El Reglamento contempla la transferencia a terceros países si se aportan garantías, entre ellas:
- Transferencias basadas en una decisión de adecuación de la Comisión Europea
- Normas Corporativas Vinculantes
- Cláusulas tipo adoptadas por la Comisión Europea
- Cláusulas tipo adoptadas por una autoridad de control y aprobadas por la Comisión Europea
- Código de conducta o mecanismos de Certificación aprobados.
Por otro lado, se podrán hacer, previa autorización de la autoridad de control, si cuentan con:
- Cláusulas contractuales entre el exportador y el importador de los datos
- Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
Las compañías que exporten datos a terceros países deberán evaluar, con carácter previo, si cuentan con alguna garantía adecuada o si la transferencia está amparada por alguna de las excepciones del RGPD.
En caso contrario, dicha entidad sólo podrá llevar a cabo la transferencia internacional de datos si ésta:
- afecta a un número limitado de interesado;
- no es repetitiva;
- la transferencia está amparada en el interés legítimo de la propia empresa (siempre que no prevalezcan los derechos y libertados fundamentales de los interesados);
- se ha informado a los interesados;
- se han implementado las medidas de protección suficientes respeto de los datos personales transferidos;
- se realice desde un registro público, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que acredite un interés legítimo.