Articulo 48 Tratamiento de datos personales por instituciones, órganos y organismos de la Unión
Artículo 48. Transferencias mediante garantías adecuadas
1. A falta de una decisión con arreglo al artículo 45, apartado 3, del Reglamento (UE) 2016/679, o al artículo 36, apartado 3, de la Directiva (UE) 2016/680, el responsable del tratamiento o el encargado del tratamiento solo podrá transferir datos personales a un tercer país o a una organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa del Supervisor Europeo de Protección de Datos, por los medios siguientes:
a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
b) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 96, apartado 2;
c) cláusulas tipo de protección de datos adoptadas por el Supervisor Europeo de Protección de Datos y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 96, apartado 2;
d) cuando el encargado del tratamiento no sea una institución u organismo de la Unión, normas corporativas vinculantes, códigos de conducta o mecanismos de certificación con arreglo al artículo 46, apartado 2, letras b), e) y f), del Reglamento (UE) 2016/679.
3. Siempre que exista autorización del Supervisor Europeo de Protección de Datos, las garantías adecuadas referidas en el apartado 1 también podrán ser aportadas, en particular, mediante:
a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o
b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
4. Las autorizaciones concedidas por el Supervisor Europeo de Protección de Datos de conformidad con el artículo 9, apartado 7, del Reglamento (CE) n.º 45/2001 seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por este.
5. Las instituciones y organismos de la Unión informarán al Supervisor Europeo de Protección de Datos de las categorías de casos en que el presente artículo haya sido aplicado.