El pasado día 22 de junio de 2023 la Autoridad de Protección de Datos francesa (CNIL) publicó una resolución en la que sanciona a la compañía Criteo con una multa de 40 millones de euros.
La sanción en cuestión se basa en el incumplimiento de los siguientes artículos del RGPD:
- Artículo 7.1 (Condiciones para el consentimiento), por no demostrar que el interesado otorgó su consentimiento.
- Artículos 12 (Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado) y 13 (Información que deberá facilitarse cuando los datos personales se obtengan del interesado), por no disponer de una política de privacidad completa.
- Artículo 15.1 (Derecho de acceso del interesado), por no proporcionar todos los datos personales de los interesados que estaban en manos de la compañía cuando un interesado ejercitaba su derecho de acceso.
- Artículo 7.3 (Condiciones para el consentimiento. Derecho a retirar el consentimiento) y 17.1 (Derecho de supresión «derecho al olvido») por no eliminar el identificador y datos de navegación asociados a los interesados cuando retiraban consentimiento o ejercitaban su derecho de supresión.
- Artículo 26 (Corresponsables del tratamiento), por no firmar un acuerdo de corresponsabilidad o, de firmarlo, que estuviese incompleto.
Para cuantificar la sanción se han auditado a distintas empresas que tenían contratados los servicios de Criteo para inspeccionar cómo se llevaba a cabo el tratamiento de los datos en el seno de dichas compañías en relación con la sancionada. Aunque cabe reseñar que la CNIL no ha entrado a valorar la posibilidad de imponer una sanción para dichas compañías, pese a que así lo solicitó Criteo invocando el principio de no discriminación.