De acuerdo con el RGPD los datos sólo se pueden comunicar fuera del Espacio Económico Europeo en los casos siguientes:
- En países, territorios o sectores específicos (el RGPD también incluye organizaciones internacionales) sobre los cuales la Comisión Europea ha adoptado una decisión que reconoce que ofrecen un nivel de protección adecuado.
- Cuando se han ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino mediante:
- Un instrumento vinculante y exigible entre autoridades u organismos públicos.
- Normas corporativas vinculantes (BCR).
- Cláusulas tipos de protección de datos adoptadas por
- La Comisión con procedimiento de examen.
- La Autoridad Catalana de Protección de Datos, y aprobadas por Comisión con procedimiento examen.
- Con autorización de la Autoridad Catalana de Protección de Datos en base a:
- Cláusulas contractuales.
- Disposiciones que se incorporen en acuerdos vinculantes entre organismos públicos que incluyan derechos exigibles.
- Un código de conducta que incorpore compromisos vinculantes y exigibles.
- Un mecanismo de certificación que incorpore compromisos vinculantes y exigibles.
- Cuando se aplica alguna de las excepciones previstas en el artículo 49 RGPD que permiten transferir los datos sin garantías de protección adecuada, por razones de necesidad vinculadas al interés del titular de los datos o a intereses generales.