento: Processamento de Dados Pessoais necessários para a prestação dos Serviços, conforme estabelecido no Contrato.

Finalidade(s) do processamento/transferência de dados e processamento posterior: A prestação dos Serviços, conforme estabelecido no Contrato. Para evitar dúvidas, as Finalidades Permitidas incluem: (i) armazenar e/ou acessar informações em um dispositivo; (ii) selecionar anúncios básicos; (iii) criar um perfil de anúncios personalizados; (iv) selecionar anúncios personalizados; (v) criar um perfil de conteúdo personalizado; (vi) selecionar conteúdo personalizado; (vii) medir o desempenho do anúncio; (viii) medir o desempenho do conteúdo; (ix) desenvolver e melhorar produtos; (x) garantia de segurança, prevenção de fraudes e depuração; (xi) entrega técnica de anúncios ou conteúdo; (xii) correspondência e combinação de fontes de dados off-line; (xiii) vinculação de diferentes dispositivos; (xiv) recebimento e uso de características de dispositivos enviados automaticamente para identificação; (xv) uso de dados limitados para selecionar conteúdo e (xvi)compreensão de públicos por meio de estatísticas.

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período:

      • Taboola: Os dados brutos são armazenados por, no máximo, 13 meses.
      • Anunciante: Pelo tempo que for necessário para receber os Serviços ou conforme especificado de outra forma no Contrato.

Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento: Não aplicável.

 

C. AUTORIDADE SUPERVISORA COMPETENTE

Autoridade de supervisão competente onde o GDPR da UE se aplica: A autoridade de supervisão competente de cada parte é a descrita abaixo:

      • Taboola: A autoridade supervisora competente será determinada de acordo com a Cláusula 13 das SCCs da UE.
      • Anunciante: A autoridade supervisora competente será determinada de acordo com a Cláusula 13 das SCCs da UE.

Autoridade supervisora competente onde o GDPR do Reino Unido se aplica: Escritório do Comissário de Informações

 

Descrição das medidas técnicas e organizacionais implementadas por cada parte (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em conta a natureza, o escopo, o contexto e a finalidade do processamento, e os riscos para os direitos e liberdades das pessoas físicas.

Medidas de pseudonimização e criptografia de dados pessoais: A Taboola coleta apenas dados pseudonimizados, o que significa que não sabemos quem você é porque não sabemos ou processamos o nome, o endereço de e-mail ou outros dados identificáveis do usuário. As informações do usuário que coletamos incluem, entre outras, informações sobre o dispositivo e o sistema operacional do usuário, o endereço IP, as páginas da Web acessadas pelos usuários nos sites de nossos clientes, o link que levou o usuário ao site de um cliente, as datas e os horários em que o usuário acessa o site de um cliente e outros dados de navegação na Web. O CookieID é anonimizado usando Bcrypt e o endereço IP é truncado.

Medidas para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento: A Taboola usa vários níveis de segurança eletrônica (por exemplo: segurança de endpoint, segurança do lado do servidor, rastreamento de detecções, testes periódicos de penetração e coleta profunda de inteligência para analisar eventos post-mortem).

Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico: A Taboola mantém 9 centros de dados operando em todo o mundo. Cada data center é usado como uma replicação um do outro, portanto, se um deles cair, os dados poderão ser extraídos de outro data center.

Processos para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento: A Taboola mantém processos rigorosos para testar os efeitos de seus controles (tanto técnicos quanto organizacionais). Temos registro e monitoramento do sistema, testes de DR mensais (pelo menos), testes de penetração trimestrais, firewalls que protegem a Web e honeypots espalhados pela rede para localizar qualquer atividade mal-intencionada. Além disso, temos um programa de recompensas que nos ajuda a monitorar constantemente nossa rede.

Medidas para identificação e autorização do usuário: Cada usuário na Taboola está associado a um nome de usuário e senha dedicados. Todo acesso à rede interna da Taboola é feito com 2FA usando a autenticação do Google. Os usuários são criados apenas pelo departamento de TI, durante o processo de integração e somente depois de receber todos os detalhes e o contrato assinado pelo departamento de RH.

