Tras investigar la actuación de Criteo, la Comisión Nacional de Informática y Libertades (CNIL) decidió sancionarla el 15 de junio de 2023. La empresa especializada en…
Tras investigar la actuación de Criteo, la Comisión Nacional de Informática y Libertades (CNIL) decidió sancionarla el 15 de junio de 2023. La empresa especializada en publicidad online fue multada con 40 millones de euros.
Criteo incumplió reiteradamente el RGPD
En noviembre de 2018, las asociaciones Privacy International y None of Your Business presentó una denuncia contra siete empresas, incluida Criteo, por violaciones de datos personales. Dieciséis meses después, en marzo de 2020, la CNIL inició una investigación basada en esta denuncia. El regulador francés sospechaba que la entidad había incumplido reiteradamente el Reglamento General de Protección de Datos (RGPD).
Tras investigar, la CNIL detectó una primera infracción del artículo 7.1 del RGPD. Requiere que las organizaciones demuestren que una persona ha dado su consentimiento para almacenar y procesar sus datos personales. En el caso de Criteo, la empresa no habría tenido en cuenta la negativa de determinadas personas y aún habría conservado sus datos para sus actividades de retargeting publicitario.
Además de este incumplimiento, la firma no respetó los artículos 12 y 13 relativos a la obligación de información y transparencia. La CNIL dice que la política de privacidad de la empresa incluía » términos vagos y amplios que no permitían al usuario comprender con precisión qué datos personales se utilizan y con qué fines «.
Por último, una infracción se refiere al derecho de acceso, obligando a las empresas a facilitar todos los datos de los que dispongan a un usuario si éste los solicita. Criteo no transmitió todos los datos personales que poseía, sino solo una parte, como ella se comprometió a enviarlos a todos.
Recomendada en 60 millones de euros, la multa se rebaja a 40 millones de euros
Fundada en 2005, Criteo se especializó muy rápidamente en la visualización de publicidad dirigida en Internet. Con datos de aproximadamente 370 millones de identificadores en toda la Unión Europeala CNIL especificada en su comunicado de prensa eso » esta información era lo suficientemente precisa para permitir que un usuario sea reidentificado «.
Ante todas estas infracciones, el ponente de la policía francesa de datos personales había recomendado una multa de 60 millones de euros. Finalmente, la formación restringida, la rama de la CNIL responsable de pronunciar las sanciones, recurrió a la suma de 40 millones de euros. Para determinar esta cantidad, el regulador tuvo en cuenta el hecho de que el tratamiento en cuestión afectaba a un número muy elevado de personas y que recopila una gran cantidad de datos relativos a los hábitos de consumo de los usuarios de Internet «.