Corte Suprema austriaca (OGH): Meta deve fornire l'accesso completo a tutti i dati personali degli utenti entro 14 giorni, compresi le fonti, i destinatari e gli scopi per cui ogni informazione è stata utilizzata. Tutte le rivendicazioni di Meta relative a segreti commerciali o altre limitazioni sono state respinte, il che ha portato a un accesso senza precedenti al funzionamento interno di Meta. Meta stava inoltre raccogliendo illegalmente dati da app e siti web di terze parti e può fornire pubblicità personalizzata solo se l'utente fornisce un consenso "specifico, informato, inequivocabile e liberamente dato". Meta deve inoltre garantire che i dati che rivelano informazioni sensibili (come le opinioni politiche, l'orientamento sessuale o la salute) non siano trattati insieme ad altri dati a meno che non si applichi una base giuridica valida ai sensi dell'articolo 9(2) del GDPR. Meta non può evitare l'applicazione dell'articolo 9 del GDPR sostenendo di non raccogliere intenzionalmente tali dati o di non poterli distinguere o segregare tecnicamente. La causa, intentata da Max Schrems nel 2014, è durata inizialmente 11 anni ed è approdata tre volte alla Corte Suprema austriaca e due volte alla CGUE. Al signor Schrems sono stati riconosciuti 500 euro di danni.
Accesso completo a tutti i dati personali e altre informazioni entro 14 giorni. Ai sensi dell'articolo 15 del GDPR, Meta deve fornire non solo una copia completa 1:1 di tutti i dati personali a qualsiasi utente che ne faccia richiesta, ma anche informazioni sulle finalità per cui tali dati sono stati trattati, sulle fonti e sui destinatari di ciascuna informazione. Dal 2011 il ricorrente (Max Schrems) ha cercato di ottenere l'accesso completo ai suoi dati personali, ma Meta ha fornito solo un accesso parziale. Per gli utenti medi, Meta rimandava solo a uno "strumento di download" che conteneva quelle che definiva informazioni "rilevanti" e per il resto rimandava alla sua informativa sulla privacy generica. La Corte Suprema austriaca ha ora deciso che Meta deve divulgare tutti i dati personali (ogni singolo bit) e fornire anche informazioni specifiche su tutti i dati, come la fonte, il destinatario o lo scopo del trattamento, il tutto entro un termine di 14 giorni che scade il 31.12.2025. Il termine predefinito dalla legge è di un mese, scaduto già da anni. Le richieste di Meta relative a presunte limitazioni del pieno diritto di accesso (come i segreti commerciali e simili) non sono state adeguatamente argomentate da Meta e quindi respinte in toto. La sentenza definitiva e direttamente esecutiva della Corte Suprema austriaca porterà quindi a un accesso senza precedenti da parte del sig. Schrems alla pratica di Meta di trattare i suoi dati utente (e in realtà quelli di chiunque altro).
Katharina Raabe-Stuppning, l'avvocato austriaco che rappresenta il ricorrente: "Ci sono voluti 11 anni, ma ora c'è una sentenza definitiva che impone a Meta di fornire un accesso senza precedenti a tutti i dati che ha raccolto sul signor Schrems. Questo va ben oltre lo strumento di download o le informazioni sul sito web. Per oltre un decennio, Meta ha resistito a concedere piena trasparenza sui dati trattati dagli utenti europei. La sentenza è direttamente applicabile in tutta l'UE."
Il modello pubblicitario di Meta è stato illegale nell'UE per anni. La Corte Suprema austriaca ha inoltre stabilito che Meta deve smettere di fornire annunci pubblicitari personalizzati al sig. Schrems, dato che non ha mai avuto una base legale per trattare i suoi dati personali a tale scopo. A questo proposito, le richieste del sig. Schrems sono state ampiamente superate dal caso C-252/21 Bundeskartellamt della CGUE, in cui la CGUE ha già stabilito che Meta non ha la base giuridica necessaria per trattare i dati personali del sig. Schrems a fini pubblicitari.
