L'Autorità francese per la protezione dei dati (CNIL) ha multato Criteo, una delle principali società di pubblicità e tracciamento online in Europa, per 40 milioni di euro per aver violato il GDPR. La decisione si basa sulle denunce presentate da noyb e Privacy International nel dicembre 2018. Il CNIL ha rilevato che l'azienda non ha rispettato i diritti degli interessati ai sensi del GDPR e non ha potuto dimostrare di aver ottenuto un consenso valido. Il Consiglio di Stato ha respinto il ricorso di CRITEO e ha confermato la multa.
- Comunicato stampa originale della CNIL(EN)
- Reclamo originale presentato nel dicembre 2018 da noyb e Privacy International
- Lettera del CNIL a noyb (FR)
- Decisione del Consiglio di Stato
- articolo del 2023 sulla multa di 40 milioni di euro
Criteo - importante player dell'ad-tech. La società francese Criteo fornisce servizi di "behavioral retargeting" su migliaia di siti web. A tal fine, l'azienda inserisce cookie di tracciamento sui siti web per analizzare le abitudini di navigazione e determinare quali prodotti e servizi un utente probabilmente acquisterà. L'azienda dispone di dati su circa 370 milioni di persone in Europa.
La denuncia ha portato a ulteriori indagini. Nel dicembre 2018, più di 7 anni fa, noyb e Privacy International hanno presentato un reclamo contro Criteo per non aver fornito agli utenti un'opzione adeguata per ritirare il consenso. Questo reclamo ha dato il via a un'indagine approfondita da parte del CNIL, l'autorità competente per la protezione dei dati di Criteo. Il CNIL ha inoltre ampliato il campo d'azione ad altre aree e ha riscontrato ulteriori violazioni del GDPR: tra le altre, la mancanza di trasparenza, il mancato rispetto del diritto alla cancellazione e del diritto all'accesso.
Un duro colpo al modello di business di Criteo. L'Autorità francese per la protezione dei dati ha concluso un'indagine più approfondita sul modello di business di Criteo. Ha rivelato numerose violazioni del GDPR. Poiché le violazioni riguardano un numero molto elevato di persone e vengono raccolte ed elaborate enormi quantità di dati, il CNIL ha deciso di comminare una multa consistente di 40 milioni di euro. La decisione è stata approvata anche da tutte le altre autorità di protezione dei dati in Europa.
Aggiornamento:
Criteo ha impugnato la decisione presso il Consiglio di Stato.
Nel marzo 2026, il Consiglio di Stato ha respinto il ricorso e confermato la decisione del CNIL. Questa decisione arriva in un momento chiave del dibattito sulla proposta di riforma legislativa della Commissione europea denominata "Digital Omnibus". La proposta include una nuova definizione di dati personali, che restringe il concetto di dati "personali", facendolo dipendere dalle circostanze soggettive del rispettivo responsabile del trattamento. Questa significativa riduzione dell'ambito di applicazione del GDPR, che potrebbe essere sfruttata dalle aziende impegnate nel tracciamento comportamentale on-line, è ampiamente criticata da esperti e sostenitori della privacy.
Nel caso presentato al Consiglio di Stato, Criteo ha contestato la classificazione come dati personali di identificatori pseudonimi, attribuiti in relazione agli indirizzi IP degli interessati e ad altri dati di navigazione. L'azienda ha sostenuto di non disporre di tutte le informazioni necessarie per identificare nuovamente l'interessato a partire dall'identificatore assegnato. Il Consiglio di Stato non è stato d'accordo, affermando che i dati possono essere considerati anonimizzati solo se il rischio di reidentificazione di un soggetto è "insignificante, in quanto tale identificazione non è possibile"insignificante, essendo tale identificazione impraticabile nella pratica." Nel caso di Criteo, considerando che lo scopo del trattamento è quello di offrire pubblicità, è possibile incrociare una quantità molto elevata di informazioni per un determinato identificatore. Inoltre, la stessa Criteo ha confermato che l'identificazione di alcuni interessati non è tecnicamente impossibile. Il Consiglio di Stato ha quindi ritenuto che questi identificatori costituissero dati personali.
