Termos de Privacidade do Editor

Last Update: October 10, 2024

Data de entrada em vigor: 10 de outubro de 2024

Estes Termos de Privacidade do Publisher da Taboola (“Termos de Privacidade do Publisher”) aplicam-se aos serviços de publicidade digital da Taboola, como quando a Taboola coloca o conteúdo do Advertiser em propriedades do Publisher, incluindo, mas não limitado a, produtos e serviços do Publisher como Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News e Taboola Push, em conformidade com um acordo entre a Taboola e um Publisher (“Acordo”), e estes Termos de Privacidade do Publisher serão considerados incorporados e fazem parte integrante de qualquer tal Acordo. Estes Termos de Privacidade do Publisher identificam as funções e responsabilidades da Taboola e do Publisher em relação aos Dados Pessoais.

Se houver um conflito entre os Termos de Privacidade do Editor e o Acordo, os Termos de Privacidade do Editor regerão, a menos que a disposição conflitante no Acordo refira expressamente a disposição conflitante destes Termos de Privacidade do Editor e especifique que ela substitui a disposição conflitante.

Os termos definidos nesta seção terão os significados descritos abaixo, e os termos cognate serão interpretados em conformidade. Os termos capitalizados usados mas não definidos nos Termos de Privacidade do Editor terão os significados definidos no Acordo.

