D’acord amb l’RGPD les dades només es poden comunicar fora de l'Espai Econòmic Europeu en els casos següents:
- A països, territoris o sectors específics (l’RGPD també hi inclou organitzacions internacionals) sobre els quals la Comissió Europea ha adoptat una decisió que reconeix que ofereixen un nivell de protecció adequat.
- Quan s'han ofert garanties adequades sobre la protecció que les dades rebran a la seva destinació mitjançant:
- Un instrument vinculant i exigible entre autoritats o organismes públics.
- Normes corporatives vinculants (BCR).Clàusules tipus de protecció de dades adoptades per:
- La Comissió amb procediment d'examen.
- L’Autoritat Catalana de Protecció de Dades, i aprovades per la Comissió mitjançant el procediment d’examen.
- Amb autorització de l’Autoritat Catalana de Protecció de Dades en base a:
- Clàusules contractuals.
- Disposicions que s’incorporin en acords vinculants entre organismes públics que incloguin drets exigibles.
- Un codi de conducta que incorpori compromisos vinculants i exigibles.
- Un mecanisme de certificació que incorpori compromisos vinculants i exigibles.
- Quan s'aplica alguna de les excepcions previstes a l’article 49 RGPD que permeten transferir les dades sense garanties de protecció adequada, per raons de necessitat vinculades a l’interès del titular de les dades o a interessos generals.