NEWS

La privacy non può essere un alibi: cosa ci insegna la sanzione AGCM ad Apple

La recente sanzione di 98,6 milioni di euro inflitta dall'Autorità Garante della Concorrenza e del Mercato ad Apple il 22 dicembre 2025 apre uno scenario giuridico affascinante e per certi versi paradossale: una funzionalità concepita per tutelare la privacy degli utenti viene contestata proprio perché, nel modo in cui è stata implementata, produce effetti anticoncorrenziali.

La vicenda dell'App Tracking Transparency rappresenta un caso emblematico di come il diritto della concorrenza e il diritto alla protezione dei dati personali possano entrare in una tensione dialettica che richiede un'attenta opera di bilanciamento.

L'istruttoria, avviata il 2 maggio 2023 su segnalazione di Meta, si è conclusa con l'accertamento di una violazione dell'articolo 102 del Trattato sul Funzionamento dell'Unione Europea, che vieta l'abuso di posizione dominante. L'AGCM ha condotto un'indagine complessa, operando in coordinamento con la Commissione europea, altre autorità nazionali della concorrenza e, significativamente, con il Garante per la Protezione dei Dati Personali italiano. Questo coinvolgimento trasversale testimonia la natura ibrida della questione, che si colloca all'intersezione tra tutela della concorrenza e protezione della privacy.

Il meccanismo contestato - L'App Tracking Transparency, introdotta con iOS 14.5 nell'aprile 2021, impone alle applicazioni di terze parti di richiedere un consenso esplicito prima di tracciare l'attività dell'utente attraverso app e siti web per finalità pubblicitarie. In sé, l'obiettivo è lodevole e perfettamente allineato con i principi del GDPR. Tuttavia, il nodo problematico individuato dall'AGCM risiede nelle modalità tecniche di implementazione.

Gli sviluppatori terzi sono obbligati ad acquisire il consenso attraverso una schermata imposta da Apple, il cosiddetto ATT prompt. Questo prompt, però, non soddisfa autonomamente i requisiti previsti dalla normativa europea sulla privacy, costringendo di fatto gli sviluppatori a richiedere il consenso una seconda volta attraverso i propri meccanismi conformi al GDPR.

Si crea così una duplicazione degli adempimenti che grava esclusivamente sugli operatori esterni all'ecosistema Apple, mentre l'azienda di Cupertino può gestire i propri servizi con un unico passaggio di consenso.

La sproporzione come elemento discriminante - L'Autorità antitrust ha chiarito un punto fondamentale: non viene messa in discussione la legittimità dell'obiettivo di proteggere la privacy degli utenti. Ciò che si contesta è la sproporzione dei mezzi rispetto al fine dichiarato. Apple avrebbe potuto garantire lo stesso livello di tutela della privacy prevedendo la possibilità, per gli sviluppatori, di ottenere il consenso alla profilazione in un'unica soluzione. La scelta di imporre un sistema che richiede una doppia autorizzazione per i terzi, ma non per sé stessa, configura un trattamento discriminatorio che altera le condizioni di concorrenza nel mercato della pubblicità mobile.

Dal momento che i dati degli utenti costituiscono l'elemento fondamentale su cui si basa la pubblicità online personalizzata, l'inevitabile duplicazione delle richieste di consenso indotta dalle modalità di implementazione dell'ATT causa un pregiudizio concreto agli sviluppatori che basano il proprio modello di business sulla vendita di spazi pubblicitari, nonché agli inserzionisti e alle piattaforme di intermediazione pubblicitaria.

(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)

Un orientamento europeo consolidato - La decisione italiana non rappresenta un caso isolato. Nel marzo 2025, l'Autorità garante della concorrenza francese aveva già inflitto ad Apple una sanzione di 150 milioni di euro per le medesime condotte, rilevando come l'ATT policy non fosse necessaria né proporzionata rispetto agli obiettivi dichiarati di protezione dei dati personali. A febbraio 2025, anche l'Autorità garante della concorrenza tedesca aveva emesso una valutazione preliminare di condanna, stabilendo che Apple aveva abusato della sua posizione dominante imponendo regole asimmetriche. Indagini analoghe sono in corso in Polonia e Romania.

