Idiomas

Choque de titanes: El GDPR y el arbitraje internacional: una mirada al futuro

Publicaciones: noviembre 10, 2021

Volver al resumen

Autores

Catherine Raudaschl

Guías de expertos relacionadas

Introducción

En los últimos años, se han planteado cuestiones sobre las implicaciones prácticas de la privacidad de los datos personales y la ciberseguridad en el desarrollo real de los arbitrajes internacionales, especialmente si se tiene en cuenta el ritmo constante del cambio tecnológico.

El Reglamento General de Protección de Datos (RGPD)[1] cumplió dos años en mayo de 2020. El marco de protección de datos personales del GDPR tiene como objetivo garantizar la libre circulación de datos personales de "persona[s] física[s] identificada[s] o identificable[s]"[2] Se aplica dentro de la Unión Europea y tiene un alcance extraterritorial que puede extenderse fuera de la UE;[3] el GDPR puede afectar no solo a todas las personas físicas o jurídicas, sino que también somete a las autoridades públicas, agencias y otros organismos -posiblemente incluidas organizaciones internacionales- a obligaciones de protección de datos personales[4].[4] Las sanciones del RGPD pueden ascender al 4% del volumen de negocios anual mundial de la entidad infractora en el ejercicio anterior o a 20 millones de euros, la cifra que sea más alta. 5] La necesidad de tomarse en serio su aplicación ya ha quedado establecida a través de multas multimillonarias que se han impuesto en múltiples jurisdicciones. 6]

Aunque la aplicación de las leyes de protección de datos personales al arbitraje está establecida, no lo está la forma en que deben aplicarse las leyes. Por ese motivo, el Consejo Internacional de Arbitraje Comercial (ICCA) y la International Bar Association (IBA) establecieron en febrero de 2019 un Grupo de Trabajo Conjunto sobre Protección de Datos en Procedimientos de Arbitraje Internacional, con el objetivo de elaborar una guía que proporcione orientación práctica para la protección de datos personales en el arbitraje internacional. El Grupo de Trabajo publicó un borrador de consulta de esta guía en marzo de 2020.[7] El presente comentario se basará en este borrador de guía (la Guía),[8 ] y se espera que la versión final y revisada de la Guía se publique en septiembre de 2021. Aunque en el momento de redactar el presente documento ya ha finalizado el plazo para la presentación de comentarios sobre el borrador de consulta, la versión preliminar de la hoja de ruta es, no obstante, ilustrativa de las cuestiones que plantea el RGPD en los arbitrajes internacionales. Por lo tanto, se utilizará como base de debate.

La mayoría de las leyes de protección de datos personales son obligatorias en los procedimientos de arbitraje, lo que significa que prescriben

  • qué datos personales pueden tratarse
  • dónde;
  • por qué medios
  • con qué medidas de seguridad de la información; y
  • durante cuánto tiempo[9].

No abordan, sin embargo, cómo deben cumplirse estas obligaciones vinculantes en los procedimientos arbitrales. A falta de orientaciones específicas por parte de los reguladores, la hoja de ruta pretende ayudar a los profesionales del arbitraje a identificar y comprender las obligaciones en materia de protección de datos personales y privacidad a las que pueden estar sujetos en el contexto de un arbitraje internacional. Además, el alcance de la protección del GDPR sigue siendo relevante en los procedimientos de arbitraje internacional, principalmente si las leyes del GDPR se aplican a los arbitrajes con sede fuera de la UE. Hay varias implicaciones adicionales si se considera que el GDPR se aplica al arbitraje: en primer lugar, si el tratamiento de datos personales está prohibido y, en segundo lugar, si existen restricciones a las transferencias de datos personales fuera de la UE. Por último, debido a la creciente frecuencia de los ciberataques, las consecuencias de un ataque de este tipo en un arbitraje podrían acarrear daños significativos.

Este artículo pretende ofrecer comentarios sobre la Hoja de Ruta y explorar las medidas prácticas que deberían tenerse en cuenta en relación con las obligaciones de protección de datos personales en los procedimientos de arbitraje internacional. Identifica la Hoja de Ruta como una herramienta prometedora, aunque incompleta, para complementar los diversos intentos de derecho indicativo para armonizar el arbitraje internacional hasta la fecha, en particular los instrumentos de la IBA y la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI).

En primer lugar, se ofrecerá un breve resumen de la hoja de ruta, que incluye una referencia a los principios del RGPD. No se pretende que sea un resumen exhaustivo, sino más bien presentar los puntos principales de la hoja de ruta para que el lector pueda situarse en el contexto del debate posterior. En segundo lugar, se ofrecerá un comentario que aborda seis cuestiones pertinentes:

  • La aplicabilidad del GDPR a los arbitrajes celebrados fuera de la UE;
  • el RGPD en el contexto de los arbitrajes del Tratado de Libre Comercio de América del Norte (TLCAN), como se ilustra en Tennant Energy, LLC contra el Gobierno de Canadá;[10]
  • la cuestión de las videoconferencias, cuya importancia ha aumentado considerablemente a lo largo de la pandemia de COVID-19, incluidas las referencias al "Protocolo ICCA-NYC Bar-CPR sobre ciberseguridad en el arbitraje internacional" (Protocolo sobre ciberseguridad)[11] las Directrices sobre ciberseguridad de la IBA[12] y la Nota de orientación de la CCI sobre posibles medidas destinadas a mitigar los efectos de la pandemia de COVID-19;[13]
  • los "terceros financiadores" y cómo se tienen en cuenta en la hoja de ruta;
  • el abuso del GDPR, especialmente como escudo para la no divulgación; y
  • la posibilidad de utilizar el incumplimiento de los requisitos de protección de datos personales como vía para anular o denegar el reconocimiento y la ejecución del laudo arbitral.