      1. Lei de Proteção de Dados Aplicável” significa qualquer e todas as leis federais, nacionais, estaduais ou outras leis de privacidade e proteção de dados aplicáveis ao Processamento que é objecto do Acordo e destes Termos de Privacidade do Publisher, como podem ser alterados ou substituídos de tempos em tempos.
      2. California Privacy Law” significa a California Consumer Privacy Act de 2018, Cal. Código Civil § 1798.100 et seq. (também, “CCPA”), conforme alterado (incluindo pela California Privacy Rights Act), e qualquer legislação subordinada e regulamentos de execução.
      3. Controlador” significa: (i) uma entidade que determina as finalidades e os meios do Processamento de Dados Pessoais, e (ii) qualquer pessoa ou entidade que caia no âmbito do termo “Controlador”, ou “Empresa” (ou qualquer termo substancialmente análogo) conforme definido nas Leis de Proteção de Dados Aplicáveis.
      4. Subjeto de dados” significa: (i) uma pessoa física identificada ou identificável (e, para estes fins, uma pessoa física identificável é uma pessoa que pode ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador on-line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física), e (ii) qualquer pessoa que cai no âmbito do termo “subjeto de dados”, “consumidor” (ou qualquer termo substancialmente análogo) conforme definido nas Leis de Proteção de Dados.
      5. Lei de Proteção de Dados da UE” significa: (i) o Regulamento Geral de Proteção de Dados da UE (Regulamento 2016/679) (“RGPD da UE”); (ii) a Diretiva de Privacidade Eletrônica da UE (Directiva 2002/58/CE); e (iii) quaisquer leis nacionais de proteção de dados feitas ao abrigo ou em conformidade com (i) ou (ii), cada uma das quais pode ser alterada ou substituída de tempos em tempos.
      6. “Dados Pessoais” significa qualquer informação que se refira a um indivíduo identificado ou identificável (e esse termo incluirá, quando exigido pela Lei de Proteção de Dados Aplicável, identificadores únicos de navegador ou dispositivo), conforme estabelecido no Anexo A, Parte B.
        1. “Dados Pessoais de Interação” significa quaisquer Dados Pessoais coletados de consumidores no momento ou após a interação intencional de um consumidor com a Taboola, os produtos da Taboola, as propriedades da Taboola e os anúncios da Taboola.
        2. “Dados Pessoais de Interação Passiva” significa quaisquer Dados Pessoais coletados passivamente de Propriedades do Publisher, incluindo, mas não limitado a, endereço IP, URL da página e cadeia de agente do usuário coletados pela Taboola, antes ou na ausência da interação intencional do consumidor com a Taboola, os produtos da Taboola, as propriedades da Taboola e os anúncios colocados pela Taboola.
      7. Processamento” significa qualquer operação ou conjunto de operações que seja realizada em Dados Pessoais ou em conjuntos de Dados Pessoais, seja ou não por meios automatizados, tais como coleta, recepção, registro, organização, estruturação, uso, transmissão, acesso, compartilhamento, divulgação, transferência, armazenamento, adaptação ou alteração, recuperação, consulta, divulgação ou outra forma de disponibilizar, alinhamento ou combinação, agregação, inferência, análise, restrição, apagamento, destruição ou eliminação ou outro tratamento de Dados Pessoais, incluindo como tal termo é definido na Lei de Proteção de Dados Aplicável.
      8. Processador” significa uma entidade que processa Dados Pessoais em nome de um Controlador, e inclui como esse termo e/ou o termo “processador de dados” (ou qualquer termo substancialmente análogo) é definido na Lei de Proteção de Dados Aplicável.
      9. Transferência restrita” significa: (i) quando o RGPD da UE se aplica, uma transferência de Dados Pessoais do EEE para um país fora do EEE que não está sujeito a uma determinação de adequação pela Comissão Europeia (uma “Transferência restrita da UE”); e (ii) quando o RGPD do Reino Unido se aplica, uma transferência de Dados Pessoais do Reino Unido para qualquer outro país que não está sujeito ou baseado em regulamentações de adequação de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido 2018 (uma “Transferência restrita do Reino Unido”).
      10. Serviços” significa serviços fornecidos pela Taboola sob o Contrato com o Publisher.
      11. “Incidente de Segurança” significa uma violação da segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais.
      12. “Clausulas contratuais padrão” significa: (i) quando se aplica o RGPD da UE, as cláusulas contratuais anexadas à Decisão de Execução 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (“CCS da UE”); e (ii) quando se aplica o RGPD do Reino Unido, o “Adenda Internacional de Transferência de Dados às Cláusulas contratuais padrão da Comissão Europeia” emitido pelo Comissário de Informação nos termos do artigo 119A(1) do DPA 2018 (“Adenda do Reino Unido”).
      13. Terceiro” significa um negócio que atua como controlador em relação aos Dados Pessoais, e não é o negócio com o qual o Titular de Dados cujos Dados Pessoais são Processados interagiu intencionalmente; o termo inclui como tal termo é definido na Lei de Proteção de Dados Aplicável.
      14. Lei de Proteção de Dados do Reino Unido” significa: (i) a Lei de Proteção de Dados do Reino Unido de 2018, (ii) o GDPR do Reino Unido (tal como definido no parágrafo 3(10) da Lei de Proteção de Dados do Reino Unido de 2018 (“GDPR do Reino Unido”), (iii) o Regulamento de Privacidade e Comunicações Eletrónicas (Directiva CE) do Reino Unido de 2003), e (iv) quaisquer outras leis do Reino Unido feitas ao abrigo ou em conformidade com (i), (ii) ou (iii), cada uma das quais pode ser alterada ou substituída de tempos em tempos.

No que respeita aos Dados Pessoais Processados em conexão com os Serviços, cada parte concorda em tratar os Dados Pessoais que recolhe apenas para os fins descritos no Anexo A, Parte B (os “Fins Permitidos”) e conforme permitido por estes Termos de Privacidade do Publisher, o Acordo e as Leis de Proteção de Dados Aplicáveis, uma vez que cada um destes pode ser atualizado de tempos em tempos. A Taboola também pode processar os Dados Pessoais de Interação Passiva conforme permitido pela Política de Privacidade da Taboola, e conforme podem ser atualizados de tempos em tempos.

Cada Parte processará os Dados Pessoais de Interação Passiva que recolhe como Controlador ou Terceiro, conforme aplicável. Cada parte processará os Dados Pessoais de Interação que recolhe como Controlador ou Empresa, conforme aplicável. As divulgações (seja diretamente ou através de uma parte que disponibiliza dados para a outra parte) de Dados Pessoais de uma parte para a outra são divulgações a terceiros.