Medidas para a proteção de dados durante a transmissão: A Taboola suporta qualquer transmissão de dados por meio de protocolos de transmissão seguros (HTTPS e TLS v1.2, no mínimo). Além disso, os sistemas que podem conter PII são protegidos e os dados são mantidos em hash e anônimos.

Medidas para a proteção de dados durante o armazenamento: Os dados armazenados em nossos bancos de dados são anonimizados e criptografados usando o Bcrypt. O acesso ao banco de dados é minimizado e baseado no princípio da “necessidade de conhecimento da empresa”.

Medidas para garantir a segurança física dos locais em que os dados pessoais são processados: Cada um dos centros de dados globais da Taboola (nos EUA, Europa e Ásia) tem todos os seus servidores localizados em gabinetes trancados que são mantidos exclusivamente para uso da Taboola. Esses gabinetes são mantidos por empresas que são certificadas pelo SOC2 ou que a Taboola analisou suas medidas de segurança. Além disso, qualquer acesso aos servidores requer permissão por escrito e registrada. Todos os escritórios da Taboola também são controlados e exigem que os funcionários usem cartões de acesso para entrar. Além disso, apenas um número limitado de funcionários tem acesso aos servidores da Taboola e qualquer acesso também requer permissão por escrito e registrada.

Medidas para garantir o registro de eventos: A Taboola implementa ferramentas de monitoramento e os registros são reunidos em nosso sistema SIEM, que nos alerta sobre qualquer evento suspeito e também é monitorado pela equipe do NOC.

Medidas para garantir a configuração do sistema, incluindo a configuração padrão: Os servidores são examinados quanto a desvios de configuração e nível de patch. Os relatórios e/ou alertas são definidos em ambos e o nível de patch relevante é confirmado. Novos patches são distribuídos usando o Puppet. Todas as revisões técnicas são gerenciadas por meio do aplicativo de P&D e obtidas por meio de um processo formal de revisão (QA) depois que os processos de codificação e CI/CD também são implementados.

Medidas para governança e gerenciamento internos de TI e segurança de TI: A Taboola possui as certificações ISO 27001:2013 e 27701. A Taboola possui uma Política de Segurança da Informação que afirma que o Conselho de Administração e a gerência da Taboola estão comprometidos em preservar a confidencialidade, a integridade e a disponibilidade de todos os ativos de informações físicas e eletrônicas em toda a organização. A Taboola realiza treinamentos de segurança para todos os novos funcionários, treinamentos de phishing para todos os funcionários globalmente e treinamentos regulares de segurança para todos os funcionários, além de sessões dedicadas a grupos de P&D.

Medidas para certificação/garantia de processos e produtos: Auditoria interna trimestral / semestral / anual em vários processos e sistemas para validar que a Taboola está cumprindo suas metas e medidas de segurança definidas.

Medidas para garantir a minimização de dados: A Taboola limita intencionalmente os dados que coleta como parte dos princípios globais de minimização de dados da Taboola, processando apenas os dados limitados necessários para nossos objetivos comerciais específicos. Além disso, a Taboola não tem a capacidade, nem qualquer necessidade comercial, de fazer “engenharia reversa” de nenhum dos pontos de dados usados em nosso algoritmo para fornecer nossos serviços. Mais especificamente, os pontos de dados que a Taboola coleta nunca são indicativos da identidade de um usuário, pois a Taboola não coleta ou processa informações como nome, número de telefone, e-mail ou endereços físicos do usuário. Em vez disso, a Taboola coleta apenas identificadores pseudônimos, que apenas identificam características do dispositivo de um usuário. Isso inclui endereços IP (que são truncados após a coleta e só podem identificar a localização geral do código postal do dispositivo, mas nunca uma geolocalização precisa) e, em alguns casos limitados, endereços de e-mail com hash (que são inerentemente irreversíveis e não podem ser descriptografados para revelar o endereço de e-mail original). Além disso, mesmo quando usados coletivamente, os dados que coletamos nunca podem produzir o nome, o número de telefone, o e-mail ou o endereço físico de um indivíduo, e nossos engenheiros não trabalham de forma alguma para atingir esse objetivo. Além disso, a Taboola faz e registra avaliações de impacto na privacidade em um esforço para minimizar os riscos de privacidade de nossos serviços, processos e políticas.

