È stato assestato un duro colpo agli operatori del digital advertising: la CNIL, autorità di controllo privacy francese, ha sanzionato in maniera rilevante – quasi il 2% del fatturato, per 40 milioni di euro – la notissima società di digital advertising Criteo, leader del mercato UE.
Le violazioni della normativa privacy erano connesse ai condivisi processi di retargeting, ai rapporti con gli editori (publisher) propri partner e se ne è occupata la Francia in virtù della sede legale della società, spinta da reclami di alcune organizzazioni come la celeberrima NOYB di Max Schrems.
Premettiamo che le violazioni esaminate dalla CNIL afferiscono a eventi analizzati a decorrere da novembre 2018 fino al 2022 circa, e che la società colpita, nel tempo, ha corretto le condotte esaminate modificando le proprie procedure, informative e contratti. Ciononostante, gli illeciti sono stati comunque indagati dall’autorità e infine sanzionati con durezza.
Indice degli argomenti
L’ecosistema digital advertising di Criteo e i dati utilizzati
È importante riassumere brevemente qui i soggetti coinvolti e i loro rapporti, schematizzabili così:
- innanzitutto, abbiamo gli inserzionisti, che forniscono gli annunci da pubblicare online;
- gli editori, che sono i soggetti che mettono a disposizione il proprio spazio web per visualizzare gli annunci degli inserzionisti;
- gli ad network o ad exchange che fungono da intermediari in tutto ciò, per fare in modo che arrivi un annuncio personalizzato e adatto all’utente che lo visualizzerà, scegliendo tramite sistemi automatizzati di aste (Real Time Bidding) l’inserzionista che offra di più per l’annuncio; è questo il ruolo di Criteo, sì da raccogliere i dati di navigazione degli utenti e così personalizzare al meglio gli annunci, tramite il proprio cookie Criteo, impiegato dai partner sui propri siti web; il Real Time Bidding peraltro è tema rovente, viste le attenzioni di altre autorità, su tutti il caso del framework TCF di IAB, sanzionato dal controllore belga, a cui rimandiamo per approfondimenti ulteriori.
Il cookie permette il retargeting, cioè il tracciamento delle abitudini di navigazione degli utenti così da effettuare una loro profilazione più accurata possibile ai fini dell’identificazione dell’annuncio più adatto.
Uno dei punti affrontati dall’autorità francese è il dilemma se si tratti così di dati personali: ormai ribadito da altre pronunce, è noto come i dati raccolti, seppur non necessariamente collegati a un nome e un cognome o altre informazioni direttamente identificative di una persona fisica, per il fatto di abbinarli comunque a un identificatore univoco – che fa da collante ad eventuali altre formazioni ricevute – genera infine un dato personale, per la capacità potenzialmente identificativa.
Considerato il numero e la diversità dei dati raccolti ed il fatto che sono collegati a un identificatore, la CNIL ha ritenuto possibile con mezzi ragionevoli re-identificare le persone fisiche, e sono da considerare al più come dati pseudonimizzati, quindi personali, non certo dati anonimi.
Tanto più considerando che in alcuni casi la società raccoglie ulteriori dati, come gli indirizzi email oppure l’indirizzo IP o ancora gli identificativi “user agent” del dispositivo utilizzato – estremamente utili a tale scopo.
Consensi: ancora e sempre un problema nel marketing
Il primo aspetto che ha fondato la sanzione è la mancata dimostrazione dei consensi prestati dagli utenti. È purtroppo un tema trito e ritrito nel settore ma sempre oggetto dell’ennesima violazione in agenda.
Come detto, la responsabilità primaria della raccolta del dato sarebbe degli editori partner di Criteo, cioè i siti ove erano stati installati i cookie e che hanno il rapporto diretto con l’utente.
Criteo, dunque, appariva solo via secondaria a ricevere i dati utente che si sarebbero dovuti basare sul consenso.
La società non ha verificato in nessun modo la liceità dei dati trasmessi dai partner, e nemmeno lo aveva imposto contrattualmente ai propri partner in maniera puntuale; in particolare, non era prevista nessuna procedura di audit da parte della società per verificare, anche solo a campione, la liceità dei dati forniti dai partner.
Ha comunque rimarcato che dopo queste osservazioni ha corretto la propria contrattualistica, ora comprensiva di una clausola relativa all’onere probatorio dei consensi.
In passato, il contratto Criteo-partner prevedeva solo una clausola generica sul rispetto della normativa, senza che fosse specificata la necessità di una prova della liceità dei consensi, inoltre la società stessa aveva ammesso di non aver mai risolto (cioè, sciolto per grave inadempimento) un accordo con i partner a causa dell’inosservanza di obblighi contrattuali, comunque privi di disciplina su eventuali controlli.
Solo dopo l’intervento istruttorio dell’autorità, la società ha avviato una campagna di audit e ha risolto alcuni contratti con i propri partner.
