O mais alto tribunal administrativo da França manteve uma multa de €40 milhões imposta à Criteo, uma empresa de publicidade online sediada em Paris, por violações das regras de proteção de dados da União Europeia. A decisão confirma uma penalidade aplicada pela Commission Nationale de l’Informatique et des Libertés, a autoridade francesa de proteção de dados responsável pela aplicação do Regulamento Geral de Proteção de Dados. O regulador constatou que a Criteo não cumpriu vários requisitos relacionados à forma como os dados dos usuários são coletados e processados.
A Criteo oferece serviços de publicidade que dependem do rastreamento da atividade de navegação dos usuários para entregar anúncios direcionados. A empresa utiliza cookies colocados em sites parceiros para coletar dados sobre o comportamento dos usuários e determinar quais produtos ou serviços podem ser relevantes para usuários individuais.
A investigação constatou que cookies de rastreamento foram colocados nos dispositivos dos usuários sem consentimento válido. De acordo com as regras do GDPR, as empresas devem obter permissão clara e informada antes de processar dados pessoais. O regulador também concluiu que a Criteo não pôde demonstrar que os usuários haviam dado tal consentimento, mesmo que parte da responsabilidade por obtê-lo recai sobre sites parceiros.
As autoridades também identificaram violações adicionais. De acordo com as descobertas, a empresa não forneceu transparência suficiente sobre como os dados pessoais eram usados e não cumpriu os direitos dos usuários, incluindo acesso aos dados e a capacidade de solicitar exclusão.
O caso teve origem em denúncias apresentadas em 2018 pelas organizações de privacidade noyb e Privacy International. Essas reclamações desencadearam uma investigação do regulador francês, que ampliou para examinar múltiplos aspectos das práticas de processamento de dados da empresa.
Criteo recorreu da multa, argumentando que os identificadores usados para rastreamento eram pseudônimos e não deveriam ser considerados dados pessoais. A empresa afirmou que esses identificadores não revelavam diretamente a identidade do usuário.
O tribunal rejeitou esse argumento. Decidiu que os dados só podem ser tratados como anônimos se a reidentificação for praticamente impossível. Os juízes concluíram que o sistema da Criteo permite a combinação de grandes volumes de dados, o que significa que os usuários podem ser identificados, e, portanto, os dados estão dentro do escopo das proteções do GDPR.
Após a decisão, a multa de €40 milhões permanece em vigor. As autoridades não anunciaram penalidades adicionais ou medidas de fiscalização relacionadas ao caso. A decisão confirma as conclusões do regulador e encerra o recurso legal da empresa contra a penalidade.