De conformitat amb el considerant 108 de l'RGPD
«Si no hi ha una decisió per la qual es constati l'adequació de la protecció de les dades, el responsable o l'encarregat del tractament han de prendre mesures per compensar la falta de protecció de dades en un tercer país mitjançant garanties adequades per a l'interessat. Aquestes garanties adequades poden consistir en el recurs a normes corporatives vinculants, a clàusules tipus de protecció de dades adoptades per la Comissió o per una autoritat de control, o a clàusules contractuals autoritzades per una autoritat de control. Les garanties han d'assegurar l'observança dels requisits de protecció de dades i drets dels interessats adequats al tractament dins la Unió, incloent-hi la disponibilitat per part dels interessats de drets exigibles i d'accions legals efectives, cosa que inclou el dret a obtenir una reparació administrativa o judicial efectiva i a reclamar una indemnització, a la Unió o en un tercer país. En particular, han de referir-se al compliment dels principis generals relatius al tractament de les dades personals i els principis de la protecció de dades des del disseny i per defecte. Les transferències també poden fer-les autoritats o entitats públiques amb entitats o autoritats públiques de tercers països o amb organitzacions internacionals amb competències o funcions corresponents, igualment sobre la base de disposicions incorporades a acords administratius, com un memoràndum d'entesa, que reconeguin drets exigibles i efectius als interessats. Si les garanties figuren en acords administratius que no siguin jurídicament vinculants, s'ha de recollir l'autorització de l'autoritat de control competent.»
Així, en l'article 46 es relacionen les garanties adequades que poden ser aportades sense que es requereixi cap autorització expressa d'una autoritat de control:
- un instrument jurídicament vinculant i exigible entre les autoritats o organismes públics;
- normes corporatives vinculants;
- clàusules tipus de protecció de dades adoptades per la Comissió;
- clàusules tipus de protecció de dades adoptades per una autoritat de control i aprovades per la Comissió;
- un codi de conducta aprovat de conformitat amb l'article 40, juntament amb compromisos vinculants i exigibles del responsable o l'encarregat del tractament en el tercer país d'aplicar garanties adequades, incloent-hi les relatives als drets dels interessats;
- un mecanisme de certificació aprovat de conformitat amb l'article 42, juntament amb compromisos vinculants i exigibles del responsable o l'encarregat del tractament en el tercer país d'aplicar garanties adequades, incloent-hi les relatives als drets dels interessats.
Per la seva banda, l'AEPD també ha contribuït a facilitar la tasca d'aportar garanties, elaborant el 2012 un conjunt de clàusules estàndards, sobre la base de les que va establir la Comissió en la Decisió 2010/87/UE, per a les transferències internacionals fetes entre un encarregat del tractament com a exportador i un subencarregat importador de les dades.
Les garanties s'estableixen a favor dels interessats, motiu pel qual les clàusules són exigibles no només pels signants del contracte, sinó també pels interessats, en particular quan siguin perjudicats per l'incompliment del contracte. Per això, tots els models contenen una clàusula, denominada de tercer beneficiari, per la qual els interessats poden exigir el compliment del contracte, malgrat que no en siguin part.