En la conclusión se expondrán las reflexiones finales.

La hoja de ruta

Las personas físicas y jurídicas están sujetas a la obligación de proteger los datos personales de los interesados. El arbitraje en sí no está sujeto a obligaciones de protección de datos personales. Sin embargo, si sólo uno de los participantes en el arbitraje está sujeto a obligaciones de protección de datos personales, el arbitraje puede verse afectado en su conjunto. La aplicación de las leyes de protección de datos personales se determinará en función de si el tratamiento de datos personales entra en el ámbito de aplicación de las leyes pertinentes, material y jurisdiccional[14].

Las leyes modernas de protección de datos personales se aplican siempre que se traten datos personales sobre un interesado durante las actividades que entran dentro del ámbito jurisdiccional de las leyes pertinentes de protección de datos personales[15] Los datos personales incluyen "cualquier información relativa a una persona física identificada o identificable"[16] Durante los procedimientos de arbitraje típicos, se intercambian porciones sustanciales de información relativa, entre otros, a las partes, sus abogados, el tribunal y terceros. Como tales, es probable que entren dentro de la definición de "datos personales". Los "interesados" son las personas físicas antes mencionadas que están identificadas o son identificables[17]. El tratamiento incluye operaciones activas y pasivas, por lo que abarca el uso, la difusión y la supresión de datos personales, así como la recepción, la organización y el almacenamiento de datos personales[18].[18] El ámbito de aplicación abarca acciones siempre que se traten datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la UE[19] y extraterritorialmente, como cuando se transfieren datos personales fuera de la UE a entidades o personas que por otros motivos no están ya sujetas al RGPD[20].

Los árbitros serán calificados como controladores de datos, lo que significa que serán responsables del cumplimiento de las leyes de protección de datos personales. Sin embargo, sobre la base de la definición de "responsable del tratamiento de datos"[21], es probable que la mayoría de los participantes en el arbitraje[22 ] sean considerados como tales, incluidos los abogados, las partes y la institución. Los responsables del tratamiento pueden delegar el tratamiento de datos en encargados del tratamiento,[23] que estarán bajo su control y requerirán acuerdos de tratamiento de datos en los términos prescritos por la legislación aplicable. Así, es probable que los secretarios, transcriptores, traductores y otros sean considerados encargados del tratamiento de datos. Existe además la cuestión de los corresponsables del tratamiento que determinan conjuntamente los fines y los medios del tratamiento de datos. La corresponsabilidad se interpreta en sentido amplio, pero la responsabilidad del corresponsable se limita únicamente al tratamiento que haya determinado, a su finalidad y a sus medios, y no al tratamiento en su conjunto[24].

En los arbitrajes internacionales, las restricciones a las transferencias de datos personales entre jurisdicciones son una forma evidente de aplicación de las leyes de protección de datos personales. Los antecedentes de los diferentes participantes en el arbitraje determinarán la aplicación de diferentes regímenes de protección de datos personales. Las leyes modernas de protección de datos personales restringen las transferencias de datos personales a terceros países para garantizar que no se eludan las obligaciones legales mediante la transferencia de datos personales a jurisdicciones con estándares inferiores de protección de datos personales[25] El GDPR permite las transferencias de datos personales a terceros países si se da una de las siguientes circunstancias

  • la Comisión Europea considera que el país ofrece una protección adecuada de los datos personales;
  • se aplica una de las salvaguardias expresamente enumeradas;
  • una excepción que permita las transferencias cuando sean necesarias para el establecimiento, ejercicio o defensa de reclamaciones legales; o
  • un interés legítimo imperioso de una de las partes[26].

Estas normas se aplican a los participantes en el arbitraje y no al arbitraje en su conjunto, por lo que se exige que cada participante en el arbitraje considere qué restricciones a la transferencia de datos personales se le aplican.

Los principios de protección de datos personales aplicables en el arbitraje incluyen el tratamiento justo y lícito, la proporcionalidad, la minimización de datos, la limitación de la finalidad, los derechos del interesado, la exactitud, la seguridad de los datos, la transparencia y la responsabilidad[27].

Algunos de estos principios requieren comentarios adicionales. El tratamiento leal y lícito significa que los datos personales sólo deben tratarse de la forma que los interesados esperen razonablemente y que debe existir una base jurídica para el tratamiento. Aplicando el principio de equidad, la parte y su abogado deben preguntarse si, en el contexto de todos los hechos, los interesados habrían esperado que sus datos personales se trataran de esa manera, si tendrá consecuencias adversas para ellos y si estas consecuencias están justificadas. Este principio no impedirá que los datos personales encontrados en correos electrónicos comerciales sean admitidos como prueba.

La noción de tratamiento lícito implica una base jurídica basada en hechos y específica para cada caso. En lugar de basarse en el consentimiento, deben invocarse las bases jurídicas específicas del GDPR[28].

La proporcionalidad requiere una consideración de la naturaleza, el alcance, el contexto y los fines del tratamiento en relación con los riesgos planteados al interesado[29] La minimización de los datos requiere que los participantes en el arbitraje limiten el tratamiento a los datos personales que sean adecuados, pertinentes y limitados a lo necesario[30].[30] La transparencia exige que se notifique a los interesados el tratamiento y la finalidad del tratamiento de los datos personales mediante avisos generales, notificaciones específicas, o ambos[31] La rendición de cuentas se refiere a la responsabilidad personal del cumplimiento de la protección de datos, lo que significa que los participantes en el arbitraje deben documentar todas las medidas y decisiones adoptadas en materia de protección de datos personales para demostrar su cumplimiento[32].

