Con la decisione n. SAN-2023-009 del 15 giugno 2023 la CNIL ha sanzionato Criteo, società specializzata nel digital marketing, per un importo pari a 40 milioni di euro. Le violazioni accertate derivano dal modello di pubblicità programmatica utilizzato, nella forma del Real time bidding. Di cosa si tratta? Cosa emerge dalla decisione della CNIL e come impatta sul business del digital advertising?
Criteo e la pubblicità programmatica
Fondata nel 2005 in Francia, Criteo è una società specializzata nel “retargeting advertising”, ovvero nel tracciare le abitudini di navigazione degli utenti di Internet al fine di mostrare pubblicità personalizzata, utilizzando i cookie installati sui terminali degli utenti. Nel 2022, il gruppo Criteo contava circa 3.000 dipendenti e ha generato un fatturato totale di circa 1,9 miliardi di euro, con un utile netto di circa 10 milioni di euro. A determinarne il successo ha contribuito la massiccia richiesta di pubblicità programmatica, che costituisce poco meno del 90% di tutta la spesa pubblicitaria digitale. Per pubblicità programmatica si intende, in generale, l’utilizzo della tecnologia per acquistare e vendere annunci digitali. Tale attività viene condotta e ottimizzata attraverso il ricorso all’automazione del flusso di lavoro e ad algoritmi di machine learning che consentono di proporre, a determinati segmenti di pubblico, gli annunci più pertinenti ed efficaci, sulla base di una varietà di segnali, come i modelli di acquisto.
Il Real Time Bidding
Il Real Time Bidding (RTB) è una forma di pubblicità programmatica che consente l’acquisto e la vendita di annunci digitali in tempo reale. In questa sede, senza entrare troppo nel dettaglio di concetti tecnici di settore, che richiederebbero un approfondimento a sé, consideriamo ad esempio un gioco mobile. Quando un utente passa da un livello ad un altro del gioco, l’app mostra una pubblicità. Preliminarmente, una apposita piattaforma trasmette una richiesta a tutti gli inserzionisti interessati a quello spazio pubblicitario specifico. Gli inserzionisti fanno quindi un’offerta in base all’interesse che hanno nel mostrare la propria pubblicità a quella categoria di utenti. La piattaforma valuta le offerte e assegna il posizionamento pubblicitario all’inserzionista vincitore.
Il Real Time Bidding rappresenta un tema attualissimo e da conoscere, vista la crescente attenzione manifestata dalle Autorità di controllo europee, consapevoli che dietro questo meccanismo si innestano insidie, in particolare in relazione alla liceità del trattamento dei dati personali (fra i precedenti, si rinvia alla sanzione da 250.000 euro comminata, il 2 febbraio 2022, dall’Autorità Garante belga a IAB Europe, associazione che raggruppa inserzionisti e intermediari nel mondo digitale).
Il model business di Criteo
Quanto premesso è fondamentale per comprendere il funzionamento del modello di business Criteo. La CNIL schematizza la logica dietro al servizio erogato in tre fasi:
- Criteo, grazie al tracker (cookie) omonimo, raccoglie i dati personali degli utenti di un e-commerce, quale ad es. “supershopping.com”, per analizzarne le abitudini di navigazione e comprenderne le preferenze;
- Un altro sito partner, definito “publisher”, quale ad es. “onlinepress.com”, mette all’asta uno spazio pubblicitario attraverso Real Time Bidding;
- Se Criteo vince il RTB, propone pubblicità personalizzata agli utenti di cui ha raccolto i dati.
Fonte: https://www.cnil.fr/en/personalised-advertising-criteo-fined-eur-40-million
Il reclamo di NOYB
Il cookie Criteo permette quindi di effettuare il retargeting, cioè una profilazione accurata degli utenti al fine di mostrare l’annuncio più adatto alle loro preferenze. In tale processo, l’Autorità francese ha chiarito che gli identificativi raccolti consentono, senza troppe difficoltà, di re-identificare le persone fisiche dietro il dispositivo / browser utilizzato e sono quindi da considerarsi dati pseudonimi e, pertanto, personali. Ne deriva che il trattamento condotto da Criteo, deve necessariamente fondarsi sul consenso esplicito degli utenti all’installazione dei cookies profilanti. Le denunce presentate dall’associazione Privacy International e da None of Your Business a fine 2018 lamentavano la carenza di tale base giuridica.
Nel corso delle indagini, la CNIL ha riscontrato diverse violazioni riguardanti proprio la mancanza di prove relative all’acquisizione del consenso, nonché altre non conformità rispetto alle informazioni fornite, alla trasparenza delle stesse ed al rispetto dei diritti previsti dal GDPR.
Le violazioni accertate
In particolare, la CNIL ha riscontrato cinque categorie di violazioni del GDPR.
