LOPD y GDD ( LOPDGDD ) 3/2018
Artículo 42. Supuestos sometidos a autorización previa de las autoridades de protección de datos.
1. Las transferencias internacionales de datos a países u organizaciones internacionales
que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen
en alguna de las garantías previstas en el artículo anterior y en el artículo 46.2 del
Reglamento (UE) 2016/679, requerirán una previa autorización de la Agencia Española de
Protección de Datos o, en su caso, autoridades autonómicas de protección de datos, que
podrá otorgarse en los siguientes supuestos:
a) Cuando la transferencia pretenda fundamentarse en la aportación de garantías
adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas
tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
b) Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados
a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones
incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos
públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los
afectados, incluidos los memorandos de entendimiento.
El procedimiento tendrá una duración máxima de seis meses.
2. La autorización quedará sometida a la emisión por el Comité Europeo de Protección
de Datos del dictamen al que se refieren los artículos 64.1.e), 64.1.f) y 65.1.c) del
Reglamento (UE) 2016/679. La remisión del expediente al citado comité implicará la
suspensión del procedimiento hasta que el dictamen sea notificado a la Agencia Española de
Protección de Datos o, por conducto de la misma, a la autoridad de control competente, en
su caso.