Katharina Raabe-Stuppning: "La Corte Suprema austriaca - ancora una volta - ha chiarito che Meta ha bisogno di un consenso opt-in per tracciare le persone e utilizzare i loro dati per la pubblicità"
Separazione dei "dati sensibili" dagli altri dati. Ai sensi dell'articolo 9 del GDPR, alcuni dati "sensibili" sono protetti in modo particolare. Questi includono informazioni relative alla salute, alle opinioni politiche, alla vita sessuale o all'orientamento sessuale. Meta rifiuta categoricamente di dover trattare tali dati - che riceve attraverso app di terze parti, siti web o attraverso l'attività degli utenti sulle sue piattaforme - in modo diverso dagli altri dati. La Corte Suprema austriaca ha chiarito, tuttavia, che anche se Meta non utilizzasse intenzionalmente tali dati (affermazione contestata nel procedimento), dovrebbe comunque rispettare la legge.
Max Schrems: "Piattaforme come Facebook o Instagram esercitano un'enorme influenza, ad esempio spingendo gli utenti a esprimere opinioni politiche. È sempre stato assurdo che Meta sostenesse di non trattare tali dati e di non dover rispettare la legge. La decisione chiarisce che Meta non deve utilizzare tali preferenze degli utenti senza un consenso esplicito da parte di ciascuno di essi"."
Un risarcimento di 500 euro è realistico per la maggior parte degli utenti Meta. Una precedente decisione parziale aveva già concesso al sig. Schrems un risarcimento di 500 euro per il ritardo nella risposta alla sua richiesta di accesso. Il sig. Schrems si è basato anche sulle altre violazioni del GDPR per questa richiesta. La sentenza sembra non essere chiara riguardo alle motivazioni dei danni concessi, ma sembra che un danno di almeno 500 euro sia stato considerato decisamente giustificato dalla Corte Suprema austriaca per violazioni che quasi tutti gli utenti di Meta hanno subito. Il sig. Schrems non ha chiesto di più, quindi la Corte è stata vincolata a 500 euro come limite massimo.
Katharina Raabe-Stuppning: "Sembra realistico che gli interessati possano chiedere almeno 500 euro di danni morali per le ampie violazioni del GDPR commesse da Meta. Questo potrebbe essere un buon indicatore per molte altre cause pendenti in Europa"
11 anni, 3 sentenze della Corte Suprema e 2 della CGUE necessarie. Complessivamente, questo caso ha richiesto 11 anni. Il Tribunale civile regionale di Vienna (Landesgericht für Zivilrechtssachen) aveva inizialmente rifiutato di trattare il caso per due volte, sostenendo addirittura che il signor Schrems non è un "consumatore" per il suo account Facebook privato. In seguito ha citato l'incertezza sulla giurisdizione ai sensi del GDPR. La Corte suprema austriaca si è pronunciata sul caso tre volte, anche facendo due rinvii alla Corte di giustizia dell'UE. La decisione finale sulle spese è riservata, ma i costi complessivi del contenzioso hanno finora superato i 200.000 euro, per una richiesta finanziaria di circa 500 euro.
Max Schrems: "La realtà del contenzioso sul GDPR è che, per una persona media, richiede un decennio ed è rovinoso. Le grandi aziende tecnologiche si nascondono dietro giurisdizioni come l'Irlanda, tirano fuori 100 motivi per cui i casi dovrebbero essere archiviati e sabotano le procedure a ogni angolo. Dobbiamo lavorare urgentemente per rendere il GDPR applicabile nella pratica"
Alcune richieste di risarcimento sono state ritirate. Nel corso del procedimento, l'avvocato Schrems ha rinunciato a una serie di richieste per motivi di costi e procedurali. Alcune richieste sono state anche presentate come richieste alternative (quindi solo una delle richieste avrebbe potuto essere accolta). La causa si è prolungata in modo massiccio a causa di sentenze molto sfavorevoli in prima istanza, in quanto, ad esempio, secondo il diritto austriaco è molto difficile ribaltare le conclusioni di fatto in prima istanza. Molte richieste legittime hanno quindi dovuto essere abbandonate.