Ciò è tanto più importante quando la CNIL ha accertato che più della metà dei siti partner di Criteo non avesse raccolto un consenso valido. E la responsabilità sarebbe condivisa tra Criteo e partner in virtù dell’inquadramento come contitolari – su cui si dirà oltre – ragion per cui la società e i partner sono da considerare giuridicamente responsabili, entrambi, a partire dalla raccolta stessa dei dati a mezzo del cookie Criteo.
Alcuni casi emersi nell’indagine hanno rivelato persino che senza alcuna operazione di accettazione venivano scaricati cookie sui terminali degli utenti, in altri qualora fosse stato negato il consenso. La situazione generale dei partner esaminati era critica, presentando un tasso di compliance (consensi, cookie-banner ecc.) decisamente inferiore a qualsiasi attesa dell’autorità.
Giova a questo tipo di condotte, ahinoi, il fattore tecnico: ben difficilmente l’utente medio si accorgerà mai che anche senza suo consenso sono stati installati, sul proprio dispositivo, determinati cookie.
Trasparenza a singhiozzo
Il secondo aspetto censurato è quello dell’inosservanza degli obblighi di informazione e trasparenza ex artt. 12 e 13 GDPR: l’informativa di Criteo non contemplava tutte le effettive finalità per i trattamenti qui analizzati, altresì era vaga e generica, rendendo impossibile all’utente una chiara comprensione degli utilizzi dei dati. Anche qui la società è comunque intervenuta, migliorando la qualità dell’informativa.
In particolare, l’informativa pregressa era critica sotto il profilo delle basi giuridiche e della completezza delle finalità.
Per es. non veniva specificato cosa significasse “miglioramento delle proprie tecnologie e servizi”, che in realtà corrispondeva all’uso del machine learning per configurare automaticamente l’elaborazione del targeting algoritmico al fine di migliorare l’efficacia della pubblicità mirata. Questa era una finalità autonoma che avrebbe dovuto essere chiaramente comunicata agli utenti in modo trasparente. Inoltre, è stato messo in dubbio se questa finalità potesse essere correttamente considerata un interesse legittimo.
È importante notare che la CNIL ha ritenuto che i dati fossero effettivamente raccolti direttamente dalla società Criteo presso l’utente, nonostante l’utente stesse navigando su un sito web partner (che curava, o avrebbe dovuto curare, soprattutto la fase informativa e consensuale).
Infatti, le richieste dei cookie consentivano a Criteo di sapere quando un utente visitava la propria homepage, si connetteva a un account, faceva clic su una pagina di prodotto, reindirizzandolo direttamente ai propri server senza passare attraverso un altro soggetto.
Questo aspetto era erroneamente indicato nell’informativa.
Legittimo interesse: il pozzo avvelenato dal consenso?
Circa le varie finalità dichiarate di legittimo interesse, piuttosto vaghe, l’autorità effettua però un ragionamento un po’ involuto, di questo tipo: poiché la titolare non è in grado nemmeno di comprovare che la prima base giuridica – cioè il consenso – sia stata correttamente implementata e attuata, rendendo così la finalità a consenso illecita, allora anche le ulteriori, eventuali finalità di legittimo interesse, utilizzate per conservare e trattare successivamente i dati, non potranno essere considerate lecite.
Qui il ragionamento dell’autorità non è molto chiaro, visto che sembra far ruotare tutto attorno alla validità del consenso, quindi di una sola delle basi giuridiche applicabili: il che, in teoria, non necessariamente dovrebbe portare – di per sé solo – all’invalidità di altre basi giuridiche e finalità.
Il punto non è bene argomentato e lascia qualche perplessità: certo, se le ulteriori finalità sono utilizzate solo come pretesto per giustificare ex post il trattamento, è condivisibile la censura.
Però se, invece, fin dalla raccolta dei dati per tali fini le basi sono considerabili come lecite, allora non si vede perché non possano continuare a esserlo, di per sé, pur venendo meno la liceità del parallelo consenso.
Sarebbe stato meglio per l’autorità scendere più nel dettaglio nell’argomentazione di questo risvolto.
Mancato diritto d’accesso: dati incompleti e incomprensibili
Il diritto d’accesso ex art. 15 GDPR è stato frustrato dal fatto che alcuni utenti hanno richiesto copia dei propri dati, raccolti da Criteo, e, ciononostante, sono stati loro forniti solo stralci tabellari, parziali, dei database di Criteo.
Per es. tra i dati non forniti figuravano le informazioni utili per riconciliare gli identificatori di Criteo con l’identità di un utente (un numero di una carta fedeltà o l’identificativo di un dispositivo).
Anche i dati “probabilistici” avrebbero dovuto essere trasmessi, cioè quelli raccolti che potevano probabilmente ricongiungere due identificatori al medesimo utente.
Altra mancanza grave è stata il non fornire indicazioni per decifrare il contenuto tabellare estratto, piuttosto tecnico per l’utente medio. Lacuna informativa d’accesso che ora la società si è impegnata a colmare.
Diverso, ulteriore errore è stato quello del non rispettare il diritto di revoca del consenso e di cancellazione dei dati da parte degli interessati: si è accertato infatti che i processi implementati per le richieste erano improntati solamente all’interrompere la visualizzazione di annunci pubblicitari profilati.
