L'Autorità francese per la protezione dei dati (CNIL) ha inflitto una multa di 40 milioni di euro a Criteo, una delle principali società di pubblicità e tracciamento online in Europa, per violazione del GDPR. La decisione si basa sulle denunce presentate da noyb e Privacy International nel dicembre 2018. La CNIL ha rilevato che l'azienda non ha rispettato i diritti degli interessati ai sensi del GDPR e non ha potuto dimostrare di aver ottenuto un consenso valido.
- Comunicato stampa originale della CNIL(EN)
- Reclamo originale presentato nel dicembre 2018 da noyb e Privacy International
- Lettera del CNIL a noyb (FR)
Criteo - importante player dell'ad-tech. La società francese Criteo fornisce servizi di "behavioral retargeting" su migliaia di siti web. A tal fine, l'azienda inserisce cookie di tracciamento sui siti web per analizzare le abitudini di navigazione e determinare quali prodotti e servizi un utente probabilmente acquisterà. L'azienda dispone di dati su circa 370 milioni di persone in Europa.
La denuncia ha portato a ulteriori indagini. Nel dicembre 2018, più di 4,5 anni fa, noyb e Privacy International hanno presentato un reclamo contro Criteo per non aver fornito agli utenti un'opzione adeguata per ritirare il consenso. Questo reclamo ha dato il via a un'indagine approfondita da parte del CNIL, l'autorità competente per la protezione dei dati di Criteo. Il CNIL ha ampliato il campo d'azione ad altre aree e ha riscontrato ulteriori violazioni del GDPR: tra le altre, la mancanza di trasparenza, il mancato rispetto del diritto alla cancellazione e del diritto all'accesso.
Romain Robert, avvocato specializzato in protezione dei dati presso noyb: "Siamo molto soddisfatti della decisione emessa dalla CNIL. Si tratta di un segnale forte per l'industria dell'ad-tech, che dovrà affrontare gravi conseguenze in caso di violazione della legge"."
Un duro colpo al modello di business di Criteo. L'Autorità francese per la protezione dei dati ha concluso un'indagine approfondita sul modello di business di Criteo. Ha rivelato numerose violazioni del GDPR. Poiché le violazioni riguardano un numero molto elevato di persone e vengono raccolte ed elaborate enormi quantità di dati, il CNIL ha deciso di comminare una multa consistente di 40 milioni di euro. La decisione è stata approvata anche da tutte le altre autorità di protezione dei dati in Europa.