El gigante de la tecnología publicitaria Criteo está siendo investigado por el organismo de control de protección de datos francés, la CNIL, luego de una denuncia presentada por el grupo de campaña de derechos de privacidad Privacy International.
“Puedo confirmar que la CNIL ha abierto una investigación sobre Criteo. Estamos en la fase de prueba, por lo que no podemos comunicarnos en este momento”, nos dijo un portavoz de la CNIL.
Privacy International ha estado haciendo campaña durante más de un año para que las agencias europeas de protección de datos investiguen a varios jugadores de adtech y corredores de datos involucrados en la publicidad programática.
El dia de ayer dijo que el regulador francés finalmente abrió una investigación de Criteo.
“La confirmación de la CNIL de que están investigando a Criteo es importante y le damos una calurosa bienvenida”, dijo en el declaración. “El ecosistema de AdTech se basa en grandes infracciones de privacidad, explotando los datos de las personas a diario. Ya sea a través de pancartas engañosas de consentimiento o por infestando sitios web de salud mental estas empresas permiten un entorno de vigilancia en el que todos sus movimientos en línea se rastrean para perfilarlo y apuntarlo, con poco espacio para disputar”.
Nos comunicamos con Criteo para obtener comentarios. Actualizar: La compañía ahora ha enviado esta declaración:
Confirmamos que en enero de 2020, la CNIL abrió una investigación formal sobre Criteo en respuesta a una denuncia presentada por Privacy International en noviembre de 2018. La denuncia no estaba dirigida específicamente a Criteo o sus prácticas específicas, sino que se extendió a 7 empresas y 3 DPA, desafiando de manera general las prácticas de los corredores de datos, las empresas de tecnología publicitaria y las empresas de calificación crediticia. La CNIL es la autoridad supervisora de Criteo como empresa francesa, por lo que este es un procedimiento normal que ya hemos revelado públicamente. Actualmente estamos colaborando con la CNIL en su revisión y confiamos plenamente en nuestras prácticas de privacidad.
Desde nuestra fundación en Europa en 2005, Criteo tiene un historial comprobado de garantizar que nuestra tecnología tenga altos niveles de privacidad y seguridad de los datos, al mismo tiempo que ayuda a nuestros clientes a cumplir con las expectativas de los compradores con publicidad personalizada y relevante. Como empresa global con oficinas principales en varios países de la UE, estamos acostumbrados a cumplir con los requisitos a nivel de país en todo el mundo.
Además, Criteo colabora y consulta regularmente con la CNIL (DPA francesa), que es nuestra DPA local y autoridad supervisora según el RGPD, sobre asuntos de privacidad relacionados con Criteo y nuestra industria.
De nuevo en noviembre 2018unos meses después de que entrara en vigor el marco de protección de datos actualizado (GDPR) de Europa, Privacy International presentó quejas contra varias empresas que operan en el espacio, incluida Criteo.
UN investigación posterior por el grupo de derechos el año pasado también encontró rastreadores adtech en sitios web de salud mental que comparten datos confidenciales de usuarios con fines de orientación de anuncios.
En mayo pasado, la Comisión de Protección de Datos de Irlanda también abrió una investigación formal sobre Quantcast, luego de la queja de Privacy International y una serie de quejas separadas de GDPR dirigidas al proceso de ofertas en tiempo real (RTB) involucrado en la publicidad programática.
El quid de las quejas de RTB es que el proceso es intrínsecamente inseguro, ya que implica la transmisión filtrada de datos personales de las personas sin forma de controlarlos una vez que están disponibles frente al requisito de GDPR de que los datos personales se procesen de forma segura.
En junio, la Oficina de la Comisión de Información del Reino Unido también lanzó una advertencia a la industria de la publicidad conductual, diciendo que tenía “preocupaciones sistémicas” sobre el cumplimiento de RTB. Aunque el regulador hasta ahora no ha tomado ninguna medida de cumplimiento, a pesar de publicar otra publicación de blog en diciembre pasado en la que discutió el “problema de la industria” con la legalidad, prefiriendo en cambio alentar a la tecnología publicitaria a reformarse. (Relevante: Google anuncia que eliminará gradualmente el soporte para cookies de terceros).
en su 2018 queja de tecnología publicitariaPrivacy International solicitó a la CNIL de Francia, el ICO del Reino Unido y el DPC de Irlanda que investigaran a Criteo, Quantcast y una tercera empresa llamada Tapad, argumentando que su procesamiento de los datos de los usuarios de Internet (incluidos los datos personales de categoría especial) no tiene base legal ni cumple con los requisitos del RGPD. por consentimiento ni por interés legítimo.
