El CNIL multa a Criteo por infringir GDPR
La Comisión Nacional de Informática y Libertades (CNIL) de Francia ha impuesto una multa de 40 millones de euros a Criteo, una de las principales empresas de publicidad de Europa. Según este organismo, que vela por la protección de los datos de los ciudadanos, la empresa no ha respetado los derechos de los usuarios y no ha podido demostrar que había obtenido un consentimiento válido, infringiendo así el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés).
Esta decisión se basa en las denuncias presentadas por noyb y Privacy International en diciembre de 2018 en contra de Criteo por no proporcionar a los usuarios una opción adecuada para retirar el consentimiento. Esta denuncia desencadenó una investigación exhaustiva por parte de la CNIL, la autoridad competente en materia de protección de datos en el país francés. La CNIL también amplió el alcance a otros ámbitos y detectó otras infracciones del GDPR: entre otras, la falta de transparencia, el incumplimiento del derecho de supresión y del derecho de acceso.
Romain Robert, abogado especializado en protección de datos de noyb: "Estamos muy contentos con la decisión de la CNIL. Es una señal clara para la industria publicitaria de que se enfrentará a graves consecuencias por infringir la ley".
Golpe importante al modelo de negocio de Criteo
La empresa francesa Criteo, un destacado actor de la tecnología publicitaria, presta servicios de "retargeting publicitario" en miles de sitios web. Es decir, rastrea los hábitos de navegación de los internautas para mostrarles publicidad personalizada y, para ello, recopila datos de navegación de los internautas mediante las cookies.
Después, la empresa analiza los hábitos de navegación para determinar para qué anunciante y para qué producto sería más pertinente mostrar un anuncio a un internauta concreto. Cuenta con datos de unos 370 millones de personas en Europa.
Como explica el propio CNIL, para determinar el importe de la multa, se tuvo en cuenta el hecho de que el tratamiento en cuestión afectaba a un número muy elevado de personas y que recoge una cantidad muy importante de datos relativos a los hábitos de consumo de los internautas. También se analizó el modelo de negocio de la empresa, que se basa exclusivamente en su capacidad para mostrar los anuncios más relevantes a los internautas con el fin de promocionar los productos de sus clientes anunciantes y, por tanto, en su capacidad para recopilar y procesar una inmensa cantidad de datos.
Por último, la CNIL consideró que el hecho de tratar los datos de las personas sin prueba válida de su consentimiento permitía a la empresa aumentar indebidamente el número de personas afectadas por su tratamiento y, por tanto, los ingresos financieros que obtenía de su función de intermediario publicitario.
Las 5 infracciones de Criteo
La CNIL ha constatado cinco infracciones del GDPR por parte de CRITEO.
1. No demostrar que el individuo ha dado su consentimiento (artículo 7.1)
Por ley, las cookies utilizadas para orientar la publicidad no pueden depositarse en el terminal del usuario sin su consentimiento. La obtención de este consentimiento es responsabilidad de los socios de la empresa, y Criteo tiene la obligación de verificar y demostrar que los internautas han dado su consentimiento.
2. Incumplimiento de la obligación de información y transparencia (artículos 12 y 13)
La CNIL indica que la política de privacidad de la empresa no era completa, ya que no incluía todos los fines para los que se trataban los datos. Además, algunos de los fines se expresaban en términos vagos y amplios, lo que no permitía a los usuarios comprender con precisión qué datos personales se estaban utilizando y para qué fines.
3. Incumplimiento del derecho de acceso (artículo 15.1)
Cuando una persona ejerció su derecho de acceso, la empresa le envió, en forma de tablas, los datos extraídos de 3 de las 6 tablas que componen su base de datos. Sin embargo, la sala restringida observó que los datos personales contenidos en 2 de las otras 3 tablas debían comunicarse a las personas. Además, cuando la empresa transmitió estas tablas, noles proporcionó información suficiente para que pudieran comprender su contenido.
4. Incumplimiento del derecho a retirar el consentimiento y a suprimir los datos (artículos 7.3 y 17.1)
Cuando una persona ejerció su derecho a retirar el consentimiento o a suprimir sus datos, el proceso aplicado por la empresa solo tuvo como efecto detener la visualización de publicidad personalizada al usuario. Sin embargo, la empresa no suprimió el identificador asignado a la persona ni los eventos de navegación vinculados a dicho identificador.
5. Incumplimiento de la obligación de establecer un acuerdo entre responsables conjuntos del tratamiento de datos (artículo 26)
El acuerdo celebrado por la empresa con sus socios no especificaba algunas de las obligaciones respectivas de los responsables del tratamiento en relación con los requisitos contenidos en el GDPR, como el ejercicio por los interesados de sus derechos, la obligación de notificar una violación de datos a la autoridad de control y a los interesados o, en caso necesario, la realización de una evaluación de impacto con arreglo al artículo 35 del GDPR.
Fuente: CNIL