Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen  

La Comisión Nacional de Informática y Libertades, CNIL de Francia, publicó en su sitio web el 22 de junio, la sanción de 40 millones euros que viene de infligir a la empresa CRITEO  por incumplimientos relacionados con el consentimiento de sus usuarios, obligación de información y de transparencia, derecho de acceso, retiro de consentimiento y supresión de datos e incumplimiento de acuerdos conjuntos entre responsables de tratamientos. 

Este artículo fue traducido por el suscrito del francés con la ayuda de Google Translator. El enlace al texto original se encuentra en: https://www.cnil.fr/fr/publicite-personnalisee-criteo-sanctionne-dune-amende-de-40-millions-deuros

Esta decisión puede crear nuevas áreas de control y requisitos de auditoría para las empresas francesas de tecnología publicitaria, sobre todo porque la multa es significativamente menor a la propuesta de 60 millones en agosto de 2022. 

Desafortunadamente, algunos organismos públicos autónomos similares en Latinoamérica, particularmente la Autoridad Nacional de Protección de Datos de Perú, no ha actualizado ni menos ampliado sus ámbitos de aplicación normativa desde al menos una década (Ley 29733 de 2011, y su Reglamento D.S. 003-2013-JUS) a pesar de la enorme evolución y regulación tecnológica ni ha sido capaz de liberarse de la tutela del Poder Ejecutivo, a través del Ministerio de Justicia y DD.HH y la Autoridad Nacional de Transparencia y Acceso a la Información Pública.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

 _______________________________________________________________

Publicidad personalizada: CRITEO sancionado con una multa de 40 millones de euros. - CNIL

22 juin 2023

---

El 15 de junio de 2023, la CNIL sancionó a la empresa CRITEO, especializada en la publicidad en línea, con una multa de 40 millones de euros, en particular por no haber verificado que las personas cuyos datos trata habian dado su consentimiento.

• Print the article
• Courriel

•  the size of the font
•  the size of the font

El contexto

La empresa CRITEO está especializada en el «retargeting publicitario», que consiste en seguir  la navigación de los usuarios de  Internet a fin de mostrarles publicidad personalizada. Para ello, la empresa acopia los datos de navegación de los usuarios de  Internet gracias un rastreador (cookie) CRITEO que se coloca en sus terminales cuando ellos visitan  ciertos  sitios web asociados de CRITEO. A través de este rastreador, esta empresa analiza los hábitos de navegación  a fin de determinar a cual anunciante y para que producto, le sería mas relevante mostrar un anuncio a un usuario de Internet en particular. Ella participa luego a una subasta en tiempo real (real time bidding) enseguida, sí gana la subasta, muestra la publicidad personalizada.

Infografía

Cómo funciona CRITEO?

1. CRITEO coloca una cookie en un sitio de comercio electronico para acopiar datos personales de un usuario y conocer su comportamiento de compra.

2. Un otro sitio web asociado journalenligne.fr pone un espacio publicitario en susbasta .

3. Sí CRITEO gana la subasta, propone espacios publictarios  personalizados al usuario de Intenet cuyos datos ha acopiado.

A consecuencia de varias denuncias presentadas por las asociaciones Privacy International y None of Your Business, la CNIL llevó a cabo varias misiones de control ante la empresa CRITEO.

Durante sus investigaciones, la CNIL identificó varias deficiencias concernientes, en particular, la falta de prueba del consentement de las personas para el tratamiento de sus datos, la información y la transparencia así como el respeto de los derechos de las personas.

En consecuencia, el Comité Restringuido – órgano de la CNIL encargado de pronunciar las sanciones  – impuso una multa de 40 millones de euros a CRITEO. 

Para determinar el importe de la sanción, la CNIL tuvo especialmente en cuenta el hecho que el tratamiento  en causa afectaba a un número muy elevado de personas (la empresa dispone de datos relativos a aproximádamente 370 millones de identifiantes a través de la Unión Europea) y que ella colecta una cantidad muy grande de datos relativos a los hábitos de consumo de los usuarios de Internet. Sí bien la empresa no dispone del nombre del usuario de Internet, la CNIL consideró que los datos eran lo suficientemente precisos para permitir, en ciertos casos, de reidentificar a las personas. La CNIL también tuvo en cuenta el modelo de negocio de la empresa, que reposa exclusivamente en su capacidad para mostrar a los usuarios de Internet los anuncios más relevantes para promocionar los productos de sus clientes anunciantes y, por tanto, su capacidad para acopiar y procesar una inmensa cantidad de datos. Finalmente, la CNIL consideró que el hecho de procesar datos de personas sin prueba de su consentimiento válido ha permitido a la empresa aumentar indebidamente el número de personas afectadas por estos tratamientos y, en consecuencia, los ingresos financieros que ella obtiene de su rol de intermediario publicitario.

En aplicación de la ventanilla unica establecida por el Reglamento General de Protección de Datos (RGPD), esta decisión ha sido transmitida al conjunto de las veintinueve otras autoridades de control europeas, las mismas que han sido afectadas por este expediente transfronterizo, y que todas las han aprobado.

Incumplimientos sancionados

La CNIL ha identificado  cinco incumplimientos del RGPD contra la empresa CRITEO.