El cumplimiento de la protección de datos personales afecta a las distintas fases de los procedimientos de arbitraje internacional, no sólo durante el propio arbitraje, sino también durante los preparativos. Desde el principio, los participantes en el arbitraje deben considerar qué leyes de protección de datos personales se aplican a sí mismos y a otros participantes en el arbitraje, y qué participantes en el arbitraje tratarán datos personales como controladores, procesadores o controladores conjuntos. También deben tenerse en cuenta las normas de transferencia de datos personales de terceros países y los acuerdos de tratamiento de datos personales relativos a terceros proveedores de servicios. Durante el proceso de recopilación y revisión de documentos, las partes y sus asesores jurídicos necesitan una base legal para las actividades de tratamiento y las transferencias de datos personales de terceros países[33].

La solicitud de arbitraje, así como los escritos posteriores, incluirán datos personales que entran de lleno en el ámbito del tratamiento. Si una institución arbitral está sujeta a la legislación aplicable en materia de protección de datos personales, deberá tener en cuenta las posibles obligaciones en materia de protección de datos personales aplicables durante cada fase del procedimiento. Si una institución arbitral está sujeta al GDPR, normalmente se convertirá en responsable del tratamiento de datos personales. Para cumplir los artículos 13 y 14 del RGPD, dicha institución debe incluir en su aviso de privacidad información relativa a las medidas de seguridad, el ejercicio de los derechos de los interesados, el mantenimiento de registros y las políticas de violación y conservación de datos[34]. Sin embargo, las organizaciones internacionales que administran arbitrajes entre inversores y Estados pueden quedar excluidas del ámbito de aplicación de las leyes de protección de datos personales debido a privilegios e inmunidades en el Estado constituyente o en un acuerdo con el país anfitrión. Por lo tanto, en este caso deben realizarse consideraciones independientes, que incluyan, entre otras cosas, si la organización está sujeta a las leyes de protección de datos personales y si -y en qué medida- los participantes en el arbitraje estarían cubiertos por los privilegios e inmunidades[35].

Durante la designación de los árbitros de un tribunal arbitral, generalmente se intercambian cantidades significativas de datos personales de los posibles árbitros. Los participantes en el arbitraje deben incluir la base jurídica para el tratamiento de estos datos personales en sus avisos legales y notificar expresamente a los árbitros que están siendo considerados para su nombramiento el tratamiento de sus datos personales, especialmente en caso de transferencias de datos personales a terceros países[36].

Una vez que el arbitraje esté en marcha, las responsabilidades de cumplimiento de la protección de datos personales deben asignarse pronto para minimizar los riesgos. La protección de datos personales debe incluirse en el orden del día de la primera conferencia procesal, y los participantes en el arbitraje deben intentar acordar cómo abordar el cumplimiento de la protección de datos personales lo antes posible. Las partes, sus abogados y los árbitros deberían considerar la posibilidad de suscribir un protocolo de protección de datos personales para gestionar eficazmente las cuestiones de cumplimiento. Cuando esto no sea posible, una opción alternativa es que el Tribunal las incluya en la Orden Procesal Número Uno[37].

En el proceso de producción y divulgación de documentos, el principio de minimización de datos personales es especialmente relevante. En virtud del GDPR, esto requeriría probablemente

  • limitar los datos personales revelados a lo que sea relevante y no duplicado;
  • identificar los datos personales contenidos en el material de respuesta; y
  • redactar o seudonimizar los datos personales innecesarios.

Estas cuestiones también deben considerarse en una fase temprana del procedimiento, preferiblemente en la primera conferencia procesal o antes[38].

A la hora de dictar laudos, los árbitros y las instituciones deben considerar el fundamento y la necesidad de incluir datos personales en los laudos. Aunque el arbitraje sea confidencial, existe el riesgo de que el laudo se haga público cuando se ejecute. Incluso si se suprimen los datos personales, normalmente siguen siendo datos personales, ya que el interesado es identificable a partir del resto del laudo o del material relacionado[39].

La conservación y la supresión de datos se consideran tratamiento con arreglo al RGPD, que establece que los datos personales "se conservarán en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se traten los datos personales"[40] Los responsables del tratamiento deben considerar, documentar y poder justificar la duración del almacenamiento. Los participantes en el arbitraje deben considerar qué período de conservación de datos es razonable y deben adoptar un enfoque proporcionado para equilibrar sus necesidades con el impacto de la conservación de datos en el sujeto[41].

Aplicabilidad del RGPD a los arbitrajes celebrados fuera de la UE

El ámbito de aplicación territorial del Reglamento General de Protección de Datos es relativamente amplio. Los profesionales deben ser conscientes de su aplicación tanto si están situados en la UE como si no, o si el arbitraje tiene su sede en la UE. El RGPD se aplica al tratamiento de datos personales por responsables o encargados del tratamiento establecidos en la UE, con independencia de que el propio tratamiento tenga lugar en la UE (artículo 3, apartado 1). Además, cuando se trata de ofrecer bienes o servicios a ciudadanos de la UE o de supervisar comportamientos que tienen lugar en la UE, el RGPD se aplica al tratamiento de datos personales por un responsable o encargado del tratamiento no establecido en la UE (artículo 3, apartado 2).

Aplicado al contexto arbitral, el RGPD impone obligaciones a los responsables y encargados del tratamiento de datos -árbitros, abogados, partes e instituciones- que entran dentro de su ámbito de aplicación material y territorial, y no al procedimiento arbitral directamente. Incluso si solo hay un participante en el arbitraje que tenga conexión con la UE, estará obligado a tratar los datos personales de conformidad con el RGPD. Pueden surgir implicaciones para el procedimiento en su conjunto[42].

