El gigante de la tecnología publicitaria Criteo ha sido multado con 40 millones de euros por la autoridad francesa de protección de datos por violar el RGPD

El gigante francés de la tecnología publicitaria Criteo ha sido multado con 40 millones de euros por no obtener el consentimiento del usuario para la publicidad dirigida.

El caso en cuestión se remonta a 2018 cuando Privacy International presentó una denuncia formal ante la Comisión Nacional de la Informática y las Libertades (CNIL), la autoridad supervisora ​​de protección de datos de Francia, utiliza las regulaciones GDPR que se implementaron recientemente en toda la Unión Europea. Privacy International dijo que estaba "profundamente preocupado" por las actividades de procesamiento de datos de varios actores en las industrias de intermediación de datos y tecnología publicitaria, incluido Criteo. Además, None of Your Business (NOYB), una organización sin fines de lucro con sede en Austria cofundada por el abogado y activista de la privacidad Max Schrems, luego agregó su nombre a la denuncia.

El quid de la queja se centró en lo que Privacy International denominó un "motor de manipulación", es decir, cómo empleó varias técnicas de seguimiento y procesamiento de datos para perfilar a los usuarios de Internet para una orientación de anuncios más granular, como el uso de Actividad en línea anterior para predecir qué productos en línea. el comprador querrá comprar; esto se conoce como "retargeting de comportamiento". Privacy International y NOYB afirmaron que Criteo no tenía una base legal adecuada para este seguimiento, lo que llevó a la CNIL a abrir una investigación formal en 2020.

decisión preliminar

En agosto de 2022, la CNIL llegó a una decisión preliminar de que Criteo había infringido el RGPD y multó a la empresa con sede en París con 60 millones de euros. Sin embargo, en los meses intermedios, Criteo intentó reducir el número.

De hecho, en un documento resumido publicado hoy, Criteo parece haber argumentado que sus acciones no fueron intencionales y no causaron daño. Decía (traducción a través de DeepL):

La empresa cree que una mejor consideración de los criterios a los que se refiere el artículo 83, apartado 2, del RGPD, en particular con respecto a la falta de prueba del daño, la naturaleza no intencional de las infracciones, las medidas tomadas para mitigar el daño, etc. La cooperación con la autoridad de control y las categorías menores intrusivas de datos personales en cuestión justificaría que el importe de 60 millones EUR propuesto por el ponente se reduzca significativamente en caso de que un panel selecto decida imponer una multa.

Además, Criteo dijo que la multa inicial representó la mitad de sus ganancias y el 3% de sus ingresos globales, lo que ""cerca del máximo legal" permitido por el RGPD y en comparación con otras multas que la CNIL impuso a empresas como Google y la empresa matriz de Facebook, Meta, que representaron solo el 0,07 % y el 0,06 % de sus respectivos niveles globales de ventas, exagerado.

Por lo tanto, la CNIL tuvo en cuenta las quejas de Criteo y redujo la multa en un tercio. Sin embargo, el informe final de la CNIL todavía pinta una imagen condenatoria del desprecio de Criteo por la protección de datos.

En total, la CNIL dice que ha identificado cinco infracciones relacionadas con la tecnología de seguimiento de publicidad de Criteo, incluida la falta de demostración de que el interesado (es decir, el usuario) ha dado su consentimiento, lo que se enmarca en el Artículo 7(1) del RGPD; el incumplimiento de los requisitos de información y transparencia (artículos 12 y 13), lo que significa que Criteo no ha revelado todas las formas en que procesaría los datos de los usuarios; una falta de "respeto del derecho de acceso" (Artículo 15(1)), lo que significa que Criteo no proporcionó a los usuarios todos los datos que tenían a pedido; una falta de "respeto del derecho a retirar el consentimiento y eliminar cumplir con los datos" (Artículos 7.3 y 17.1 del RGPD), lo que significa que Criteo no eliminó o eliminó todos los datos de un usuario cuando se le solicitó, y la falta de "prever un acuerdo entre controladores conjuntos" (Artículo 26), lo que significa que Criteo no lo ha hecho. Acuerdos claros con sus empresas colaboradoras, en las que se establece el papel de cada una de las partes y sus responsabilidades en la gestión de los datos de los usuarios.