A primeira, e mais desejável (embora mais burocrática), é com base em garantias adequadas, nos termos do Artigo 46.º do RGPD, por exemplo, através de Cláusulas Contratuais-Tipo (CCTs). Por exemplo, uma colaboração que inclua uma universidade portuguesa e uma instituição de investigação nos Estados Unidos implica a transferência de dados pessoais. Para permitir essa transferência, as instituições devem celebrar um acordo com base em CCTs, assegurando as garantias adequadas de proteção dos dados.
Caso não estejam previstas garantias adequadas nos termos do art. 46º, é ainda possível realizar transferências, com base no consentimento do participante, desde que este seja não apenas inequívoco, mas também explícito, e que o participante seja devidamente informado sobre os riscos e a natureza da transferência. A diferença entre consentimento inequívoco e explícito reside no grau de manifestação exigido:
• Consentimento inequívoco, nos termos da alínea a), do nº.1 do art. 6º: pressupõe uma manifestação clara de vontade, mas não pode ser inferido do silêncio, da inação ou da utilização de caixas pré-selecionadas.
• Consentimento explícito, nos termos da alínea a), do nº1 do art.º 49º: vai além do inequívoco, exigindo-se um ato afirmativo explícito associado a uma declaração específica, como uma assinatura manuscrita, uma assinatura digital autenticada ou uma manifestação expressa equivalente.
O consentimento explícito deve ainda ser específico para a finalidade da transferência em causa e precedido de informação suficiente para que o titular compreenda plenamente as implicações e riscos para si próprio da sua decisão.