En el último golpe al espeluznante complejo de ‘anuncios de seguimiento’, se descubrió que el gigante francés de tecnología publicitaria Criteo infringió la regulación de protección de datos de la Unión Europea y recibió una sanción de € 60 millones (~ $ 65 millones) por parte del organismo nacional de control de la privacidad del país. decisión preliminar tras una investigación de varios años.
El grupo de defensa de los derechos digitales Privacy International, que presentó una queja formal contra el gigante de la tecnología publicitaria de vigilancia en 2018, cuando entró en vigor el Reglamento General de Protección de Datos (RGPD) del bloque, tuiteó noticia de la sanción hoy.
Acusa a Criteo de operar lo que llama una «máquina de manipulación», a través de la aplicación de un conjunto de técnicas de seguimiento y prácticas de procesamiento de datos que están diseñadas para perfilar a los usuarios web para que puedan ser dirigidos con anuncios de comportamiento y los anunciantes pagan por «nivel individual». predicciones de los compradores”.
La queja de Privacy International argumenta que Criteo no tiene las bases legales adecuadas para que todo este seguimiento y creación de perfiles cumpla con el RGPD, y parece que el organismo de control de Francia está dispuesto a estar de acuerdo.
Una portavoz de Privacy International dijo que no han recibido una copia de la decisión preliminar de la CNIL, pero que el organismo de control francés les informó sobre el desarrollo siguiendo el procedimiento estándar de manejo de quejas.
“La CNIL nos informó el martes 3 de agosto ya que tiene la obligación de mantener informados a los denunciantes sobre el progreso de sus denuncias. Todavía no es una decisión final, por eso no es pública”, dijo a TechCrunch. “Ni siquiera pueden compartirlo con nosotros. Criteo ahora tiene la oportunidad de hacer representaciones e implementar medidas correctivas, después de lo cual habrá una audiencia, seguida de una decisión final probablemente en 2023”.
También nos hemos comunicado con la CNIL.
Una presentación de Criteo, fechada el 3 de agosto, confirma el hallazgo preliminar de la CNIL de lo que se describe en la presentación del formulario 8-K/A como «ciertas violaciones de GDPR, en particular en relación con las relaciones contractuales de la Compañía con sus anunciantes y editores con respecto a supervisión de la recopilación de consentimiento”.
“El informe incluye una propuesta de sanción financiera contra la Compañía de 60,0 millones de euros (65,4 millones de dólares). Según los procedimientos de sanción de la CNIL, Criteo tiene derecho a responder por escrito al informe, tanto con respecto a los hallazgos del RGPD como al valor de la sanción, después de lo cual habrá una audiencia formal ante el Comité de Sanciones de la CNIL. El Comité de Sanciones de la CNIL emitirá entonces un proyecto de decisión que se someterá a consulta con otras autoridades europeas de protección de datos como parte del mecanismo de cooperación exigido por el RGPD. Es probable que cualquier decisión final sobre la resolución y las posibles sanciones financieras no ocurra hasta 2023”, continúa la presentación de Criteo.
Nos pusimos en contacto con Criteo para obtener más comentarios sobre la sanción y una portavoz nos indicó una declaración en su sitio web en la que Ryan Damon, su director legal, también escribe:
Estamos totalmente en desacuerdo con los hallazgos del informe del investigador de la CNIL, tanto en los méritos relacionados con las afirmaciones del investigador de incumplimiento del RGPD como en la cuantía de la sanción propuesta. Consideramos que los méritos de este informe son fundamentalmente defectuosos y que las sanciones propuestas no guardan proporción con las supuestas acciones de incumplimiento. Esperamos seguir dialogando con la CNIL, así como defender nuestro caso ante el árbitro final de una decisión final. Criteo continúa manteniendo los más altos estándares de privacidad y opera un negocio global totalmente transparente y que cumple con las normativas. No tendremos más comentarios hasta que se resuelvan estos procedimientos en curso.
La CNIL no parece haber emitido una notificación de la decisión en su propio sitio web, probablemente porque es preliminar. (Aunque las APD de la UE tampoco siempre publican las decisiones).
Queda por ver si el organismo de control se apegará a sus armas mientras un gigante francés de la tecnología publicitaria se opone agresivamente a sus hallazgos.
Pero la decisión preliminar es solo el último golpe (en Europa) para el llamado ecosistema de ‘publicidad de vigilancia’, que, durante los primeros años de letargo regulatorio sobre protección de datos, se propuso despojar a los usuarios de la web de su privacidad en un intento optimizar la capacidad de los anunciantes para manipular la atención de las personas.
Una serie de escándalos de privacidad y datos han aumentado la conciencia de lo que algunos críticos denominan la mayor violación de datos de todos los tiempos, lo que lleva a un rudo despertar en torno a la espeluznante y sin consentimiento de la tecnología publicitaria convencional. modus operandilo que a su vez está dando lugar a un ajuste de cuentas regulatorio y legislativo dual (aunque aún queda mucho por hacer para cumplir con el RGPD).
A principios de este año, el DPA de Bélgica confirmó un hallazgo preliminar anterior contra el organismo de la industria publicitaria, IAB Europe, y su estándar insignia entre industrias para recopilar las opciones de los usuarios sobre el seguimiento de anuncios, llamado Transparency and Consent Framework/TCF, que identifica una larga lista de GDPR. violaciones y otorgando a la IAB un plazo estricto de seis meses para reformar el marco y hacerlo cumplir (aunque los expertos en privacidad han sugerido que nada menos que una reconfiguración de raíz y rama de estos sistemas será suficiente).
En los últimos años, la CNIL de Francia también emitió algunas sanciones importantes contra el rastreo de violaciones de cookies, según la legislación de privacidad electrónica del bloque, y a principios de este año, Google (uno de los gigantes tecnológicos sancionados) emitió un banner de cookies revisado en Europa que finalmente ofrece a los usuarios una opción clara. negar su seguimiento. Toda la victoria.
Este año, los legisladores de la UE también acordaron prohibir el uso de datos confidenciales y datos de niños para publicidad dirigida en las regulaciones digitales entrantes. Mientras que una sentencia de esta semana, por parte del tribunal superior del bloque, parece destinada a reforzar esa restricción entrante al consolidar una definición no estrecha de lo que constituye información confidencial.