Mancata dimostrazione del consenso dell'interessato
- il cookie Criteo veniva installato da partners della società francese, in contatto diretto con gli utenti, senza aver acquisito un valido consenso;
- il fatto che il cookie venisse installato da partners, contitolari del trattamento dei dati, non esime Criteo dall’obbligo di verificare e dimostrare di aver acquisito un valido consenso;
- Criteo avrebbe dovuto mettere in atto misure per garantire che i suoi partner agissero lecitamente, ad esempio integrando i contratti in essere con gli stessi, con istruzioni sulle modalità di acquisizione e di prova del consenso;
- Criteo avrebbe dovuto intraprendere una attività di audit dei suoi partner.
Mancato rispetto dell’obbligo di informativa e trasparenza
- l’informativa della società non era completa in quanto non includeva tutte le finalità previste dal trattamento;
- alcune delle finalità erano espresse in termini troppo vaghi e ampi. Ad esempio, la finalità relativa al “miglioramento delle proprie tecnologie e servizi”, in realtà corrispondeva all’uso del machine learning per configurare automaticamente l’elaborazione del targeting algoritmico al fine di migliorare l’efficacia della pubblicità mirata.
Mancato rispetto del diritto di accesso
- di fronte alle istanze per l’esercizio del diritto di acceso ai dati, Criteo aveva fornito ai soggetti interessati informazioni incomplete;
- tali informazioni, inoltre, non erano intellegibili: Criteo aveva fornito delle tabelle, estratte dal suo database, contenenti dettagli tecnici di difficile comprensione, senza l’ausilio di informazioni aggiuntive utili a comprenderne il significato.
Mancato rispetto del diritto di revoca del consenso e cancellazione dei dati
- di fronte alle istanze per l’esercizio del diritto di revoca del consenso o di cancellazione dei propri dati, il processo attuato dalla società si limitava ad interrompere la visualizzazione di annunci pubblicitari personalizzati, senza però cancellare l’identificativo assegnato alla persona, né gli eventi di navigazione correlati.
Mancata previsione di un accordo tra contitolari del trattamento
- gli accordi stipulati con i partners, contitolari del trattamento dei dati, non includevano gli elementi obbligatori di cui all’articolo 26 del GDPR;
- Criteo, in quanto in posizione dominante ed in grado di imporre condizioni contrattuali, avrebbe dovuto definire le modalità di esercizio dei diritti da parte degli interessati, l’obbligo di notificare all’autorità di controllo e agli interessati una violazione dei dati e, se necessario, le modalità di esecuzione della valutazione d’impatto, ai sensi dell’articolo 35 del GDPR.
I fattori aggravanti e la sanzione
A tutti i punti sopra esposti, Criteo ha risposto con azioni concrete volte a sanare le non conformità. Ciononostante, il comitato ristretto, organo della CNIL responsabile dell’imposizione delle sanzioni, ha comunque comminato alla società un’ammenda pari a 40 milioni di euro, con l’approvazione di tutte le altre 29 autorità di controllo europee interessate.
Fra i fattori aggravanti, l’Autorità francese ha considerato la mole di interessati coinvolti (pari a circa 370 milioni in tutta l'Unione europea), la natura dei dati trattati (relativi ad abitudini di consumo) ed il numero di eventi registrati (pari a circa 35 miliardi al giorno, relativi alla navigazione e allo shopping, in tutto il mondo). Inoltre, la CNIL ha sottolineato come la condotta di Criteo, ovvero il trattamento dei dati senza raccogliere il preventivo consenso degli interessati, abbia generato un aumento indebito dei profitti generati della società nel suo ruolo di intermediario pubblicitario. Condotta che, peraltro, si protratta nel tempo, a partire dal 2018.
Un segnale forte al settore digital advertising, un segnale forte per i DPO
La sanzione finale è la dimostrazione che le Autorità di controllo non sono più disposte a tollerare questo tipo di pratiche di marketing: l’adeguamento a posteriori, ovvero nelle more del procedimento ispettivo, verrà sanzionato con sempre maggiore veemenza. Romain Robert, avvocato specializzato in protezione dei dati presso l’Associazione NOYB, ha dichiarato: “Siamo molto soddisfatti della decisione emessa dalla CNIL. È un segnale forte per l'industria dell'ad-tech, che dovrà affrontare conseguenze gravi in caso di violazione della legge”.
Segnale che dev’essere tradotto e recepito anche dai DPO delle organizzazioni che effettuano attività di marketing: concetti tipici del settore, come quello di pubblicità programmatica, Real Time Bidding, Impression e Ad Exchange, temi come il digital marketing basato su IA, non possono più essere ignorati.
Iscriviti alla newsletter ASSO DPO per restare sempre aggiornato su questi, e molti altri, temi. Ti ricordiamo, inoltre, che a settembre è in partenza la nona edizione del congresso dell’Associazione: clicca qui per consultare il programma delle due giornate ed iscriverti.
Fonti:
La notizia con la sanzione della CNIL