La queja de Privacy International argumentó que los principios adicionales de GDPR, que incluyen transparencia, equidad, limitación de propósito, minimización de datos, precisión e integridad y confianza, tampoco se estaban cumpliendo; y pidió una mayor investigación para determinar el cumplimiento de otros derechos legales y garantías que el RGPD otorga a los europeos sobre sus datos personales, incluido el derecho a la información; acceso; derechos relacionados con la toma de decisiones automatizada y elaboración de perfiles; protección de datos y por diseño y por defecto; y evaluaciones de impacto de la protección de datos.
En quejas específicas contra Criteo, Privacy International expresó su preocupación por su herramienta Shopper Graph, que se utiliza para predecir el interés en productos en tiempo real, y que Criteo ha promocionado por tener datos sobre casi las tres cuartas partes de los compradores del mundo, alimentados por datos cruzados. dispositivo de seguimiento en línea de la actividad digital de las personas que no se limita a las cookies y se complementa con datos fuera de línea; y su herramienta Dynamic Retargeting, que permite la reorientación de compradores rastreados con anuncios dirigidos por comportamiento a través de Criteo compartiendo datos con decenas de ‘socios’, incluidos editores e intercambios de anuncios involucrados en el proceso RTB para subastar espacios publicitarios en línea.
En el momento de la queja original, Privacy International dijo que Criteo le dijo que se basaba en el consentimiento para rastrear a las personas obtenidas a través de sus socios publicitarios (y editores), quienes, según el RGPD, necesitarían obtener un consentimiento informado, específico y otorgado libremente por adelantado. antes de colocar cualquier cookie de seguimiento (u otras tecnologías de rastreo), además de reclamar una base legal conocida como interés legítimo, diciendo que creía que este era un motivo válido para poder cumplir con sus obligaciones contractuales hacia sus clientes y socios.
Sin embargo, los intereses legítimos requieren que se lleve a cabo una prueba de equilibrio para considerar los impactos en los intereses del individuo, como parte de un proceso de evaluación más amplio para determinar si se puede aplicar.
El argumento de Privacy International es que ni el consentimiento ni el interés legítimo son válidos en el caso de Criteo.
Ahora, la CNIL analizará en detalle su procesamiento de datos para determinar si hay o no violaciones de GDPR. Si encuentra incumplimientos de la ley, la regulación permite que se emitan sanciones monetarias que pueden escalar hasta el 4% de la facturación global de una empresa. Las agencias de protección de datos de la UE también pueden ordenar cambios en la forma en que se procesan los datos.
Al comentar sobre la investigación de la CNIL sobre Criteo, Dr. Lukasz Olejnikun investigador y consultor de privacidad independiente, cuyo investigar sobre el implicaciones de privacidad de RTB es anterior a todas las quejas antes mencionadas, nos dijo: “No me sorprende la investigación, ya que en Real-Time Bidding la transparencia y el consentimiento siempre fueron muy problemáticos y, en el mejor de los casos, no eran obvios. No sé cómo podría reconciliarse el consentimiento retrospectivo”.
“No cabe duda de que se tuvo que realizar una evaluación exhaustiva del impacto de la privacidad (evaluación del impacto de la protección de datos) para muchos aspectos de dichos sistemas o sus usos, por lo que este ángulo particular de la queja no debería ser controvertido”, agregó Olejnik.
“Mi opinión general sobre Real-Time Bidding es que no fue una tecnología creada con un enfoque particular en la seguridad y la privacidad. Como tecnología transformadora a largo plazo, también contribuyó a cuestiones más amplias como la difusión de contenidos nocivos como desinformación política”.
La investigación de la CNIL sin duda se suma a los problemas comerciales de Criteo, con la empresa reportando la disminución de los ingresos el año pasado y la predicción de más en 2020. Los movimientos más agresivos de los fabricantes de navegadores para bloquear el rastreador claramente están teniendo un impacto en su negocio principal.
En una entrevista reciente con Prevenido La CEO de Criteo, Megan Clarken, habló sobre el deseo de ampliar la gama de servicios que ofrece a los anunciantes y reducir su dependencia de su retargeting tradicional.
La compañía también ha estado invirtiendo mucho en inteligencia artificial en los últimos años, invirtiendo $ 23 millones en 2018 para abrir un laboratorio de IA en París.