A Apple foi multada em €150 milhões (US$162 milhões) pelo órgão regulador da concorrência da França devido à implementação do seu framework de privacidade App Tracking Transparency (ATT).
A Autorité de la concurrence informou que está impondo uma penalidade financeira contra a Apple por abuso de sua posição dominante como distribuidora de aplicações móveis para dispositivos iOS e iPadOS entre 26 de abril de 2021 e 25 de julho de 2023.
O ATT, introduzido pela fabricante do iPhone com o iOS 14.5, iPadOS 14.5 e tvOS 14.5, é um framework que exige que os aplicativos móveis busquem o consentimento explícito dos usuários para acessar o identificador único de publicidade do dispositivo (ou seja, o Identifier for Advertisers ou IDFA) e rastreá-los em aplicativos e sites para fins de publicidade direcionada.
"A menos que você receba permissão do usuário para habilitar o rastreamento, o valor do identificador de publicidade do dispositivo será todo zeros e você não poderá rastreá-los", observa a Apple em seu site.
Embora você possa exibir o prompt AppTrackingTransparency quando escolher, o valor do identificador de publicidade do dispositivo só será retornado uma vez que você apresentar o prompt e o usuário conceder permissão.
Os desenvolvedores de aplicativos, além de solicitar permissão para rastrear os usuários, também são obrigados a declarar o propósito por que tal rastreamento é necessário em primeiro lugar.
"Embora o objetivo do App Tracking Transparency ('ATT') não seja problemático em sua essência, a forma como o ATT é implementado não é necessária nem proporcional com o objetivo declarado da Apple de proteger dados pessoais", disse a autoridade.
Descrevendo o ATT como "artificialmente complexo", a autoridade reguladora disse que o consentimento obtido por meio do framework não atende às obrigações legais exigidas pela Lei de Proteção de Dados da França, exigindo que os desenvolvedores usem suas próprias soluções de coleta de consentimento.
Isso, acrescentou, leva a múltiplos pop-ups de consentimento sendo exibidos aos usuários.
A Autorité também apontou dois tipos de assimetria na forma como é implementado.
Uma delas diz respeito ao fato de que o consentimento para o rastreamento deve ser confirmado pelos usuários duas vezes, enquanto a recusa é um processo de um passo - um aspecto que, segundo ela, compromete a "neutralidade do framework".
"Enquanto aos editores era exigido obter consentimento duplo dos usuários para rastreamento em sites e aplicativos de terceiros, a Apple não pedia consentimento dos usuários de seus próprios aplicativos (até a implementação do iOS 15)", apontou.
Devido a essa assimetria, a CNIL multou a Apple por infringir o Artigo 82 da Lei de Proteção de Dados da França, que transpõe a Diretiva ePrivacy.
A assimetria permanece hoje na medida em que a Apple introduziu um único pop-up de 'Publicidade Personalizada' para coletar o consentimento do usuário para sua própria coleta de dados, enquanto continua exigindo consentimento duplo para a coleta de dados de terceiros por editores.
Vale ressaltar que a ordem não impõe nenhuma mudança específica no framework.
De acordo com a Reuters, "cabe à empresa agora cumprir com a decisão".
A multa é troco de biscoito para a Apple, que teve uma renda líquida de US$36,3 bilhões em receitas de US$124,3 bilhões no trimestre encerrado em 28 de dezembro de 2024.
Em uma declaração compartilhada com a Associated Press, Cupertino disse que o prompt do ATT é consistente para todos os desenvolvedores, incluindo ela mesma, e que recebeu "forte apoio" para o recurso de consumidores, defensores da privacidade e autoridades de proteção de dados globalmente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...