Volver

Sanción de 40M de euros de la CNIL a Criteo por su actividad en el ámbito de la publicidad programática

Publicaciones
28-jun-23

El pasado 22 de junio la CNIL, autoridad francesa de protección de datos, hizo pública una resolución sancionadora contra Criteo, una empresa francesa dedicada a la publicidad en línea, más concretamente al tipo de publicidad que se conoce como “retargeting" comportamental.

Criteo funciona a partir de la instalación de cookies de seguimiento en aquellos usuarios que visitan la web de alguna de sus empresas colaboradoras, analizando su comportamiento de navegación en línea. De esta manera, es capaz de ofrecer a las empresas que cuentan con espacios publicitarios creatividades adaptadas a los intereses de sus visitantes web.

La investigación de la CNIL se inició a partir de dos reclamaciones, por parte de la asociación “Privacy International” y la asociación NOYB, fundada esta última por Max Schrems, activista de la privacidad detrás de la caída del Privacy Shield para las transferencias de datos personales entre la UE y Estados Unidos.

Tras una serie de comprobaciones por parte de la CNIL sobre el cumplimiento de la normativa en materia de protección de datos y de las comunicaciones electrónicas aplicable a Criteo, ha llegado a la conclusión de la existencia de varias infracciones por parte de esta última.

La resolución parte de la base de la existencia del tratamiento de datos personales por parte de Criteo, ya que se lleva a cabo una identificación de los usuarios, a la que se añaden datos como la ubicación geográfica del usuario, el terminal utilizado, otros identificadores utilizados por colaboradores de Criteo, dirección de correo electrónico del usuario hasheada, sitios web visitados, productos o servicios consultados, cestas de compra web, interacciones con anuncios, así como otros datos inferidos de los anteriores.

En su resolución sancionadora contra Criteo con fecha en 22 de junio de 2023, la CNIL ha considerado la existencia de cinco infracciones del RGPD y de la normativa nacional aplicable (en concreto, la Ley Nº 78-17, de 6 de enero de 1978, sobre el tratamiento de datos informáticos, los archivos y la libertad).

Las mencionadas infracciones giran en torno a:

  1. La obligación de Criteo de verificar que el recabado del consentimiento por parte de sus colaboradores se estaba llevando a cabo conforme a la normativa aplicable.
  2. La obligación de proporcionar información completa y transparente a los interesados sobre el tratamiento de sus datos personales.
  3. La satisfacción del derecho de acceso a datos personales por parte de los interesados.
  4. La satisfacción al derecho a la supresión de los datos personales y a la retirada del consentimiento por parte de los interesados.
  5. La obligación de firmar un acuerdo que regule los términos de tratamiento de los datos entre corresponsables.

Verificar la existencia del consentimiento

La CNIL parte de la consideración de que Criteo es un corresponsable, junto con los sitios web con los que colabora en esta actividad, del tratamiento que se está llevando a cabo. Como consecuencia, la autoridad considera que es titular de la mencionada obligación del artículo 7.1 del RGPD. En este contexto, la CNIL ha llegado a la conclusión de que la obligación no ha sido cumplida porque “la empresa no ha puesto en marcha ninguna medida que le permita garantizar que los datos personales que trata sean únicamente aquellos para los que se ha recogido el consentimiento válido de la persona”, a pesar de que fueran los sitios web los que tuvieran que contar con una forma de recabar el consentimiento, por el hecho de producirse esta instalación en dichos sitios web.

La obligación de proporcionar información completa y transparente a los interesados

La CNIL consideró la existencia de información incompleta y que no cumplía con la suficiente claridad como para que los destinatarios de la información obtuvieran una imagen adecuada del tratamiento de sus datos.

En cuanto al hecho de ser incompleta, se encontró que la política de privacidad de Criteo no incluía todos los fines para los que estaba tratando los datos personales de los interesados y, en particular, sobre el tratamiento de los datos con el objetivo de mejorar su tecnología.

Por lo que respecta a la falta de claridad de la información, en concreto en relación a las bases de legitimación utilizadas para los diferentes tratamientos.

Los derechos de supresión de los datos y a la retirada del consentimiento para el tratamiento

La empresa informó a la CNIL de que los interesados podían retirar su consentimiento para el tratamiento de sus datos o ejercitar su derecho a la supresión haciendo clic en el botón “Desactivar los servicios de Criteo” accesible en la política de privacidad de la empresa. Una vez seleccionada esta opción, se colocaba una cookie de “opt-out” en el navegador de la persona, evitando así el posterior depósito de cookies de Criteo y la visualización de anuncios personalizados.

Si bien la empresa informaba de que “en el caso de que un identificador de usuario haya sido objeto de un procedimiento de desactivación, ya no será posible reconciliar posteriormente los eventos relacionados con ese identificador con otros posibles identificadores relacionados con ese usuario”, la CNIL llegó a la conclusión de que la sancionada se limitaba a interrumpir la visualización de anuncios personalizados, pero sin proceder a un borrado efectivo de los datos relativos a esa persona.

La obligación de firmar un acuerdo de corresponsabilidad del tratamiento

Partiendo de la consideración de la Criteo, junto con las demás empresas que forman parte de su actividad en el contexto de la publicidad programática o comportamental, son responsables conjuntos entre sí.

En consecuencia, y en aplicación del artículo 26 del RGPD, están obligados a firmar un acuerdo de corresponsabilidad en el que, entre otras cuestiones, se establezca cuál es la forma de reparto de las responsabilidades establecidas en el RGPD para el tratamiento que vayan a realizar de forma conjunta.

La CNIL ha determinado que esta obligación fue incumplida por parte de Criteo quién, a pesar de que sí contaba con acuerdos firmados con las empresas colaboradoras, estos no contenían las reglas de reparto y cumplimiento de las obligaciones RGPD. Por ejemplo, el acuerdo firmado por los corresponsables no determinaba quién se iba a encargar de atender los derechos de protección de datos de los interesados, o quién debía notificar una brecha de seguridad en el caso de producirse.

Sara Hervías Costa, Privacy Counsel, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
14-nov-24
EE.UU. ordena a TSMC suspender envíos de chips IA a China
This is some text inside of a div block.
Leer más
14-nov-24
Alibaba presenta Accio: su asistente basado en IA
This is some text inside of a div block.
Leer más
14-nov-24
Meta buscará contentar a los reguladores europeos
This is some text inside of a div block.
Leer más