L'RGPD assenyala en el considerant 6 que
«L'evolució tecnològica ràpida i la globalització han plantejat nous reptes per a la protecció de les dades personals. La magnitud de la recollida i de l'intercanvi de dades personals ha augmentat de manera significativa. [...] La tecnologia ha transformat tant l'economia com la vida social, i ha de facilitar encara més la lliure circulació de dades personals dins la Unió i la transferència a tercers països i organitzacions internacionals i alhora garantir un nivell elevat de protecció de les dades personals.»
Segons el considerant 101,
«Els fluxos transfronterers de dades personals a i des de països que no pertanyen a la Unió i organitzacions internacionals són necessaris per a l'expansió del comerç i la cooperació internacionals. L'augment d'aquests fluxos planteja nous reptes i inquietuds pel que fa a la protecció de les dades de caràcter personal. No obstant això, el fet que les dades personals es transfereixen de la Unió a responsables, encarregats o altres destinataris en tercers països o a organitzacions internacionals no ha de menyscabar el nivell de protecció de les persones físiques garantit en la Unió per aquest Reglament, ni tan sols en les transferències ulteriors de dades personals des del tercer país o organització internacional a responsables i encarregats en el mateix país o en un altre tercer país o organització internacional. En qualsevol cas, les transferències a tercers països i organitzacions internacionals només poden dur-se a terme de plena conformitat amb aquest Reglament. Una transferència només podria tenir lloc si, a reserva de les altres disposicions d'aquest Reglament, el responsable o l'encarregat compleix les disposicions d'aquest Reglament relatives a la transferència de dades personals a tercers països o organitzacions internacionals.»
Com a principi general per a la transferència internacional, l'RGPD, en l'article 44, estableix que
«Només es poden fer transferències de dades personals que siguin objecte de tractament o ho hagin de ser després de ser transferides a un tercer país o organització internacional si, a reserva de les altres disposicions d'aquest Reglament, el responsable i l'encarregat del tractament compleixen les condicions que s'estableixen en aquest capítol, incloent-hi les relatives a les transferències ulteriors de dades personals des del tercer país o organització internacional a un altre tercer país o una altra organització internacional. Totes les disposicions d'aquest capítol s'han d'aplicar per assegurar que el nivell de protecció de les persones físiques garantit per aquest Reglament no es veu menyscabat.»
Tanmateix, atès que l'RGPD no inclou una definició de transferència internacional de dades, potser resulta adequat, a l'efecte de claredat didàctica i amb caràcter general, tenir com a referència la definició encara vigent de l'article 5.1.s) de l'RLOPD:
«tractament de dades que suposa transmetre-les fora del territori de l'Espai Econòmic Europeu (EEE), tant si constitueix una cessió o comunicació de dades com si té per objecte dur a terme un tractament de dades a compte del responsable del fitxer establert en territori espanyol».
Per tant, quan la transmissió de les dades tengui com a destinació algun estat de l'EEE (UE més Noruega, Islàndia i Liechtenstein), no es produeix una transferència internacional de dades des de la perspectiva jurídica. Només s'està davant una transferència internacional de dades, quan es transmeten fora de l'EEE, ja sigui amb destinació a un altre responsable del tractament, que decidirà sobre la finalitat, el contingut i l'ús del tractament, o a un encarregat del tractament, que les tractarà a compte del responsable.
Des de finals de l'any 2015 les transferències internacionals de dades de caràcter personal han tingut una rellevància pública després de les revelacions incloses en el denominat cas Snowden i, sobretot, amb la sentència del Tribunal de Justícia de la Unió Europea, que va invalidar la Decisió de port segur de la Comissió Europea, que considerava que les entitats dels Estats Units adherides a aquest sistema adoptat per la Comissió europea l'any 2000 no proporcionaven un nivell adequat de protecció. El port segur va ser substituït pel denominat Acord de l'escut de privacitat (Privacy Shield) com a sistema de garanties per poder transmetre dades a les entitats establertes als Estats Units d'Amèrica que hagin optat per adherir-se al sistema de garanties per a les transferències internacionals incloses en aquest marc.
