El denominado retargeting de seguimiento de Criteo le ha costado una sanción de 40 millones de euros. La agencia francesa de privacidad de datos (CNIL) ha impuesto esa multa a la compañía tras una investigación que comenzó en 2018 por la queja elevada por Privacy Internacional, a la que posteriormente se unió NOYB. El regulador estudio las demandas de ambas organizaciones sin ánimo de lucro y detectó en las prácticas de Criteo varias infracciones del Reglamento General de Protección de Datos (RGPD), basadas sobre todo en que era capaz de identificar a algunas personas mediante su cookie sin que estas hubieran documentado su consentimiento.
En concreto CNIL detalla que en esa operativa contravino hasta cinco secciones del RGPD: desde la falta de transparencia mínima hasta el incumplimiento de derecho al acceso, pasando por la falta de respeto al derecho de retirada y borrado de los datos por parte de los usuarios o el incumplimiento de estándares en acuerdos entre responsables de tratamiento de esa información. En primera instancia la sanción iba a alcanzar los 60 millones de euros pero fue finalmente rebajada en una tercera parte ante las apelaciones del gigante francés de la publicidad digital, cuya cifra de identificadores en toda la Unión Europea alcanza los 370 millones.
Criteo ha anunciado que apelará la decisión por considerarla desproporcionada respecto a las infracciones que señala y su falta de alineamiento con las prácticas generales en el mercado. Su director legal Ryan Damon explicó en un comunicado que considera inconsistentes las interpretaciones y aplicaciones del RGPD por parte de CNIL respecto a fallos anteriores del Tribunal de Justicia de la Unión Europea, e incluso también frente a la propia guía del regulador.
Además insiste en que la actividad denunciada se sustentaba exclusivamente sobre datos anonimizados no directamente identificables y no confidenciales, y que en todo caso es una decisión sobre asuntos pasados que no incluye ninguna obligación de cambiar las prácticas actuales de la empresa. Eso es crucial en el actual proceso de búsqueda de comprador para la compañía.
La agencia nacional de protección de datos acusa a la compañía de hasta cinco violaciones de la normativa general europea sobre información personal.
La multa ha sido dada a conocer precisamente en los últimos días del Festival Internacional de Creatividad que se celebra en la ciudad francesa de Cannes, una de las grandes citas del año para empresas y profesionales dedicados a la publicidad. Y también llega en el contexto de una actividad mayor por parte de los reguladores en torno al uso de datos de ciudadanos europeos, como la sanción récord de 1.200 millones de euros a Meta por la transferencia de información a EEUU o la previa de 390 millones por su segmentación publicitaria, con ultimátum incluido para que cambie su modelo.
Además en los últimos meses ha emergido un nuevo frente en la auditoría del uso de datos personales, el de los servicios basados en inteligencia artificial. La propia CNIL confirmó en abril que está investigando quejas sobre eventuales violaciones de privacidad por parte de ChatGPT.