La società non ha provveduto, come era stato domandato, a cancellare gli identificatori che aveva assegnato né gli eventi di navigazione collegati agli stessi.
Va da sé che questa condotta ha favorito Criteo, contribuendo alla sua competitività nel mercato pubblicitario targetizzato.
Ora la società garantirebbe una diretta possibilità all’utente di intervenire in tal senso, disattivando direttamente i servizi di Criteo da un pulsante presente nella privacy policy aziendale (si veda la schermata seguente su tale punto) – inoltre per ogni richiesta valuterà se i dati degli utenti potranno essere trattati effettivamente per altre finalità e quindi continuare a essere presenti nel database.
Contitolarità: non basta una stretta di mano
Infine l’autorità francese ha ravvisato gravi mancanze nell’accordo di contitolarità ex art. 26 GDPR che vigeva tra Criteo e i propri partner editori. Era sì presente ma non specificava svariati obblighi imposti dal GDPR, come per es. quanto all’esercizio dei diritti da parte di interessati, sugli obblighi di notifiche di data breach, sull’esecuzione di una valutazione di impatto ecc.
Anche su questo punto la società avrebbe rimediato aggiornando i propri accordi contrattuali. Sul fatto che si tratti di contitolarità (condivisione di fini e mezzi del trattamento tra più titolari) né CNIL né Criteo hanno sollevato dubbi, tuttavia l’autorità sembra aver affrontato il tema, nel suo provvedimento, un po’ velocemente e superficialmente: il contenuto dell’accordo, infatti, è solo genericamente delineato all’art. 26 del GDPR, le integrazioni richieste dalla CNIL avrebbero meritato una miglior argomentazione nel testo (specie se si pensa a quanto indicato dall’EDPB nelle sue linee guida 7/2020 sui ruoli privacy: la vera fonte delle prescrizioni della CNIL?).
Il provvedimento non si sofferma granché sul fatto che, trattandosi di violazioni in contitolarità, anche i partner coinvolti ne sarebbero teoricamente responsabili e sanzionabili, in misura da accertare in linea con la responsabilità solidale insita nella contitolarità.
Nondimeno si può intuire che – dato il ruolo di soggetto “forte”, che imponeva condizioni generali di massa ai propri partner, privi di potere negoziale – Criteo potrebbe essere l’unica indagata e sanzionata per queste condotte.
Fa comunque riflettere che il provvedimento menzioni l’accertamento di plurime violazioni da parte di molteplici partner e che la CNIL non chiarisca mai se, a parte, abbia avviato procedimenti separati verso tali soggetti. Il dubbio permane.
La sanzione: quasi il 2% del fatturato
Alla luce di tutte le valutazioni della CNIL, la sanzione calcolata è stata di 40 milioni di euro.
È illuminante – rispetto agli usuali procedimenti dell’autorità italiana che si attardano meno su questi aspetti – la disamina descritta nella sua computazione, dove sono stati valutati i tanti fattori aggravanti come per es. il numero elevato di persone coinvolte (si parla di circa 370 milioni di identificatori acclarati).
La CNIL sostiene che la sanzione infine proposta (in prima battuta era maggiore, di 60 milioni) sia adeguata rispetto a quella massima prevista dall’articolo 83 GDPR (che sarebbe del 4%), mentre Criteo l’aveva contestata facendo un confronto con precedenti sanzioni della stessa autorità contro Google e Facebook, in materia di cookie, e che avevano raggiunto al massimo lo 0,07% circa del fatturato complessivo delle società.
Invece, nel caso di Criteo la sanzione è stata commisurata a circa il 2% del suo fatturato, giustificata dall’autorità, come detto, dai plurimi fattori di gravità accertati. Ricordando che peraltro l’importo punitivo può essere superiore al profitto generato dal titolare con la sua condotta, nella misura in cui ciò sia necessario per garantire l’effetto dissuasivo della sanzione.
Oltre a calcare sul tipo di trattamento illecito accertato: su vasta scala, massiccio e intrusivo – il provvedimento riporta che Criteo arriverebbe a registrare 35 miliardi di eventi al giorno relativi alla navigazione e allo shopping, in tutto il mondo.
Resta comunque non acclarabile dal provvedimento in esame quali siano gli esatti fattori di discrimine per il diverso parametrare delle sanzioni CNIL verso Google e Facebook/Meta.
Non si sa se e quanto la severa presa di posizione dell’autorità francese possa leggersi come un indirizzo afflittivo condiviso da parte delle altre autorità di controllo, italiana compresa.
Certamente si può notare come le protratte violazioni (ricordiamo che i fatti del caso Criteo decorrono fin dal 2018) siano sempre meno tollerate, specie su versanti come quelli delineati, quasi tutti oggetto di plurimi provvedimenti e indirizzi correttivi da parte dei controllori.
Lamentare ignoranza delle condotte censurate in questi casi è sempre più insostenibile, così come interpretazioni “fantasiose” della normativa.
E pertanto anche le sanzioni applicabili potranno risuonare con maggiore vigore.
