Introducción

En los últimos años se han planteado cuestiones sobre las implicaciones prácticas de la privacidad de los datos personales y la ciberseguridad en el desarrollo real de los arbitrajes internacionales, especialmente si se tiene en cuenta el ritmo constante de los cambios tecnológicos.

El Reglamento General de Protección de Datos (RGPD)[i] celebró su segundo cumpleaños en mayo de 2020. El marco de protección de datos personales del RGPD tiene como objetivo garantizar la libre circulación de los datos personales de "personas físicas identificadas o identificables".[ii] Se aplica en la Unión Europea y tiene un alcance extraterritorial que puede extenderse fuera de la UE;[iii] El RGPD puede afectar no sólo a todas las personas físicas o jurídicas, sino que también somete a las autoridades públicas, agencias y otros organismos - posiblemente incluyendo organizaciones internacionales - a obligaciones de protección de datos personales.[iv] Las sanciones impuestas por el RGPD pueden ascender al 4% del volumen de negocios anual de la entidad infractora en todo el mundo durante el ejercicio financiero anterior o a 20 millones de euros, lo que sea mayor.[v] La necesidad de tomarse en serio su aplicación ya se ha establecido a través de las multas multimillonarias que se han impuesto en múltiples jurisdicciones.[vi]

Aunque la aplicación de las leyes de protección de datos personales al arbitraje está establecida, la forma en que las leyes deben aplicarse no lo está. Por esa razón, el Consejo Internacional de Arbitraje Comercial (ICCA) y la Asociación Internacional de Abogados (IBA) crearon en febrero de 2019 un Grupo de Trabajo Conjunto sobre la Protección de Datos en los Procedimientos de Arbitraje Internacional, con el objetivo de elaborar una guía que proporcione orientación práctica para la protección de datos personales en el arbitraje internacional. El Grupo de Trabajo publicó un borrador de consulta de esta guía en marzo de 2020.[vii] El presente comentario se basará en este proyecto de hoja de ruta (la hoja de ruta),[viii] Se espera que la versión final y revisada de la hoja de ruta se publique en septiembre de 2021. Aunque en el momento de redactar el presente documento ya ha finalizado el plazo para formular observaciones sobre el proyecto de consulta, la versión preliminar de la hoja de ruta es ilustrativa de las cuestiones que plantea el RGPD en los arbitrajes internacionales. Por lo tanto, se utilizará como base para el debate.

La mayoría de las leyes de protección de datos personales son obligatorias en los procedimientos de arbitraje, lo que significa que prescriben:

• qué datos personales pueden ser tratados;
• donde;
• con qué medios;
• con qué medidas de seguridad de la información; y
• por cuánto tiempo.[ix]

Sin embargo, no abordan cómo deben cumplirse estas obligaciones vinculantes en los procedimientos arbitrales. A falta de orientaciones específicas por parte de los reguladores, la hoja de ruta pretende ayudar a los profesionales del arbitraje a identificar y comprender las obligaciones de protección de datos personales y de privacidad a las que pueden estar sujetos en el contexto de un arbitraje internacional. Además, el alcance de la protección del GDPR sigue siendo relevante en los procedimientos de arbitraje internacional, principalmente si las leyes del GDPR se aplican a los arbitrajes con sede fuera de la UE. Hay varias implicaciones adicionales si se considera que el RGPD se aplica al arbitraje: en primer lugar, si se prohíbe el tratamiento de datos personales y, en segundo lugar, si existen restricciones a las transferencias de datos personales fuera de la UE. Por último, debido a la creciente frecuencia de los ciberataques, las consecuencias de un ataque de este tipo a un arbitraje podrían acarrear importantes daños.

Este artículo pretende comentar la Hoja de Ruta y explorar las medidas prácticas que deberían tenerse en cuenta en relación con las obligaciones de protección de datos personales en los procedimientos de arbitraje internacional. Identifica la Hoja de Ruta como una herramienta prometedora, aunque incompleta, para complementar los diversos intentos de derecho indicativo para armonizar el arbitraje internacional hasta ahora, sobre todo los instrumentos de la IBA y la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI).

