La più alta corte amministrativa francese ha confermato una multa di 40 milioni di euro inflitta a Criteo, una società di pubblicità online con sede a Parigi, per violazioni delle norme di protezione dei dati dell’Unione Europea. La decisione conferma una sanzione emessa dalla Commission Nationale de l’Informatique et des Libertés, l’autorità francese per la protezione dei dati responsabile dell’applicazione del Regolamento Generale sulla Protezione dei Dati. L’ente regolatore ha rilevato che Criteo non ha rispettato diversi requisiti relativi a come i dati degli utenti vengono raccolti e elaborati.
Criteo offre servizi pubblicitari che si basano sul monitoraggio dell’attività di navigazione degli utenti per offrire pubblicità mirate. L’azienda utilizza cookie inseriti sui siti partner per raccogliere dati sul comportamento degli utenti e determinare quali prodotti o servizi possano essere rilevanti per i singoli utenti.
L’indagine ha rilevato che i cookie di tracciamento venivano inseriti sui dispositivi degli utenti senza un consenso valido. Secondo le regole GDPR, le aziende devono ottenere un permesso chiaro e informato prima di elaborare dati personali. Il regolatore ha inoltre concluso che Criteo non poteva dimostrare che gli utenti avessero dato tale consenso, anche se parte della responsabilità per ottenerlo ricade sui siti partner del pubblico.
Le autorità hanno inoltre identificato ulteriori violazioni. Secondo i risultati, l’azienda non ha fornito sufficiente trasparenza su come venivano utilizzati i dati personali e non ha rispettato i diritti degli utenti, inclusi l’accesso ai dati e la possibilità di richiedere la cancellazione.
Il caso ha avuto origine da reclami presentati nel 2018 dalle organizzazioni per la privacy noyb e Privacy International. Questi reclami hanno dato il via a un’indagine da parte dell’ente regolatore francese, che si è ampliata per esaminare molteplici aspetti delle pratiche di trattamento dei dati dell’azienda.
Criteo ha fatto appello contro la multa, sostenendo che gli identificatori utilizzati per il tracciamento erano pseudonimi e non dovevano essere considerati dati personali. L’azienda ha dichiarato che questi identificatori non rivelavano direttamente l’identità dell’utente.
La corte respinse questa argomentazione. Stabilì che i dati possono essere trattati come anonimi solo se la reidentificazione è praticamente impossibile. I giudici hanno rilevato che il sistema di Criteo consente la combinazione di grandi volumi di dati, il che significa che gli utenti potrebbero potenzialmente essere identificati e, di conseguenza, i dati rientrano nell’ambito delle tutele GDPR.
A seguito della sentenza, la multa di 40 milioni di euro rimane in vigore. Le autorità non hanno annunciato ulteriori sanzioni o misure di esecuzione relative al caso. La decisione conferma le conclusioni dell’ente regolatore e conclude la contestazione legale della società contro la sanzione.