Il Consiglio di Stato conferma la multa di 40 milioni di euro inflitta a Criteo per il GDPR

• Comunicato stampa originale della CNIL(EN)
• Reclamo originale presentato nel dicembre 2018 da noyb e Privacy International
• Lettera del CNIL a noyb (FR)
• Decisione del Consiglio di Stato

Criteo - importante player dell'ad-tech. La società francese Criteo fornisce servizi di "behavioral retargeting" su migliaia di siti web. A tal fine, l'azienda inserisce cookie di tracciamento sui siti web per analizzare le abitudini di navigazione e determinare quali prodotti e servizi un utente è propenso ad acquistare. L'azienda dispone di dati su circa 370 milioni di persone in Europa.

La denuncia ha portato a ulteriori indagini. Nel dicembre 2018, più di 7 anni fa, noyb e Privacy International hanno presentato un reclamo contro Criteo per non aver fornito agli utenti un'opzione adeguata per ritirare il consenso. Questo reclamo ha dato il via a un'indagine approfondita da parte del CNIL, l'autorità competente per la protezione dei dati di Criteo. Il CNIL ha ampliato il campo d'azione ad altre aree e ha riscontrato ulteriori violazioni del GDPR: tra le altre, la mancanza di trasparenza, il mancato rispetto del diritto alla cancellazione e del diritto all'accesso.

Romain Robert, ex avvocato per la protezione dei dati presso noyb: "La decisione è un segnale forte per l'industria dell'ad-tech, che dovrà affrontare conseguenze terribili in caso di violazione della legge"."

Un duro colpo al modello di business di Criteo. L'Autorità francese per la protezione dei dati ha concluso un'indagine approfondita sul modello di business di Criteo. Ha rivelato numerose violazioni del GDPR. Poiché tali violazioni interessano un numero molto elevato di persone e vengono raccolte ed elaborate enormi quantità di dati, il CNIL ha deciso di comminare una multa consistente di 40 milioni di euro. La decisione è stata approvata anche da tutte le altre autorità di protezione dei dati in Europa.

Aggiornamento:

Criteo ha impugnato la decisione presso il Consiglio di Stato.

Nel marzo 2026, il Consiglio di Stato ha respinto il ricorso e confermato la decisione del CNIL. Questa decisione arriva in un momento chiave del dibattito sulla proposta di riforma legislativa della Commissione europea denominata "Digital Omnibus". La proposta include una nuova definizione di dati personali, che restringe il concetto di dati "personali", facendolo dipendere dalle circostanze soggettive del rispettivo responsabile del trattamento. Questa significativa riduzione dell'ambito di applicazione del GDPR, che potrebbe essere sfruttata dalle aziende impegnate nel tracciamento comportamentale on-line, è ampiamente criticata da esperti e sostenitori della privacy. .

Nel caso presentato al Consiglio di Stato, Criteo ha contestato la classificazione come dati personali di identificatori pseudonimi, attribuiti in relazione agli indirizzi IP degli interessati e ad altri dati di navigazione. L'azienda ha sostenuto di non disporre di tutte le informazioni necessarie per identificare nuovamente l'interessato a partire dall'identificatore assegnato. Il Consiglio di Stato non è stato d'accordo, affermando che i dati possono essere considerati anonimizzati solo se il rischio di reidentificazione di un soggetto è "insignificante, in quanto tale identificazione non è possibile"insignificante, essendo tale identificazione impraticabile nella pratica." Nel caso di Criteo, considerando che lo scopo del trattamento è quello di offrire pubblicità, è possibile incrociare una quantità molto elevata di informazioni per un determinato identificatore. Inoltre, la stessa Criteo ha confermato che l'identificazione di alcuni interessati non è tecnicamente impossibile. Il Consiglio di Stato ha quindi ritenuto che questi identificatori costituissero dati personali.