La Comisión Nacional Francesa de Informática y Libertades (CNIL) impuso una multa de 40 millones de euros a Criteouna de las principales agencias de publicidad y seguimiento online de Europa, debido a varias infracciones del Reglamento General de Protección de Datos (RGPD)entre ellos, la falta de demostración del consentimiento válido de los usuarios para utilizar sus datos en publicidad dirigida.
La decisión del organismo oficial encargado de garantizar la protección de datos en Franciase basó en la denuncia presentada en diciembre de 2018 por privacidad internacional, una ONG de la Reino Unido. A esta demanda se unió más tarde No es asunto tuyo (NOYB)una organización sin fines de lucro con sede en Austria.
Cinco infracciones de Criteo al RGPD
Criteo ofrece servicios reorientación conductual o retargeting conductual, para miles de sitios web. Para ello, integra cookies de seguimiento en las páginas web, analiza los hábitos de navegación de los usuarios y determina qué anunciante y para qué producto sería más relevante para mostrar un anuncio a un usuario en particular. Luego participa en licitaciones en tiempo real y muestra publicidad personalizada si ha ganado la licitación.
Específicamente, durante las investigaciones, la CNIL encontró cinco violaciones de la RGPD:
- Falta de demostración de que el interesado (el usuario en línea) dio su consentimiento para el tratamiento de sus datos (Artículo 7.1).
- Incumplimiento de la obligación de información y transparencia (artículos 12 y 13): la política de privacidad estaba incompleta y no informaba para qué usaría los datos del usuario. Además, algunos de los usos de los datos se expresaron en términos vagos y amplios, por lo que los usuarios no podían entender con precisión para qué fines se utilizarían sus datos.
- Incumplimiento de Derecho de acceso (Artículo 15.1): no facilitó todos los datos del usuario cuando se lo solicitaron y si facilitó la información, lo hizo en complicados términos técnicos.
- Incumplimiento de derecho a retirar el consentimiento y eliminación de datos (Artículos 7.3 y 17.1): En el momento en que un usuario solicitó que se eliminen sus datos, Criteo solo detuvo la visualización de anuncios personalizados, pero no eliminó los datos del usuario ni el historial de navegación.
- incumplimiento de un acuerdo entre cocontroladores (Artículo 26): Criteo no celebró acuerdos claros con sus empresas asociadas que estipule claramente el papel de cada parte y su obligación con respecto a la gestión de los datos de los usuarios.
Por qué la multa ascendió a 40M€
Para calcular el importe de la multa, la CNIL tuvo en cuenta dos aspectos importantes. En primer lugar, el hecho de que Criteo maneja datos de aproximadamente 370 millones de identificadores en la Unión Europea, por lo que la El tratamiento que se da a los datos afecta a un gran número de personas. En este sentido, el organismo afirmó que, si bien es cierto que Criteo no tenía los nombres de cada usuario, «los datos eran lo suficientemente precisos como para volver a identificar a las personas, en algunos casos».
Además de esto, la agencia tuvo en cuenta la modelo de negocio de la empresa (intermediario publicitario). En otras palabras, Criteo tiene la capacidad de recopilar una gran cantidad de datos de los usuarios para mostrarles anuncios personalizados de sus clientes. Sin embargo, sin contar con el consentimiento válido de los usuarios, podría utilizar estos datos y mostrarles los productos de otros de sus clientes, aumentando significativamente sus propios ingresos.
«El tratamiento de datos personales sin prueba de su consentimiento válido permitió a la empresa aumentar indebidamente el número de personas afectadas por su enjuiciamiento y, por lo tanto, los ingresos financieros que obtiene de su papel como intermediario publicitario» explicado la CNIL.
Imagen: Depositphotos
Mantente informado de las noticias más relevantes en nuestro canal Telegrama