¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsent
mobileCta.note
Criteo es una empresa francesa de adtech que cotiza en el Nasdaq (CRTO) con sede en París, líder europeo del retargeting programático. Su pixel OneTag instala cookies de terceros para seguir a los usuarios entre sitios y mostrar publicidad personalizada. La CNIL multó a Criteo con 40 millones de euros en junio de 2023 por incumplimientos del RGPD, lo que lo convierte en uno de los proveedores con mayor riesgo sin un flujo de consentimiento estrictamente conforme.
Criteo S.A. es una empresa francesa de adtech cotizada en el Nasdaq (CRTO), fundada en 2005 en París y durante mucho tiempo líder europeo del retargeting personalizado y del commerce media. Su píxel OneTag está desplegado en más de 20 000 e commerce en todo el mundo para reconocer a los visitantes entre editores y mostrar banners dinámicos basados en los productos vistos recientemente. Criteo es vendedor IAB TCF v2.2 registrado (vendor ID 91) y opera en programmatic a través de socios del ecosistema Open RTB.
Criteo instala cookies de terceros en criteo.com y criteo.net: uid (12 meses) es el identificador entre sitios, optout (5 años) almacena la señal de exclusión, tid (1 mes) el contexto de segmentación y dyn_user_match (6 meses) gestiona el cookie syncing con socios de puja. Criteo también lee los eventos de navegación de producto (ID, categoría, precio, divisa), las búsquedas y las conversiones, y los combina con las señales de los editores mediante cookie syncing. Con el fin previsto de las cookies de terceros, Criteo se apoya también en su First Party Universal Token, en el correo electrónico cifrado SHA256 y en las API Privacy Sandbox de Google.
En junio de 2023, la CNIL francesa sancionó a Criteo con 40 millones de euros por falta de prueba del consentimiento, falta de transparencia en la información, vulneración parcial de los derechos de los interesados (acceso, retirada, supresión) y contratos de encargo incompletos con sus partners comerciales (deliberación SAN 2023 009). La decisión aplica la doctrina estricta de la CNIL, según la cual el responsable no puede apoyarse únicamente en la cadena IAB TCF para demostrar el consentimiento, sino que debe almacenar su propia prueba. Cualquier sitio que incorpore el OneTag debe poder demostrar, visitante por visitante, que el consentimiento se obtuvo antes del disparo de la etiqueta.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
El OneTag y las cookies que instala están sujetos estrictamente al artículo 5(3) de la Directiva ePrivacy y requieren el consentimiento previo explícito del artículo 6(1)(a) RGPD. El interés legítimo del artículo 6(1)(f) no está disponible para la publicidad conductual entre sitios, como han confirmado el CEPD y la CNIL. La CMP debe bloquear el OneTag antes del consentimiento, configurar la categoría publicidad como opt in, conservar la prueba del consentimiento durante al menos 13 meses y transmitir la cadena IAB TCF v2.2 a Criteo. El botón rechazar debe tener el mismo peso visual que el botón aceptar.
Gestione el Criteo OneTag a través de una CMP que bloquee los scripts de terceros antes del consentimiento (CookieFirst, Didomi, Iubenda, Axeptio, Cookiebot, Usercentrics, Klaro). Active el vendor IAB TCF v2.2 número 91 en la CMP, transmita la cadena TCF a Criteo, conserve la prueba del consentimiento durante al menos 13 meses y documente la ponderación del interés legítimo en el registro de actividades de tratamiento. Para despliegues server side, utilice la Criteo Conversions API solo con consentimiento explícito y pase la señal de consentimiento en cada carga de evento.
Websites using Criteo must obtain user consent under GDPR regulations.
DPIA considerations
El retargeting de Criteo es un tratamiento de alto riesgo en el sentido del artículo 35 RGPD y de la lista del CEPD: seguimiento a gran escala del comportamiento entre sitios, intercambio transfronterizo dentro de la cadena programática y elaboración de perfiles publicitarios que pueden afectar a los interesados. Se recomienda encarecidamente una EIPD; documente la prueba del consentimiento, el registro como proveedor IAB TCF v2.2 (vendor 91) y el contrato con Criteo S.A.
