A autoridade francesa de privacidade (CNIL) multou a empresa de ad tech Criteo em 40 milhões de euros por não garantir o consentimento válido dos usuários para cookies de rastreamento. Tribunais holandeses emitiram decisões separadas contra a empresa. Essas decisões estabelecem uma doutrina legal potencialmente transformadora: provedores de ad tech podem ser responsabilizados pela forma como seus parceiros usam ferramentas de rastreamento, mesmo quando esses parceiros são responsáveis pela coleta do consentimento.

O Problema com a Responsabilização Atual

É prática padrão para provedores de ad tech e analytics transferir as obrigações de consentimento para seus clientes -- os sites que implantam as ferramentas de rastreamento. Quando o consentimento está ausente ou é inválido, o site individual assume a responsabilidade legal, não o provedor de tecnologia. Isso cria um sistema onde os provedores fornecem infraestrutura de rastreamento invasiva em milhões de sites, mas não enfrentam consequências quando essa infraestrutura é sistematicamente mal utilizada.

O resultado é uma internet onde o rastreamento ilegal é generalizado, mas a fiscalização significativa é impraticável porque reguladores e indivíduos só podem perseguir sites individuais em um jogo interminável de fiscalização.

A "Doutrina Criteo"

A CNIL e os tribunais holandeses estabeleceram que controladores conjuntos de dados não podem alocar responsabilidades de conformidade de maneiras que sistematicamente falham em proteger os direitos de privacidade. Embora o GDPR permita que controladores conjuntos dividam obrigações por meio de acordos, essa discrição exige encontrar uma alocação que realmente funcione na prática.

A Criteo foi responsabilizada por cookies colocados por seus sites parceiros porque a empresa não tomou medidas razoáveis para verificar se o consentimento foi devidamente coletado. Em vez de aceitar as garantias dos parceiros pelo valor de face, as decisões exigem que os provedores auditem seus parceiros e implementem mecanismos para garantir a conformidade.

Implicações para a Indústria de Ad Tech e Analytics

Se esse raciocínio ganhar tração no nível europeu, os principais provedores de analytics e publicidade precisarão garantir ativamente que suas ferramentas não sejam sistematicamente implantadas sem consentimento válido. Isso pode incluir verificações automatizadas de conformidade, requisitos de documentação de consentimento e processos de auditoria de parceiros.

O mais importante é que consumidores e defensores da privacidade poderão responsabilizar diretamente os provedores de tecnologia, em vez de serem forçados a perseguir sites individuais. A CNIL é uma autoridade respeitada cujas decisões frequentemente influenciam outros reguladores, tornando plausível que essa doutrina se expanda além da França e da Holanda.