Mientras los especialistas en marketing de todo el mundo pasan la semana en el sur de Francia, el organismo de control de la privacidad del país acaba de enviar una fuerte señal de que no está adoptando un enfoque de laissez-faire con respecto a la publicidad digital.
El jueves, la Comisión Nacional de Informática y Libertad (CNIL) dijo que emitió una multa de 40 millones de euros contra el gigante de la tecnología publicitaria con sede en París, Criteo, citando violaciones de GDPR relacionadas con la forma en que la empresa procesa datos personales para publicidad dirigida.
La decisión se produce después de un proceso de cinco años que se remonta a noviembre de 2018, cuando la organización británica sin fines de lucro Privacy International presentó una queja ante la CNIL poco después de que entraran en vigencia las Reglas generales de protección de datos de la UE. Un mes después, el grupo de derechos digitales con sede en Austria NOYB (“None Of Your Business”) presentó una queja similar, a la que siguió una investigación oficial de los reguladores franceses a partir de 2020.
Cuando comenzó la investigación de la CNIL, los expertos vieron que tenía el potencial de trazar una línea en la arena para la industria de la tecnología publicitaria. Algunos se preguntaron qué tipo de precedente podría tener un fallo, especialmente sin mucha jurisprudencia en la que apoyarse en relación con GDPR, y si los reguladores impondrían multas altas a Criteo. Los reguladores habían propuesto una multa de 60 millones de euros, pero finalmente la redujeron en 20 millones de euros después de que Criteo presionara por una sanción más leve.
Algunos observadores dicen que perseguir al favorito de la tecnología publicitaria de Francia la misma semana en que se lleva a cabo el Festival Internacional de Creatividad Cannes Lions envía una fuerte señal a la industria.
“Los DPA no tienen miedo de centrar su atención en el interior en lugar de centrarse simplemente en las principales grandes tecnológicas de EE. UU.”, dijo Eric Lamy, un jefe de datos de clientes en Endeavor. “También muestra que la falta de especificación de las responsabilidades debidas por todas las partes en virtud de los acuerdos de controlador conjunto es suficiente para demostrar una responsabilidad significativa”.
El núcleo del caso se relaciona con la cookie de seguimiento de Criteo y cómo la empresa procesó los datos para la publicidad personalizada. En un resumen del caso, la CNIL dijo que notó “varias infracciones”, incluida la falta de pruebas que demuestren que la empresa validó el consentimiento del usuario. Según la CNIL, la empresa no tenía los nombres de los usuarios, pero la cantidad de datos recopilados permitía volver a identificar a las personas en algunos casos.
“Espero que este sea un caso de alto riesgo para Ad Tech”, escribió el investigador de privacidad Lukasz Olejnik en una serie de tuits sobre el fallo. “Muchos están ansiosos por saber cómo termina. Habiendo leído la descripción/detalles completos del caso, no descarto que este caso vaya al Tribunal de Justicia de la UE”.
En su resumen, la CNIL dijo que Criteo violó cinco partes del RGPD, incluida la falta de transparencia suficiente, la falta de “respeto al derecho de acceso”, el incumplimiento del derecho de los usuarios a retirar contenido y borrar sus datos, y el incumplimiento de los estándares cuando llega a acuerdos entre responsables del tratamiento. Al decidir la multa, la CNIL dijo que tuvo en cuenta los 370 millones de identificadores que Criteo tiene en toda la UE y también el modelo de monetización de la empresa.
“Cuando una persona ejerció su derecho a retirar el consentimiento o la eliminación de sus datos, el proceso implementado por la empresa solo detuvo la visualización de anuncios personalizados para el usuario”, según la CNIL. “Sin embargo, la empresa no eliminó el identificador asignado a la persona ni borró los eventos de navegación relacionados con ese identificador”.
Criteo ya planea apelar la decisión, según la divulgación de la compañía sobre el caso presentado el jueves ante la Comisión de Bolsa y Valores de EE. UU. Cuando Digiday le pidió a Criteo un comentario, un portavoz envió por correo electrónico una declaración del director legal de Criteo, Ryan Damon, que decía que la decisión se relaciona con asuntos pasados y no incluye ninguna obligación de cambiar las prácticas actuales de la compañía. La declaración de Damon también señaló que el monto de la multa es “muy desproporcionado a la luz de las supuestas infracciones y no está alineado con la práctica general del mercado en tales asuntos”.
“Creemos que varias de las interpretaciones y aplicaciones del RGPD de la CNIL no son consistentes con los fallos del Tribunal de Justicia Europeo e incluso con la propia guía de la CNIL”, dijo Damon en el comunicado. “Como dijimos anteriormente, consideramos que las denuncias realizadas por la CNIL no implican riesgo para las personas ni perjuicios para las mismas. Criteo, que en sus actividades utiliza solo datos seudonimizados, no directamente identificables y no confidenciales, está totalmente comprometida con la protección de la privacidad y los datos de los usuarios”.
NOYB y Privacy International celebraron el resultado del jueves. Sin embargo, algunos expertos expresaron su decepción porque el fallo no abordó lo suficiente los aspectos técnicos del caso. en un Hilo de Twitter sobre el caso, Michael Veale, profesor asociado de derechos digitales y regulación en UCLA, dijo que CNIL era “demasiado formalista” y “no ve el absurdo estructural de la industria”. (Agregó que Criteo también podría confiar en una laguna legal de uso común).
La decisión se produce en medio de una serie de otras acciones de cumplimiento que ocurren en toda la UE relacionadas con la tecnología publicitaria. Junto con los fallos de privacidad de datos en otros países como Irlanda, la Comisión Europea también abrió recientemente un nuevo caso antimonopolio en Google que aborda cuestiones más allá de la privacidad, como si el gigante tecnológico abusó de su poder de mercado para favorecer sus propios sistemas. Según se informa, la CNIL también está investigando quejas sobre ChatGPT relacionadas con violaciones de la privacidad, según un informe de abril. El organismo de control también lanzó un nuevo “plan de acción para la IA” el mes pasado que se centró en la IA generativa.
Con base en la explicación completa de la decisión de la CNIL, el abogado de privacidad Luis Montezuma dijo que las empresas que dependen de datos de terceros deben tener acuerdos de consentimiento con los proveedores de datos propios y también estar preparados para auditar los datos de los editores.
“Si una organización quiere usar (o reutilizar) datos personales para mejorar el rendimiento de la publicidad (operaciones mediante modelos de capacitación), debe identificar una base legal”, dijo Montezuma.
Con información de Digiday
Leer la nota Completa > Con una multa de 40 millones de euros por el RGPD contra Criteo, los reguladores franceses apuntan al gigante parisino por sus prácticas de datos