Il Garante francese multa Criteo per la pubblicità online
|
|
Il 15 giugno 2023 il Garante francese (CNIL) ha multato la società CRITEO per 40 milioni di euro. CRITEO è una delle più importanti società nel settore della pubblicità online, servendo numerosissimi partner, compreso editori di giornali, con un fatturato di circa 2 miliardi di euro l’anno.
Il procedimento concluso nel 2023 parte da lontano. L’associazione Privacy International nel 2018 presenta un reclamo al CNIL, al quale si aggiunge nel corso dell’anno un secondo reclamo dall’associazione NOYB. Entrambe denunciavano l’utilizzo di dati comportamentali senza consenso, l’assenza di una effettiva informazione agli utenti, e il mancato rispetto della revoca del consenso.
CRITEO è una di quelle aziende che si occupa di advertising retargeting, come si dice nel gergo tecnico, e cioè monitora le abitudini di navigazione degli utenti in internet al fine di realizzare dei profili comportamentali che poi vengono utilizzati per inviare annunci su altri siti che quegli stessi utenti visitano, annunci che ovviamente sono in linea con le abitudini rilevate. Il monitoraggio avviene ad opera dei marcatori identificativi, cioè i cosiddetti cookie che vengono inviati e conservati nei dispositivi degli utenti, siano essi computer fissi o smartphone o tablet. Al momento dell’accesso, da parte dell’utente, a un sito partner della rete di CRITEO, il sito legge i cookie sul dispositivo e invia una richiesta a CRITEO che interroga il suo database e valuta quale pubblicità è più adeguata a quello specifico utente. CRITEO è in grado di identificare l’utente stesso, non nominativamente ma nel senso che viene distinto dalla massa degli utenti i cui profili sono conservati da CRITEO (sono circa 370 milioni in Europa). In questo modo può inviare al sito partner un annuncio pubblicitario personalizzato che verrà presentato all’utente.
Occorre altresì precisare che CRITEO a sua volta recupera gli annunci pubblicitari dagli Ads Exchange, piattaforme che facilitano la compravendita in tempo reale degli annunci pubblicitari, consentendo l'incontro tra inserzionisti e acquirenti (o intermediari come CRITEO). Sulla base della sua valutazione in relazione al tipo di annuncio adatto a quello specifico utente su quel sito partner, CRITEO partecipa ad un’asta in tempo reale (RTB) per acquisire un annuncio pubblicitario che poi verrà pubblicato sul sito partner (l’editore). Quindi in sostanza funge da intermediario tra gli inserzionisti e gli editori.
Le violazioni rilevate
Il Garante francese ha avviato un’istruttoria durata molti anni, forse troppo. Nel corso della quale ha anche verificato nel concreto il funzionamento del sistema di monitoraggio di CRITEO e dei suoi partner, anche se non ha potuto fare un controllo su tutti i partner, dato anche l’enorme numero degli stessi. A seguito dell’istruttoria il Garante ha sollevato cinque violazioni:
1) Violazione dell’obbligo di dimostrare che l’interessato ha prestato il proprio consenso all’utilizzo dei suoi dati;
2) Violazione dell'obbligo di informazione e trasparenza nei confronti degli utenti;
3) Mancato rispetto del diritto di accesso ai propri dati;
4) Mancato rispetto del diritto alla revoca del consenso e alla cancellazione dei propri dati;
5) Violazione dell'obbligo di prevedere un accordo tra contitolari.
In particolare il Garante ha rilevato che l’informativa non era completa, in quanto mancavano alcune delle finalità perseguite nel corso del trattamento, altre erano molto vaghe e quindi insufficienti ad una adeguata comprensione da parte degli utenti. Sul punto, CRITEO ha modificato l’informativa.
CRITEO ha anche mancato di rispettare il diritto di accesso, in quanto non ha inviato tutti i dati conservati a utenti che avevano esercitato questo diritto. Inoltre le informazioni non erano tali da consentire agli utenti di comprendere il contenuto dei file. In tal senso ricordiamo che la Corte di Giustizia europea ha stabilito che gli utenti devono ricevere non solo una copia dei dati ma anche il contesto in modo da renderli comprensibili. Anche qui CRITEO nel corso degli anni ha modificato le sue policy impegnandosi a rispettare le norme.
CRITEO ha anche violato il diritto alla revoca del consenso. In particolare a seguito di tale revoca si è avuta la sola interruzione della visualizzazione degli annunci pubblicitari, senza però procedere alla cancellazione dei dati legati all’identificatore (cookie). È ovvio che se il dato si basa sul consenso il venir meno dello stesso rende la conservazione del dato illegittima, quindi va cancellato. Anche qui CRITEO ha modificato le sue policy prevedendo una procedura (richiesta al DPO) di valutazione sull’eventuale cancellazione dei dati a meno che non sussistano ulteriori basi giuridiche per mantenerli.
