En Francia Criteo acaba de recibir una sanción por parte de CNIL (agencia pública encargada de velar por la protección de los datos personales) de 40 millones de euros.
Esta sanción deviene trascendente puesto que viene a cuestionar muchos de los pilares sobre los cuales se basa la publicidad en línea primordialmente en lo que respecta al consentimiento de los titulares de los datos personales que reciben las referidas publicidades.
CRITEO se dedica a lo que se llama “behavioral retargeting” que consiste en el seguimiento de la navegación de los usuarios en Internet a los fines de mostrarles publicidad personalizada. Para esos fines la compañía recolecta los datos de navegación en Internet de los usuarios gracias a los rastreadores (cookies) colocados en las terminales de los usuarios a partir de las visitas a las páginas web de los socios de CRITEO.
A través de este rastreador CRITEO analiza los hábitos de navegación de los usuarios para determinar cuál anunciante y por qué producto le resultará más interesante para presentarle un aviso a un usuario particular. Luego, participa en pujas de ofertas en tiempo real y se muestran avisos publicitarios personalizados en caso de ganar la pulseada de las diferentes ofertas que se presentan.
Las infracciones detectadas y que justificaron la aplicación de esta millonaria multa:
i) Falta de demostración que los titulares de datos hayan prestado su consentimiento (Artículo 7.1. RGPD) Las cookies o rastreadores utilizados por CRITEO para dirigir avisos publicitarios no pueden ser colocados en el ordenador o teléfono del usuario sin su consentimiento. Esta recolección del consentimiento está a cargo de los socios de CRITEO, que son los que están en relación directa con los usuarios de Internet. La referida situación no excluye la obligación de CRITEO de demostrar y verificar que los usuarios hayan dado su consentimiento. Se cuestiona que no se hayan adoptado medidas por los socios de CRITEO que están recolectando los datos respecto a la obtención de los consentimientos requeridos. Dichas exigencias deben surgir del contrato suscripto entre el sancionado y sus socios.
ii) Incumplimiento de las obligaciones de información y transparencia (Artículos 12 y 13 del RGPD). La política de privacidad no incluía los propósitos previstos para el tratamiento, y alguno de los propósitos eran expuestos en términos vagos y amplios lo que dificulta al titular de los datos entender precisamente cuáles datos han sido utilizados y para qué propósito.
iii) No otorgamiento del derecho de acceso (Artículo 15.1 RGPD)
iv) Imposibilidad de cumplir con el derecho de retirar el consentimiento y borrar los datos (Artículos 7.3 y 17.1 RGPD) Aún cuando algún usuario ejerza el derecho a retirar el consentimiento o supresión de sus datos no se procedía a suprimir el identificador asignado a esa persona ni los antecedentes de navegación de dicho sujeto identificado.
v) Falta de cumplimiento de estándares aplicables a convenio entre responsables conjuntos (Artículo 26 RGPD) Los acuerdos celebrados por CRITEO con sus socios no incluía las obligaciones de los responsables exigidas bajo el RGPD.
Esta decisión puede afectar significativamente los recaudos a ser considerados por los actores del marketing digital frente al cuestionamiento creciente respecto a esta industria en la gestión de los datos personales bajo el RGPD. Asimismo, esta cuestión es relevante a nivel local puesto que uno de los supuestos que dispara la aplicación extraterritorial del RGPD en Argentina es el seguimiento de comportamiento de usuarios en línea como sucede con las cookies.
Texto de la sanción en francés https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063