La CNIL ha sanzionato – con un provvedimento del 15 giugno 2023, pubblicato il 22 giugno 2023 – il colosso francese del “retargeting”, ossia la pubblicità personalizzata online, che si basa su un precedente comportamento dell'utente su internet, Criteo SA (la “Società”). Il retargeting avviene mediante identificatori online, cioè tramite cookie, che sono ritenuti dati personali e, pertanto, il GDPR è applicabile al caso di specie.
In particolare, la Società ha raccolto dati di navigazione degli utenti online attraverso i cookie che vengono depositati nei loro terminali quando visitano uno dei siti partner Criteo. Pertanto, quando un utente visita il sito di un inserzionista partner, la Società registra nel suo database le azioni dell'utente tramite il cookie (ad esempio, la visita alla home page, la connessione a un account utente, il clic su una pagina "prodotto", l'aggiunta di un articolo al carrello).
La sanzione di 40.000,00 euro è stata comminata per violazione delle seguenti norme:
- art. 7 par. 1 GDPR. La CNIL ha verificato che più della metà dei partner della Società non ha raccolto il consenso all'utilizzo dei cookie Criteo e, inoltre, la Società non ha implementato un meccanismo di audit su tali partner. Nel caso di specie vige un regime di doppia responsabilità e, quindi, la Società non è esonerata dal suo obbligo di dimostrare l'acquisizione del consenso del soggetto interessato.
- artt. 12 e 13 GDPR. La CNIL ha ritenuto le informazioni fornite agli utenti non complete, vaghe ed ampie. In particolare, è venuta meno agli obblighi di trasparenza e informazione in relazione alle finalità del trattamento (es. finalità di machine learning non nota agli interessati) e indicando una errata base giuridica.
- art. 15 GDPR. Le richieste di accesso ai sensi dell'art. 15 non sono state soddisfatte dalla Società che vi ha dato seguito in maniera poco chiara o parziale (es. tramite tabelle parziali, prive di tutti i dati personali riferibili al singolo interessato).
- art. 17, par. 1 GDPR. La Società non ha correttamente dato seguito alle richieste di cancellazione dei dati personali poiché si limitava ad interrompere la visualizzazione degli annunci pubblicitari, non eliminando gli identificatori assegnati all'utente e, quindi, i dati personali dei soggetti che avanzavano le richieste.
- art. 26 GDPR. La CNIL ha riscontrato l'assenza di un valido e completo accordo di contitolarità tra la Società e i suoi partner, atto in particolare a disciplinare aspetti legati ai diritti degli interessati, ad eventuali violazioni di dati o, se del caso, allo svolgimento di una valutazione d'impatto ai sensi dell'art. 35 GDPR.
La quantificazione della sanzione (quasi il 2 % del fatturato, art. 83 GDPR) ha tenuto conto di vari elementi come l'utilizzo di grandi quantità di dati combinati tra loro e in grado di rendere il trattamento molto intrusivo; il vantaggio economico derivante dalle violazioni; l'aver raggiunto una notevole quantità di soggetti interessati che non avrebbe raggiunto se fosse stato raccolto validamente il consenso.
