CAPÍTULO V · Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales

Artículo 43. Principios generales de las transferencias de datos personales

1. Al objeto de garantizar el nivel de protección de las personas físicas previsto en esta Ley Orgánica, cualquier transferencia de datos personales realizada por las autoridades competentes españolas a un Estado que no sea miembro de la Unión Europea o a una organización internacional, incluidas las transferencias ulteriores a otro Estado que no pertenezca a la Unión Europea o a otra organización internacional, deberá cumplir las siguientes condiciones: b) Que los datos personales sean transferidos a un responsable del tratamiento competente para los fines mencionados en el artículo 1. c) Que, en caso de que los datos personales hayan sido transferidos a la autoridad competente española procedentes de otro Estado miembro de la Unión Europea, dicho Estado miembro autorice previamente la transferencia ulterior de conformidad con su Derecho nacional. d) Que la Comisión Europea haya adoptado una decisión de adecuación de acuerdo con el artículo 44 o, a falta de dicha decisión, cuando se hayan aportado o existan garantías apropiadas de conformidad con el artículo 45 o, a falta de ambas, cuando resulten de aplicación las excepciones para situaciones específicas de acuerdo con el artículo 46. e) Cuando se trate de una transferencia ulterior a un Estado que no sea miembro de la Unión Europea u organización internacional, de datos transferidos inicialmente por una autoridad competente española, esta autorizará la transferencia ulterior, una vez considerados todos los factores pertinentes, entre estos, la gravedad de la infracción penal, la finalidad para la que se transfirieron inicialmente los datos personales y el nivel de protección existente en ese Estado u organización internacional a los que se transfieran ulteriormente los datos personales. Las autoridades españolas informarán sin dilación a la autoridad responsable de conceder la autorización previa, y en todo caso en el plazo máximo de diez días a contar desde que se haya producido la transferencia. 3. Se impulsará el establecimiento de mecanismos de cooperación internacional y de asistencia mutua y se fomentará el intercambio de normativa y de buenas prácticas con los Estados que no sean miembros de la Unión Europea y con las organizaciones internacionales, de manera que se facilite la aplicación efectiva de la legislación sobre la protección de datos personales, inclusive en el ámbito de la resolución de conflictos jurisdiccionales, procurando la participación de todas las partes interesadas.

Artículo 44. Transferencias basadas en una decisión de adecuación

1. Cuando la Comisión Europea, mediante una decisión de adecuación, haya decidido que un Estado que no sea miembro de la Unión Europea, un territorio o uno o varios sectores específicos de dicho Estado, o la organización internacional de que se trate, garantizan un nivel de protección adecuado, podrán realizarse transferencias de datos personales a ese Estado u organización internacional. Dichas transferencias no requerirán ninguna autorización específica. 2. Toda decisión de adecuación de la Comisión Europea que determine que un Estado que no sea miembro de la Unión Europea, un territorio o uno o varios sectores específicos de dicho Estado, o una organización internacional ha dejado de garantizar un nivel de protección adecuado, se entenderá sin perjuicio de las transferencias de datos personales a dicho Estado, territorio o sector del mismo o a la organización internacional de que se trate, en virtud de los artículos 45 y 46.

Artículo 45. Transferencias mediante garantías apropiadas

1. En ausencia de una decisión de adecuación de la Comisión Europea conforme al artículo 44 podrán realizarse transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional cuando concurra alguna de las siguientes circunstancias: b) Se hayan evaluado, por parte del responsable del tratamiento, todas las circunstancias que concurren en la transferencia de datos personales y se haya concluido que existen garantías apropiadas respecto a la protección de datos personales. 3. Cuando las transferencias se basen en lo dispuesto en el párrafo 1.b) deberán documentarse. La documentación se pondrá a disposición de la autoridad de protección de datos competente, previa solicitud, con inclusión de la siguiente información: fecha, hora de la transferencia, información sobre la autoridad competente destinataria, justificación de la transferencia y datos personales transferidos.

Artículo 46. Excepciones para situaciones específicas

1. En ausencia de una decisión de adecuación de la Comisión Europea o de garantías apropiadas de acuerdo con los artículos 44 y 45, podrán realizarse transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional cuando la transferencia sea necesaria por concurrir alguna de las siguientes circunstancias: b) Para salvaguardar intereses legítimos del interesado reconocidos por la legislación española. c) Para prevenir una amenaza grave e inmediata para la seguridad pública de un Estado, tanto miembro de la Unión Europea como no perteneciente a la misma. d) En casos individuales, a efectos del artículo 1. e) Para el ejercicio, en un caso individual, de acciones legales o para la defensa frente a ellas en relación con los fines incluidos en el artículo 1. 3. Las transferencias basadas en lo dispuesto en este artículo deberán documentarse. Esta documentación quedará a disposición de la autoridad de protección de datos competente, con inclusión de la fecha y la hora de la transferencia, la información sobre la autoridad competente destinataria, la justificación de la transferencia y los datos personales transferidos.

Artículo 47. Transferencias directas de datos personales a destinatarios, que no sean autoridades competentes, establecidos en Estados no pertenecientes a la Unión Europea

1. Excepcionalmente, en casos particulares y específicos y sin perjuicio de la existencia de un acuerdo internacional entre España y un Estado que no sea miembro de la Unión Europea en el ámbito de la cooperación judicial penal o de la cooperación policial, las autoridades competentes españolas podrán transferir datos personales directamente a destinatarios que no tengan la condición de autoridad competente, establecidos en Estados que no sean miembros de la Unión Europea, siempre que se cumplan las disposiciones de esta Ley Orgánica y se satisfagan todas las condiciones siguientes: b) Que la autoridad competente que realiza la transferencia determine que ninguno de los derechos y libertades fundamentales del interesado son superiores al interés público que precise de la transferencia de que se trate. c) Que la autoridad competente que realiza la transferencia considere que la transferencia a una autoridad competente del Estado en el que está establecido el destinatario, con cualquiera de los fines del artículo 1, resultaría ineficaz o inadecuada, en particular porque la transferencia no pueda efectuarse dentro de plazo. d) Que se informe sin dilación indebida a la autoridad competente para los fines que contempla el artículo 1 de dicho Estado, salvo que esto resulte ineficaz o inadecuado. e) Que la autoridad competente que realiza la transferencia informe al destinatario de la finalidad o finalidades específicas para las que puede tratar los datos personales, siempre y cuando dicho tratamiento sea necesario. 3. Las transferencias basadas en lo dispuesto en este artículo deberán documentarse.