Las normas corporativas vinculantes o "BCR" fueron desarrolladas por el Grupo de Trabajo del Artículo 29 de la Unión Europea (hoy la Junta Europea de Protección de Datos ) para permitir que las corporaciones multinacionales , organizaciones internacionales y grupos de empresas realicen transferencias intraorganizacionales de datos personales a través de las fronteras en cumplimiento. con la Ley de Protección de Datos de la UE . Las BCR se desarrollaron como una alternativa a las Cláusulas Contractuales Modelo de la UE y al ahora extinto Puerto Seguro de la UE del Departamento de Comercio de EE. UU. (Que era solo para organizaciones de EE. UU., Pero ha sido declarado inválido y reemplazado por el Escudo de Privacidad UE-EE. UU. Y Suiza-EE. UU. Frameworks, igualmente declarada nula el 16 de julio de 2020 por la sentencia del TJUE C-311/18 ).
Las BCR deben ser aprobadas por la autoridad de protección de datos en cada Estado miembro de la UE (como la CNIL en Francia, AEPD en España, etc.) en los que la organización dependerá de las BCR. La UE ha desarrollado un proceso de reconocimiento mutuo en virtud del cual las BCR aprobadas por la autoridad de protección de datos de un estado miembro (conocida como la autoridad "principal") y otras dos autoridades "co-líderes", pueden ser aprobadas por los otros estados miembros relevantes que pueden hacer comentarios y solicitar enmiendas. Otros estados miembros, que no forman parte del proceso de reconocimiento mutuo, también estarán involucrados por la autoridad principal y aplicarán su propio proceso de revisión independiente dentro de un plazo limitado. El proceso general para la aceptación de BCR suele tardar entre 6 y 9 meses. Este plazo no incluye la configuración de Protección de Datos requerida, que ya debería estar implementada dentro de la empresa para cumplir con la directiva actual y su implementación local.
Las BCR suelen formar políticas de privacidad globales intraempresariales estrictas, un conjunto de prácticas, procesos y pautas que satisfacen los estándares de la UE y pueden estar disponibles como un medio alternativo para autorizar transferencias de datos personales (por ejemplo, bases de datos de clientes, información de recursos humanos, etc.) fuera de de Europa.
Las BCR deben verse como un marco para tener diferentes elementos (acuerdo legal interno, políticas, capacitación, auditoría, etc.) que brinden cumplimiento con las regulaciones de protección de datos de la UE y una protección efectiva de la privacidad y los datos.
Cabe señalar que, si bien originalmente se diseñaron para brindar base legal a las transferencias internacionales, las BCR se convirtieron de facto en una corporación que demuestra su capacidad para cumplir "en general" con los requisitos de procesamiento de datos personales. Una corporación que tiene BCR aplica este marco independientemente de las transferencias internacionales y debe considerarse como parte del "Gobierno corporativo" o "Gobierno de datos".