Sample consent text
Este sitio utiliza Criteo para mostrarle publicidad personalizada basada en su navegación. Criteo, empresa francesa cotizada, instala cookies de terceros que identifican su navegador entre sitios y permiten construir un perfil publicitario. Criteo solo se activa tras aceptar la categoría publicidad y puede retirar su consentimiento en cualquier momento.
Third-party domains contacted
static.criteo.netsslwidget.criteo.comdis.criteo.comdis.eu.criteo.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| uid | third_party | 12 months | Unique cross site identifier assigned by Criteo. Used to recognise the browser across publishers in the programmatic ecosystem and to build the retargeting profile. |
| tid | third_party | 1 month | Targeting context cookie storing the latest browsed product and campaign signals to compute the optimal ad to display. |
| dyn_user_match | third_party | 6 months | Cookie syncing identifier shared with bidding partners (Open RTB) to align user IDs across DSPs and SSPs in real time auctions. |
| optout | third_party | 5 years | Stores the user opt out preference. Set when the visitor uses the IAB TCF opt out signal or the Criteo specific opt out page. |
Criteo instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Criteo instala cookies de terceros en criteo.com y criteo.net: uid (12 meses) como identificador entre sitios, tid (1 mes) como contexto de segmentación, dyn_user_match (6 meses) para el cookie syncing con socios de puja y optout (5 años) para la señal de exclusión. Sin estas cookies, el retargeting de Criteo no puede funcionar.
Sí, se requiere consentimiento previo explícito conforme al artículo 6(1)(a) RGPD y al artículo 5(3) de la Directiva ePrivacy. Las cookies de Criteo son cookies publicitarias puras de retargeting entre sitios y no pueden apoyarse en el interés legítimo, como han confirmado la CNIL y el CEPD.
Únicamente el consentimiento (artículo 6(1)(a) RGPD). La deliberación CNIL SAN 2023 009 de junio de 2023 confirmó que el retargeting de Criteo exige un consentimiento explícito y demostrable, y sancionó a Criteo con 40 millones de euros por falta de prueba del consentimiento y vulneración de derechos.
Criteo tiene su sede en París pero opera una infraestructura programática mundial. Las solicitudes de puja con señales de usuario pueden ser procesadas por socios fuera del EEE. Las cláusulas contractuales tipo están firmadas y se referencia el Data Privacy Framework UE Estados Unidos cuando procede; se recomienda un análisis de impacto Schrems II.
Sí. El retargeting de Criteo es un tratamiento de alto riesgo (seguimiento conductual a gran escala, perfilado, intercambio transfronterizo) y la CNIL y el CEPD recomiendan encarecidamente una EIPD. Documente el flujo de consentimiento, la inscripción IAB TCF vendor 91, el contrato con Criteo S.A. y los 13 meses de conservación de la prueba.
Bloquee el Criteo OneTag en una CMP, active el vendor IAB TCF v2.2 número 91, transmita la cadena TCF a Criteo, conserve la prueba del consentimiento al menos 13 meses, configure un botón rechazar con el mismo peso visual y utilice la Conversions API server side solo con consentimiento. Documente la ponderación del interés legítimo en el registro de actividades de tratamiento.
Alternativas programáticas europeas: RTB House (Polonia), AdUp (Alemania, contextual), Smartclip (Alemania) y plataformas contextuales como Seedtag (España) y Outbrain Engage (Israel). Alternativas privacy first: retargeting first party server side mediante una CDP (Snowflake, Twilio Segment) combinado con retargeting por correo electrónico.
Liste a Criteo explícitamente como encargado publicitario en su política de cookies, enlace a la política de Criteo en https://www.criteo.com/privacy, declare la inscripción IAB TCF vendor 91, documente el mecanismo de transferencia internacional y actualice la política cuando cambien la lista de cookies o los dominios de Criteo.