Criteo fue multado con 40 millones de euros por la Comisión Nacional de Informática y Libertades. Se retuvieron cinco infracciones del RGPD, establecidas en una decisión que sacó de su mente al especialista en retargeting de anuncios. Anunció apelar esta decisión.
El Cnil continúa su impulso en materia de represión contra las empresas que incumplen la ley y la normativa sobre protección de datos personales. Después de un año particularmente rico en 2022, es el especialista en retargeting publicitario Criteo el que ha sido señalado esta vez por el regulador francés. “El 15 de junio de 2023, la CNIL multó a la empresa Criteo, especializada en publicidad online, con una multa de 40 millones de euros, en particular por no haber verificado que las personas cuyos datos procesa habían dado su consentimiento”, dijo el regulador cuerpo. Esta multa sigue a una investigación de Cnil realizada sobre la base de denuncias presentadas por las asociaciones Privacy International y None of Your Business. La compañía ya ha anunciado que recurrirá esta decisión “ante las autoridades judiciales competentes”.
En total, se imputaron al editor francés cinco infracciones del RGPD. Estos se refieren a la obligación de verificar el consentimiento de los internautas en relación con el tratamiento de sus datos personales por parte de sus socios (artículo 7.1 del RGPD), información y transparencia (artículos 12 y 13), respeto al derecho de acceso (artículo 15.1 ) sino también el derecho a retirar el consentimiento y borrar los datos personales (artículos 7.3 y 17.1). Finalmente, la CNIL también encontró un incumplimiento de la obligación de prever un acuerdo entre controladores de datos conjuntos (artículo 26).
Criteo viento en contra contra la decisión del Cnil
“Aunque el Cnil redujo la sanción final de 60 millones de euros, la cantidad propuesta inicialmente, a 40 millones de euros, la sanción sigue siendo en gran medida desproporcionada a la vista de las supuestas infracciones y está fuera de proporción con la práctica general en este ámbito. Además, creemos que una serie de interpretaciones y aplicaciones del RGPD realizadas por el Cnil no son consistentes, ni con la jurisprudencia del Tribunal de Justicia de la Unión Europea, ni con sus propias directrices y recomendaciones de la Cnil, ”, dijo Ryan Damon, director legal de Criteo, en un comunicado de prensa. “Consideramos que las denuncias realizadas por la CNIL no implican ningún riesgo para las personas, ni perjuicios para las mismas. Criteo, que se basa únicamente en datos seudonimizados, no identificables directamente y no confidenciales en el curso de sus actividades, está totalmente comprometido con la protección de la privacidad y los datos de los usuarios. La decisión se relaciona con hechos pasados y no conlleva ninguna obligación para Criteo de cambiar sus prácticas actuales”.
«Para determinar el monto de la sanción, la CNIL tuvo en cuenta en particular el hecho de que el procesamiento en cuestión afectaba a un número muy grande de personas (la empresa tiene datos relacionados con alrededor de 370 millones de identificadores en toda la Unión Europea) y que recoge una cantidad muy grande de datos relativos a los hábitos de consumo de los internautas”, explica el comité restringido. También consideró que los datos personales recogidos por Criteo eran suficientemente precisos para volver a identificar a las personas y que «el hecho de tratar los datos de las personas sin acreditar su consentimiento válido ha permitido a la empresa aumentar indebidamente el número de personas afectadas por sus salarios y, por tanto, los ingresos económicos que obtiene de su función de intermediario publicitario».
Esta decisión cae en un contexto delicado para Criteo que debe, como muchos otros jugadores web, prepararse para el anuncio de la eliminación de cookies de terceros en Chrome durante la segunda mitad de 2024 a favor de un «privacy sandbox» también integrado en Android. .