L’Autorità Garante della Concorrenza e del Mercato ha sanzionato Apple Inc., Apple Distribution International Ltd e Apple Italia S.r.l. per abuso di posizione dominante ex articolo 102 TFUE nel mercato della fornitura di piattaforme per la distribuzione di app iOS tramite App Store, irrogando una sanzione di oltre 98 milioni di euro.
L’istruttoria, condotta in coordinamento con Commissione europea, altre Autorità nazionali e Garante per la protezione dei dati personali, ha riguardato la policy App Tracking Transparency (ATT), introdotta da aprile 2021 su iOS, che subordina il tracciamento a un “ATT prompt” standardizzato per il consenso alla profilazione pubblicitaria. L’ATT viene valutata sul crinale tra concorrenza e protezione dati : da un lato l’interesse alla tutela della privacy degli utenti; dall’altro, l’impatto sulle condizioni di accesso ai dati per sviluppatori e ad–tech, essenziali per la pubblicità personalizzata. Il provvedimento dell’AGCM valorizza: ruolo del consenso alla profilazione, che deve essere libero, specifico e distinto da altre finalità, secondo il GDPR; criticità dell’ATT prompt : per gli sviluppatori terzi l’interfaccia obbligatoria è ritenuta insufficiente a coprire tutti i trattamenti, costringendo alla duplicazione delle richieste di consenso, con effetti depressivi sui tassi di opt‑in e distorsione a favore delle attività pubblicitarie di Apple stessa; sproporzionalità delle restrizioni rispetto all’obiettivo di privacy by design, e compressione ingiustificata della possibilità per sviluppatori, inserzionisti e piattaforme di intermediazione di raccogliere, combinare e utilizzare dati per advertising basato sui comportamenti, pur nel perimetro del GDPR. Di fatto, una misura presentata come rafforzamento della protezione dei dati è stata, invece, ritenuta dall’Autorità un uso distorto della posizione dominante nell’ecosistema iOS , in quanto incide selettivamente sull’accesso ai dati da parte di terzi, alterando le condizioni concorrenziali nell’advertising online. Sul piano pratico, per operatori e consulenti, ciò implica che l’architettura delle scelte privacy non può essere progettata guardando solo al perimetro del GDPR: occorre verificare che le restrizioni sui dati siano realmente necessarie e proporzionate rispetto agli obiettivi di tutela, e non producano, nella sostanza, un rafforzamento ingiustificato del potere di mercato del titolare–piattaforma.
Provvedimento dell'Antitrust