A gigante francesa de tecnologia de publicidade Criteo recebeu uma multa revisada de € 40 milhões (US$ 44 milhões) por não obter o consentimento dos usuários em relação à publicidade direcionada.
O caso em questão remonta a 2018, quando a Privacy International apresentou uma reclamação formal ao Comissão Nacional de Informática e Liberdades (CNIL), o cão de guarda da privacidade de dados da França, usando os regulamentos GDPR que foram recentemente introduzidos em toda a União Europeia. A Privacy International disse estar “muito preocupada” com as atividades de processamento de dados de vários players da indústria de corretagem de dados e adtech, um dos quais era a Criteo. None of Your Business (NOYB), uma organização sem fins lucrativos sediada na Áustria e co-fundada pelo advogado e ativista de privacidade Max Schrems, também posteriormente adicionou seu nome à reclamação.
O cerne da reclamação centrou-se no que a Privacy International chamou de “máquina de manipulação”, vis-à-vis como ela usou várias técnicas de rastreamento e processamento de dados para traçar o perfil dos usuários da Internet para uma segmentação de anúncios mais granular, como o uso de anúncios on-line anteriores atividade para prever quais produtos um comprador on-line pode querer comprar. A Privacy International e a NOYB afirmaram que a Criteo não tinha uma base legal adequada para esse rastreamento, com o CNIL lançando uma investigação formal em 2020.
Avançando para agosto de 2022, o CNIL chegou a uma decisão preliminar de que a Criteo havia realmente violado o GDPR e, portanto, enfrentaria uma multa de € 60 milhões. Nos meses seguintes, no entanto, a Criteo procurou reduzir o número. De fato, em um documento resumido divulgado hoje, a Criteo aparentemente argumentou que suas ações não foram deliberadas e não resultaram em nenhum dano. Dizia (tradução via DeepL):
A empresa considera que uma melhor ponderação dos critérios previstos no artigo 83.º, n.º 2, do RGPD, nomeadamente no que diz respeito à inexistência de indícios de dano, ao caráter não deliberado das infrações, às medidas adotadas para atenuar o dano, à a cooperação que diz ter demonstrado com a autoridade de controlo e as categorias de dados pessoais em causa, que apresentam baixa intrusividade, justificariam que, caso o painel restrito decida aplicar uma coima, reduza significativamente o montante de 60 milhões de euros proposto pelo relator .
Além disso, a Criteo disse que a multa inicial representava metade de seus ganhos e 3% de suas vendas globais, o que é “perto do máximo legal” permitido pelo GDPR, e foi excessivo em comparação com outras multas aplicadas pela CNIL a empresas como Google e Meta, controladora do Facebook, que totalizaram apenas 0,07% e 0,06% de suas respectivas vendas globais.
Assim, a CNIL atendeu ao pedido da Criteo e reduziu a multa em um terço.
LEIA TAMBÉM: Jornal relata que autoridades alemãs estão investigando infrações de proteção de dados pela Tesla
Comunicado da empresa sobre o caso:
“A Criteo foi informada da decisão final da sanção da CNIL recebida em 21 de junho de 2023 e pretende apelar dessa decisão perante os tribunais competentes. Embora a CNIL tenha reduzido a sanção final do valor original proposto de € 60 milhões para agora € 40 milhões, a sanção permanece amplamente desproporcional à luz das supostas violações e desalinhada com a prática geral do mercado nessas questões. Além disso, acreditamos que várias interpretações e aplicações de GDPR pela CNIL não são consistentes com as decisões do Tribunal Europeu de Justiça e mesmo com a própria orientação da CNIL. Conforme afirmamos anteriormente, consideramos que as denúncias feitas pela CNIL não envolvem risco para as pessoas físicas nem danos a elas causados. A Criteo, que usa apenas dados pseudonimizados, não diretamente identificáveis e não confidenciais em suas atividades, está totalmente comprometida em proteger a privacidade e os dados dos usuários. A decisão refere-se a questões passadas e não inclui nenhuma obrigação para a Criteo mudar suas práticas atuais; não há impacto nos níveis de serviço e no desempenho que podemos oferecer aos nossos clientes como resultado dessa decisão. Continuamos a manter os mais altos padrões nesta área e operamos um negócio global totalmente transparente e em conformidade com as regulamentações. Não faremos mais declarações nesta fase” – Ryan Damon, Chief Legal Officer na Criteo.
Fonte: Teg6