      1. Se a Lei de Proteção de Dados dos Estados Unidos ou dos EUA for aplicável aos Dados Pessoais, incluindo, sem limitação, a Lei de Privacidade da Califórnia, na medida em que a Taboola processe Dados Pessoais de Interação Passiva em conexão com os Serviços, a Taboola atua como terceira parte para o Publisher para esses Dados Pessoais de Interação Passiva. A Taboola processará tais Dados Pessoais de Interação Passiva para os fins descritos no Anexo A, Parte B e conforme permitido por estes Termos de Privacidade do Publisher, o Acordo, a Lei de Proteção de Dados Aplicável e a Política de Privacidade da Taboola, cada um dos quais poderá ser atualizado de tempos em tempos. Tais Dados Pessoais de Interação Passiva são disponibilizados apenas à Taboola para tais fins. A Taboola fornecerá o mesmo nível de proteção de privacidade exigido às empresas pelas leis de proteção de dados aplicáveis dos EUA, incluindo, se aplicável, as leis de privacidade da Califórnia. A Publisher tem o direito de assegurar que a Taboola use os Dados Pessoais da Interação Passiva de uma forma consistente com as obrigações da Publisher. Ao fornecer um aviso à Taboola, a Publisher tem o direito de tomar medidas razoáveis e apropriadas para parar e corrigir o uso não autorizado de Dados Pessoais que disponibilizou à Taboola. A Taboola informará a Publisher no prazo exigido pelas Leis de Proteção de Dados Aplicáveis se a Taboola determinar que não é mais capaz de cumprir as suas obrigações ao abrigo das Leis de Proteção de Dados Aplicáveis. Na medida em que a Taboola recolha Dados Pessoais de Interação em conexão com os Serviços, deve fazê-lo como um negócio separado.

As partes reconhecem que podem Processar Dados Pessoais e que as Leis de Proteção de Dados Aplicáveis podem aplicar-se ao Processamento dos Dados Pessoais por cada parte. Se este for o caso, cada parte deverá cumprir as leis de proteção de dados aplicáveis em relação ao seu processamento de dados pessoais. Quando este for o caso, e sujeito ao artigo 7, cada parte será responsável individualmente pelo seu próprio cumprimento das Leis de Proteção de Dados Aplicáveis, incluindo quaisquer requisitos aplicáveis para: (i) fornecer transparência aos Titulares de Dados, (ii) ter consentimento ou outra base legal para o Processamento, e (iii) disponibilizar um ponto de contacto através do qual os Titulares de Dados possam exercer seus direitos de proteção de dados. O editor notificará prontamente a Taboola caso e na medida em que receba qualquer solicitação de direitos de proteção de dados relativamente ao processamento de dados pessoais pela Taboola como controlador, para que a Taboola possa cumprir o pedido de acordo com as suas obrigações ao abrigo da Lei de Proteção de Dados Aplicável.

  1. O editor dirigirá quaisquer solicitações recebidas por parte do titular dos dados relativamente aos Serviços da Taboola para o Portal Global de Solicitação de Acesso do titular dos dados da Taboola ou para os Estados Unidos. Portal de Opt-Out dos Direitos do Consumidor, conforme aplicável.

Se qualquer Parte receber qualquer consulta, queixa ou correspondência (uma “Notificação de Terceiros”) de um indivíduo, regulador ou outro terceiro sobre o processamento de Dados Pessoais do Titular de Dados em conexão com os Serviços, informará prontamente a outra Parte e as Partes cooperarão de boa fé e conforme razoavelmente necessário para atender aos requisitos desse Aviso de Terceiros.

No caso de qualquer das partes efetuar uma transferência restrita de dados pessoais para a outra parte, serão aplicáveis as disposições do anexo C.

Na medida em que a Taboola recolha Dados Pessoais de Propriedades de Publishers usando o código Taboola, pixels e outras tecnologias de rastreamento, a Publisher deverá: (i) fornecer todos os avisos de transparência exigidos aos Titulares de Dados sobre o uso do código Taboola pela Taboola para recolher Dados Pessoais de Propriedades de Publishers para os fins permitidos e (ii) obter (e, a pedido da Taboola, fornecer, a qualquer momento, provas apropriadas de) o consentimento do Titular de Dados para tal uso do código Taboola para os fins permitidos, em cada caso de acordo com os requisitos das Leis de Proteção de Dados Aplicáveis. As obrigações do Publisher a este respeito incluem identificar a Taboola e seu uso do código Taboola para os fins permitidos expressamente nos avisos de transparência e pedidos de consentimento que a Publisher fornece aos Titulares de Dados, bem como qualquer outra informação exigida pelas Leis de Proteção de Dados Aplicáveis, para que a Taboola possa fornecer seus Serviços legalmente através dessas propriedades e processar dados pessoais para os fins permitidos. A pedido por escrito, a Taboola fornecerá à Publisher as informações que a Publisher possa razoavelmente exigir sobre o código da Taboola e o processamento de dados pessoais pela Taboola através das Propriedades da Publisher para a Publisher, a fim de assegurar que seus mecanismos de notificação e consentimento estejam em conformidade com as Leis de Proteção de Dados Aplicáveis. A Editora concorda especificamente que:

  1. No que diz respeito às suas Propriedades Web, a Política de Privacidade do Publisher descreverá o uso de cookies, identificadores únicos e tecnologias não-cookie por terceiros (ou seja, Taboola) para publicidade e análises baseadas em interesses (nas e fora das Propriedades), e fornecerá um link para a página de opt-out da indústria da NAI em http://www.networkadvertising.org, a página de opt-out da indústria da DAA em http://www.aboutads.info, ou (no que diz respeito à coleta de mídia e dados na web europeus) um link para o link de opt-out da EDAA em http://www.youronlinechoices.eu, de uma forma que satisfaça os requisitos da Lei de Proteção de Dados Aplicável; e
  2. No que diz respeito às Propriedades baseadas em aplicativos móveis, a Política de Privacidade do Publisher deve descrever o uso em seus aplicativos móveis de SDKs e coleta de identificadores de anúncios móveis para publicidade e análise baseada em interesses ou entre aplicativos (nas e fora das Propriedades); e fornecer uma descrição de como usuários e visitantes podem optar por não coletar dados móveis para publicidade entre aplicativos através das configurações do dispositivo.
  3. Para as suas Propriedades orientadas para a UE, o Publisher deve garantir que obtenha o consentimento livre, específico, informado e inequívoco dos Visitantes de acordo com a Lei de Privacidade da UE, relativamente à colocação ou acesso a quaisquer cookies Taboola ou quaisquer outros identificadores únicos no(s) dispositivo(s) dos Visitantes. A Editora deve fornecer aos seus Visitantes detalhes de contacto (que podem incluir disponibilizar esses detalhes através de sua Política de Privacidade) para que eles possam entrar em contato com a Editora para exercer seus direitos de proteção de dados (inclusive em relação aos Dados Pessoais processados em conexão com os Serviços). As obrigações acima aplicam-se quando as Propriedades do Publisher atraem visitantes em jurisdições que exigem mecanismos de consentimento relativamente aos Serviços.

Durante o período, a Taboola poderá fornecer à Publisher a política de privacidade recomendada ou a linguagem de divulgação. A Editora reconhece que não deve confiar em tal linguagem recomendada como, ou como substituto de, aconselhamento jurídico e que a Editora ou a própria Empresa é exclusivamente responsável por quaisquer divulgações em sua política de privacidade ou em seu site.

O Publisher não deve fornecer ou configurar os Serviços para recolher ou divulgar a Taboola quaisquer categorias especiais de dados pessoais ou informações pessoais sensíveis ou dados sensíveis (como definidos na Lei de Proteção de Dados Aplicável) para processamento. Além disso, o Publisher deve assegurar que quaisquer URLs de página disponibilizadas à Taboola não contêm informações sobre o título do vídeo. A Taboola reserva-se o direito de suspender os Serviços para o Publisher em caso de incumprimento deste parágrafo, a menos que tal incumprimento seja corrigido.

Cada Parte deve implementar medidas de segurança técnicas e organizacionais adequadas para proteger os Dados Pessoais dos Visitantes de um incidente de segurança. Essas medidas incluem as medidas estabelecidas no anexo B.

Se qualquer Parte sofrer um Incidente de Segurança em relação aos Dados Pessoais que processa e que é objecto do Acordo e destes Termos de Privacidade do Publisher, essa Parte deverá: (i) ser responsável pelo cumprimento (a seu próprio custo) de quaisquer obrigações de comunicação que lhe sejam aplicáveis de acordo com as Leis de Proteção de Dados Aplicáveis às autoridades de proteção de dados e/ou aos sujeitos de dados afetados, (ii) notificar a outra Parte sem demora injustificada, fornecendo, sem demora injustificada, as informações sobre o Incidente de Segurança que possam ser razoavelmente solicitadas pela outra Parte ou que sejam de outra forma exigidas pela outra Parte para determinar se também pode ter obrigações de comunicação de acordo com as Leis de Proteção de Dados Aplicáveis em relação ao Incidente de Segurança, e (iii) tomar todas as medidas e medidas adequadas, sem demora injustificada, para remediar e/ou mitigar os efeitos do Incidente de Segurança.

Quando e na medida exigida pelas Leis de Proteção de Dados Aplicáveis a que cada parte está sujeita, cada parte deve realizar qualquer avaliação de impacto sobre a proteção de dados em relação ao seu Tratamento de Dados Pessoais para os fins permitidos e/ou consultar as autoridades de proteção de dados aplicáveis, se necessário. Cada parte deve fornecer toda a cooperação e informação razoáveis solicitadas razoavelmente pela outra parte, quando tal for necessário para permitir que a outra parte complete uma avaliação de impacto sobre a proteção de dados e/ou consulte as autoridades de proteção de dados aplicáveis de acordo com as obrigações da outra parte ao abrigo deste artigo.

A. LISTA DE PARTES

Cada parte será:

  • um controlador de dados (e exportador de dados) dos Dados Coletados que divulga ou disponibiliza à outra parte, e
  • um controlador de dados (e importador de dados) dos Dados Coletados que recebe de, ou aos quais o acesso é disponibilizado pela outra parte.

Os detalhes de cada partido são fornecidos abaixo.

Nome: Veja os detalhes do anunciante estabelecidos no acordo.

Endereço: Veja os detalhes do anunciante estabelecidos no Contrato.

Nome, posição e detalhes de contato da pessoa de contacto: Veja os detalhes do Anunciante estabelecidos no Contrato ou acordados por escrito entre as partes.

Actividades relacionadas com os dados transferidos ao abrigo destas cláusulas: A recepção dos Serviços, conforme estabelecido no Contrato.

Signatura e data: O presente Anexo A será considerado executado após a aceitação pelo Anunciante destes Termos de Privacidade do Anunciante.

Role (controlador/processador): Controlador (se for exportador de dados) e Controlador (se for importador de dados)

 

Nome: Veja os pormenores da Taboola constantes da introdução do acordo.

Endereço: Veja os pormenores da Taboola constantes da introdução do acordo.

Nome, posição e detalhes de contato da pessoa de contacto: A equipe de privacidade da Taboola, privacy@taboola.com.

Actividades relacionadas com os dados transferidos ao abrigo destas cláusulas: A prestação dos Serviços, conforme estabelecido no Acordo.

Signatura e data: O presente Anexo A será considerado executado após a aceitação por Taboola destes Termos de Privacidade do Anunciante.

Role (controlador/processador): Controlador (se for exportador de dados) e Controlador (se for importador de dados)

 

B. DESCRIÇÃO DO TRATAMENTO E TRANSFERIMENTO

Categorias de titulares de dados cujos dados pessoais são tratados e/ou transferidos: Usuários

Categorias de dados pessoais tratados e/ou transferidos:

Dados do dispositivo: Sistema operacional, tipo de navegador, versão do navegador, endereço IP (truncado no prazo de 30 dias) de coleta, código postal (derivado do endereço IP), ID de usuário hashed Taboola, e-mails hashed, visitas de página iniciais e subsequentes no site do anunciante, gênero do usuário (determinado por interesses), sinais de engajamento (tempo no site, profundidade de rolagem, profundidade de sessão), dados de conversão.

Dados sobre propriedades digitais visitadas pelo usuário: O URL da página visitada, o site de referência

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em conta a natureza dos dados e os riscos envolvidos, tais como, por exemplo, restrições estritas de finalidade, restrições de acesso (incluindo o acesso apenas para o pessoal que obteve formação especializada), manutenção de um registo de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais: Não aplicável.

A frequência do processamento e/ou transferências (por exemplo, se os dados são processados e/ou transferidos de forma única ou contínua): Continuado durante a duração do Acordo.

Natura do tratamento: Tratamento de Dados Pessoais necessários para a prestação dos Serviços, conforme estabelecido no Contrato.

Objetivo(s) do processamento/transferência de dados e processamento posterior: A prestação dos Serviços, conforme estabelecido no Acordo. Para evitar dúvidas, os fins permitidos incluem: (i) armazenar e/ou acessar informações em um dispositivo; (ii) selecionar anúncios básicos; (iii) criar um perfil de anúncios personalizado; (iv) selecionar anúncios personalizados; (v) criar um perfil de conteúdo personalizado; (vi) selecionar conteúdo personalizado; (vii) medir o desempenho do anúncio; (viii) medir o desempenho do conteúdo; (ix) desenvolver e melhorar produtos; (x) garantir a segurança, prevenir fraudes e depuração; (xi) fornecer tecnicamente anúncios ou conteúdo; (xii) comparar e combinar fontes de dados offline; (xiii) vincular diferentes dispositivos; (xiv) receber e usar características de dispositivos enviados automaticamente para identificação; (xv) usar dados limitados à seleção de conteúdo e (vix) entender os públicos por meio de estatísticas.

O período durante o qual os dados pessoais serão conservados, ou, se isso não for possível, os critérios utilizados para determinar esse período:

  • Taboola: Os dados brutos são armazenados por um máximo de 13 meses.
  • Anunciante: Durante o tempo necessário para receber os Serviços ou conforme especificado no Contrato.

Para transferências para (sub-)processadores, especifique também o assunto, a natureza e a duração do tratamento: Não aplicável.

 

C. A AUTORIDADE DE SUPERVISÃO COMPETENTE

Autoridade de supervisão competente onde o GDPR da UE é aplicável: A autoridade de controlo competente de cada parte é a seguinte:

  • Taboola: A autoridade de supervisão competente será determinada de acordo com a cláusula 13 das CCS da UE.
  • Anunciante: A autoridade de supervisão competente será determinada de acordo com a cláusula 13 das CCS da UE.

Autoridade de supervisão competente onde o GDPR do Reino Unido é aplicável: O Comissariado da Informação

Descrição das medidas técnicas e organizacionais implementadas por cada parte (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, tendo em conta a natureza, o âmbito, o contexto e a finalidade do processamento, bem como os riscos para os direitos e liberdades das pessoas singulares.

Medidas de pseudonimização e encriptação dos dados pessoais: Taboola recolhe apenas dados pseudonimizados, o que significa que não sabemos quem você é porque não sabemos ou processamos o nome do usuário, endereço de e-mail ou outros dados identificáveis. As Informações de Usuário que coletamos incluem, mas não são limitadas a, Informações sobre o dispositivo e sistema operacional de um Usuário, endereço IP, as páginas web acessadas pelos Usuários nos sites de nossos Clientes, o link que levou um Usuário ao site de um Cliente, as datas e horários de acesso de um Usuário ao site de um Cliente e outros dados de navegação na web. O CookieID é anonimizado usando o Bcrypt e o endereço IP é encurtado.

Medidas para assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento: Taboola usa vários níveis de segurança eletrônica (por exemplo: segurança do endpoint, segurança do lado do servidor, rastreamento de detecções, testes de penetração periódicos e coleta de informações profundas para revisar eventos pós-mortem).

Medidas para garantir a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo útil em caso de incidente físico ou técnico: Taboola mantém 9 data centers operando em todo o mundo. Cada centro de dados é usado como uma replicação um do outro, de modo que se um cair os dados podem ser extraídos de outro centro de dados.

Processos para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento: A Taboola mantém processos rigorosos para testar a eficácia de seus controles (tanto técnicos quanto organizacionais). Temos logs de sistema e monitoramento em lugar, mensal (pelo menos) DR testes, testes de penetração trimestrais, firewalls que protegem a web e honeypots espalhados em toda a rede para encontrar qualquer atividade maliciosa. Além disso, temos um programa de recompensas que nos ajuda a monitorar constantemente nossa rede.

