Il Garante francese ha sanzionato il colosso delle tecnologie pubblicitarie Criteo per profilazione illegittima degli utenti
Il contesto
Questa vicenda inizia nel 2018 con un reclamo formale dell’associazione Privacy International alla CNIL, l’autorità garante francese. Al reclamo si è poi unita anche NOYB, la nota associazione di Max Schrems. Il reclamo portava all’attenzione della CNIL le attività di trattamento dati di alcune società attive nel settore dell’advertising, in particolare in relazione al consenso non prestato dagli utenti che però finivano ugualmente profilati. Tra le società di cui Privacy International citava il nome c’era anche Criteo. Criteo addirittura, nel reclamo, è stato definito come una “macchina di manipolazione”, svettando per l’utilizzo “disinvolto” di tecniche di tracciamento, profilazione ed elaborazione dati molto invadente.
Il reclamo, soprattutto, puntava l’attenzione sul fatto che Criteo non disponeva di una valida ed adeguata base giuridica per operare un tracciamento di questo tipo. La CNIL avviava l’istruttoria nel 2020. La prima decisione, preliminare, è arrivata nell’Agosto del 2022 e ha concluso che Criteo ha condotto elaborazione e trattamento dati in maniera illegittima. La prima sanzione ammontava a 60 milioni di euro.
Per approfondire > Che cosa sono i tracker?
La difesa di Criteo
Criteo ha portato, in propria difesa, una serie di argomentazione per cercare di ridurre la cifra. Ad esempio ha sostenuto che le violazioni privacy imputategli non sarebbero state intenzionali e non avrebbero danneggiato gli utenti. Ha poi prodotto la documentazione necessari a dimostrare l’adozione di misure correttive mirate soprattutto a minimizzare l’impatto delle irregolarità che la CNIL aveva loro contestato.
Non solo: Criteo ha fatto un tentativo piuttosto originale per cercare di ridurre l’entità della sanzione. Ha specificato che il 3% del suo fatturato globale corrisponde nei fatti alla metà dei profitti mentre altre società (leggi Meta e Google) hanno subito dalla CNIL sanzioni pari solo allo 0,07% e 0,06% dei fatturati globali.
La decisione finale del Garante francese: Criteo pagherà 40 milioni di euro
Qualche giorno fa la CNIL ha adottato il provvedimento sanzionatorio nella sua versione definitiva.
La CNIL ha elencato 5 diverse violazioni:
- incapacità di dimostrare di aver ottenuto legittimo e valido consenso da parte degli utenti (art 7 GDPR);
- mancato rispetto degli obblighi di informazione e trasparenza (art 12 e 13 GDPR)
- violazione del diritto di accesso ai dati spettante agli interessati (art 15 GDPR)
- violazione dei diritti degli utenti di revocare il consenso al trattamento e richiedere la cancellazione dei dati dai database aziendali (art 7 e 17 GDPR);
- mancato accordo di contitolarità con le società partner (art 26 GDPR)
Qui è disponibile il provvedimento completo