La CNIL sanziona Criteo per l’attività di behavioral retargeting

di Giovanni Maria Riccio

La CNIL, l’autorità francese competente in materia di dati personali, ha irrogato una sanzione di 40 milioni di euro nei confronti di Criteo, società specializzata nel behavioral retargeting, ossia nel tracciamento della navigazione degli utenti al fine di offrire annunci pubblicitari personalizzati. Criteo raccogli i dati di navigazione per mezzo di un tracker di cookie, che viene posizionato sul dispositivo dell’utente, nel momento in cui visita siti partner di Criteo. Il tracker consente di monitorare le abitudini di navigazione degli utenti, personalizzando così i contenuti da far visualizzare.

Nel corso delle attività ispettive, la CNIL ha rilevato diverse violazioni, tra cui la mancata prova dell’acquisizione del consenso all’utilizzo di tale dispositivo di tracciamento, nonché alcune informazioni carenti nell’informativa fornita.

Al fine di determinare l’importo della sanzione, la CNIL ha tenuto conto del fatto che il trattamento in questione riguardava un numero molto elevato di utenti (atteso che sono utilizzati circa 370 milioni di tracker nella sola Unione europea) e che la società ha effettuato, sempre in assenza di consenso, un’attività di profilazione, raccogliendo indiscriminatamente dati relativi alle abitudini di consumo degli utenti.

Nel provvedimento si legge altresì che la società non raccoglieva il nome degli utenti; tuttavia, l’autorità francese ha ritenuto che i dati fossero sufficientemente accurati per consentire l’identificazione degli stessi.

In merito al consenso, la CNIL ha anche precisato che tale obbligo competa, in prima battuta, sui partner della società sanzionato, che utilizzano i suoi servizi. Competerebbe, in ogni caso, a quest’ultima controllare che tale consenso sia effettivamente acquisito da tali partner commerciali: dalle indagini, invece, è risultato che, nei contratti stipulati tra Criteo e i suoi clienti, non vi fosse alcuna clausola che obbligasse questi ultimi a dimostrare, in caso di richiesta da parte di Criteo, di aver ottenuto il consenso.

Il garante francese ha sanzionato anche l’incompletezza dell’informativa al trattamento dei dati, che non includeva tutte le finalità o che le indicava in termini vaghi e generici. Insufficiente è risultata anche l’adozione di misure per ottemperare alle richieste di cancellazione dei dati: difatti, quando un utente revocava il proprio consenso o chiedeva la cancellazione dei propri dati, la società si limitava a interrompere la visualizzazione degli annunci pubblicitari personalizzati per l’utente, senza procedere effettivamente alla cancellazione.

Dal momento che la violazione ha interessato più Stati membri dell’Unione europea, il provvedimento è stato sottoposto a tutte le altre 29 autorità di controllo, ottenendo la loro approvazione.