Medidas de identificação e autorização dos utilizadores: Cada usuário no Taboola é associado com um nome de usuário e senha dedicados. Todo acesso à rede interna da Taboola é feito com 2FA usando autenticação do Google. Os usuários são criados apenas pelo departamento de TI, durante o processo de embarque e somente depois de receber todos os detalhes e contrato assinado do departamento de RH.

Medidas de proteção dos dados durante a transmissão: Taboola suporta qualquer transmissão de dados através de protocolos de transmissão seguros (HTTPS e TLS v1.2 no mínimo). Além disso, os sistemas que podem conter PII são protegidos e os dados são mantidos hashed e anónimos.

Medidas para proteger os dados durante o armazenamento: Os dados armazenados em nossos bancos de dados são anonimizados e hashados usando o Bcrypt. O acesso ao banco de dados é minimizado e baseado no princípio da “necessidade empresarial de saber”.

Medidas para garantir a segurança física dos locais onde os dados pessoais são tratados: Cada um dos centros de dados globais da Taboola (nos EUA, Europa e Ásia), tem todos os seus servidores localizados em armários que são mantidos exclusivamente para o uso da Taboola. Esses armários são mantidos por empresas que são certificadas pelo SOC2 ou Taboola revisou suas medidas de segurança. Além disso, qualquer acesso aos servidores requer permissão escrita e registada. Todos os escritórios da Taboola também são controlados e exigem que os funcionários usem cartões de acesso para entrar. Além disso, apenas um número limitado de funcionários tem acesso aos servidores da Taboola e qualquer acesso também requer permissão escrita.

Medidas para garantir o registo de eventos: Taboola implementa ferramentas de monitoramento e logs são coletados em nosso sistema SIEM que nos alerta em qualquer evento suspeito e também sendo monitorado pela equipe NOC.

Medidas para garantir a configuração do sistema, incluindo a configuração padrão: Os servidores são digitalizados tanto para configuração drift quanto para nível de patch. O relatório e/ou a alerta são definidos em ambos e o nível de patch relevante é confirmado. Novos patches são distribuídos usando Puppet. Todas as revisões técnicas são gerenciadas através da aplicação de I&D e obtidas através de um processo formal de revisão (QA) após a codificação e os processos CI/CD também são implementados.

Medidas para a governação e gestão interna de TI e segurança de TI: Taboola é certificado ISO 27001:2013 e 27701. A Taboola tem uma Política de Segurança de Informações em vigor que afirma que o Conselho de Administração e a administração da Taboola estão comprometidos em preservar a confidencialidade, integridade e disponibilidade de todos os ativos de informação física e eletrônica em toda a sua organização. A Taboola organiza treinamentos de segurança para todos os novos funcionários, treinamentos de phishing para todos os funcionários em todo o mundo, treinamentos regulares de segurança para todos os funcionários e também realiza sessões dedicadas para grupos de I&D.

Medidas de certificação/assegurança de processos e produtos: Auditoria interna trimestral / semestral / anual de vários processos e sistemas para validar que a Taboola está cumprindo seus objetivos de segurança e medidas definidas.

Medidas para garantir a minimização dos dados: A Taboola limita intencionalmente os dados que recolhemos como parte dos princípios globais de minimizar os dados da Taboola de processar apenas os dados limitados necessários para os nossos fins comerciais específicos. Além disso, a Taboola não tem a capacidade, nem qualquer necessidade comercial, de “engenhar inversamente” qualquer dos pontos de dados usados em nosso algoritmo para fornecer nossos serviços. Mais especificamente, os pontos de dados que a Taboola recolhe nunca indicam a identidade de um usuário – como a Taboola não recolhe ou processa informações como o nome do usuário, número de telefone, e-mail ou endereços físicos. Em vez disso, o Taboola coleta apenas identificadores pseudónimos, que apenas identificam características sobre o dispositivo de um usuário. Isso inclui endereços IP (que são encurtados na coleta e só podem identificar a localização do código postal geral do dispositivo, mas nunca uma geolocalização precisa) e, em alguns casos limitados, endereços de e-mail hashed (que são inerentemente irreversíveis e não podem ser descriptografados para revelar o endereço de e-mail original). Além disso, mesmo quando usados em conjunto, os dados que coletamos nunca podem produzir o nome, número de telefone, e-mail ou endereço físico de um indivíduo, e nossos engenheiros não trabalham de forma alguma para alcançar esse objetivo. Além disso, a Taboola realiza e registra avaliações de impacto de privacidade em um esforço para minimizar os riscos de privacidade de nossos serviços, processos e políticas.

Medidas para garantir a qualidade dos dados: Os dados são recolhidos diretamente do usuário e o usuário tem a oportunidade de corrigir quaisquer dados associados ao seu CookieID através do Portal de Solicitação de Acesso ao Tópico da Taboola: https://accessrequest.taboola.com/access

Medidas para garantir a retenção limitada de dados: Nós retemos as Informações do Usuário, que são coletadas diretamente para fins de exibição de anúncios, por um período máximo de treze (13) meses a partir da última interação do Usuário com nossos Serviços (frequentemente por um período de tempo mais curto), após o qual desidentificamos os dados removendo identificadores únicos ou agregando os dados. Esse processo é feito automaticamente.

Medidas para garantir a responsabilização: A Taboola realiza várias auditorias de segurança e testes de penetração (mas não para todos os sistemas). A Taboola também usa provedores de nuvem que são certificados pela ISO e que cumprem outras certificações relevantes para a nuvem para manter as salvaguardas físicas de um servidor.

Medidas para permitir a portabilidade dos dados e garantir a eliminação: Taboola relacionado à eliminação de mídia o mesmo para todos os tipos de mídia como ele pode conter PII. Qualquer mídia deve ser completamente apagada antes de ser reutilizada ou eliminada. Qualquer remoção de mídia é documentada. Os funcionários são instruídos a não imprimir qualquer papel que possa conter informações pessoais.

  1. Na medida em que uma parte efetua uma Transferência Restritiva de Dados Coletados para a outra parte, as Cláusulas Contratuais Padrão serão incorporadas a estes Termos de Privacidade do Publisher e aplicam-se da seguinte forma:

a. se a transferência restrita for uma transferência restrita da UE, os CCS da UE serão aplicáveis entre as partes da seguinte forma:

  1. (i) Modulo Um será aplicável;
  2. (ii) na cláusula 7, será aplicável a cláusula de acoplamento facultativa;
  3. (iv) na cláusula 11, o idioma opcional não será aplicável;
  4. (v) na cláusula 17, a opção 1 será aplicada e os SCCs da UE serão regidos pela lei irlandesa;
  5. (vi) na cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda;
  6. (vii) As Partes A, B e C do Anexo I serão consideradas preenchidas com as informações estabelecidas nas Partes A, B e C do Anexo A destes Termos de Privacidade do Publisher; e
  7. (vii) O anexo II será considerado completado com as medidas de segurança estabelecidas no anexo B destes Termos de Privacidade do Publisher;

b. se a transferência restrita for uma transferência restrita no Reino Unido, o Suplemento do Reino Unido será aplicável entre as partes da seguinte forma:

(i) os CCS da UE, preenchidos como acima, serão aplicáveis entre as partes e serão modificados pelo Suplemento do Reino Unido (preenchido como descrito na subalínea (ii) abaixo); e

(ii) os quadros 1 a 3 do Apêndice do Reino Unido serão considerados preenchidos com as informações relevantes dos SCCs da UE, preenchidas como acima, e as opções “Exportador” e “Importador” serão consideradas verificadas no quadro 4. A data de início do Apêndice do Reino Unido (conforme descrito na tabela 1) será a data de entrada em vigor destes Termos de Privacidade do Publisher.

2. Transferências Restritas Adicionais: Nenhuma das partes efetuará uma transferência restrita de dados recolhidos que receba da outra parte, a menos que tenha feito todos os atos e coisas necessários para garantir que a transferência restrita seja conforme com a Lei de Proteção de Dados Aplicável e quaisquer cláusulas contratuais padrão que tenha acordado com a outra parte.