L'RGPD assenyala, en el considerant 110, en relació amb les BCR, que:
«Qualsevol grup empresarial o unió d'empreses dedicades a una activitat econòmica conjunta ha de tenir la possibilitat d'invocar normes corporatives vinculants autoritzades per a les seves transferències internacionals de la Unió a organitzacions dins el mateix grup empresarial o unió d'empreses dedicades a una activitat econòmica conjunta, sempre que aquestes normes corporatives incorporin tots els principis essencials i drets aplicables per tal d'oferir garanties adequades per a les transferències o categories de transferències de dades de caràcter personal.»
En aquest sentit, en l'RGPD es defineixen les BCR com
«les polítiques de protecció de dades personals assumides per un responsable o un encarregat del tractament establert en el territori d'un estat membre per a transferències o un conjunt de transferències de dades personals a un responsable o un encarregat en un o més països tercers, dins un grup empresarial o una unió d'empreses dedicades a una activitat econòmica conjunta» (article 4 apartat 20).
Per ser aprovades per l'autoritat de control competent, l'RGPD estableix una sèrie de requisits que s'han plasmat en diversos documents elaborats pel denominat Grup de l'Article 29, substituït pel Comitè Europeu de Protecció de Dades a partir del 25 de maig de 2018.
Aquests requisits s'enumeren en l'article 47 de l'RGPD, que exigeix de les BCR que:
- siguin jurídicament vinculants i s'apliquin i siguin complertes per tots els membres corresponents del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta, incloent-hi els seus empleats;
- confereixin expressament als interessats drets exigibles en relació amb el tractament de les seves dades personals; i
- compleixin i incloguin, com a mínim els requisits i elements següents:
a) l'estructura i les dades de contacte del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta i de cadascun dels seus membres;
b) les transferències o conjunts de transferències de dades, incloent-hi les categories de dades personals, el tipus de tractaments i els seus fins, el tipus d'interessats afectats i el nom del tercer o els tercers països en qüestió;
c) el seu caràcter jurídicament vinculant, tant internament com externa;
d) l'aplicació dels principis generals en matèria de protecció de dades, en particular la limitació de la finalitat, la minimització de les dades, els períodes de conservació limitats, la qualitat de les dades, la protecció de les dades des del disseny i per defecte, la base del tractament, el tractament de categories especials de dades personals, les mesures encaminades a garantir la seguretat de les dades i els requisits respecte a les transferències ulteriors a organismes no vinculats per les normes corporatives vinculants;
e) els drets dels interessats en relació amb el tractament i els mitjans per exercir-los, en particular el dret a no ser objecte de decisions basades exclusivament en un tractament automatitzat, incloent-hi l'elaboració de perfils de conformitat amb el que disposa l'article 22, el dret a presentar una reclamació davant l'autoritat de control competent i davant els tribunals competents dels estats membres de conformitat amb l'article 79, i el dret a obtenir una reparació i, quan escaigui, una indemnització per violació de les normes corporatives vinculants;
f) l'acceptació per part del responsable o de l'encarregat del tractament establerts en el territori d'un estat membre de la responsabilitat per qualsevol violació de les normes corporatives vinculants per part de qualsevol membre no establert en la Unió; el responsable o l'encarregat només serà exonerat, totalment o parcialment, d'aquesta responsabilitat si demostra que l'acte que va originar els danys i perjudicis no és imputable a aquest membre;
g) la manera com es facilita als interessats la informació sobre les BCR, en particular pel que fa a les disposicions establertes en les lletres d), e) i f) d'aquest apartat, a més dels articles 13 i 14 relatius a la informació que cal facilitar als interessats;
h) les funcions de tot delegat de protecció de dades designat, o de qualsevol altra persona o entitat encarregada de la supervisió del compliment de les normes corporatives vinculants dins el grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta, així com de la supervisió de la formació i de la tramitació de les reclamacions;
i) els procediments de reclamació;
j) els mecanismes establerts dins el grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta per garantir la verificació del compliment de les normes corporatives vinculants. Aquests mecanismes inclouen auditories de protecció de dades i mètodes per garantir accions correctives per protegir els drets de l'interessat. Els resultats d'aquesta verificació haurien de comunicar-se a la persona o l'entitat a què es refereix la lletra h) i al consell d'administració de l'empresa que controla un grup empresarial, o de la unió d'empreses dedicades a una activitat econòmica conjunta, i posar-se a disposició de l'autoritat de control competent que ho sol·liciti;
k) els mecanismes establerts per comunicar i registrar les modificacions introduïdes en les normes i per notificar aquestes modificacions a l'autoritat de control;
l) el mecanisme de cooperació amb l'autoritat de control per garantir el compliment per part de qualsevol membre del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta, en particular posant a disposició de l'autoritat de control els resultats de les verificacions de les mesures establertes en la lletra j);
m) els mecanismes per informar l'autoritat de control competent de qualsevol requisit jurídic d'aplicació en un país tercer a un membre del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta, que probablement tenen un efecte advers sobre les garanties establertes en les normes corporatives vinculants, i
n) la formació en protecció de dades pertinent per al personal que té accés permanent o habitual a dades personals.