Venendo al dettaglio del decisum, il Garante ha autorizzato, con effetto dal 15 maggio 2010, i trasferimenti di dati personali dal territorio dello Stato verso paesi non appartenenti all'Unione europea effettuati in conformità alle clausole contrattuali previste dalla decisione della Commissione europea del 5 febbraio 2010, n. 2010/87/UE e sulla base dei presupposti indicati nella medesima decisione.
La detta autorizzazione vale anche riguardo ai casi in cui il responsabile del trattamento stabilito nell'Unione europea, che tratta dati personali per conto di un titolare stabilito nell'Unione europea, affidi il trattamento a un subincaricato stabilito in un paese terzo che pur non assicuri un livello di protezione adeguato.
Va segnalato che, con il medesimo provvedimento, il Garante ha abrogato, a decorrere dalla medesima data, la propria precedente deliberazione n. 3 del 10 aprile 2002 in materia di clausole contrattuali tipo per il trasferimento di dati personali verso responsabili stabiliti in paesi terzi.
L’Autorità, inoltre, ha stabilito che l'esportatore deve comunicare al Garante l'avvenuta designazione in successione di più di un subincaricato del trattamento a seguito dell'adozione delle clausole contrattuali tipo (di cui si dirà meglio infra), e che deve informare il Garante in ordine alla scelta effettuata dall'interessato di sottoporne l'esame ad un soggetto diverso dal Garante o dall'autorità giudiziaria.
Rimane comunque salvo per il Garante – come, del resto, ricordato dal medesimo presente provvedimento nella sua parte dispositiva - il potere di svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati e di adottare, eventualmente, i provvedimenti di blocco, di divieto e/o prescrittivi previsti dal Codice Privacy.
E’ interessante soffermarsi sul percorso logico-giuridico di tale provvedimento.
Il Garante della Privacy ha fatto leva sull'art. 25 della direttiva n. 95/46/CE, quella che ha ispirato la prima legge fondamentale di carattere nazionale in materia di dati personali (la legge n. 675/96), secondo cui i dati personali possono essere trasferiti in un paese non appartenente all'Unione europea qualora il paese terzo garantisca un livello di protezione considerato adeguato.
Al riguardo, va anzitutto sottolineato che è chiaramente arduo definire in concreto il necessario livello di protezione adeguata. V’è sottesa la consapevolezza che, al di fuori del territorio comunitario, valgono regole e principi diversi da quelli di derivazione comunitaria, non necessariamente deteriori ma, già in virtù della loro peculiarità, in sé potenzialmente pericolosi per la tutela dei dati personali e il rispetto degli standard comunitari.
Peraltro, il Garante, a fondamento del suo provvedimento, richiama anche l'art. 26 della predetta direttiva il quale stabilisce che uno Stato membro possa – legittimamente s’intende - autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisce un livello di protezione adeguato.
Ciò, però, sempre a patto che il titolare del trattamento, situato all’estero, presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, e per l'esercizio dei diritti connessi.
Va tenuto conto anche che, con tale provvedimento, il Garante Privacy si è mosso in linea con la Commissione europea, con la decisione del 27 dicembre 2001, n. 2002/16/CE, ha individuato alcune clausole contrattuali tipo, poi sostituite dalla Commissione europea con decisione del 5 febbraio 2010, n. 2010/87/UE, tali da costituire garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi, proprio in caso di trasferimento di dati personali verso responsabili del trattamento stabiliti in paesi terzi i cui ordinamenti, come configurati sul punto, non assicurano un adeguato livello di protezione.
Al riguardo, va precisato che la decisione della Commissione riguarda i trasferimenti di dati effettuati da un titolare del trattamento avente sede nella Unione europea (soggetto esportatore) ad un responsabile del medesimo trattamento (soggetto importatore) stabilito in un paese terzo che non assicura un livello di protezione adeguato.
Ma riguarda anche le successive vicende circolatorie dei dati personali, poste in essere da un responsabile del trattamento (soggetto importatore), stabilito in un paese terzo che non assicura un livello di protezione adeguato, che li trasferisca ad un altro responsabile del trattamento, stabilito in un paese terzo che non assicura un livello di protezione adeguato (c.d. subincaricato), sulla base di un apposito accordo (c.d. "subcontratto").
Ciò detto, va precisato il delicato concetto di "subincaricato", che, secondo il Garante della Privacy, è il responsabile del trattamento designato dall'importatore o da altro suo subincaricato, che s'impegna a ricevere dall'importatore (o da altro suo sub incaricato) dati personali al solo fine di trattarli per conto dell'esportatore e attenendosi, peraltro, alle sue istruzioni e alle clausole contrattuali tipo, di cui sopra.
Nelle dette vicende circolatorie, assume rilevanza anche il principio di finalità sancito dalla direttiva n. 95/46/CE, che deve guidare anche il trattamento dei dati svolto dal soggetto importatore e dal subincaricato.
Più complessivamente, si evince l’intento del Garante di contemperare la necessaria circolazione dei dati personali e la libertà negoziali di imprese e società che se ne occupano con le garanzie minime poste dall’ordinamento nazionale e comunitario rispetto al diritto alla protezione dei dati personali.
(Deliberazione Garante per la protezione dei dati personali 27/05/2010, G.U. 19/06/2010, n. 141)