La normativa española de protección de datos define las transferencias internacionales de datos en el art. 5.1.s) LO 15/1999 como un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
Para realizar transferencias internacionales de datos, será necesaria la Autorización previa del Director de la Agencia Española de Protección de Datos, salvo que se ampare en alguno de los supuestos de excepción previstos en los apartados a) a j) del artículo 34 de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección.
Así la normativa prohíbe que se realicen transferencias temporales o definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.
Se han aceptado los siguientes países como garantes de un nivel protección similar a España:Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000Estados Unidos. Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. Empresas adheridas al Protocolo de Puerto Seguro. La lista de entidades estadounidenses adheridas a los principios de “Puerto Seguro” está disponible en http://www.export.gov/safeharbor.Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datosArgentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
