La Autoridad Francesa de Protección de Datos (CNIL) multó a Criteo, una de las principales empresas de publicidad y seguimiento en línea de Europa, con 40 millones de euros por infringir el RGPD. Esta decisión se basa en las denuncias presentadas por noyb y Privacy International en diciembre de 2018. La CNIL determinó que la empresa no cumplió con los derechos de los interesados en virtud del GDPR y no pudo demostrar que obtuvieron un consentimiento válido. El Conseil d'Etat rechazó el recurso de CRITEO y confirmó la multa.
- Comunicado de prensa original de la CNIL(EN)
- Denuncia original presentada en diciembre de 2018 por noyb y Privacy International
- Carta de la CNIL a noyb (FR)
- Decisión del Conseil d'Etat
Criteo - destacado actor de ad-tech. La empresa francesa Criteo ofrece servicios de "behavioral retargeting" en miles de sitios web. Para ello, coloca cookies de seguimiento en los sitios web con el fin de analizar los hábitos de navegación y determinar qué productos y servicios es probable que compre un usuario. La empresa tiene datos de unos 370 millones de personas en Europa.
La denuncia dio lugar a una investigación más profunda. En diciembre de 2018, hace más de 7 años, noyb y Privacy International presentaron denuncias contra Criteo por no proporcionar a los usuarios una opción adecuada para retirar el consentimiento. Esta denuncia desencadenó una investigación exhaustiva por parte de la CNIL, la autoridad competente en materia de protección de datos para Criteo. La CNIL amplió el alcance a otros ámbitos y detectó otras infracciones del RGPD: entre otras, falta de transparencia, incumplimiento del derecho de supresión y del derecho de acceso.
Romain Robert, antiguo abogado especializado en protección de datos de noyb: "La decisión es una señal clara para la industria publicitaria de que se enfrentará a graves consecuencias por infringir la ley."
Golpe importante al modelo de negocio de Criteo. La Autoridad Francesa de Protección de Datos ha concluido una investigación en profundidad sobre el modelo de negocio de Criteo. Ha revelado numerosas violaciones del GDPR. Dado que estas infracciones afectan a un gran número de personas y que se recopilan y procesan enormes cantidades de datos, la CNIL decidió imponer una multa considerable de 40 millones de euros. La decisión también fue aprobada por todas las demás APD de Europa.
Actualización:
Criteo recurrió la decisión ante el Conseil d'Etat.
En marzo de 2026, el Conseil d'Etat rechazó el recurso y confirmó la decisión de la CNIL. Esta decisión llega en un momento clave del debate en torno a la propuesta de reforma legislativa de la Comisión Europea denominada "Ómnibus Digital". La propuesta incluye una nueva definición de datos personales, que reduciría el concepto de lo que constituyen datos "personales", haciéndolo depender de las circunstancias subjetivas del responsable del tratamiento respectivo. Esta significativa reducción del ámbito de aplicación del RGPD, que podría ser aprovechada por empresas dedicadas al rastreo conductual en línea, es ampliamente criticada por expertos y defensores de la privacidad. .
En el caso presentado ante el Conseil d'Etat, Criteo impugnó la clasificación como datos personales de identificadores seudónimos atribuidos en relación con las direcciones IP de los interesados y otros datos de navegación. La empresa alegó que no disponía de toda la información necesaria para volver a identificar al interesado a partir del identificador asignado. El Conseil d'Etat discrepó, afirmando que los datos sólo pueden considerarse anonimizados si el riesgo de reidentificación de un interesado es "insignificante, siendo dicha identificación impracticable en la práctica." En el caso de Criteo, teniendo en cuenta que la finalidad del tratamiento es ofrecer anuncios, se puede cruzar una cantidad muy grande de información para un identificador determinado. Además, la propia Criteo confirmó que la identificación de determinados interesados no es técnicamente imposible. Por consiguiente, el Consejo de Estado consideró que estos identificadores constituían datos personales.