Medidas para garantir a qualidade dos dados: Os dados são coletados diretamente do usuário e o usuário tem a oportunidade de corrigir quaisquer dados associados ao seu CookieID por meio do Portal de Solicitação de Acesso ao Assunto da Taboola: https://accessrequest.taboola.com/access

Medidas para garantir a retenção limitada de dados: Nós retemos as Informações do Usuário, que são coletadas diretamente para fins de veiculação de anúncios, por no máximo 13 (treze) meses a partir da última interação do Usuário com nossos Serviços (geralmente por um período mais curto), após o qual desidentificamos os dados removendo identificadores exclusivos ou agregando os dados. Esse processo é feito automaticamente.

Medidas para garantir a responsabilidade: A Taboola realiza várias auditorias de segurança e testes de penetração (mas não para todos os sistemas). A Taboola também usa provedores de nuvem com certificação ISO e que cumprem outras certificações relevantes para a nuvem para manter as proteções físicas de um servidor.

Medidas para permitir a portabilidade de dados e garantir a exclusão: A Taboola relaciona o descarte de mídia a todos os tipos de mídia, pois podem conter PII. Qualquer mídia deve ser totalmente limpa antes de ser reutilizada ou descartada. Todo descarte de mídia é documentado. Os funcionários são instruídos a não imprimir nenhum papel que possa conter informações pessoais.

  1. Na medida em que uma parte fizer uma Transferência Restrita de Dados Coletados para a outra parte, as Cláusulas Contratuais Padrão serão incorporadas a estes Termos de Privacidade do Anunciante e se aplicarão da seguinte forma:
    1. quando a Transferência Restrita for uma Transferência Restrita da UE, as CSCs da UE serão aplicadas entre as partes da seguinte forma:
      1. O Módulo Um será aplicado;
      2. na Cláusula 7, a Cláusula de acoplamento opcional será aplicada;
      3. na Cláusula 11, a linguagem opcional não se aplicará;
      4. na Cláusula 17, a Opção 1 será aplicada, e as CECs da UE serão regidas pela legislação irlandesa;
      5. na Cláusula 18(b), as disputas deverão ser resolvidas perante os tribunais da Irlanda;
      6. As Partes A, B e C do Anexo I devem ser consideradas preenchidas com as informações estabelecidas nas Partes A, B e C do Anexo A destes Termos de Privacidade do Anunciante; e
      7. O Anexo II será considerado concluído com as medidas de segurança definidas no Anexo B destes Termos de Privacidade do Anunciante;
    2. Quando a Transferência Restrita for uma Transferência Restrita do Reino Unido, o Adendo do Reino Unido será aplicado entre as partes da seguinte forma:
      1. as CECs da UE, preenchidas conforme estabelecido acima, serão aplicáveis entre as partes e deverão ser modificadas pelo Adendo do Reino Unido (preenchido conforme estabelecido na subcláusula (ii) abaixo); e
      2. As tabelas 1 a 3 do Adendo do Reino Unido devem ser consideradas preenchidas com as informações relevantes das SCCs da UE, preenchidas conforme estabelecido acima, e as opções “Exportador” e “Importador” devem ser consideradas marcadas na tabela 4. A data de início do Adendo do Reino Unido (conforme definido na tabela 1) será a Data de Vigência destes Termos de Privacidade do Anunciante.
  2. Transferências com restrições de repasse:  Nenhuma das partes fará uma Transferência Restrita posterior de Dados Coletados que receber da outra parte, a menos que tenha realizado todos os atos e ações necessários para garantir que essa Transferência Restrita posterior esteja em conformidade com a Lei de Proteção de Dados Aplicável e com quaisquer Cláusulas Contratuais Padrão acordadas com a outra parte.