En primer lugar, el RGPD contempla la posibilidad de que se pueda realizar una transferencia internacional de datos a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. En tal caso, dicha transferencia no requerirá de ninguna autorización previa (artículo 45 del RGPD).

En segundo lugar, y a falta de la citada decisión, el responsable o encargado del tratamiento pueden transferir los datos a un tercer país u organización internacional si se han establecido las garantías adecuadas y los afectados cuenten con derechos exigibles y acciones legales efectivas (artículo 46 del RGPD).

Estas garantías adecuadas podrán ser aportadas, sin necesidad de autorización de la autoridad de control por:

1. un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
2. normas corporativas vinculantes de conformidad con el artículo 47;
3. cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;
4. cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;
5. un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o
6. un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

No obstante lo anterior, tanto las normas corporativas vinculantes como las cláusulas tipo adoptadas por una autoridad de control, deben someterse al mecanismo de coherencia del artículo 63 del RGPD (artículo 46 apartado 4 del RGPD).

En tercer lugar, y en ausencia de decisión adecuada o de garantías adecuadas, si la transferencia cumple alguna de las siguientes condiciones:

1. el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;
2. la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
3. la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
4. la transferencia sea necesaria por razones importantes de interés público;
5. la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
6. la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
7. la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Por otra parte, cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos (artículo 49 del RGPD).

De conformidad con el artículo 46 apartado 3 del RGPD únicamente cuando las garantías adecuadas para realizar la transferencia internacional se basen en:

• cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional.
• Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

No obstante lo anterior, en el primer supuesto deberá someterse también al mecanismo de coherencia del artículo 63 del RGPD. (artículo 46 apartado 4 del RGPD)

Por otra parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establece en su artículo 42 los supuestos sometidos a autorización previa de las autoridades de protección de datos.

1. Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en el artículo anterior y en el artículo 46.2 del Reglamento (UE) 2016/679, requerirán una previa autorización de la Agencia Española de Protección de Datos o, en su caso, autoridades autonómicas de protección de datos, que podrá otorgarse en los siguientes supuestos:
   
   1. Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
   2. Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establece en su artículo 42 que el procedimiento de autorización tendrá una duración máxima de seis meses.

La autorización quedará sometida a la emisión por el Comité Europeo de Protección de Datos del dictamen al que se refieren los artículos 64.1.e), 64.1.f) y 65.1.c) del RGPD. La remisión del expediente al citado comité implicará la suspensión del procedimiento hasta que el dictamen sea notificado a la Agencia Española de Protección de Datos o, por conducto de la misma, a la autoridad de control competente, en su caso.

Por otra parte, seguirá vigente lo dispuesto en la sección primera del capítulo V del título IX del RLOPD:

• El procedimiento se inicia a solicitud del exportador que pretenda llevar a cabo la transferencia.
• En su caso, se podrá requerir al solicitante para que complete o modifique la documentación presentada en el plazo de 10 días, establecido en el artículo 68 de la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas. Si transcurrido dicho plazo no se hubiera recibido su notificación, se le tendrá por desistido de su petición, procediéndose al archivo de su solicitud.
• Trámite de información pública con carácter potestativo (10 días).
• Cumplidos los requisitos legalmente exigibles, la Directora de la Agencia resolverá autorizar la transferencia internacional de datos, y se procederá a su inscripción.

Si en el plazo establecido de seis meses no se hubiese dictado y notificado resolución expresa, se entenderá autorizada la transferencia internacional de datos

El periodo transitorio para la adaptación de los contratos a las nuevas cláusulas contractuales aprobadas por la Comisión Europea finaliza el próximo 27 de diciembre de 2022, fecha en la que ya no resultarán válidos los contratos celebrados con arreglo a las cláusulas de las Decisiones derogadas, debiéndose proceder a su adaptación a las nuevas cláusulas contractuales tipo aprobadas por la Decisión 2021/914 de la Comisión Europea.

Más información sobre transferencias internacionales.

Hasta la fecha han sido declarados como países con nivel adecuado de protección los siguientes:

• Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
• Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
• Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
• Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
• Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
• Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
• Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
• Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
• Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
• Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
• Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
• Estados Unidos. En relación con la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) invalidando la Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016 conocida como Escudo de Privacidad, el Comité Europeo de Protección de Datos publicó los siguientes documentos relacionados con la citada sentencia del TJUE: 
  • Preguntas más frecuentes en relación con la sentencia.
  • Recomendaciones 01/2020 sobre medidas suplementarias para asegurar un nivel de protección equivalente. (Version 2.0 de 18 Junio de 2021)
• Japón. Decisión 2019/419/UE, de 23 de enero de 2019.
• Reino Unido. Decisión de 28 de junio de 2021.
• República de Corea. Decisión de 17 de diciembre de 2021 (versión en inglés).

Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato de prestación de servicios por tercero (encargado del tratamiento) conforme a lo dispuesto en el artículo 28 del RGPD.

Más información sobre garantías para las transferencias de datos personales a terceros países u organizaciones internacionales en https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales