El pasado mes de junio, la autoridad francesa de protección de la intimidad (CNIL) multó al gigante francés de la tecnología publicitaria Criteo con 40 millones de euros por no respetar el consentimiento de los usuarios al seguimiento. En diciembre, el Tribunal de Distrito de Ámsterdam también dictó una sentencia contra Criteo, confirmada posteriormente en apelación.
Estos casos son importantes. Criteo es una gran multinacional de tecnología publicitaria que controla datos personales de millones de internautas. Pero lo más importante es que el razonamiento que subyace a la decisión se aleja del pasado y puede muy bien provocar olas en varias industrias, incluidas la tecnología publicitaria y la analítica web,
A continuación se explica en qué consisten los casos y por qué podrían abrir nuevas oportunidades de actuación contra el rastreo ilegal.
- ¿En qué consisten los casos?
- ¿Quién debe gestionar el consentimiento?
- La "doctrina Criteo": una mirada más profunda
- Controladores conjuntos
- El reparto de responsabilidades
- La protección efectiva de los derechos
- ¿Qué significa esto para la analítica web?
- Palabras finales
¿En qué consisten los casos?
Hasta el momento, hay tres decisiones en contra de Criteo:
- dos ONG de protección de la intimidad (Privacy International y noyb) presentaron una denuncia ante el organismo francés de control de la intimidad (CNIL) alegando que los sitios web estaban colocando ilegalmente cookies de Criteo. Esta denuncia se resolvió en junio de 2023 y dio lugar a una multa de 40 millones de euros para la empresa
- un ciudadano neerlandés presentó el mismo caso ante el Tribunal de Distrito de Ámsterdam, lo que dio lugar a una orden de detener la colocación de cookies y eliminar los datos ya recogidos
- la decisión del Tribunal de Distrito fue confirmada posteriormente en apelación.
Todos los casos giran en torno al uso no autorizado de cookies de rastreo. Varios sitios web populares utilizaron las cookies de Criteo con fines publicitarios. Esto se hizo sin consentimiento, infringiendo el RGPD y la Directiva sobre privacidad y comunicaciones electrónicas.
Parecen casos estándar de cookies: alguien se dio cuenta de que le rastreaban sin su consentimiento, emprendió acciones legales y ganó. Pero lo que hace que estos casos sean especiales es que fueron los sitios web, y no Criteo, los que colocaron las cookies. Criteo fue considerado responsable de las cookies escritas por sus clientes, y esto es un gran, gran problema.
¿Quién debe gestionar el consentimiento?
Es muy común que los proveedores de tecnología publicitaria y servicios de análisis web "descarguen" el trabajo de cumplimiento a sus clientes, es decir, a los sitios web que utilizan el servicio.
Por ejemplo, supongamos que su sitio web utiliza Google Analytics. Google Analytics utiliza cookies de seguimiento, que requieren consentimiento conforme a la legislación de la UE. Esto no es problema de Google: según las condiciones de servicio de Google Analytics, depende de usted implementar Google Analytics de forma conforme (lo que incluye asegurarse de que sólo escribe cookies después de que los visitantes las acepten). Si lo hace mal , estará infringiendo la ley, no Google.
Este reparto de responsabilidades es una de las razones por las que Internet se ha convertido en un pozo negro de rastreo ilegal. Gigantes de la tecnología publicitaria como Google y Meta proporcionan a Internet potentes e invasivas herramientas de rastreo, pero no se les puede exigir responsabilidades por su uso indebido. Así pues, los usuarios y los defensores de la privacidad sólo pueden luchar contra el rastreo persiguiendo a sitios web concretos, en un interminable y en gran medida inútil juego de la lotería.
Las decisiones contra Criteo abren nuevas vías de acción legal. La CNIL y los tribunales han dicho alto y claro que Criteo -un gigante de la publicidad con innumerables socios- no puede lavarse las manos de las obligaciones legales que conlleva el uso de cookies. Criteo es responsable de lo que sus clientes hacen con sus cookies, aunque Criteo no haya hecho nada, o mejor dicho, porque no ha hecho nada para contrarrestar el previsible abuso de las cookies de Criteo.
Es pronto para saber si esta línea de razonamiento ganará impulso a nivel europeo. Pero hay razones para ser optimistas: la CNIL es una autoridad muy respetada que suele dar ejemplos influyentes a otros reguladores. Además, los defensores de la privacidad (como los implicados en el caso de la CNIL) son muy conscientes del potencial de las decisiones contra Criteo y seguramente intentarán aprovechar este potencial en futuros litigios.
En resumen: los casos no se convertirán necesariamente en un precedente influyente a nivel de la UE, pero existe una posibilidad muy real de que lo hagan y proporcionen a los defensores de la privacidad una poderosa herramienta legal contra el rastreo.
La "doctrina Criteo": una mirada más profunda
En pocas palabras, esta es la razón por la que los fundamentos de los casos Criteo son importantes. Pero, ¿en qué consiste exactamente este razonamiento y cómo encaja en el RGPD?
En pocas palabras, la "doctrina Criteo" -por así decirlo- dice que los corresponsables del tratamiento deben asignar las obligaciones de cumplimiento de una manera que proteja eficazmente los derechos de privacidad. Es mucho que digerir, así que vamos a desglosarlo.
Controladores conjuntos
Explicar el concepto de corresponsabilidad en términos rigurosos requeriría un blog propio. En pocas palabras, el control conjunto es la situación en la que dos o más entidades manejan datos conjuntamente, y todas tienen voz y voto en lo que ocurre con los datos. Así, si dos empresas son controladoras conjuntas, ambas deciden qué datos se recogen, por qué se recogen, cómo se procesan, etcétera.