En primer lugar, se ofrecerá un breve resumen de la hoja de ruta que incluye una referencia a los principios del RGPD. No se pretende que sea un resumen exhaustivo, sino que introduzca los puntos principales de la hoja de ruta para dar al lector un contexto para el debate posterior. En segundo lugar, se ofrecerá un comentario que aborda seis cuestiones pertinentes:

• la aplicabilidad del RGPD a los arbitrajes celebrados fuera de la UE;
• El RGPD en el contexto de los arbitrajes del Tratado de Libre Comercio de América del Norte (TLCAN), como se ilustra en el caso Tennant Energy, LLC contra el Gobierno de Canadá;[x]
• la cuestión de las videoconferencias, cuya importancia ha aumentado enormemente a lo largo de la pandemia de Covid-19, incluidas las referencias al "Protocolo del Colegio de Abogados de Nueva York sobre la ciberseguridad en el arbitraje internacional" (Protocolo sobre la ciberseguridad)[xi] las directrices de ciberseguridad de la IBA[xii] y la Nota de orientación del CIC sobre posibles medidas destinadas a mitigar los efectos de la pandemia de COVID-19;[xiii]
• "terceros financiadores" y cómo se tienen en cuenta en la Hoja de Ruta;
• el abuso del RGPD, especialmente como escudo para la no divulgación; y
• la posibilidad de utilizar el incumplimiento de los requisitos de protección de datos personales como vía para anular o denegar el reconocimiento y la ejecución del laudo arbitral.

En la conclusión se expondrán las reflexiones finales.

La hoja de ruta

Las personas físicas y jurídicas están sujetas a la obligación de proteger los datos personales de los interesados. El arbitraje en sí mismo no está sujeto a las obligaciones de protección de datos personales. Sin embargo, si sólo uno de los participantes en el arbitraje está sujeto a las obligaciones de protección de datos personales, el arbitraje puede verse afectado en su conjunto. La aplicación de las leyes de protección de datos personales se determinará en función de si el tratamiento de los datos personales entra en el ámbito de aplicación de las leyes, material y jurisdiccional.[xiv]

Las leyes modernas de protección de datos personales se aplican siempre que se procesan datos personales sobre un sujeto de datos durante las actividades que entran en el ámbito jurisdiccional de las leyes de protección de datos personales pertinentes.[xv] Los datos personales incluyen "cualquier información relativa a una persona física identificada o identificable".[xvi] Durante los procedimientos típicos de arbitraje, se intercambian importantes cantidades de información relacionadas, entre otras cosas, con las partes, sus abogados, el tribunal y terceros. Como tal, es probable que se considere que entran en la definición de "datos personales". Los "sujetos de los datos" se refieren a las personas antes mencionadas que están identificadas o son identificables.[xvii] El tratamiento incluye operaciones activas y pasivas, por lo que abarca el uso, la difusión y la supresión de datos personales, así como la recepción, la organización y el almacenamiento de datos personales.[xviii] El ámbito de aplicación abarca las acciones siempre que se traten datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la UE[xix] y extraterritorialmente, como cuando los datos personales se transfieren fuera de la UE a entidades o personas que, por otras razones, no están ya sujetas al RGPD.[xx]

Los árbitros serán calificados como controladores de datos, lo que significa que serán responsables del cumplimiento de las leyes de protección de datos personales. Sin embargo, en base a la definición de "responsable del tratamiento";[xxi] la mayoría de los participantes en el arbitraje[xxii] son susceptibles de ser considerados como tales, incluidos los abogados, las partes y la institución. Los responsables del tratamiento pueden delegar el tratamiento de datos en los encargados del mismo,[xxiii] que estarán bajo su control y requerirán acuerdos de tratamiento de datos en los términos prescritos por la legislación aplicable. Así, es probable que los secretarios, transcriptores, traductores y otros sean considerados encargados del tratamiento de datos. También existe la cuestión de los corresponsables que determinan conjuntamente los fines y los medios del tratamiento de datos. La corresponsabilidad se interpreta de forma amplia, pero la responsabilidad del corresponsable se limita únicamente al tratamiento que ha determinado el responsable, a su finalidad y a sus medios, y no al conjunto del tratamiento.[xxiv]

En los arbitrajes internacionales, las restricciones a las transferencias de datos personales entre jurisdicciones son una forma evidente de aplicar las leyes de protección de datos personales. Los antecedentes de los diferentes participantes en el arbitraje determinarán la aplicación de diferentes regímenes de protección de datos personales. Las leyes modernas de protección de datos personales restringen las transferencias de datos personales a terceros países para garantizar que no se eludan las obligaciones legales mediante la transferencia de datos personales a jurisdicciones con estándares inferiores de protección de datos personales.[xxv] El RGPD permite las transferencias de datos personales a terceros países si se da uno de los siguientes casos:

• el país ha sido considerado por la Comisión de la UE como un país que ofrece una protección adecuada de los datos personales;
• una de las salvaguardias expresamente enumeradas se ponga en marcha;
• una excepción que permita las transferencias cuando sean necesarias para el establecimiento, el ejercicio o la defensa de reclamaciones legales; o
• un interés legítimo imperioso de una parte.[xxvi]

Estas normas se aplican a los participantes en el arbitraje y no al arbitraje en su conjunto, por lo que se exige que cada participante en el arbitraje considere qué restricciones de transferencia de datos personales se le aplican.