Tal vez lo más notable en el contexto del arbitraje internacional, donde la transferencia de materiales de arbitraje que contienen datos personales es habitual, son las restricciones impuestas a la transferencia de datos personales a "terceros países" fuera del Espacio Económico Europeo (EEE). En este caso, se requiere uno de los cuatro fundamentos jurídicos para permitir la transferencia de datos personales. En primer lugar, la transferencia a un tercer país está permitida si el tercer país está sujeto a una decisión de adecuación (artículo 45(1))[43] Si no es el caso, debe establecerse una de las salvaguardias apropiadas (artículo 46(1)) cuando sea factible.[44] Si no existe una decisión de adecuación y no es posible aplicar una salvaguardia apropiada, puede invocarse una excepción específica (artículo 49, apartado 1)[45] Por último, a falta de lo anterior, una parte puede invocar un interés legítimo imperioso (artículo 49, apartado 1)[46 ] como base jurídica para la transferencia de datos personales de terceros.

La hoja de ruta expone de forma bastante exhaustiva las consideraciones necesarias que deben tener en cuenta los participantes en el arbitraje. Subraya en múltiples ocasiones que son los participantes en el arbitraje, y no el arbitraje como tal, a quienes se aplican los principios de protección de datos personales y las normas de transferencia[47]. En consonancia con esto, la conclusión presuntiva es que un árbitro con sede en la UE que participe en un arbitraje fuera de la UE que, por lo demás, no esté sujeto al RGPD, deberá, no obstante, cumplir los requisitos de tratamiento y transferencia de datos personales del RGPD. De hecho, esto se acepta generalmente en los procedimientos de arbitraje comercial,[48 ] pero la situación no está tan clara cuando se trata de arbitraje inversor-Estado.

El caso de Tennant Energy, LLC contra el Gobierno de Canadá

En 2019, en el arbitraje Tennant Energy, LLC v Government of Canada (Tennant), del Capítulo 11 del TLCAN,[49 ] Tennant, la demandante, planteó la cuestión de la aplicación del GDPR al procedimiento a la luz de la nacionalidad y el domicilio británicos de uno de los miembros del tribunal. Sin embargo, el Tribunal dio instrucciones a las partes indicando que "un arbitraje en virtud del capítulo 11 del TLCAN, un tratado del que no son parte ni la Unión Europea ni sus Estados miembros, no entra, presumiblemente, en el ámbito de aplicación material del GDPR"[50].

Es importante distinguir entre el arbitraje basado en tratados y el arbitraje comercial, y Tennant pertenece a la primera categoría. La hoja de ruta aborda esta distinción, señalando que las organizaciones internacionales pueden quedar excluidas del ámbito de aplicación de las leyes de protección de datos personales[51] Los miembros del tribunal en el arbitraje Tennant pueden estar sujetos a ciertas inmunidades derivadas del Acuerdo de Sede de la Corte Permanente de Arbitraje (CPA) con los Países Bajos. Sin embargo, el tribunal del TLCAN no consideró si, como organización internacional, la CPA estaría sujeta a las normas de transferencia del GDPR o si los miembros del tribunal derivarían ciertas inmunidades del acuerdo.

La sentencia Tennant plantea más preguntas que respuestas en relación con la aplicabilidad del GDPR a los procedimientos del TLCAN y a los arbitrajes basados en tratados en general, un debate matizado que queda fuera del alcance del presente documento. No obstante, la directiva Tennant, vista a la luz de la hoja de ruta, demuestra que este tema sigue siendo muy incierto. En el mejor de los casos, es cuestionable que la Hoja de Ruta aporte alguna claridad a los participantes en arbitrajes que se enfrentan a esta cuestión, teniendo en cuenta especialmente que la Hoja de Ruta se publicó después de que se dictara la directiva Tennant, pero no concedió a esta última ninguna consideración.

La cuestión de la videoconferencia

La Hoja de ruta reconoce la importancia de la seguridad de los datos personales. Sin embargo, con el reciente uso de tecnología adicional para facilitar las audiencias virtuales, así como el trabajo desde casa -fomentado sobre todo por las circunstancias actuales que nos impone la pandemia del Covid-19- esta cuestión tiene un peso adicional. El Protocolo de Ciberseguridad[52] y las Directrices de Ciberseguridad de la IBA[53] han arrojado algo de luz sobre esta cuestión.

Al igual que la Hoja de Ruta, el Protocolo de Ciberseguridad establece varios principios subyacentes. Se aplica el principio de proporcionalidad, el Tribunal tiene autoridad y discreción para determinar las medidas de seguridad aplicadas, y la seguridad de la información es una cuestión que debe discutirse en la primera conferencia de gestión del caso. El Anexo A del Protocolo de Ciberseguridad proporciona una lista de comprobación que las partes de un arbitraje pueden utilizar para salvaguardar los procedimientos.

Tras el reciente cambio en los modelos y entornos de trabajo debido a la pandemia del Covid-19, estas cuestiones deberían tener más peso. En un mundo que se ha visto presionado para encontrar nuevas formas de hacer negocios y adaptarse a tiempos de incertidumbre, uno de los problemas a los que se ha enfrentado el sector jurídico es el de las audiencias combinadas con las restricciones y la necesidad de distanciamiento social. Como tal, la popularidad de las videoconferencias y el uso de las mismas en los procedimientos de arbitraje internacional es algo que la Hoja de Ruta debería abordar pero no lo ha hecho - o, al menos, no todavía.

Aunque muchos han debatido y señalado los problemas de las videoconferencias, la mayoría no ha abordado cómo deben aplicárseles las leyes de protección de datos personales, no sólo en lo que respecta a la protección de datos personales, sino también a la seguridad, ya que algunas plataformas han sido objeto de ataques de seguridad[54].

Como se ha comentado anteriormente, es esencial comprender las diferentes funciones de las partes implicadas en el arbitraje en relación con el RGPD, a saber, quiénes son los "responsables del tratamiento" y los "encargados del tratamiento". Si el software de videoconferencia está procesando cualquier dato personal, como el nombre de usuario y la dirección de correo electrónico del uso del servicio por una de las partes, se considerará un "procesador de datos". Esto significa que deben cumplir las normas del GDPR si alguno de los participantes está domiciliado en la UE. Dado que el Tribunal es el "responsable del tratamiento", le corresponderá garantizar dicho cumplimiento.

La Cámara de Comercio Internacional (CCI) ha publicado una nota orientativa[55] que ofrece a las partes sugerencias de cláusulas para protocolos de ciberseguridad y audiencias virtuales. Su objetivo es abordar el aspecto de la seguridad, pero no el de la protección de datos personales. La hoja de ruta debería discutir las posibilidades en las que la protección de datos personales se aplicaría a las audiencias realizadas virtualmente y también cómo adherirse a las mismas. Aunque el RGPD especifica los requisitos que deben cumplirse en relación con las videoconferencias, no ofrece orientación sobre la forma en que sus requisitos son directamente aplicables.

Aunque la hoja de ruta no ofrece recomendaciones sobre proveedores de software específicos, podría recopilar y proporcionar a los profesionales una lista de las especificaciones necesarias de un software ideal para las videoconferencias, del mismo modo que proporciona listas de comprobación sobre otros asuntos en sus anexos.

¿Dónde encajan los terceros financiadores?

Se entiende por tercero financiador cualquier persona ajena al procedimiento arbitral que llega a un acuerdo para financiar total o parcialmente el coste del procedimiento a cambio de una cantidad que depende total o parcialmente del resultado del caso[56] Los terceros financiadores tienen acceso a diversos datos personales de los procedimientos arbitrales que están financiando, o que están considerando financiar. Aunque la hoja de ruta se dirige expresamente sólo a los participantes en el arbitraje, establece que la orientación es relevante para los proveedores de servicios que también se ven afectados por los requisitos de protección de datos personales[57].

En la hoja de ruta, los proveedores de servicios incluyen "expertos en e-discovery, profesionales de las tecnologías de la información, taquígrafos judiciales, servicios de traducción, etc."[58 ], pero no se menciona explícitamente a los terceros financiadores. Con arreglo al RGPD, la recogida y almacenamiento de datos personales se incluye en el tratamiento. Por tanto, si los terceros financiadores recogen datos personales de otros, también se les aplicaría la legislación sobre datos personales[59].

El GDPR permite a una parte tratar datos personales si "el tratamiento es necesario a efectos de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero",[60 ] lo que potencialmente puede ser citado por los participantes en el arbitraje como base jurídica aplicable para el tratamiento de los datos personales pertinentes. Las orientaciones sobre este tema son limitadas[61]:

"El primer paso en una evaluación del interés legítimo es identificar un interés legítimo: ¿cuál es la finalidad del tratamiento de los datos personales y por qué es importante para usted como responsable del tratamiento? En el contexto del arbitraje, el interés legítimo puede implicar la administración de justicia, garantizando el respeto de los derechos de las partes y la resolución rápida y justa de las reclamaciones en virtud de las normas de arbitraje aplicables, así como muchos otros intereses"[62].

La inclusión de "muchos otros intereses también" podría incluir posiblemente el interés monetario legítimo de terceros financiadores. De ser así, estarían claramente obligados a celebrar acuerdos de tratamiento de datos con las partes en los procedimientos arbitrales y estarían incluidos en el ámbito de aplicación de la normativa y los requisitos de protección de datos personales. Curiosamente, la hoja de ruta omite detallar explícitamente cómo encajan en el panorama los terceros financiadores, sobre todo teniendo en cuenta el aumento de su inclusión en los procedimientos arbitrales.

Un escudo para la no divulgación

Las obligaciones en materia de protección de datos personales pueden dar lugar a abusos. Las partes arbitrales pueden utilizar el RGPD como escudo de mala fe para impedir la divulgación de información relevante para el procedimiento o solicitada por la contraparte. Por ejemplo, una parte puede oponerse a una solicitud de divulgación alegando que los documentos contienen datos personales no relacionados con el litigio, o que la redacción de información personal sería excesivamente gravosa[63].

La hoja de ruta aborda las posibilidades de abuso. Sugiere plantear y aclarar las obligaciones de protección de datos personales lo antes posible para reducir el riesgo de que afecten a los procedimientos. Los participantes deberían considerar la posibilidad de firmar un "protocolo de protección de datos", es decir, un acuerdo sobre cómo se aplicará la protección de datos personales en un contexto concreto. Alternativamente, cuando no sea posible lograr la firma de un protocolo de protección de datos, estas cuestiones deberán abordarse en la Orden Procesal Número Uno[64].

A modo de comparación, se puede observar el cumplimiento del RGPD durante la presentación de pruebas en litigios estadounidenses. Los tribunales federales de EE.UU. han empleado pruebas de ponderación para decidir si ordenar o no la divulgación o el cumplimiento de citaciones u órdenes de exhibición de pruebas que potencialmente infringen leyes extranjeras, incluidas las leyes de protección de datos personales[65] Una lista no exhaustiva de los factores examinados por los tribunales federales de EE.UU. es la siguiente

  • la importancia de los documentos u otra información solicitada para el litigio;
  • el grado de especificidad de la solicitud
  • si la información se originó en EE.UU;
  • la disponibilidad de medios alternativos para obtener la información; y
  • la medida en que el incumplimiento perjudicaría intereses importantes de EE.UU.[66].

En la mayoría de los casos, los tribunales federales exigen la divulgación a pesar de las posibles violaciones de las leyes extranjeras de protección de datos personales[67].

Los árbitros se enfrentan a consideraciones diferentes a las de los tribunales a la hora de decidir si ordenan la divulgación por una parte. Es correcto, como se argumenta en la bibliografía,[68 ] que los tribunales deben ser conscientes de los derechos y deberes contrapuestos a la luz de la amenaza de anulación o denegación de la ejecución en virtud de la Convención de 1958 sobre el Reconocimiento y la Ejecución de las Sentencias Arbitrales Extranjeras (Convención de Nueva York). Sin embargo, este punto de vista no tiene en cuenta el hecho de que las órdenes de divulgación están sujetas a una revisión mínima por parte de los tribunales estatales, dado el principio de no interferencia judicial[69] Abundan los ejemplos de tribunales estatales que se abstienen de realizar una revisión de las órdenes de divulgación[70].

A la luz de la discrecionalidad otorgada a los tribunales en cuestiones procesales, es poco probable que la amenaza de anulación o de denegación de la ejecución sea una consideración central. La inevitabilidad de que las partes intenten abusar de las obligaciones del RGPD para obtener una posible ventaja procesal pondrá a los tribunales en la difícil tesitura de equilibrar los intereses del interesado, por un lado, y mantener un proceso probatorio sólido, por otro[71] Aclarar las obligaciones de cumplimiento de la protección de datos personales al inicio del procedimiento -preferiblemente en un protocolo de protección de datos firmado- en consonancia con las recomendaciones de la hoja de ruta parece ser un paso previo para controlar este comportamiento.

El incumplimiento de los requisitos de protección de datos personales como vía para la anulación y la denegación del reconocimiento y la ejecución

La Hoja de ruta no aborda si el incumplimiento de los requisitos de protección de datos personales podría utilizarse para anular un laudo arbitral o para denegar su reconocimiento y ejecución. Las partes disponen de medios de recurso muy limitados contra los laudos. No obstante, una parte vencida puede desear impugnar su resultado y utilizar uno de los principales motivos comunes para impugnar el laudo o impedir su reconocimiento o ejecución.

La Convención de Nueva York cuenta actualmente con 168 Estados contratantes, lo que la convierte en la principal base jurídica para el reconocimiento y la ejecución de los laudos extranjeros en el arbitraje comercial internacional. La Convención establece, en su artículo V, motivos limitados por los que se puede denegar el reconocimiento y la ejecución de un laudo arbitral. En particular, a los efectos que nos ocupan, el artículo V(2)(b) reconoce la posibilidad de que la autoridad competente de un Estado signatario deniegue el reconocimiento o la ejecución de un laudo que viole el orden público[72].

Los motivos por los que se puede anular un laudo arbitral varían según las distintas jurisdicciones. La Ley Modelo de la CNUDMI sobre Arbitraje Comercial Internacional, que ha sido ampliamente adoptada, establece una lista de motivos de anulación en el artículo 34(2). El artículo 34(2)(b)(ii) establece que un laudo arbitral puede ser anulado por el tribunal si el laudo entra en conflicto con el orden público del Estado[74].

El Tribunal de Justicia de las Comunidades Europeas (TJCE) sostuvo en el asunto Eco Swiss contra Benetton que las disposiciones imperativas de carácter general del Derecho de la UE pueden constituir normas fundamentales de orden público, cuya infracción puede constituir un motivo de anulación de un laudo arbitral basado en tal motivo de Derecho nacional[75]. Por lo tanto, la posibilidad de anular un laudo, o de denegar su reconocimiento o ejecución, debido al incumplimiento de los requisitos de protección de datos personales dependerá de si las normas del GDPR deben considerarse disposiciones imperativas de carácter general, cuya infracción es contraria al orden público nacional[76].

El artículo 9, apartado 1, del Reglamento Roma I define las disposiciones imperativas como aquellas "cuyo respeto es considerado crucial por un país para salvaguardar sus intereses públicos [...] hasta tal punto que son aplicables a cualquier situación comprendida en su ámbito de aplicación, con independencia de la ley aplicable de otro modo". Como Cervenka y Schwarz han reconocido anteriormente, es probable que la mayoría de las normas del RGPD puedan considerarse disposiciones imperativas de primer orden con arreglo al Derecho de la UE. Como tales, su incumplimiento puede considerarse una violación del orden público[77].

La posibilidad de que el incumplimiento de los requisitos de protección de datos personales pueda dar lugar a la anulación o al no reconocimiento y no ejecución de un laudo arbitral suscita diversas preocupaciones. En primer lugar, habría que definir con precisión qué obligaciones en materia de protección de datos personales constituirían disposiciones imperativas de primer orden, ya que no todas las infracciones tienen el mismo peso. En última instancia, es probable que se pida al TJCE que aporte más aclaraciones. En segundo lugar, también debería tenerse en cuenta el posible abuso de la posibilidad de impugnar o impugnar la ejecución de un laudo sobre la base de la violación del RGPD, para evitar que las partes infrinjan intencionadamente las normas de protección de datos personales con el fin de tener la posibilidad de recurrir el laudo posteriormente. Por último, debería definirse si las normas de protección de datos personales formarían parte del Derecho procesal o sustantivo y de qué manera[78].

Aunque queda mucho por definir, deberían abordarse las consecuencias del incumplimiento de los requisitos de protección de datos personales sobre la anulación, así como sobre el reconocimiento y la ejecución de los laudos arbitrales. Resulta muy interesante que en la hoja de ruta no se mencione esta cuestión.