El incumplimiento de la obligacion de demostrar que la persona ha dado su consentimiento (artículo 7.1 del RGPD)

De acuerdo con la ley, el rastreador CRITEO (cookie) utilizado para dirigir los anuncios publicitarios no puede ser colocado en el terminal del usuario de Internet sin su consentimiento. El acopio de este consentimiento es responsabilidad de los socios de la empresa, que están en contacto directo con los usuarios de Internet. Sin embargo, esto no exime a CRITEO de su obligación de verificar y de poder demostrar que los usuarios de Internet han dado su consentimiento. Ahora bien, se constató que el rastreador CRITEO (cookie) fue instalado por varios socios de la empresa en el terminal de los usuarios de Internet sin el consentimiento de estos últimos.

El Comité Restringido también señaló que en el momento de las investigaciones, la empresa no había implementado ninguna medida que le hubiera permitido de asegurarse de que sus socios obtuvieran válidamente el consentimiento de los usuarios de Internet cuyos datos procesa luego. En este sentido, ella ha señalado en particular que los contratos celebrados con los socios no contenían ninguna cláusula que los obligara a proveer la prueba del consentimiento de los usuarios de Internet a CRITEO. Además, la empresa no había emprendido antes ninguna campaña de auditoría de sus socios antes del compromiso del procedimiento por la CNIL.

Los contratos celebrados con socios ahora incluyen una cláusula relativa a la prueba del consentimiento mediante la cual el socio se compromete a "proveer rápidamente a Criteo, previa solicitud y en cualquier momento, la prueba de que se ha obtenido el consentimiento del interesado". 

El incumplimiento de la obligación de información y de transparencia  (artículos 12 y13 del RGPD)

La política de confidencialidad de la empresa no estaba completa ya que ella no comportaba todas las finalidades perseguidas por el tratamiento. De otro lado, algunas de las finalidades fueron expresadas en términos vagos y amplios, lo que no permitía que el usuario comprendiera con precisión qué datos personales iban a ser utilizan y para qué finalidades.

Después, la empresa ha completado su política de confidencialidad a fin de incluir en ellas las menciones faltantes y utilizar términos sencillos y comprensibles.

El incumplimiento del derecho de acceso (artículo 15.1 del RGPD)

Cuando una persona ejercía su derecho de acceso, la empresa le enviaba, bajo la forma de cuadros, los datos extraídos de 3 de los 6 cuadros  que componen su base de datos. Sin embargo, el Comité restringido señaló que los datos personales contenidos en 2 de las otros 3 cuadros debían comunicarse a las personas. Además, cuando la empresa transmitió estos cuadros, no les proporcionó información suficiente para que pudieran comprender su contenido.

La empresa se ha comprometido a facilitar el conjunto de los datos de los cuales ella dispone en sus respuestas a las solicitudes de acceso y a completar las explicaciones que ella transmite en sus respuestas a las solicitudes de acceso.

El incumplimiento del derecho de retiro del consentimiento y la supresión de datos  (artículos 7.3 y 17.1 del RGPD)

Cuando una persona ejercía su derecho al retiro de su consentimiento o supresión de sus datos, el proceso implementado por la empresa solo tuvo el efecto de detener la visualización de las publicidades personalizadas al usuario. No obstante, la empresa no procedió a la supresión del identificador asignado a la persona, ni a la supresión de los eventos de navegación vinculados a dicho identificador.

Tratándose de las modalidades de ejercicio de los derechos, la empresa implementó un procedimiento para permitir a las personas de ejercer su derecho al retiro de su consentimiento directamente pulsando sobre botón « Desactivar los servicios Critéo » presente en la política de confidencialidad de la empresa.

En cuanto a la supresión de datos, la empresa invita al usuario a dirigir su solicitud por correo electrónico al Delegado de Protección de Datos (DPD, o DPO en inglés). Para cada solicitud, corresponde a la empresa determinar y justificar sí los datos relativos al usuario pueden continuar a ser tratados para otras finalidades y sobre que base legal este tratamiento puede ser sustentado.

Incumplimiento de la obligación de prever un acuerdo entre responsables conjuntos del tratamiento (artículo 26 del RGPD)

El acuerdo celebrado por la empresa con sus socios no precisaba algunas de las obligaciones respectivas de los responsables del tratamiento  respecto a los requisitos contenidos en el RGPD, como el ejercicio por parte de los interesados ​​de sus derechos, la obligación de notificación de una violación de datos  a la autoridad de control y a los interesados ​​o, en su caso, la realización de un estudio de impacto en virtud del artículo 35 del RGPD.

Los acuerdos celebrados con los socios han sido completados en materia de responsabilidad conjunta para incluir en ellos las menciones  exigidas por el artículo 26.

Texte reference

La décision

• Deliberación del Comité Restringido n° SAN-2023-009 del 15 de junio 2023 conceriente a la empresa CRITEO

Texte reference

Para profundizar

• Cookies y otros rastreadores 
• Informar a las personas y garantizar la transparencia
• Respetar los derechos de las personas
• El control de la CNIL
• Los procedimientos sancionadores 
• [EN] Publicidad personalizada: CRITEO multado con EUR 40 millones
• 
  

Los textos de referencia

• Artículo 7 del RGPD - Consentimiento
• Artículo 12 del RGPD – Transparencia
• Artículo 13 del RGPD – Información de las personas
• Artículo 15 del RGPD – Derecho de acceso
• Artículo 17 del RGPD – Derecho de supresión
• Artículo 26 del RGPD – Responsables conjuntos del tratamiento