Los principios de protección de datos personales aplicables en el arbitraje incluyen el tratamiento justo y lícito, la proporcionalidad, la minimización de los datos, la limitación de la finalidad, los derechos del interesado, la exactitud, la seguridad de los datos, la transparencia y la responsabilidad.[xxvii]

Algunos de estos principios requieren más comentarios. El tratamiento justo y lícito significa que los datos personales sólo deben tratarse de la manera que los interesados esperarían razonablemente y que debe haber una base legal para el tratamiento. Aplicando el principio de equidad, la parte y su abogado deben preguntarse si, en el contexto de todos los hechos, los individuos habrían esperado que sus datos personales fueran tratados de esa manera, si tendrá consecuencias adversas para ellos y si estas consecuencias están justificadas. Este principio no impedirá que se admitan como prueba los datos personales encontrados en correos electrónicos comerciales.

El concepto de tratamiento lícito implica una base jurídica que se basa en los hechos y es específica para cada caso. En lugar de basarse en el consentimiento, deben invocarse las bases jurídicas específicas del RGPD.[xxviii]

La proporcionalidad requiere una consideración de la naturaleza, el alcance, el contexto y los fines del tratamiento en relación con los riesgos que se plantean al interesado.[xxix] La minimización de datos requiere que los participantes en el arbitraje limiten el tratamiento a los datos personales que sean adecuados, pertinentes y limitados a lo necesario.[xxx] La transparencia exige que se notifique a los interesados el tratamiento y la finalidad del tratamiento de los datos personales mediante avisos generales, notificaciones específicas o ambos.[xxxi] La rendición de cuentas se refiere a la responsabilidad personal del cumplimiento de la protección de datos, lo que significa que los participantes en el arbitraje deben documentar todas las medidas y decisiones de protección de datos personales adoptadas para demostrar su cumplimiento.[xxxii]

El cumplimiento de la protección de datos personales afecta a las distintas fases del procedimiento de arbitraje internacional, no sólo durante el propio arbitraje, sino también durante los preparativos. Desde el principio, los participantes en el arbitraje deben considerar qué leyes de protección de datos personales se aplican a ellos mismos y a otros participantes en el arbitraje, y qué participantes en el arbitraje procesarán datos personales como controladores, procesadores o controladores conjuntos. También deben tenerse en cuenta las normas de transferencia de datos personales de terceros países y los acuerdos de tratamiento de datos personales relativos a terceros proveedores de servicios. Durante el proceso de recopilación y revisión de documentos, las partes y sus asesores jurídicos necesitan una base legal para las actividades de tratamiento y las transferencias de datos personales a terceros países.[xxxiii]

La solicitud de arbitraje, así como los escritos posteriores, incluirán datos personales que entran de lleno en el ámbito del tratamiento. Si una institución arbitral está sujeta a las leyes de protección de datos personales aplicables, debe considerar las posibles obligaciones de protección de datos personales que se aplican durante cada etapa del procedimiento. Si una institución arbitral está sujeta al GDPR, normalmente se convertirá en un controlador de datos personales. Para cumplir con los artículos 13 y 14 del RGPD, dicha institución debe incluir en su aviso de privacidad información sobre las medidas de seguridad, el ejercicio de los derechos de los interesados, el mantenimiento de los registros y las políticas de violación y conservación de datos.[xxxiv] Sin embargo, las organizaciones internacionales que administran arbitrajes entre inversores y Estados pueden quedar excluidas del ámbito de aplicación de las leyes de protección de datos personales debido a los privilegios e inmunidades del Estado constituyente o a un acuerdo con el país anfitrión. Por lo tanto, hay que hacer consideraciones separadas en este caso, incluyendo, entre otras cosas, si la organización está obligada por las leyes de protección de datos personales y si - y en qué medida - los participantes en el arbitraje estarían cubiertos por los privilegios e inmunidades.[xxxv]

Durante la designación de los árbitros de un tribunal arbitral, generalmente se intercambian cantidades significativas de datos personales de los posibles árbitros. Los participantes en el arbitraje deben incluir la base jurídica para el tratamiento de estos datos personales en sus avisos legales y notificar expresamente a los árbitros que están siendo considerados para su nombramiento el tratamiento de sus datos personales, especialmente en caso de transferencia de datos personales a terceros países.[xxxvi]

Una vez iniciado el arbitraje, las responsabilidades de cumplimiento de la protección de datos personales deben asignarse pronto para minimizar los riesgos. La protección de datos personales debería incluirse en el orden del día de la primera conferencia procesal, y los participantes en el arbitraje deberían intentar acordar cómo abordar el cumplimiento de la protección de datos personales lo antes posible. Las partes, sus abogados y los árbitros deberían considerar la posibilidad de establecer un protocolo de protección de datos personales para gestionar eficazmente las cuestiones de cumplimiento. Cuando esto no sea posible, una opción alternativa es que el Tribunal los incluya en la Orden Procesal Número Uno.[xxxvii]

En el proceso de producción y divulgación de documentos, el principio de minimización de los datos personales es especialmente relevante. De acuerdo con el RGPD, esto requeriría probablemente:

• limitar los datos personales revelados a lo que sea pertinente y no se duplique;
• identificar los datos personales contenidos en el material de respuesta; y
• redactar o seudonimizar los datos personales innecesarios.

Estas cuestiones también deben considerarse en una fase temprana del procedimiento, preferiblemente en la primera conferencia procesal o antes.[xxxviii]

Cuando se trata de dictar laudos, los árbitros y las instituciones deben considerar el fundamento y la necesidad de incluir datos personales en los laudos. Si el arbitraje es confidencial, existe sin embargo el riesgo de que el laudo se haga público cuando se ejecute. Incluso si los datos personales se redactan, normalmente siguen siendo datos personales, ya que el sujeto de los datos es identificable a partir del resto del laudo o de los materiales relacionados.[xxxix]

La conservación y la supresión de los datos se consideran tratamiento en virtud del RGPD, que establece que los datos personales "se conservarán en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales".[xl] Los responsables del tratamiento deben considerar, documentar y ser capaces de justificar la duración del almacenamiento. Los participantes en el arbitraje deben considerar qué periodo de conservación de datos es razonable y deben adoptar un enfoque proporcionado para equilibrar sus necesidades con el impacto de la conservación de datos en el sujeto.[xli]

La aplicabilidad del RGPD a los arbitrajes celebrados fuera de la UE

El ámbito de aplicación territorial del Reglamento General de Protección de Datos es relativamente amplio. Los profesionales deben ser conscientes de su aplicación, independientemente de que estén o no ubicados, o de que el arbitraje tenga sede, en la UE. El RGPD se aplica al tratamiento de datos personales por parte de responsables o encargados del tratamiento establecidos en la UE, independientemente de que el tratamiento en sí tenga lugar en la UE (artículo 3, apartado 1). Además, cuando se trata de ofrecer bienes o servicios a ciudadanos de la UE o de supervisar comportamientos que tienen lugar en la UE, el RGPD se aplica al tratamiento de datos personales por parte de un responsable o encargado del tratamiento no establecido en la UE (artículo 3, apartado 2).

Aplicado al contexto arbitral, el RGPD impone obligaciones a los responsables y encargados del tratamiento de datos -árbitros, abogados, partes e instituciones- que entran en su ámbito de aplicación material y territorial, y no al procedimiento arbitral directamente. Incluso si es sólo un participante en el arbitraje el que tiene una conexión con la UE, estará obligado a tratar los datos personales de acuerdo con el RGPD. Pueden surgir implicaciones para el procedimiento en su conjunto.[xlii]

Tal vez lo más notable en el contexto del arbitraje internacional, donde la transferencia de materiales de arbitraje que contienen datos personales es habitual, son las restricciones impuestas a la transferencia de datos personales a "terceros países" fuera del Espacio Económico Europeo (EEE). En este caso, se requiere una de las cuatro bases legales para permitir la transferencia de datos personales. En primer lugar, se permite la transferencia a un tercer país si éste está sujeto a una decisión de adecuación (artículo 45.1).[xliii] Si no es así, se debe establecer una de las salvaguardias apropiadas (artículo 46(1)) cuando sea posible.[xliv] Si no hay una decisión de adecuación y no es posible una salvaguardia adecuada, se puede recurrir a una excepción específica (apartado 1 del artículo 49).[xlv] Por último, en ausencia de lo anterior, una parte puede invocar un interés legítimo imperioso (artículo 49.1)[xlvi] como base legal para la transferencia de datos personales a terceros.

La hoja de ruta establece de forma bastante exhaustiva las consideraciones necesarias que deben hacer los participantes en el arbitraje. Subraya en múltiples ocasiones que son los participantes en el arbitraje, y no el arbitraje como tal, a quienes se aplican los principios de protección de datos personales y las normas de transferencia.[xlvii] En consonancia con esto, la conclusión presunta es que un árbitro con sede en la UE para un arbitraje fuera de la UE que, por lo demás, no está sujeto al RGPD, tendría, no obstante, que cumplir con los requisitos de tratamiento y transferencia de datos personales del RGPD. Esto se acepta generalmente en los procedimientos de arbitraje comercial,[xlviii] pero la situación no es tan clara cuando se trata del arbitraje entre inversores y Estados.

El caso de Tennant Energy, LLC contra el Gobierno de Canadá

En 2019, en el arbitraje del capítulo 11 del TLCAN Tennant Energy, LLC contra el Gobierno de Canadá (Tennant),[xlix] Tennant, el demandante, planteó la cuestión de la aplicación del GDPR al procedimiento a la luz de la nacionalidad y el domicilio del Reino Unido de uno de los miembros del tribunal. Sin embargo, el Tribunal dio instrucciones a las partes afirmando que "un arbitraje en virtud del capítulo 11 del TLCAN, un tratado del que no son parte ni la Unión Europea ni sus Estados miembros, no entra, presumiblemente, en el ámbito de aplicación material del RGPD".[l]

Es importante distinguir entre el arbitraje basado en tratados y el comercial, y Tennant entra en la primera categoría. La hoja de ruta se ocupa de esta distinción, señalando que las organizaciones internacionales pueden quedar excluidas del ámbito de aplicación de las leyes de protección de datos personales.[li] Los miembros del tribunal en el arbitraje de Tennant pueden estar sujetos a ciertas inmunidades derivadas del Acuerdo de Sede de la Corte Permanente de Arbitraje (CPA) con los Países Bajos. Sin embargo, el tribunal del TLC no consideró si, como organización internacional, la CPA estaría sujeta a las normas de transferencia del RGPD o si los miembros del tribunal obtendrían ciertas inmunidades del acuerdo.

El Tennant La dirección de Tennant plantea más preguntas que respuestas sobre la aplicabilidad del RGPD a los procedimientos del TLCAN y a los arbitrajes basados en tratados en general, un debate matizado que queda fuera del alcance del presente documento. No obstante, la dirección de Tennant, vista a la luz de la hoja de ruta, demuestra que este tema sigue siendo muy incierto. En el mejor de los casos, es cuestionable que la Hoja de Ruta aporte alguna claridad a los participantes en el arbitraje que se enfrentan a esta cuestión, teniendo en cuenta especialmente que la Hoja de Ruta se publicó después de la Tennant Se dictó una resolución, pero no se concedió a esta última ninguna consideración.

La cuestión de la videoconferencia

La hoja de ruta reconoce la importancia de la seguridad de los datos personales. Sin embargo, con el reciente uso de tecnología adicional para facilitar las audiencias virtuales, así como el trabajo desde casa -en su mayor parte impulsado por las circunstancias actuales que nos impone la pandemia de Covid-19- esta cuestión tiene un peso adicional. El protocolo de ciberseguridad[lii] y las Directrices de Ciberseguridad de la IBA[liii] han arrojado algo de luz sobre la cuestión.

Al igual que la Hoja de Ruta, el Protocolo de Ciberseguridad establece varios principios subyacentes. Se aplica el principio de proporcionalidad, el Tribunal tiene la autoridad y la discreción para determinar las medidas de seguridad existentes, y la seguridad de la información es una cuestión que debe discutirse en la primera conferencia de gestión del caso. El Anexo A del Protocolo de Ciberseguridad proporciona una lista de control que las partes de un arbitraje pueden utilizar para salvaguardar el procedimiento.

Tras el reciente cambio en los modelos y entornos de trabajo debido a la pandemia del Covid-19, estas cuestiones deberían tener más peso. En un mundo que se ha visto presionado para encontrar nuevas formas de hacer negocios y adaptarse a los tiempos de incertidumbre, una de las cuestiones a las que se ha enfrentado el sector legal es la de las audiencias combinadas con las restricciones y la necesidad de distanciamiento social. Por ello, la popularidad de las videoconferencias y el uso de las mismas en los procedimientos de arbitraje internacional es algo que la Hoja de Ruta debería abordar, pero no lo ha hecho, o, al menos, no todavía.

