La autoridad francesa de privacidad (CNIL) multó a la empresa de ad tech Criteo con 40 millones de euros por no garantizar el consentimiento válido de los usuarios para las cookies de rastreo. Los tribunales holandeses emitieron sentencias separadas contra la empresa. Estas decisiones establecen una doctrina legal potencialmente transformadora: los proveedores de ad tech pueden ser responsabilizados por cómo sus socios utilizan las herramientas de rastreo, incluso cuando dichos socios son los encargados de recopilar el consentimiento.

El problema con la responsabilidad actual

Es práctica habitual que los proveedores de ad tech y analítica deleguen las obligaciones de consentimiento a sus clientes, los sitios web que implementan las herramientas de rastreo. Cuando el consentimiento falta o no es válido, el sitio web individual asume la responsabilidad legal, no el proveedor de tecnología. Esto crea un sistema en el que los proveedores suministran infraestructura de rastreo invasiva en millones de sitios web, pero no enfrentan consecuencias cuando esa infraestructura se utiliza de forma sistemáticamente abusiva.

El resultado es un internet donde el rastreo ilegal es generalizado, pero la aplicación efectiva de la ley resulta impracticable porque los reguladores y los individuos solo pueden perseguir a sitios web individuales en un juego interminable de enforcement.

La "Doctrina Criteo"

La CNIL y los tribunales holandeses establecieron que los corresponsables del tratamiento de datos no pueden asignar responsabilidades de cumplimiento de maneras que sistemáticamente no protejan los derechos de privacidad. Si bien el RGPD permite a los corresponsables dividir las obligaciones mediante acuerdos, esta discrecionalidad requiere encontrar una asignación que funcione en la práctica.

Criteo fue considerada responsable de las cookies colocadas por los sitios web de sus socios porque la empresa no tomó medidas razonables para verificar que el consentimiento se recopilara correctamente. En lugar de aceptar las garantías de los socios al pie de la letra, las sentencias exigen que los proveedores auditen a sus socios e implementen mecanismos para asegurar el cumplimiento.

Implicaciones para la industria del ad tech y la analítica

Si este razonamiento gana tracción a nivel europeo, los principales proveedores de analítica y publicidad deberían asegurarse activamente de que sus herramientas no se implementen sistemáticamente sin un consentimiento válido. Esto podría incluir verificaciones automatizadas de cumplimiento, requisitos de documentación de consentimiento y procesos de auditoría de socios.

Lo más importante es que los consumidores y defensores de la privacidad podrían responsabilizar directamente a los proveedores de tecnología en lugar de verse obligados a perseguir sitios web individuales. La CNIL es una autoridad respetada cuyas decisiones a menudo influyen en otros reguladores, lo que hace plausible que esta doctrina se extienda más allá de Francia y los Países Bajos.