İtalya’nın rekabet otoritesi, Apple’ın iOS platformunda uyguladığı App Tracking Transparency (ATT) gizlilik çerçevesinin, App Store’daki rekabeti kısıtladığı gerekçesiyle şirkete 98,6 milyon euro (yaklaşık 116 milyon dolar) para cezası verdi. Soruşturma Mayıs 2023’te başlamış ve Apple’ın üçüncü taraf uygulama geliştiricilerine ATT kurallarını tek taraflı dayattığı tespiti üzerine sonuçlandı.
ATT ve Rekabet Kısıtlamaları
İtalyan Rekabet Otoritesi (AGCM), Apple’ın iOS ekosisteminde mutlak hakim konumunu kullanarak, üçüncü taraf geliştiricilerin kullanıcı izni alma süreçlerinde ATT kurallarını önceden danışmadan zorunlu kıldığını belirtti. ATT, kullanıcıların kişiselleştirilmiş reklamlar için veri işleme izni vermesini sağlamak amacıyla 2021’de tanıtıldı. Ancak Apple’ın kendi uygulamaları, bu izni tek bir dokunuşla alabilirken, üçüncü taraf geliştiriciler hem ATT hem de GDPR kapsamında ayrı ayrı izin talep etmek zorunda kalıyor.
Çifte Onay Zorunluluğu ve Teknik Etkileri
Bu çifte onay gereksinimi, üçüncü taraf geliştiriciler için önemli bir yük oluşturuyor ve kullanıcı deneyimini olumsuz etkileyerek reklam gelirlerini düşürüyor. AGCM, Apple’ın ATT istemini gizlilik mevzuatına tam uyumlu hale getirmediğini ve bu durumun geliştiricilerin aynı amaç için iki kez onay istemesine yol açtığını vurguladı. Bu durum, uygulama içi reklam hedefleme süreçlerinde kullanılan kullanıcı profilleme izinlerinin alınmasında karmaşıklık yaratıyor.
Global Regülasyon ve Benzer Soruşturmalar
İtalya’daki bu ceza, Apple’ın ATT politikalarının Avrupa’da rekabet otoriteleriyle yaşadığı ilk çatışma değil. Mart 2025’te Fransa rekabet otoritesi, Apple’a ATT’yi hakim piyasa konumunu güçlendirmek için kullandığı gerekçesiyle 150 milyon euro ceza uygulamıştı. Polonya ve Romanya’da da benzer soruşturmalar devam ediyor. Almanya rekabet otoritesi ise Apple’ın ATT metin ve biçimlendirme değişikliklerini test ettiğini ve kullanıcı faydalarını koruduğunu açıkladı.
Siber Güvenlik ve Gizlilik Perspektifi
ATT gibi gizlilik odaklı çerçeveler, kullanıcı verilerinin korunması ve hedefli reklamcılığın düzenlenmesi açısından kritik öneme sahip. Ancak bu tür politikaların, uygulama geliştiricileri ve platform sahipleri arasında dengeli ve şeffaf bir şekilde uygulanması gerekiyor. Özellikle GDPR gibi kapsamlı veri koruma yasalarıyla uyumlu hareket edilmesi, hem kullanıcı gizliliğini sağlamak hem de rekabeti korumak adına zorunlu hale geliyor.
Uygulama Geliştiricileri ve SOC Ekipleri İçin Öneriler
- Uygulama içi kullanıcı izin taleplerini GDPR ve ATT gereksinimlerine uygun şekilde entegre edin.
- İzin yönetim sistemlerinde kullanıcı deneyimini sadeleştirerek çifte onay gereksinimini azaltmaya çalışın.
- EDR ve SIEM çözümleri ile uygulama davranışlarını ve izin taleplerini izleyerek uyumluluk denetimleri yapın.
- Zero Trust ilkeleri doğrultusunda kullanıcı verilerine erişimi katmanlı güvenlik politikalarıyla sınırlandırın.
- Olay müdahale (incident response) planlarında, izin ihlallerine ve veri sızıntılarına karşı hızlı aksiyon alın.
- Ağ segmentasyonu ile uygulama trafiğini izole ederek, veri işleme süreçlerinde güvenliği artırın.
- Uygulama geliştiricileri için IAM (Identity and Access Management) çözümlerini kullanarak kullanıcı kimlik doğrulamasını güçlendirin.
Teknik Özet
- Apple ATT, kullanıcıların reklam amaçlı veri işleme iznini yönetmek için tasarlanmış bir gizlilik çerçevesidir.
- Üçüncü taraf uygulamalar, hem ATT hem de GDPR kapsamında kullanıcıdan ayrı ayrı izin almak zorundadır.
- Apple’ın kendi uygulamaları, bu izinleri tek bir adımda alabilmektedir; bu durum rekabeti olumsuz etkiler.
- İtalya ve diğer Avrupa ülkelerinde rekabet otoriteleri, bu uygulamanın piyasa hakimiyetini kötüye kullandığını değerlendiriyor.
- Bu gelişmeler, uygulama içi veri işleme, kullanıcı izni yönetimi ve reklam hedefleme süreçlerinde yeni uyumluluk ve güvenlik gereksinimlerini gündeme getiriyor.