Aunque muchos han debatido y señalado los problemas de las audiencias de vídeo, la mayoría no ha abordado cómo deben aplicarse a ellas las leyes de protección de datos personales, no sólo en lo que respecta a la protección de datos personales, sino también a la seguridad, ya que algunas plataformas han sido objeto de ataques de seguridad.[liv]

Como se ha comentado anteriormente, es esencial comprender las diferentes funciones de las partes implicadas en el arbitraje en relación con el RGPD, es decir, quiénes son los "controladores de datos" y los "procesadores de datos". Si el software de videoconferencia está procesando cualquier dato personal, como el nombre de usuario y la dirección de correo electrónico del uso del servicio por una de las partes, será considerado un "procesador de datos". Esto significa que deben cumplir las normas del GDPR si alguno de los participantes está domiciliado en la UE. Dado que el Tribunal es el "responsable del tratamiento de datos", será entonces el responsable de garantizar dicho cumplimiento.

La Cámara de Comercio Internacional (CCI) ha publicado una nota orientativa[lv] que ofrece a las partes sugerencias de cláusulas para protocolos de ciberseguridad y audiencias virtuales. Pretende abordar el aspecto de la seguridad, pero no aborda el aspecto de la protección de los datos personales. La hoja de ruta debería discutir las posibilidades en las que la protección de datos personales se aplicaría a las audiencias realizadas virtualmente y también cómo adherirse a las mismas. Aunque el RGPD especifica los requisitos que deben cumplirse en relación con las videoconferencias, no ofrece orientación sobre la forma en que sus requisitos son directamente aplicables.

Aunque la hoja de ruta no ofrece recomendaciones sobre proveedores de software específicos, podría recopilar y proporcionar a los profesionales una lista de las especificaciones necesarias de un software ideal para las audiencias de vídeo, al igual que ofrece listas de comprobación sobre otros asuntos en sus anexos.

¿Dónde encajan los terceros financiadores?

Se entiende que un tercero financiador es cualquier persona que no es parte en el procedimiento arbitral y que llega a un acuerdo para financiar la totalidad o parte del coste del procedimiento a cambio de una suma que depende total o parcialmente del resultado del caso.[lvi] Los terceros financiadores tienen acceso a varios datos personales en los procedimientos arbitrales que están financiando, o que están considerando financiar. Aunque la hoja de ruta se dirige expresamente sólo a los participantes en el arbitraje, afirma que las orientaciones son pertinentes para los proveedores de servicios que también se ven afectados por los requisitos de protección de datos personales.[lvii]

En la hoja de ruta, los proveedores de servicios incluyen "expertos en descubrimiento electrónico, profesionales de la tecnología de la información, taquígrafos judiciales, servicios de traducción, etc.".[lviii] pero no se menciona explícitamente a los terceros financiadores. Según el RGPD, la recogida y almacenamiento de datos personales se incluye en el tratamiento. Por lo tanto, si los terceros financiadores recogen datos personales de otros, la legislación sobre datos personales también se les aplicaría.[lix]

El RGPD permite el tratamiento de datos personales si "el tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero".[lx] que puede ser citada por los participantes en el arbitraje como base jurídica aplicable para el tratamiento de los datos personales pertinentes. Existe una orientación limitada sobre este tema.[lxi] La hoja de ruta establece:

El primer paso en la evaluación del interés legítimo es identificar un interés legítimo: ¿cuál es la finalidad del tratamiento de los datos personales y por qué es importante para usted como responsable del tratamiento? En el contexto del arbitraje, el interés legítimo puede implicar la administración de justicia, garantizando el respeto de los derechos de las partes y la resolución rápida y justa de las reclamaciones en virtud de las normas de arbitraje aplicables, y muchos otros intereses también.'[lxii]

La inclusión de "muchos otros intereses también" podría incluir posiblemente el interés monetario legítimo de los terceros financiadores. De ser así, estarían claramente obligados a celebrar acuerdos de tratamiento de datos con las partes del procedimiento arbitral y estarían incluidos en el ámbito de aplicación de la normativa y los requisitos de protección de datos personales. Curiosamente, la hoja de ruta omite detallar explícitamente cómo encajan los terceros financiadores en el panorama, especialmente teniendo en cuenta el aumento de su inclusión en los procedimientos arbitrales.

