El gigante francés de la tecnología publicitaria Criteo ha recibido una multa revisada de 40 millones de euros (44 millones de dólares) por no obtener el consentimiento de los usuarios en torno a la publicidad dirigida.
El caso en cuestión se remonta a 2018 cuando Privacy International presentó una denuncia formal ante la Comisión nacional de informática y libertades (CNIL), el organismo de control de privacidad de datos de Francia, utilizando las regulaciones GDPR que se habían introducido recientemente en toda la Unión Europea. Privacy International dijo que estaba «gravemente preocupado» por las actividades de procesamiento de datos de varios actores en la industria de corretaje de datos y tecnología publicitaria, uno de los cuales era Criteo. None of Your Business (NOYB), una organización sin fines de lucro con sede en Austria cofundada por el abogado y activista de la privacidad Max Schrems, también agregó más tarde su nombre a la denuncia.
El quid de la cuestión se centró en lo que Privacy International denominó una «máquina de manipulación», frente a cómo Criteo utilizó varias técnicas de seguimiento y procesamiento de datos para perfilar a los usuarios de Internet para una orientación de anuncios más granular, como el uso anterior en línea. actividad para predecir qué productos podría querer comprar un comprador en línea; esto se conoce como «retargeting de comportamiento».
Privacy International y NOYB afirmaron que Criteo no tenía una base legal adecuada para este seguimiento, y la CNIL inició una investigación formal en 2020.
decisión preliminar
Avance rápido hasta agosto de 2022, y la CNIL llegó a una decisión preliminar de que Criteo había infringido el RGPD y abofeteó a la empresa con sede en París con una multa de 60 millones de euros. Sin embargo, en los meses intermedios, Criteo trató de reducir la cifra.
En un documento resumido hecho público hoy, Criteo argumentó que sus acciones no fueron deliberadas y no resultaron en ningún daño. Decía (traducción a través de DeepL):
La empresa considera que una mejor consideración de los criterios establecidos en el artículo 83 (2) del RGPD, en particular con respecto a la ausencia de evidencia de daño, la naturaleza no deliberada de las infracciones, las medidas tomadas para mitigar el daño, la la cooperación que dice haber mostrado con la autoridad de control y las categorías de datos personales afectadas, que presentan una baja intrusividad, justificaría que, en caso de que el panel restringido decidiera imponer una multa, reduzca significativamente la cantidad de 60 millones de euros propuesta por el ponente .
Criteo agregó que la multa inicial representó la mitad de sus ganancias y el 3% de sus ventas globales, que es “cerca del máximo legal” permitido por el RGPD. Además, argumentó que la multa era excesiva en comparación con otras multas impuestas por la CNIL a empresas como Google y la empresa matriz de Facebook, Meta, que ascendieron a solo el 0,07% y el 0,06% de sus respectivas ventas globales.
Por lo tanto, la CNIL aparentemente prestó al menos cierta atención a las quejas de Criteo y redujo la multa en un tercio. Sin embargo, el director legal de Criteo, Ryan Damon, dice que la compañía planea apelar la decisión, calificándola de «muy desproporcionada» cuando se compara con otras supuestas infracciones en otras partes de la industria.
“Además, creemos que varias de las interpretaciones y aplicaciones del RGPD por parte de la CNIL no son coherentes con las sentencias del Tribunal de Justicia de la Unión Europea, e incluso con la propia orientación de la CNIL”, dijo Damon en un comunicado emitido a TechCrunch.
Recomendaciones
El informe final de la CNIL todavía pinta un cuadro mordaz del desprecio de Criteo por la privacidad, señalando que el procesamiento de datos involucró a «un gran número de personas» de toda la Unión Europea, incluidos los «hábitos de consumo» de millones de usuarios de Internet.
En total, la CNIL dice que encontró cinco infracciones del RGPD relacionadas con las actividades de seguimiento de anuncios de Criteo, incluida la falta de demostración de que el interesado (es decir, el usuario) dio su consentimiento, lo cual está cubierto por el artículo 7 (1) del RGPD; un incumplimiento de “cumplir con la obligación de información y transparencia (artículos 12 y 13), lo que significa efectivamente que Criteo no divulgó todas las formas en que procesaría los datos de los usuarios; una falta de «respeto del derecho de acceso» (artículo 15(1), lo que significa que Criteo no proporcionó a los usuarios todos los datos que tenía cuando se le solicitó; una falta de «cumplimiento con el derecho a retirar el consentimiento y borrar los datos» ( artículos 7.3 y 17.1 del RGPD), lo que significa que Criteo no eliminó ni eliminó todos los datos de un usuario cuando lo solicitaron; y la falta de «prever un acuerdo entre controladores conjuntos» (artículo 26), lo que significa que Criteo no tuvo Acuerdos claros en vigor con sus empresas asociadas que estipulan el papel de cada parte y su obligación en la gestión de los datos de los usuarios.
En su conclusión, la CNIL dijo que aunque Criteo no tenía los nombres individuales de cada usuario, los datos eran «suficientemente precisos para volver a identificar a las personas» en algunos casos, lo que significa que probablemente pudo identificar a las personas mediante referencias cruzadas. conjuntos de datos anonimizados con registros públicos o combinando otras técnicas de mallado de datos para inferir la identidad de los usuarios.
Y luego, por supuesto, está el elefante en la habitación: las motivaciones de Criteo con respecto a sus principales mecanismos para ganar dinero.
“La CNIL también tuvo en cuenta el modelo comercial de la empresa, que se basa exclusivamente en su capacidad para mostrar a los usuarios de Internet los anuncios más relevantes para promocionar los productos de sus clientes anunciantes y, por lo tanto, en su capacidad para recopilar y procesar una gran cantidad de datos. ”, escribió la CNIL. “La CNIL consideró que el procesamiento de datos de personas sin prueba de su consentimiento válido permitió a la empresa aumentar indebidamente el número de personas afectadas por su procesamiento y, por lo tanto, los ingresos financieros que obtiene de su papel como intermediario publicitario”.
Sin embargo, Criteo se apega a sus argumentos originales, en la medida en que afirma que finalmente no se produjo ningún daño, al tiempo que señala el hecho de que la CNIL no ha solicitado a Criteo que modifique ninguna de sus prácticas actuales.
“Como dijimos anteriormente, consideramos que las denuncias hechas por la CNIL no implican un riesgo para las personas ni ningún daño causado a ellas”, dijo Damon. “Criteo, que en sus actividades solo utiliza datos seudonimizados, no directamente identificables y no sensibles, está totalmente comprometida con la protección de la privacidad y los datos de los usuarios. La decisión se relaciona con asuntos pasados y no incluye ninguna obligación para Criteo de cambiar sus prácticas actuales; no hay impacto en los niveles de servicio y el rendimiento que podemos ofrecer a nuestros clientes como resultado de esta decisión. Continuamos manteniendo los más altos estándares en esta área y operamos un negocio global totalmente transparente y que cumple con las normas. No haremos más declaraciones en esta etapa”.
*Esta historia se actualizó con un comentario de Criteo.