Acabou o armazenamento de cookies fora do âmbito do RGPD? O Conselho de Estado, o mais alto tribunal administrativo, validou na quarta-feira, 4 de março, a pesada multa de 40 milhões de euros imposta à Criteo, especialista em publicidade direcionada, em 2023.
Demorou sete anos até que uma decisão judicial encerrasse definitivamente o caso Criteo, batizado em homenagem a este gigante publicitário acusado de ter recolhido, ilegalmente, dados pessoais de 50 milhões de franceses e 370 milhões de europeus. Numa decisão de quarta-feira, 4 de março, o Conselho de Estado, o mais alto tribunal administrativo, confirmou a pesada multa aplicada em 2023 à empresa francesa.
Três anos antes, a Comissão Nacional para as Tecnologias de Informação e as Liberdades (Cnil), a autoridade francesa responsável pela protecção da vida privada, tinha multado o especialista em publicidade online em 40 milhões de euros devido a cinco violações do GDPR, o regulamento europeu sobre dados pessoais. O valor foi considerado desproporcional pelo principal interessado, que recorreu… em vão.
Leia também: Criteo multada em 40 milhões de euros: um alerta para todos aqueles que comercializam seus dados
Dados não suficientemente pseudonimizados?
Perante o Conselho de Estado, a empresa especializada em direcionamento publicitário explicou, entre outras coisas, que as suas práticas de recolha de dados não se enquadravam no âmbito do RGPD, porque os dados tratados eram pseudonimizados: não deveriam, portanto, ser considerados dados pessoais. Mas, de acordo com o mais alto tribunal administrativo, a pseudonimização não foi eficaz aqui porque foi possível identificar pessoas com base em identificadores da Criteo – números atribuídos aos utilizadores da Internet cujos dados foram recolhidos.
“ Pelo menos algumas das pessoas envolvidas foram identificáveis, sem envolver esforços desproporcionais em termos de tempo, custo e mão-de-obra. », escreve o Conselho de Estado. “ Uma grande quantidade de informações, às vezes muito precisas, pode ser coletada e cruzada para um determinado identificador “, como localização geográfica, atividade de navegação como sites visitados, compras realizadas, anúncios visualizados e aqueles que resultaram em compra, detalha ainda o mais alto tribunal administrativo.
Uma decisão que soa como o sinal de morte para o “laisser-faire” em termos de recolha de dados pessoais na Web
Na origem desta sanção, a associação britânica Privacy International atacou sete empresas em novembro de 2018, incluindo a Criteo. Na sua opinião, a ONG deplorou as “recolhas de dados em grande escala” realizadas em violação do RGPD, que entrou em vigor no mesmo ano. Um mês depois, a NOYB, associação de direitos digitais de Max Schrems, apresentou uma queixa semelhante. O RGPD impõe uma série de obrigações de informação e transparência a todas as empresas que recolhem os nossos dados pessoais e que depois os revendem para fins publicitários.
Leia também: Verifique a idade dos internautas? É perigoso e ineficaz, segundo esses pesquisadores
Em 2023, a pesada multa imposta pela CNIL foi analisada como uma mensagem forte, que soou a sentença de morte do “laisser-faire” em termos de recolha de dados pessoais na Web. Lucie Audibert, advogada da Privacy International, estimou então que seria o momento em que “ as empresas construíram cadeias de dados gigantescas, sem procurar garantir que os utilizadores visados tivessem consentido que as suas informações privadas fossem trocadas como uma mercadoria » desapareceu.
Um ponto de vista que parece ser partilhado pelo Conselho de Estado que, na sua decisão, recorda o grande número de pessoas afetadas pela recolha ilícita de dados pessoais (370 milhões de utilizadores na União Europeia, incluindo 50 milhões de franceses). No entanto, a Criteo é uma “ importante player no setor de serviços de publicidade na Internet » quem “tem obteve lucro direto com as violações identificadas, na medida em que estas lhe permitiram ser remunerado por anunciantes que difundiram publicidade direcionada a pessoas que não teriam necessariamente consentido se o seu consentimento tivesse sido obtido previamente”, sublinha o mais alto tribunal administrativo, que confirma a sanção.
Esta confirmação ocorre no momento em que a Criteo anunciou, alguns dias antes, que havia aderido ao programa piloto de publicidade do ChatGPT, agente conversacional da OpenAI. Se o anúncio estiver por enquanto limitado ao mercado norte-americano, a sua possível e provável chegada a solo europeu, que marcará a chegada da publicidade nos chatbots de IA, será escrutinada de perto pelas autoridades de proteção de dados pessoais.
Leia também: OpenAI (ChatGPT) condenado pela primeira vez na Europa a pesada multa, na área de dados pessoais
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.