Un escudo para la no divulgación

Las obligaciones de protección de datos personales dan lugar a posibles abusos. Las partes arbitrales pueden utilizar el RGPD como escudo de mala fe para impedir la divulgación de información relevante para el procedimiento o solicitada por la contraparte. Por ejemplo, una parte puede oponerse a una solicitud de divulgación alegando que los documentos contienen datos personales no relacionados con el litigio, o que la redacción de la información personal sería excesivamente onerosa.[lxiii]

La hoja de ruta aborda el potencial de abuso. Sugiere que se planteen y aclaren las obligaciones de protección de datos personales lo antes posible para reducir el riesgo de que repercutan en los procedimientos. Los participantes deberían considerar la posibilidad de firmar un "protocolo de protección de datos", es decir, un acuerdo sobre cómo se aplicará la protección de datos personales en un contexto concreto. Alternativamente, cuando no sea posible lograr un protocolo de protección de datos firmado, estas cuestiones deberían abordarse en la Orden Procesal Número Uno.[lxiv]

A modo de comparación, se puede observar el cumplimiento del RGPD durante la presentación de pruebas en los litigios estadounidenses. Los tribunales federales de EE.UU. han empleado pruebas de equilibrio para decidir si ordenan o no la divulgación o el cumplimiento de las citaciones u órdenes de presentación de pruebas que potencialmente infringen las leyes extranjeras, incluidas las leyes de protección de datos personales.[lxv] Una lista no exhaustiva de los factores examinados por los tribunales federales de Estados Unidos es:

• la importancia de los documentos u otra información solicitada para el litigio;
• el grado de especificidad de la solicitud;
• si la información se originó en los Estados Unidos;
• la disponibilidad de medios alternativos para asegurar la información; y
• la medida en que el incumplimiento socavaría importantes intereses de Estados Unidos.[lxvi]

La mayoría de las veces, los tribunales federales exigen la divulgación a pesar de las posibles violaciones de las leyes extranjeras de protección de datos personales.[lxvii]

Los árbitros se enfrentan a consideraciones diferentes a las de los tribunales a la hora de decidir si ordenan la revelación de información por una parte. Es correcto, como se argumenta en la literatura,[lxviii] que los tribunales deben ser conscientes de los derechos y deberes contrapuestos a la luz de la amenaza de anulación o de denegación de la ejecución en virtud de la Convención de 1958 sobre el Reconocimiento y la Ejecución de las Sentencias Arbitrales Extranjeras (Convención de Nueva York). Sin embargo, este punto de vista no tiene en cuenta el hecho de que las órdenes de divulgación están sujetas a una revisión mínima por parte de los tribunales estatales, dado el principio de no interferencia judicial.[lxix] Abundan los ejemplos de tribunales estatales que se abstienen de realizar una revisión de las órdenes de divulgación.[lxx]

A la luz de la discrecionalidad concedida a los tribunales en materia de procedimiento, es poco probable que la amenaza de anulación o de denegación de la ejecución sea una consideración central. La inevitabilidad de que las partes intenten abusar de las obligaciones del RGPD para obtener una posible ventaja procesal pondrá a los tribunales en la difícil situación de equilibrar los intereses del interesado, por un lado, y mantener un proceso probatorio sólido, por otro.[lxxi] Aclarar las obligaciones de cumplimiento de la protección de datos personales al inicio de los procedimientos - preferiblemente en un protocolo de protección de datos firmado - en línea con las recomendaciones de la Hoja de Ruta parece ser un paso previo para comprobar este comportamiento.

El incumplimiento de los requisitos de protección de datos personales como vía de anulación y denegación de reconocimiento y ejecución

La hoja de ruta no aborda si el incumplimiento de los requisitos de protección de datos personales podría utilizarse para anular un laudo arbitral, o para rechazar su reconocimiento y ejecución. Las partes disponen de medios de recurso muy limitados contra los laudos. No obstante, una parte que no tenga éxito puede desear impugnar su resultado y utilizar uno de los principales motivos comunes para impugnar el laudo o impedir su reconocimiento o ejecución.

La Convención de Nueva York cuenta actualmente con 168 Estados contratantes, lo que la convierte en la principal base jurídica para el reconocimiento y la ejecución de los laudos extranjeros en el arbitraje comercial internacional. La Convención establece, en su artículo V, motivos limitados por los que se puede denegar el reconocimiento y la ejecución de un laudo arbitral. En particular, el artículo V(2)(b) reconoce la posibilidad de que la autoridad competente de un Estado signatario rechace el reconocimiento o la ejecución de un laudo que viole el orden público.[lxxii]

