Sommario
Criteo, colosso francese della pubblicità online, è stata multata per 40 milioni di euro ($44 milioni) per non aver ottenuto il consenso degli utenti per la pubblicità mirata. Il caso risale al 2018, quando Privacy International ha presentato un formale reclamo alla Commission nationale de l’informatique et des libertés (CNIL), l’autorità francese per la protezione dei dati, utilizzando le normative GDPR che erano state recentemente introdotte in tutta l’Unione Europea.
Il reclamo di Privacy International
Privacy International ha espresso “gravi preoccupazioni” per le attività di elaborazione dei dati di diversi attori nel settore della pubblicità e del data broking, tra cui Criteo. L’organizzazione non-profit austriaca None of Your Business (NOYB), co-fondata dall’avvocato e attivista per la privacy Max Schrems, ha successivamente aggiunto il suo nome al reclamo. Il problema centrale riguardava quello che Privacy International ha definito una “macchina di manipolazione”, ovvero come Criteo utilizzava varie tecniche di tracciamento ed elaborazione dei dati per profilare gli utenti di Internet per una pubblicità più mirata.
L’indagine della CNIL
Nel 2020, la CNIL ha avviato un’indagine formale. Nel 2022, la CNIL ha raggiunto una decisione preliminare secondo cui Criteo aveva effettivamente violato il GDPR e ha multato l’azienda parigina per 60 milioni di euro. Nei mesi successivi, Criteo ha cercato di ridurre la cifra. Oggi, la CNIL ha ridotto la multa di un terzo, accogliendo le lamentele di Criteo.
Le conclusioni della CNIL
Nonostante la riduzione della multa, il rapporto finale della CNIL dipinge un quadro impietoso del disprezzo di Criteo per la privacy. L’autorità ha rilevato che l’elaborazione dei dati coinvolgeva “un numero molto elevato di persone” in tutta l’Unione Europea, tra cui le “abitudini di consumo” di milioni di utenti di Internet. In totale, la CNIL ha riscontrato cinque violazioni del GDPR relative alle attività di tracciamento pubblicitario di Criteo.