Emerge dunque un orientamento europeo convergente: le autorità antitrust non contestano la tutela della privacy in quanto tale, ma l'utilizzo strumentale di meccanismi apparentemente pro-privacy per conseguire vantaggi competitivi. È la differenza tra proteggere l'utente e proteggere la propria quota di mercato sotto il vessillo della privacy.

Un equilibrio difficile ma necessario - Apple ha annunciato che presenterà ricorso, sostenendo che l'ATT garantisce un elevato livello di trasparenza e controllo agli utenti e che la decisione ignora le importanti tutele della privacy a favore di aziende che desiderano un accesso senza restrizioni ai dati personali. L'azienda ha persino minacciato di ritirare la funzionalità dal mercato europeo, qualificando le azioni delle autorità come frutto di intense attività di lobbying.

Al di là delle posizioni delle parti, la vicenda solleva interrogativi profondi sul rapporto tra diritto della concorrenza e protezione dei dati. Il GDPR e l'AI Act pongono la tutela della persona al centro dell'ordinamento digitale, ma questo non significa che qualsiasi misura etichettata come pro-privacy sia automaticamente legittima.

L'abuso di posizione dominante può manifestarsi anche attraverso l'imposizione di oneri sproporzionati mascherati da tutele.

Il principio di proporzionalità, cardine del diritto europeo, impone che le restrizioni alla libertà economica siano necessarie e adeguate rispetto agli obiettivi perseguiti. Quando un operatore dominante impone requisiti più gravosi ai concorrenti di quelli che applica a sé stesso, invocando finalità di interesse generale, si realizza quella che potremmo definire una strumentalizzazione della privacy a fini anticoncorrenziali.

Le implicazioni per il mercato digitale - La questione assume rilevanza sistemica se si considera l'impatto che l'ATT ha avuto sul mercato della pubblicità digitale sin dalla sua introduzione. Secondo diverse analisi, l'implementazione di questa funzionalità ha comportato perdite miliardarie per operatori come Meta, che basano il proprio modello di business sulla pubblicità personalizzata. Se da un lato ciò può essere letto come un successo nella protezione degli utenti dal tracciamento invasivo, dall'altro emerge il sospetto che Apple abbia tratto vantaggio competitivo da questa situazione, rafforzando i propri servizi pubblicitari a discapito dei concorrenti.

Il Digital Markets Act e il più ampio quadro regolatorio europeo sui mercati digitali mirano proprio a prevenire questi scenari, imponendo ai gatekeeper obblighi di neutralità e non discriminazione. La vicenda Apple dimostra come tali principi debbano essere applicati anche quando le condotte contestate si ammantano di finalità apparentemente meritevoli.

Conclusioni - Il caso Apple ATT ci insegna che la protezione dei dati personali, per quanto fondamentale, non può essere invocata come scudo per pratiche commerciali scorrette. Le autorità europee stanno tracciando un confine importante: la privacy è un diritto da tutelare, non un pretesto da sfruttare. Il coordinamento tra autorità antitrust e autorità di protezione dati, come avvenuto nel caso italiano, appare la strada maestra per garantire che l'innovazione tecnologica proceda nel rispetto tanto della libera concorrenza quanto dei diritti fondamentali delle persone.

Per i professionisti della privacy, questa vicenda costituisce un monito prezioso: nell'applicare le norme sulla protezione dei dati, occorre sempre verificare che le misure adottate siano effettivamente proporzionate e non producano effetti discriminatori. La compliance non può diventare un cavallo di Troia per alterare le dinamiche competitive del mercato. Il futuro ci dirà se il ricorso di Apple avrà successo, ma intanto il messaggio delle autorità europee è chiaro: nessuno, nemmeno chi brandisce la bandiera della privacy, può sottrarsi alle regole della concorrenza leale.

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di  diritto digitale e tutela dei dati presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente del Comitato Scientifico dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - X : @infomicheleias1

 

Prev Cedesi privacy “a gratis”: quando baby monitor e telefonate diventano merce
Next Magistrati spiati? mica soltanto loro…

Il Presidente di Federprivacy a Settegiorni su Rai Uno

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy