As regras corporativas vinculativas (ou BCR para regras corporativas vinculativas ) são um instrumento jurídico europeu que uma empresa multinacional ou grupo de empresas pode usar para garantir um nível adequado de proteção de dados pessoais ao transferir dados, dentro do grupo, de um país localizado na União Europeia (UE) ou no Espaço Económico Europeu (EEE) para um país terceiro.
Estas regras foram originalmente desenvolvidas como uma ferramenta adicional que permite a transferência de dados pessoais para países não adequados, conforme definido pela Comissão Europeia com base na Diretiva 95/46 / CE sobre a proteção de dados pessoais com, em particular, o "Artigo 29" europeu "grupo de trabalho, G29 , sobre proteção de dados.
Essas ferramentas pertencem a cinco categorias distintas que correspondem a diferentes necessidades: as regras contratuais padrão, o Privacy Shield para transferências dos EUA e da Suíça para os EUA, Binding Corporate Rules (BCR), o consentimento expresso dos indivíduos envolvidos que está em vigor. Muito pouco prática utilizada e contratos "ad hoc" que requerem a validação das Autoridades.
A utilização destas regras requer a aprovação de uma autoridade designada "principal" responsável pela protecção de dados de um país da UE, assistida por duas outras autoridades "co-principais". Estas regras, após aprovação geral graças a um mecanismo de "mútuo acordo" estabelecido entre 20 autoridades e à consulta das restantes (dependendo da (s) transferência (ões) prevista (s)), podem então ser utilizadas para a transferência de dados pessoais.
Refira-se que desde então o Regulamento Europeu 2016/679 (GDPR) integrou plenamente esta ferramenta no seu artigo 47.º e o EDPB (European Data Protection Board) que substituiu o WP29 publicou Working Papers (WP 256, 257) que definem a forma e o conteúdo dos BCRs em conformidade com o artigo 47 do GDPR.
Vários documentos da UE destinam-se a ajudar as empresas que desejam utilizar este instrumento jurídico.