Este era el tipo de relación que Criteo mantenía con sus clientes. De hecho, la empresa nunca afirmó lo contrario.
El reparto de responsabilidades
El control conjunto plantea un problema: todos los responsables conjuntos tienen obligaciones en virtud del RGPD, pero ¿quién tiene que cumplir exactamente cuáles? En otras palabras, ¿cómo se reparten las obligaciones de cumplimiento entre los responsables conjuntos?
La solución del RGPD es permitir a los corresponsables asignar estas responsabilidades como prefieran, siempre que aclaren esta asignación en un contrato legal denominado acuerdo de corresponsabilidad.
En la práctica, cuando surge un problema jurídico con los responsables conjuntos, los abogados y los reguladores recurren al acuerdo de control conjunto para saber quién debe hacer qué: por ejemplo, la empresa A es la única responsable de gestionar el consentimiento, mientras que la empresa B es la única responsable de gestionar la base de datos y notificar las violaciones de datos.
Las ventajas de este sistema son evidentes. Los responsables del tratamiento de datos pueden asignar las obligaciones de cumplimiento de forma eficaz porque saben exactamente cómo contribuye cada parte al tratamiento de los datos. Por ejemplo: si la empresa B controla la base de datos, tiene sentido que sea la responsable de notificar las violaciones de datos. Del mismo modo, si la empresa A tiene un contacto directo con el interesado (es decir, las personas cuyos datos se están tratando), mientras que la empresa B no, entonces tiene sentido que la empresa A recoja y gestione el consentimiento.
El inconveniente de este sistema de asignación es que puede fallar. Y en el caso del seguimiento en línea, falla sistemáticamente
La protección efectiva de los derechos
Innumerables sitios web abusan de las cookies o los píxeles para rastrearle sin su consentimiento. Esto es ilegal, pero no se puede actuar contra proveedores como Google o Meta porque dejan en manos del cliente el cumplimiento de la ley de protección de datos. Tampoco se puede actuar contra todos y cada uno de los sitios web que le rastrean, ¡son demasiados!
La**"doctrina Criteo" proporciona un respaldo contra este fracaso**. Reconoce que el RGPD permite a las empresas asignar responsabilidades como quieran, pero también sostiene que la asignación de responsabilidades debe proteger eficazmente los derechos sobre los datos.
Así pues, los corresponsables del tratamiento pueden asignar responsabilidades como quieran, pero la consecuencia de esta discrecionalidad es que deben encontrar una asignación que proteja los derechos de privacidad o, como mínimo, que no fracase de forma espectacular y sistemática. Aquí es donde los reguladores trazan una línea y responsabilizan a ambos controladores de las infracciones, independientemente de lo que digan sus documentos legales.
¿Qué significa esto para la analítica web?
La "doctrina Criteo" tiene muchas consecuencias importantes, algunas de las cuales son difíciles de prever. En lo que respecta específicamente a la publicidad y la analítica web, la doctrina significa que los proveedores deben preocuparse mucho más por la forma en que se utilizan sus herramientas en la práctica, y tomar medidas para combatir los abusos.
Esto es lo que los reguladores exigieron a Criteo: se ordenó a la empresa que tomara medidas para garantizar que se recogía un consentimiento válido, en lugar de tomar al pie de la letra la promesa del cliente. En otras palabras, se exigió a Criteo que auditara a sus socios mejor de lo que ya lo hacía (lo cual no es un listón demasiado alto).
Auditar el cumplimiento parece complicado, y normalmente lo es. Pero cuando se trata del uso de cookies, los controles automatizados de los proveedores podrían eliminar muchas infracciones. Sin duda, los controles automáticos no detectarían todos los incumplimientos, pero serían un buen comienzo y demostrarían que los proveedores se toman en serio sus responsabilidades.
Además de mejorar las auditorías, los proveedores tendrían que documentar el consentimiento del usuario. Esto es más difícil de lo que parece: documentar el consentimiento puede ser bastante complicado, sobre todo cuando los flujos de datos ya están en marcha y manejan enormes cantidades de datos personales.
Pero el significado general de Criteo importa más que las obligaciones específicas impuestas. Los proveedores menos respetuosos con la privacidad, como Google Analytics y Meta, tendrían que tomar medidas para garantizar que no se abusa sistemáticamente de sus servicios (como ocurre hoy en día). En caso de que no lo hicieran, los defensores de la privacidad de los consumidores podrían exigirles responsabilidades actuando directamente contra ellos en lugar de verse obligados a jugar a la ruleta contra todo Internet.
Palabras finales
Merece la pena destacar una vez más que la "doctrina Criteo" ha sido defendida hasta ahora por dos reguladores: la CNIL y los tribunales holandeses. Todavía está por ver si cogerá impulso.
También hay que señalar que la doctrina no está exenta de inconvenientes. Rastrear y documentar el consentimiento no es tarea fácil para un responsable del tratamiento de datos, especialmente cuando los sistemas que procesan los datos ya están en funcionamiento. La doctrina aumentaría la carga de cumplimiento para muchas empresas, incluidas las que tratan los datos de forma adecuada y no invasiva.
Creemos que los pros superan a los contras. La externalización del cumplimiento a clientes individuales permite a muchos servicios que invaden la privacidad escudarse en sus condiciones de servicio o en acuerdos de control conjunto. La "doctrina Criteo" podría ser la herramienta que necesitamos para exigirles responsabilidades en nuestra lucha por una Internet mejor.
En Simple Analytics no nos gusta el rastreo. Creemos que no es ético, que es invasivo y que hace de Internet un lugar peor. Por eso hemos creado Simple Analytics: un servicio de análisis web 100% libre de rastreo que no recoge ni un solo dato personal. Si esto le parece bien, ¡no dude en probarlo!