L'RGPD assenyala en el considerant 102 que
«[...] Els estats membres poden formalitzar acords internacionals que impliquin la transferència de dades personals a tercers països o organitzacions internacionals sempre que aquests acords no afectin aquest Reglament ni cap altra disposició del dret de la Unió i incloguin un nivell adequat de protecció dels drets fonamentals dels interessats.»
Fins ara, la Comissió Europea ha considerat que ofereixen un nivell adequat de protecció els països i els territoris següents:
- Suïssa, l'Argentina, Guernsey, Man, Jersey, illes Fèroe, Andorra, Israel, l'Uruguai i Nova Zelanda.
- El Canadà (només quan a l'entitat destinatària hi sigui aplicable el «Personal Information and Electronic Documents Act»).
- Els Estats Units (només quan l'entitat destinatària de les dades estigui certificada en l'esquema de l'escut de privacitat).
La decisió dictada recentment en l'assumpte Schrems II pel Tribunal de Justícia de la Unió Europea ha invalidat el sistema de l'escut de privacitat. El Comitè Europeu de Protecció de Dades ha publicat unes «Preguntes freqüents sobre la sentència del Tribunal de Justícia de la Unió Europea en l'assumpte C-311/18—Comissària de Protecció de Dades vs Facebook Irlanda i Maximillian Schrems», que ofereixen informació rellevant en aquesta matèria.