El máximo tribunal administrativo de Francia ha ratificado una multa de 40 millones de euros impuesta a Criteo, una empresa de publicidad online con sede en París, por incumplir las normas de protección de datos de la Unión Europea. La decisión confirma una sanción impuesta por la Commission Nationale de l’Informatique et des Libertés, la autoridad francesa de protección de datos responsable de hacer cumplir el Reglamento General de Protección de Datos. El regulador determinó que Criteo no cumplió con varios requisitos relacionados con la forma en que se recopilan y procesan los datos de los usuarios.
Criteo ofrece servicios publicitarios que se basan en el seguimiento de la actividad de navegación de los usuarios para ofrecer anuncios segmentados. La empresa utiliza cookies colocadas en sitios web asociados para recopilar datos sobre el comportamiento de los usuarios y determinar qué productos o servicios pueden ser relevantes para los usuarios individuales.
La investigación concluyó que las cookies de seguimiento se colocaron en los dispositivos de los usuarios sin consentimiento válido. Según las normas del RGPD, las empresas deben obtener un permiso claro e informado antes de tratar datos personales. El regulador también concluyó que Criteo no podía demostrar que los usuarios hubieran dado dicho consentimiento, aunque parte de la responsabilidad para obtenerlo recae en los sitios web socios.
Las autoridades también identificaron otras violaciones. Según los hallazgos, la empresa no proporcionó suficiente transparencia sobre cómo se usaban los datos personales y no cumplió con los derechos de los usuarios, incluyendo el acceso a los datos y la capacidad de solicitar su eliminación.
El caso se originó a partir de denuncias presentadas en 2018 por las organizaciones de privacidad noyb y Privacy International. Estas quejas provocaron una investigación por parte del regulador francés, que amplió para examinar múltiples aspectos de las prácticas de procesamiento de datos de la empresa.
Criteo recurrió la multa, argumentando que los identificadores que utilizó para el rastreo eran seudónimos y no debían considerarse datos personales. La empresa afirmó que estos identificadores no revelaban directamente la identidad del usuario.
El tribunal rechazó este argumento. Dictaminó que los datos solo pueden considerarse anónimos si la reidentificación es prácticamente imposible. Los jueces concluyeron que el sistema de Criteo permite combinar grandes volúmenes de datos, lo que significa que los usuarios podrían ser identificados y, por tanto, los datos entran dentro del alcance de las protecciones del RGPD.
Tras la sentencia, la multa de 40 millones de euros sigue vigente. Las autoridades no han anunciado sanciones adicionales ni medidas de cumplimiento relacionadas con el caso. La decisión confirma las conclusiones del regulador y concluye el recurso legal de la empresa contra la sanción.