Conclusión

La hoja de ruta pretende ayudar a los profesionales del arbitraje a identificar y comprender las obligaciones en materia de protección de datos personales y privacidad a las que pueden estar sujetos en un contexto de arbitraje internacional. Sin embargo, como se ha comentado anteriormente, todavía no aborda algunas cuestiones específicas que son relevantes y apremiantes hoy en día. Las seis cuestiones identificadas y desarrolladas en este documento son:

  • La aplicabilidad del GDPR a los arbitrajes celebrados fuera de la UE;
  • el GDPR en el contexto de los arbitrajes del TLCAN
  • la cuestión de las audiencias de arbitraje virtuales
  • terceros financiadores y su lugar en el
  • el posible abuso del RGPD; y
  • el posible incumplimiento del GDPR como vía para anular o denegar el reconocimiento y la ejecución del laudo arbitral.

Estas cuestiones merecerán una reflexión más profunda, ya que se prevé que adquieran mayor relevancia en los próximos años. Es de esperar que se haya demostrado que merecen ser incluidas en la Hoja de ruta.

Los anexos[79] añadidos a la hoja de ruta pretenden ayudar a los profesionales a abordar estos requisitos de forma práctica. La adición de la Lista de control de la protección de datos, la Lista de control de la evaluación del interés legítimo, los Ejemplos de avisos de privacidad y las Cláusulas contractuales tipo de la UE son recursos extremadamente valiosos y deben ser utilizados por los profesionales para asegurarse de que cumplen el RGPD.

Sin embargo, en una situación de conflicto entre distintas jurisdicciones, las diferencias entre las diversas legislaciones nacionales relativas a la protección de datos personales pueden dar lugar a ambigüedad. Aunque las directrices de la hoja de ruta son amplias, no son vinculantes. En el pasado, la CNUDMI y la IBA se han inclinado a favor de la armonización en el arbitraje internacional a través de sus normas, directrices y similares; aunque no son vinculantes, sin duda son persuasivas. Al igual que la CNUDMI y la IBA han intentado hacer con diversos aspectos del arbitraje internacional, también existe una necesidad imperiosa de armonización en los requisitos de protección de datos personales en relación con el arbitraje; por lo tanto, deberían establecerse las directrices necesarias con la armonización en mente.

Mientras siga faltando armonización, comprensión y concienciación sobre los requisitos de cumplimiento del GDPR y sus implicaciones en el contexto del arbitraje internacional, nosotros, como profesionales del arbitraje, seguiremos arreglándonos con el marco jurídico actualmente en vigor. Sin embargo, a pesar de sus defectos, la hoja de ruta representa un paso muy necesario y alentador en la dirección de una comprensión común de las obligaciones de protección de datos personales para los participantes en el arbitraje.

Recursos

  1. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), DO 2016 L 119/1.
  2. "Datos personales" se definen en el artículo 4 del RGPD como: (1) '"datos personales": cualquier información relativa a una persona física identificada o identificable ("interesado"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.
  3. El ámbito de aplicación territorial del RGPD se define en el artículo 3 de la siguiente manera:
    1. 'El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión, con independencia de que el tratamiento tenga lugar o no en la Unión.'

    2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por un responsable o un encargado del tratamiento no establecidos en la Unión, cuando las actividades de tratamiento estén relacionadas con:

      (a) la oferta de bienes o servicios, con independencia de que se requiera un pago del interesado, a dichos interesados en la Unión; o

      (b) el seguimiento de su comportamiento, en la medida en que éste tenga lugar en la Unión.

