L'intero Capo V del GDPR 16/679 regolamenta i trasferimenti di dati personali all'estero, inteso come Paesi che sono al di fuori dell'Unione Europea e dello spazio economico comunitario.
Se i flussi di dati all'interno dell'UE sono sostanzialmente liberi, quelli verso Paesi terzi sono generalmente vietati a meno che non siano presenti particolari garanzie, in primo luogo il riconoscimento da parte della Commissione Europea dell'adeguatezza del Paese. In assenza di decisioni in tal senso, saranno necessarie garanzie contrattuali fornite dai titolari coinvolti o deroghe specifiche.
Nel caso in cui il Paese extra-comunitario sia giudicato "adeguato" al trasferimento dei dati, con il nuovo Regolamento Europeo sulla privacy l'operazione potrà avere inizio senza attendere l'autorizzazione nazionale del Garante a differenza di quanto previsto dal Codice. L'autorizzazione del Garante è comunque obbligatoria se un titolare desidera utilizzare clausole contrattuali ad-hoc oppure accordi amministrativi stipulati tra pubbliche autorità.
Il General Data Protection Regulation, inoltre, vieta trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità del Paese non comunitario, a meno dell'esistenza di accordi internazionali o per motivi importanti di interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell'UE.
Che fine fanno gli accordi internazionali, come il Privacy Shield? Le decisioni di adeguatezza sinora adottate dalla Commissione Europea con specifici accordi restano in vigore fino a loro eventuale revisione o modifica. Restano valide, conseguentemente, le autorizzazioni nazionali emesse dal Garante.