L'RGPD estableix en la regulació que només es poden transmetre dades als països, els territoris, els sectors o els organismes internacionals respecte dels quals la Comissió Europea ha considerat que disposen d'un nivell adequat de protecció o, en un altre cas, si s'aporten garanties suficients o es donen algunes de les circumstàncies previstes com a excepcions, i sempre que s'observin els altres requisits de l'RGPD esmentat.
La primera qüestió que cal destacar és que l'RGPD estableix sense cap dubte que l'exportador de dades pot ser tant un responsable com un encarregat del tractament.
Així mateix, s'amplia el ventall d'instruments en què es poden incloure i aportar les garanties adequades per protegir els drets dels afectats a conseqüència de la transferència de dades. Així, s'hi incorporen els codis de conducta i els mecanismes de certificació com a instruments que poden aportar aquestes garanties, a més de les normes corporatives vinculants (conegudes per les seves sigles en anglès, BCR) per als grups multinacionals. Aquesta gamma més àmplia d'instruments hauria de facilitar la tasca dels exportadors en disposar d'un major ventall d'instruments entre els quals triar.
Però on són més evidents les novetats que introdueix l'RGPD és en el règim d'autorització i notificació prèvia de les transferències internacionals, que queden reduïdes a molt pocs supòsits.
En el marc de l'RGPD, amb caràcter general, les transferències es poden dur a terme sense necessitat d'autorització prèvia, llevat que les garanties s'aportin a través d'un contracte entre el responsable o l'encarregat del tractament, l'encarregat o el destinatari de les dades personals en el tercer país o l'organització internacional, o d'un acord administratiu entre autoritats públiques, supòsits en què és necessari que existeixi l'autorització de l'autoritat de control, tal com assenyala l'article 46.3 de l'RGPD.
En l'àmbit nacional aquesta matèria ha estat regulada pels articles 40-43 de la LOPDGDD, dels quals deriva el règim jurídic següent:
- L'Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades poden adoptar, de conformitat amb el que disposa l'article 46.2.c) del Reglament (UE) 2016/679, clàusules contractuals tipus per fer transferències internacionals de dades, que s'han de sotmetre prèviament al dictamen del Comitè Europeu de Protecció de Dades previst en l'article 64 del Reglament esmentat.
- L'Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades poden aprovar normes corporatives vinculants d'acord amb el que preveu l'article 47 del Reglament (UE) 2016/679.
- Les transferències internacionals de dades a països o organitzacions internacionals que no compten amb la decisió d'adequació aprovada per la Comissió o que no s'emparin en alguna de les garanties previstes en l'article anterior i en l'article 46.2 del Reglament (UE) 2016/679, requereixen una autorització prèvia de l'Agència Espanyola de Protecció de Dades o, si escau, de les autoritats autonòmiques de protecció de dades, la qual pot atorgar-se en els supòsits següents:
a) Quan la transferència pretén fonamentar-se en l'aportació de garanties adequades amb fonament en clàusules contractuals que no corresponen a les clàusules tipus previstes en l'article 46.2, lletres c) i d), del Reglament (UE) 2016/679.
b) Quan la transferència la du a terme algun dels responsables o encarregats a què es refereix l'article 77.1 d'aquesta Llei orgànica i es fon en disposicions incorporades a acords internacionals no normatius amb altres autoritats o organismes públics de tercers estats, que incorporin drets efectius i exigibles per als afectats, incloent-hi els memoràndums d'entesa.
El procediment tindrà una durada màxima de sis mesos.
- Els responsables del tractament han d'informar l'Agència Espanyola de Protecció de Dades o, si escau, les autoritats autonòmiques de protecció de dades de qualsevol transferència internacional de dades que pretenguin dur a terme sobre la base de la seva necessitat per a fins relacionats amb interessos legítims imperiosos perseguits per aquells i la concurrència de la resta dels requisits prevists en el darrer paràgraf de l'article 49.1 del Reglament (UE) 2016/679. Així mateix, han d'informar els afectats de la transferència i dels interessos legítims imperiosos perseguits. Aquesta informació ha de facilitar-se abans de fer la transferència. El que disposa aquest article no és aplicable a les activitats que duen a terme les autoritats públiques en l'exercici dels seus poders públics, d'acord amb l'article 49.3 del Reglament (UE) 2016/679.