Un altro aspetto rilevato dal Garante francese è l’assenza di accordi tra i contitolari. In particolare CRITEO e i suoi partner (cioè i siti dove vengono pubblicati gli annunci pubblicitari) sono considerati titolari congiunti, e in quanto tali devono redigere degli accordi scritti con i quali si ripartiscono compiti e responsabilità, come ad esempio stabilire a chi spetta la notifica di una violazione dei dati e così via. Tali accordi non erano adeguati, secondo il Garante, in quanto non specificavano alcuni oneri, riguardanti ad esempio la gestione dei diritti degli interessati, l’esecuzione della valutazione di impatto, ecc... Anche qui CRITEO ha modificato gli accordi adeguandosi alle richieste del Garante francese.
Il punto principale, ovviamente, riguardava l’obbligo di dimostrazione del consenso. Come ormai è pacifico l’uso dei legittimi interessi per l’invio di pubblicità personalizzata non è ritenuto conforme, per cui la base giuridica dovrebbe essere il consenso. Il consenso deve sottostare a specifici requisiti per essere valido, tra i quali l’essere “informato”, cioè l’utente deve avere un’informazione esaustiva su tutti gli aspetti riguardati i dati raccolti e l’uso che ne viene fatto. Ovviamente è essenziale anche che il consenso sia verificabile, che non significa che deve essere necessariamente scritto, ma che l’azienda deve comunque essere in grado di dimostrare che l’interessato lo ha conferito.
Nel caso specifico il consenso riguarda in particolare anche l’uso del tracciante (cookie), che soggiace alle norme di cui alla direttiva ePrivacy, per la quale solo il consenso è valido come base giuridica. Nel corso dell’istruttoria si è rilevato che il cookie è stato depositato nei dispositivi degli utenti da vari partner di CRITEO senza prima ottenerne il consenso. Inoltre all’epoca dell’avvio dell’indagine i contratti di contitolarità non prevedevano un obbligo a carico dei partner di fornire la prova del consenso. Obbligo che, poi, è stato introdotto nel corso dell’istruttoria così, a detta del Garante, sanando la non conformità.
È pacifico, ovviamente, che CRITEO e gli editori (i siti partner) trattano dati personali soggetti alla normativa europea (il GDPR), anche se normalmente ad essi non è collegato il nome della persona. L’azienda sostiene che si tratti di dati pseudonimizzati, ma anche i dati pseudonimizzati sono dati personali. Ma l’identificatore univoco (CRITEO ID) è in grado di distinguere un utente da un altro, sempre nell’ambito dei profili detenuti da CRITEO, per cui è palese che siamo in presenza di un dato identificativo e quindi personale. Inoltre i trattamenti di dati sono di ampia scala, dato il numero degli utenti coinvolti, e i profili sono arricchiti da un numero molto elevato di informazioni (tra i quali anche dati derivati), che hanno proprio lo scopo di stabilire le abitudini comportamentali degli individui.
Dall’istruttoria risulta che CRITEO non ha posto in essere un meccanismo in grado di verificare che i siti partner abbiano effettivamente ottenuto un consenso valido, e che non c’era possibilità di verificare che i dati trattati erano effettivamente quelli per i quali era stato ottenuto il consenso. L’azienda si è difesa sostenendo (sulla base della sentenza Fashion ID, CGUE, 29 luglio 2019, C 40/17) che l’obbligo dovrebbe ricadere sui soli siti partner, perché sono quelli più idonei ad ottenere tale consenso. Nel corso del giudizio ha anche implementato obblighi a carico dei partner, con procedure di audit al fine di verificare la correttezza del consenso, stabilendo eventualmente la chiusura di rapporti commerciali con partner che non rispettano le regole. Ma il Garante francese ha chiarito che in caso di contitolarità “entrambi i titolari sono sempre tenuti a garantire che entrambi abbiano una base giuridica per il trattamento” e che “possano avere un certo grado di flessibilità nella distribuzione e ripartizione degli obblighi tra di loro, a condizione che assicurino il pieno rispetto dei requisiti del GDPR con riguardo allo specifico trattamento” (come da Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, punti 167 e 168).
