Apple spinge la Commissione UE a rivedere DMA e GDPR

La lunga controversia tra Apple e la Commissione Europea sulla gestione dei dati personali e sulle regole del mercato digitale registra un nuovo capitolo: l’azienda di Cupertino ha trasmesso alla Commissione e al EDPB osservazioni ufficiali alle Linee guida congiunte che spiegano il rapporto tra il Digital Markets Act (DMA) e il GDPR.

Il documento inviato da Apple è tecnico e corposo, ma il nucleo della contestazione è chiaro: secondo l’azienda, l’interpretazione attuale del DMA potrebbe indebolire invece di affiancare le tutele privacy previste dal GDPR, creando tensioni operative tra obblighi di apertura e principi di protezione dei dati.

Il nodo centrale: apertura obbligatoria vs minimizzazione dei dati

Nel cuore della disputa c’è il contrasto fra gli obblighi di interoperabilità imposti ai gatekeeper dal DMA e le architetture progettate per limitare l’accesso ai dati, come la cifratura end-to-end e l’elaborazione esclusiva sul dispositivo. Apple segnala che alcune richieste di accesso da parte di terzi riguarderebbero elementi sensibili — ad esempio il contenuto delle notifiche o la cronologia delle reti Wi‑Fi — che oggi vengono protetti tramite tecniche di minimizzazione e trattamento locale.

Questa impostazione apre un confronto giuridico e tecnico: da una parte la finalità del DMA di promuovere concorrenza e interoperabilità tra servizi; dall’altra, i principi del GDPR come la minimizzazione dei dati, la limitazione della finalità e la sicurezza by design che mirano a ridurre l’esposizione delle informazioni personali.

Sicurezza, app store alternativi e responsabilità dell’utente

Un secondo filone della posizione di Apple riguarda l’apertura ad app store alternativi e a modalità diverse di distribuzione e pagamento, requisiti centrali del DMA per favorire l’eco‑sistema delle app. L’azienda sottolinea che questi obblighi impongono un allontanamento dal suo modello di sicurezza chiuso e trasferiscono sul singolo utente, anche poco esperto, il compito di riconoscere e fronteggiare rischi come malware, frodi o addebiti non autorizzati.

Per questo motivo Apple chiede che le Linee guida riconoscano esplicitamente che privacy e sicurezza sono componenti essenziali dell’«integrità» del sistema che i gatekeeper possono legittimamente tutelare, consentendo misure tecniche e procedurali atte a proteggere gli utenti anche quando vengono aperti canali di distribuzione alternativi.

Browser alternativi, portabilità dei dati e due diligence

Tra le questioni sollevate vi è anche la possibilità che gli autorità impongano motori di rendering diversi dall’attuale WebKit. Apple sostiene che accettare più motori potrebbe ampliare la superficie di attacco dei dispositivi, aumentando la complessità di gestione delle vulnerabilità.

Altro tema sensibile è l’interpretazione della portabilità dei dati: Apple contesta l’idea che nella portabilità debbano rientrare anche dati che oggi vengono trattati esclusivamente «on‑device» e ai quali il gatekeeper non ha accesso. Secondo l’azienda, obbligare alla portabilità di questi dati implicherebbe creare nuove vie di estrazione e trasferimento delle informazioni, con conseguenze sulla sicurezza e sulla riservatezza.

In tale contesto Apple chiede la possibilità di effettuare una due diligence ragionevole sui destinatari dei dati e di ricordare periodicamente agli utenti le scelte compiute in merito ai trasferimenti, come misura di tutela e trasparenza.

Rischi legati all’«agentic AI» e ruolo dell’operating system

Nel documento vengono inoltre sollevati dubbi riguardo ai cosiddetti sistemi di agentic AI, ovvero agenti autonomi capaci di operare tra app e servizi. Apple segnala che se il DMA fosse interpretato come un obbligo a fornire a questi agenti accessi ampi alle risorse del dispositivo, aumenterebbe il pericolo di esfiltrazioni di dati e di azioni indesiderate a danno dell’utente.

Per questo motivo l’azienda chiede che le Linee guida riconoscano il ruolo centrale dell’operating system nella definizione di quali risorse siano sensibili e in quali condizioni debbano essere accessibili, prevedendo limiti e garanzie tecniche per gli accessi automatizzati.

Il quadro istituzionale e le possibili conseguenze politiche

La consultazione avviata dalla Commissione Europea e l’opinione del EDPB rappresentano fasi importanti del percorso regolatorio: le Linee guida, pur non avendo valore normativo formale pari al testo legislativo, orienteranno le autorità nazionali e i comportamenti dei soggetti regolati. Il confronto mette in luce un dilemma politico e tecnico più ampio tra l’obiettivo di garantire concorrenza e apertura dei mercati digitali e la necessità di preservare le protezioni previste dal GDPR.

Il risultato delle osservazioni potrà influire su come i produttori di piattaforme riprogetteranno le architetture dei servizi e sui livelli di protezione offerti agli utenti nell’Unione. Eventuali ambiguità interpretative potrebbero richiedere chiarimenti legislativi o l’elaborazione di standard tecnici condivisi tra autorità di competenza europea e nazionale.

Nei prossimi mesi la Commissione Europea e il EDPB esamineranno i contributi ricevuti prima di pubblicare la versione finale delle Linee guida; tale documento definirà parametri concreti per l’applicazione parallela del DMA e del GDPR e avrà impatti diretti su progettazione tecnologica, pratiche commerciali e tutela degli utenti in tutta l’Unione.