Il colosso adtech Criteo ha subito una multa rivista di 40 milioni di euro da parte dell'ente francese per la privacy dei dati per violazioni del GDPR
Il colosso francese della tecnologia pubblicitaria Criteo è stato emesso con una multa rivista di € 40 milioni ($ 44 milioni) per non aver raccolto il consenso degli utenti sulla pubblicità mirata.
Il caso in questione risale al 2018, quando Privacy International ha presentato un reclamo formale alla Commission nationale de l'informatique et des libertés (CNIL), l'organismo di vigilanza francese sulla privacy dei dati, utilizzando i regolamenti GDPR che erano stati recentemente introdotti in tutta l'Unione Europea.
Privacy International ha affermato di essere "seriamente preoccupata" per le attività di elaborazione dei dati di diversi attori nel settore del data broking e dell'adtech, uno dei quali era Criteo.
Anche None of Your Business (NOYB), un'organizzazione no-profit con sede in Austria co-fondata dall'avvocato e attivista per la privacy Max Schrems, ha successivamente aggiunto il suo nome alla denuncia.
Il nocciolo della questione era incentrato su ciò che Privacy International chiamava una "macchina di manipolazione", rispetto al modo in cui Criteo utilizzava varie tecniche di tracciamento ed elaborazione dei dati per profilare gli utenti di Internet per un targeting pubblicitario più granulare, come l'utilizzo di precedenti online attività per prevedere quali prodotti un acquirente online potrebbe voler acquistare: questo è noto come "retargeting comportamentale".
Privacy International e NOYB hanno affermato che Criteo non disponeva di una base legale adeguata per questo monitoraggio, con la CNIL che ha avviato un'indagine formale nel 2020.
Decisione preliminare Avanti veloce all'agosto 2022 e la CNIL ha raggiunto una decisione preliminare che Criteo aveva effettivamente violato GDPR e ha schiaffeggiato la società con sede a Parigi con una multa di 60 milioni di euro.
Nei mesi successivi, tuttavia, Criteo ha cercato di ridurre la cifra.
In un documento di sintesi reso pubblico oggi, Criteo ha affermato che le sue azioni non erano intenzionali e non hanno provocato alcun danno.
Diceva (traduzione tramite DeepL): La società ritiene che una migliore considerazione dei criteri di cui all'articolo 83, paragrafo 2, del GDPR, in particolare per quanto riguarda l'assenza di prove del danno, la natura non intenzionale delle violazioni, le misure adottate per mitigare il danno, la collaborazione che afferma di aver dimostrato con l'autorità di controllo e le categorie di dati personali in questione, che presentano una bassa intrusività, giustificherebbero che, qualora il panel ristretto decidesse di imporre una sanzione, ridurrà notevolmente l'importo di 60 milioni di euro proposta dal relatore.
Criteo ha aggiunto che la multa iniziale rappresentava la metà dei suoi guadagni e il 3% delle sue vendite globali, che è "vicino al massimo legale" consentito dal GDPR.
Inoltre, ha sostenuto che l'ammenda era eccessiva rispetto ad altre multe inflitte dalla CNIL a società del calibro di Google e Meta, società madre di Facebook, che ammontavano solo allo 0,07% e allo 0,06% delle rispettive vendite globali.
Pertanto, CNIL ha apparentemente prestato attenzione alle lamentele di Criteo e ha ridotto la multa di un terzo.
Risultati Il rapporto finale della CNIL dipinge ancora un quadro feroce del disprezzo di Criteo per la privacy, rilevando che l'elaborazione dei dati ha coinvolto "un numero molto elevato di persone" da tutta l'Unione Europea, comprese le "abitudini di consumo" di milioni di utenti di Internet.
In totale, la CNIL afferma di aver riscontrato cinque violazioni del GDPR che coinvolgono le attività di tracciamento degli annunci di Criteo, inclusa la mancata dimostrazione che l'interessato (ovvero l'utente) ha dato il proprio consenso, che è coperto dall'articolo 7(1) del GDPR; un mancato “adempimento all'obbligo di informazione e trasparenza (articoli 12 e 13), il che significa di fatto che Criteo non ha divulgato tutte le modalità con cui avrebbe trattato i dati degli utenti; un mancato "rispetto del diritto di accesso" (articolo 15(1), nel senso che Criteo non ha fornito agli utenti tutti i dati in suo possesso quando richiesto; un mancato "rispetto del diritto di revocare il consenso e la cancellazione dei dati" ( articoli 7.3 e 17.1 GDPR), il che significa che Criteo non ha cancellato o rimosso tutti i dati di un utente quando questi lo richiedevano; e l'incapacità di "prevedere un accordo tra contitolari del trattamento" (articolo 26), il che significa che Criteo non aveva chiari accordi in essere con le sue aziende partner che stabiliscono il ruolo di ciascuna parte e il loro obbligo nella gestione dei dati degli utenti.Nella sua conclusione, la CNIL ha affermato che, sebbene Criteo non avesse i nomi individuali di ciascun utente, i dati erano "sufficientemente accurati per re-identificare le persone" in alcuni casi, il che significa che è stato probabilmente in grado di identificare le persone incrociando set di dati altrimenti resi anonimi con registri pubblici o combinando altre tecniche di meshing dei dati per dedurre l'identità degli utenti.
E poi, ovviamente, c'è l'elefante nella stanza — le motivazioni di Criteo riguardo ai suoi principali meccanismi per fare soldi.
“La CNIL ha anche tenuto conto del modello di business dell'azienda che si basa esclusivamente sulla sua capacità di mostrare agli utenti di Internet gli annunci pubblicitari più rilevanti per promuovere i prodotti dei suoi clienti inserzionisti e quindi sulla sua capacità di raccogliere ed elaborare un'enorme quantità di dati ”, ha scritto la CNIL.
"La CNIL ha ritenuto che il trattamento dei dati personali senza la prova del loro valido consenso consentisse alla società di aumentare indebitamente il numero di persone interessate dal suo trattamento e quindi il reddito finanziario che deriva dal suo ruolo di intermediario pubblicitario".
TechCrunch ha contattato Criteo per un commento e aggiornerà qui quando – o se – avremo notizie.
Il colosso adtech Criteo ha subito una multa rivista di 40 milioni di euro da parte dell'ente francese per la privacy dei dati per le violazioni del GDPR di Paul Sawers, originariamente pubblicato su TechCrunch
