Francia: società di marketing violava la privacy degli utenti profilandoli senza consenso: maxi sanzione da 40 milioni di euro
Sanzione da 40 milioni di euro per Criteo, colosso della tecnologia pubblicitaria ritenuto colpevole dal Garante francese (CNIL) di aver violato la privacy degli utenti profilandoli senza aver ottenuto il loro consenso per l'utilizzo dei cookie nella pubblicità mirata.
La vicenda risale al 2018, quando l’associazione Privacy International aveva presentato un reclamo formale alla CNIL a cui si era poi unita anche NOYB manifestando le proprie preoccupazioni per le attività di elaborazione dei dati di diverse società operanti nel settore dell’advertising, una delle quali era appunto Criteo, che veniva definita come una "macchina di manipolazione" riguardo al modo in cui essa avrebbe utilizzato varie tecniche di tracciamento ed elaborazione dei dati per profilare gli utenti di Internet nelle campagne di retargeting comportamentale.
Nel reclamo, Privacy International e NOYB avevano affermato che Criteo non disponeva di una base giuridica adeguata per questa tipologia di tracciamento, e la CNIL aveva perciò avviato formalmente un'indagine nel 2020, assumendo poi una decisione preliminare nell’agosto 2022 concludendo che Criteo aveva effettivamente violato il GDPR e disponendo una multa di 60 milioni di euro.
Nei mesi successivi, Criteo aveva però cercato di ridurre la cifra, sostenendo che le sue violazioni della privacy non sarebbero state intenzionali e che non avrebbero provocato alcun danno agli utenti, adoperandosi inoltre per adottare misure mirate a mitigare l’impatto delle non conformità contestate e collaborando con l’autorità per la protezione dei dati, appellandosi anche al fatto che l’entità della sanzione, pari al 3% del suo fatturato globale, corrispondeva alla metà dei suoi guadagni, mentre altre società come Google e Meta erano state sanzionate dalla stessa autorità francese per importi corrispondenti “solo” allo 0,07% e allo 0,06% dei rispettivi fatturati globali.
E il verdetto finale pubblicato nei giorni scorsi con il provvedimento adottato dalla CNIL vede in effetti una riduzione della sanzione, che ammonta comunque a ben 40 milioni di euro.
Le violazioni del GDPR contestate a Criteo sono cinque, e riguardano 1) la mancata dimostrazione che gli interessati avevano dato il proprio consenso come richiesto dall'art. 7 del GDPR; 2) il mancato rispetto dell'obbligo di informazione e trasparenza richiesto dagli articoli 12 e 13 del Regolamento UE sulla protezione dei dati; 3) il mancato rispetto del diritto di accesso ai sensi dell’ art. 15 del GDPR; 4) il mancato rispetto del diritto di permettere all’utente di revocare il consenso e la cancellazione dei dati come prescritto dagli articoli 7.3 e 17.1 del Regolamento); e 5) la mancanza di un accordo di contitolarità ai sensi dell’ art.26 del GDPR, che in pratica consiste nell’assenza di precisi accordi tra Criteo e le società partner con le quali stabiliscono le strategie della gestione dei dati degli utenti.