Il Garante ritiene, infine, che una clausola che oneri i partner alla raccolta del consenso non esonera il titolare congiunto dall’obbligo di verifica e quindi di dimostrare che l’interessato ha prestato il proprio consenso. Solo in questo modo si riesce a garantire in tutte le fasi del trattamento la conformità alle norme. Insomma CRITEO deve comunque assicurarsi, e dimostrare, di avere un consenso per il suo trattamento, non potendo limitarsi a fidarsi del partner. In tal senso il Garante plaude all’inserimento di clausole relative alla prova del consenso da parte dei siti partner, e alla procedura di audit, ritenendo che in tal modo CRITEO si sia conformato alle norme.
Gli adempimenti posti in essere da CRITEO nel corso del procedimento sono ritenuti validi ai fini della conformità, ma ciò non toglie che sono venuti tardivamente, e quindi la società ha comunque trattato dati senza poter dimostrare un valido consenso. E questo discorso vale anche per le altre violazioni sollevate. Per questo motivo il Garante impone la sanzione di cui sopra.
Il sistema pubblicitario online
Questo provvedimento del Garante francese ha una notevole importanza perché va a toccare quel sistema di pubblicità online automatizzato che in passato ha fatto emergere gravi problematicità.
Si tratta di un sistema, infatti, che da un lato favorisce i contenuti online virali e in genere la quantità alla qualità, con ciò contribuendo ad alimentare un ecosistema digitale nel quale proliferano contenuti violenti, disinformazione e tutto ciò che è facile e veloce da produrre ma fa scandalo e quindi attira maggiormente i lettori. Dall’altro il sistema ha mostrato di avere enormi difficoltà a conformarsi alla normativa di cui al GDPR. Questo perché il GDPR richiede che l’interessato sia informato compiutamente non solo dei dati raccolti e delle finalità di raccolta degli stessi, ma in particolare dei destinatari ai quali tali dati saranno inviati. L’informazione è problematica perché nel momento in cui viene chiesto il consenso all’utente (da parte del sito partner) in realtà non è ancora dato sapere a quali aziende (i destinatari) i dati dell’interessato saranno inviate, perché l’asta non si è ancora tenuta. Quindi i dati dell’utente in realtà sono condivisi con una quantità enorme di aziende le quali in base a quei dati (il profilo comportamentale) decideranno se partecipare o meno all’asta per lo spazio pubblicitario sul sito partner visitato dall’utente. Insomma vi è un trasferimento di dati, compreso dati sensibili, ad un enorme numero di aziende e anche a quelle che non vinceranno l’asta e quindi non piazzeranno l’annuncio pubblicitario.
Vi è ovviamente una differenza tra chi vince l’asta e chi no. Tutti ricevono informazioni sull’utente ma solo chi vince l’asta può avviare un protocollo di corrispondenza dei cookie e così abbinare i cookie relativi all’utente che visita il sito partner con i propri sistemi. In questo modo il vincitore dell’asta non ha più necessità di passare per i siti partner per tracciare l’utente online, in quanto ha i suoi propri cookie sui dispositivi dell’utente.
L’elenco delle aziende destinatarie raramente è nominativo, spesso è per categorie, per cui il risultato è che l’utente, che non ha altro che l’annuncio pubblicitario dal quale evincere ulteriori informazioni, non saprà mai esattamente con chi sono stati condivisi i suoi dati. Si tratta di un processo ben poco trasparente ed intrinsecamente non sicuro. E tale processo si verifica miliardi di volte al giorno, coinvolgendo una quantità enorme di interessati al trattamento.
Oggi il processo è interamente crittografato, ma in passato alcuni Ads Exchange non utilizzavano sistemi di cifratura per cui era addirittura possibile inserirsi nel flusso e verificare quanto “vale” quello specifico utente, o più esattamente per quanto viene venduto il suo profilo (nell’ordine di 0,0005 centesimi in media). Perché è abbastanza evidente che qui non abbiamo in realtà la vendita di uno spazio pubblicitario, quanto piuttosto la vendita del profilo dell’utente ad un inserzionista.
Il provvedimento del Garante francese sostiene che le nuove impostazioni e policy poste in atto da CRITEO sarebbero sufficienti a rendere la sua attività legittima, che quindi è sufficiente che CRITEO imponga ai partner una clausola in base alla quale CRITEO può chiedere, se occorre, ai partner la prova dell’ottenimento del consenso. Ma quanto può essere valido un consenso a migliaia di titolari del trattamento senza sapere esattamente quali e avendo un’indicazione decisamente approssimativa di cosa faranno con quei dati?
La decisione del CNIL è importante, perché espone le violazioni del sistema pubblicitario online. Ma ancora non prende in considerazione le pratiche più problematiche, come il Real Time Bidding.
Immagine in anteprima via dircomfidencial.com
