Ο γίγαντας Adtech Criteo επλήγη με αναθεωρημένο πρόστιμο 40 εκατομμυρίων ευρώ από τον γαλλικό οργανισμό προστασίας προσωπικών δεδομένων για παραβιάσεις του GDPR
Γαλλικός κολοσσός της διαφημιστικής τεχνολογίας
Criteo
υπήρξε
εκδόθηκε
με αναθεωρημένο πρόστιμο 40 εκατομμυρίων ευρώ (44 εκατομμύρια δολάρια) για αποτυχία συγκέντρωσης της συναίνεσης των χρηστών σχετικά με τη στοχευμένη διαφήμιση.
Η εν λόγω υπόθεση χρονολογείται από το 2018 όταν
Privacy International
κατατέθηκε
επίσημη καταγγελία
με την
Επιτροπή εθνικής πληροφορίας και ελευθεριών
(
CNIL
), ο εποπτικός φορέας προστασίας προσωπικών δεδομένων της Γαλλίας, χρησιμοποιώντας τους κανονισμούς
GDPR
που εισήχθησαν πρόσφατα σε ολόκληρη την Ευρωπαϊκή Ένωση. Η
Privacy
International δήλωσε ότι «ανησυχεί σοβαρά» για τις δραστηριότητες επεξεργασίας δεδομένων αρκετών παικτών στον κλάδο της ανταλλαγής δεδομένων και της τεχνολογίας adtech, ένας από τους οποίους ήταν το Criteo. Δεν είναι δουλειά σου (
NOYB
), ένας μη κερδοσκοπικός οργανισμός με έδρα την Αυστρία και συνιδρυτής του δικηγόρου και ακτιβιστή προστασίας της ιδιωτικής ζωής Max Schrems, πρόσθεσε επίσης αργότερα το όνομά του στην καταγγελία.
Η ουσία της καταγγελίας επικεντρώθηκε σε αυτό που η Privacy International ανέφερε ως «μηχανή χειρισμού», σε σχέση με τον τρόπο με τον οποίο χρησιμοποιούσε διάφορες τεχνικές παρακολούθησης και επεξεργασίας δεδομένων για το προφίλ των χρηστών του Διαδικτύου για πιο λεπτομερή στόχευση διαφημίσεων, όπως η χρήση προηγούμενης διαδικτυακής δραστηριότητα για την πρόβλεψη των προϊόντων που μπορεί να θέλει να αγοράσει ένας online αγοραστής — αυτό είναι γνωστό ως “
επαναστόχευση συμπεριφοράς
.» Η Privacy International και η NOYB υποστήριξαν ότι το Criteo δεν είχε σωστή νομική βάση για αυτήν την παρακολούθηση, με το CNIL να ξεκινά επίσημη έρευνα το 2020.
Προκαταρκτική απόφαση
Γρήγορα στον Αύγουστο του 2022 και το CNIL κατέληξε σε μια προκαταρκτική απόφαση ότι η Criteo είχε πράγματι παραβιάσει τον GDPR και είχε καταδικάσει την εταιρεία με έδρα το Παρίσι με πρόστιμο 60 εκατομμυρίων ευρώ. Στους μήνες που μεσολάβησαν, ωστόσο, η Criteo προσπάθησε να μειώσει το ποσοστό.
Πράγματι, σε
ένα συνοπτικό έγγραφο
δημοσιοποιήθηκε σήμερα, η Criteo φαινομενικά υποστήριξε ότι οι ενέργειές της ήταν μη εσκεμμένες και δεν προκάλεσαν καμία βλάβη. Έλεγε (μετάφραση μέσω
DeepL
):
Η εταιρεία πιστεύει ότι θα ληφθούν καλύτερα υπόψη τα κριτήρια που ορίζονται στο
Άρθρο 83 παράγραφος 2
) του GDPR, ιδίως όσον αφορά την απουσία αποδεικτικών στοιχείων βλάβης, τη μη εσκεμμένη φύση των παραβιάσεων, τα μέτρα που λαμβάνονται για τον μετριασμό της ζημίας, τη συνεργασία που λέει ότι έχει δείξει με την εποπτική αρχή και τις κατηγορίες δεδομένων προσωπικού χαρακτήρα Οι ενδιαφερόμενοι, οι οποίοι παρουσιάζουν χαμηλή παρεμβατικότητα, θα δικαιολογούσαν ότι, σε περίπτωση που η κλειστή ομάδα αποφασίσει να επιβάλει πρόστιμο, θα μειώσει σημαντικά το ποσό των 60 εκατομμυρίων ευρώ που προτείνει ο εισηγητής.
Επιπλέον, η Criteo είπε ότι το αρχικό πρόστιμο αντιπροσώπευε το ήμισυ των κερδών της και το 3% των παγκόσμιων πωλήσεών της, που είναι «
κοντά στο νόμιμο μέγιστο» επιτρεπόμενο βάσει του GDPR και ήταν υπερβολικό σε σύγκριση με άλλα πρόστιμα που επιβλήθηκαν από το CNIL σε εταιρείες όπως η
Google
και η μητρική
Meta
του
Facebook
, τα οποία ανήλθαν σε μόλις 0,07% και 0,06% των αντίστοιχων παγκόσμιων πωλήσεών τους.
Έτσι, η CNIL έλαβε υπόψη τα παράπονα της Criteo και μείωσε το πρόστιμο κατά ένα τρίτο. Ωστόσο, το CNIL
τελική αναφορά
εξακολουθεί να παρουσιάζει μια καυστική εικόνα της αδιαφορίας της Criteo για το απόρρητο των δεδομένων.