    3. El presente Reglamento se aplica al tratamiento de datos personales por un responsable del tratamiento no establecido en la Unión, sino en un lugar en el que se aplique el Derecho de un Estado miembro en virtud del Derecho internacional público.
  4. Véase la definición de "encargado del tratamiento" en el artículo 4 del RGPD.
  5. Artículo 83, apartado 4, del RGPD.
  6. 'Largest fine under GDPR levied against Google' (Simmons + Simmons, 22 de enero de 2019), véase www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, 'British Airways fined £20m over data breach' (BBC, 16 de octubre de 2020), véase www.bbc.com/news/technology-54568784.
  7. 'ICCA-IBA Joint Task Force on Data Protection in International Arbitration' (ICCA), véase www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, consultado el 18 de agosto de 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration' (ICCA, febrero de 2020), véase https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, consultado el 18 de agosto de 2021.
  9. Ibid, 1.
  10. Caso CPA nº 2018-54.
  11. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', véase https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, consultado el 18 de agosto de 2021.
  12. 'Cybersecurity Guidelines' (IBA, octubre de 2018), véase www.ibanet.org/LPRU/Cybersecurity, consultado el 1 de diciembre de 2020.
  13. 'ICC Guidance Note on Possible Measures Aim' (Cámara de Comercio Internacional, 9 de abril de 2020), consultado el 18 de agosto de 2021.
  14. Hoja de ruta, Sección B.
  15. Ibid.
  16. Art 4, GDPR.
  17. Ibíd.
  18. Art 4, GDPR
  19. Ibídem, artículo 3, apartado 1.
  20. Hoja de ruta, 7.
  21. Artículo 4, GDPR.
  22. La hoja de ruta define a los "participantes en el arbitraje" como "las partes, sus asesores jurídicos, los árbitros y las instituciones arbitrales (únicamente)". Véase Hoja de ruta (n 3), 2.
  23. Art 4, GDPR.
  24. Véase la sentencia de 29 de julio de 2019, Fashion ID GmbH & Co KG c. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, párrafos 74, 85. Véase también la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; sentencia de 10 de julio de 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Hoja de ruta, 11
  26. Ibid, 12.
  27. Art 5 y 12-22, GDPR; Hoja de ruta 14-15.
  28. Por ejemplo, en virtud del GDPR, el tratamiento de datos personales en el contexto del arbitraje internacional es lícito cuando es necesario para los fines de los intereses legítimos del responsable del tratamiento -sujeto a limitaciones basadas en los intereses y derechos fundamentales del interesado- y los datos sensibles pueden tratarse en virtud de la excepción de reclamaciones legales (art. 9, apartado 2, letra f)) en el contexto del arbitraje.
  29. Hoja de ruta, 19.
  30. Ibid, 20-21.
  31. Ibid, 30-31.
  32. Ibid, 32.
  33. Ibid, 33-36.
  34. Ibid, 37-39.
  35. Ibid, 37.
  36. Ibid, 39.
  37. Ibid, 40-41.
  38. Ibid, 42.
  39. Ibid, 43.
  40. Artículo 5, apartado 1, letra e), del RGPD.
  41. Hoja de ruta, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Goway?" (Kluwer Arbitration Blog, 29 de agosto de 2019), véase http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, consultado el 18 de agosto de 2021.
  43. La Comisión de la UE ha considerado que el país ofrece una protección de datos adecuada.
  44. En el caso del arbitraje internacional, lo más probable es que se trate de una cláusula contractual estándar.
  45. La excepción relativa a las reclamaciones judiciales, que permite las transferencias cuando sean "necesarias para el reconocimiento, ejercicio o defensa de reclamaciones judiciales", es la más aplicable en el contexto del arbitraje.
  46. Debido a su elevado umbral y al requisito de notificación, la invocación de intereses legítimos imperiosos tiene escasa relevancia práctica. Véase EDPB, "Directrices 2/2018 sobre las excepciones del artículo 49 en virtud del Reglamento 2016/679", 6 de febrero de 2018 (Directrices sobre transferencia de datos).
  47. Hoja de ruta, 8, 13.
  48. Emily Hay, 'El brazo invisible del GDPR en el arbitraje de tratados internacionales: Can't We Make It Goway?" (Kluwer Arbitration Blog, 29 de agosto de 2019), véase http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [consultado el 18 de agosto de 2021].
  49. Caso CPA nº 2018-54.
  50. Ibid, Comunicación del Tribunal a las partes (Perm Ct Arb, 2019).
  51. Hoja de ruta, 37.
  52. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA), véase https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, consultado el 18 de agosto de 2021.
  53. 'Cybersecurity Guidelines' (IBA, octubre de 2018), véase www.ibanet.org/LPRU/Cybersecurity, consultado el 1 de diciembre de 2020.
  54. Andreas Respondek, Tasha Lim, 'Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?' (Kluwer Arbitration Blog, 18 de julio de 2020), véase http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, consultado el 18 de agosto de 2021.
  55. ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic' (ICC, 9 de abril de 2020), consultado el 18 de agosto de 2021.
  56. Financiación por terceros en el arbitraje internacional: The ICCA-QMUL report', (ICCA, mayo de 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, consultado el 18 de agosto de 2018.
  57. Hoja de ruta, 2.
  58. Ibid, 23-25.
  59. Art 4(2), GDPR, véase n 1 supra.
  60. Art 6(1)(f), GDPR.
  61. Allan J Arffa y otros, "GDPR Issues in International Arbitration" (Lexology, 10 de agosto de 2020), véase www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, consultado el 18 de agosto de 2021.
  62. Hoja de ruta, anexo 5.
  63. Allan J Arffa y otros, "GDPR Issues in International Arbitration" (Lexology, 10 de agosto de 2020), véase www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, consultado el 18 de agosto de 2021.
  64. Hoja de ruta 40-41.
  65. Véase, por ejemplo: David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.
  66. Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 de febrero de 2020), véase www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, consultado el 18 de agosto de 2021.
  68. David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2ª edn, Kluwer Law International 2014), 2335.
  70. Ibid. Born cita las siguientes sentencias para reforzar este argumento: Sentencia de 22 de enero de 2004, Société Nat'l Cie for Fishing & Marketing 'Nafimco' contra Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): la decisión del tribunal arbitral de ordenar la revelación de pruebas entra dentro de su discrecionalidad procesal y no puede ser revisada por los Tribunales"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Las solicitudes de divulgación están "dentro del ejercicio razonable de la discreción del Tribunal".
  71. Natalia M Szlarb, 'GDPR and International Arbitration at a Crossroads' (The National Law Review, 4 de diciembre de 2019), véase www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, consultado el 18 de agosto de 2021.
  72. Convención de Nueva York, art. V(2): 'También podrá denegarse el reconocimiento y la ejecución de una sentencia arbitral si la autoridad competente del país donde se pide el reconocimiento y la ejecución considera que... b) El reconocimiento o la ejecución de la sentencia sería contrario al orden público de ese país.'
  73. Secretario General de la ONU, Comentario analítico sobre el proyecto de texto de una Ley Modelo sobre Arbitraje Comercial Internacional, A/CN.9/264 (1985), Art 34, párrafo 6.
  74. Ley Modelo de la CNUDMI sobre Arbitraje Comercial Internacional, Art 34(2): Un laudo arbitral puede ser anulado por el tribunal especificado en el artículo 6 sólo si...(b) el tribunal encuentra que... (ii) el laudo está en conflicto con el orden público de este Estado".
  75. Sentencia de 1 de junio de 1999, Eco Swiss China Time Ltd contra Benetton International NV C-126/97 [1999] ECR I-03055, paras. 39 y 41. Para un análisis detallado del orden público de la UE, véase: Sacha Prechal y Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond' (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka y Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. Para un análisis más detallado de estas y otras cuestiones, véase: Alexander Blumrosen, 'The Allocation of GDPR Compliance in Arbitration' en José R Mata Dona y Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) párrafos 5.63 y ss; Cervenka y Schwarz, véase n 76 supra, 84-85.
  79. The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, febrero de 2020), véase https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, consultado el 18 de agosto de 2021.

Este artículo se publicó por primera vez en Dispute Resolution International, Vol 15 No 2, octubre de 2021, y se reproduce con la amable autorización de la International Bar Association, Londres, Reino Unido. Asociación Internacional de Abogados.

Volver al resumen