Los motivos por los que se puede anular un laudo arbitral varían entre las distintas jurisdicciones. La Ley Modelo de la CNUDMI sobre Arbitraje Comercial Internacional, que ha sido ampliamente adoptada, establece una lista de motivos de anulación en el artículo 34(2). Esta lista se inspira en el artículo V de la Convención de Nueva York.[lxxiii] El artículo 34(2)(b)(ii) establece que un laudo arbitral puede ser anulado por el tribunal si el laudo entra en conflicto con el orden público del Estado.[lxxiv]

El Tribunal de Justicia de las Comunidades Europeas (TJCE) sostuvo en el caso Eco Swiss contra Benetton que las disposiciones imperativas de la legislación de la UE pueden constituir normas fundamentales de orden público, cuya violación puede constituir un motivo de anulación de un laudo arbitral basado en dicho motivo en la legislación nacional.[lxxv] La posibilidad de anular un laudo, o de denegar su reconocimiento o ejecución, debido al incumplimiento de los requisitos de protección de datos personales dependerá, por tanto, de si las normas del RGPD deben considerarse disposiciones imperativas de primer orden, cuya infracción es contraria al orden público nacional.[lxxvi]

El artículo 9 (1) del Reglamento Roma I define las disposiciones imperativas como aquellas "cuyo respeto es considerado crucial por un país para salvaguardar sus intereses públicos... hasta el punto de que son aplicables a cualquier situación que entre en su ámbito de aplicación, independientemente de la ley que sea aplicable de otro modo". Como Cervenka y Schwarz han reconocido anteriormente, la mayoría de las normas del RGPD pueden considerarse disposiciones imperativas de conformidad con el Derecho de la UE. Como tal, su violación puede considerarse una violación del orden público.[lxxvii]

La posibilidad de que el incumplimiento de los requisitos de protección de datos personales pueda dar lugar a la anulación o al no reconocimiento y la no ejecución de un laudo arbitral plantea varias preocupaciones. En primer lugar, habría que definir con precisión qué obligaciones de protección de datos personales constituirían disposiciones imperativas, ya que no todas las violaciones tienen el mismo peso. En última instancia, es probable que el TJCE tenga que aportar más aclaraciones. En segundo lugar, también debería tenerse en cuenta el posible abuso de la posibilidad de impugnar o impugnar la ejecución de un laudo sobre la base de la violación del RGPD, para evitar que las partes infrinjan intencionadamente las normas de protección de datos personales con el fin de tener la posibilidad de recurrir el laudo en un momento posterior. Por último, debería definirse si las normas de protección de datos personales formarían parte del derecho procesal o del derecho sustantivo y de qué manera.[lxxviii]

Aunque queda mucho por definir, deberían abordarse las consecuencias del incumplimiento de los requisitos de protección de datos personales sobre la anulación, así como el reconocimiento y la ejecución de los laudos arbitrales. Es muy interesante que no se encuentre ninguna mención al respecto en la hoja de ruta.

Conclusión

La hoja de ruta pretende ayudar a los profesionales del arbitraje a identificar y comprender las obligaciones de protección de datos personales y de privacidad a las que pueden estar sujetos en un contexto de arbitraje internacional. Sin embargo, como se ha comentado anteriormente, todavía no aborda algunas cuestiones específicas que son relevantes y apremiantes hoy en día. Las seis cuestiones identificadas y desarrolladas en este documento son:

• la aplicabilidad del RGPD a los arbitrajes celebrados fuera de la UE;
• El RGPD en el contexto de los arbitrajes del TLCAN;
• la cuestión de las audiencias de arbitraje virtuales;
• los terceros financiadores y su lugar en la hoja de ruta;
• el posible abuso del RGPD; y
• el posible incumplimiento del RGPD como vía para la anulación o la denegación del reconocimiento y la ejecución del laudo arbitral.

Cada una de estas cuestiones merecerá una reflexión más profunda, ya que se prevé que sólo adquieran mayor relevancia en los próximos años. Esperamos que se haya demostrado que merecen ser incluidos en la hoja de ruta.

Los anexos[lxxix] añadidos a la hoja de ruta tienen por objeto ayudar a los profesionales a abordar estos requisitos de forma práctica. La adición de la lista de comprobación de la protección de datos, la lista de comprobación de la evaluación del interés legítimo, los ejemplos de avisos de privacidad y las cláusulas contractuales tipo de la UE son recursos muy valiosos que deben utilizar los profesionales para asegurarse de que cumplen el RGPD.

Sin embargo, en una situación de conflicto entre distintas jurisdicciones, las diferencias entre las distintas legislaciones nacionales relativas a la protección de datos personales pueden generar ambigüedad. Aunque las directrices proporcionadas por la hoja de ruta son amplias, todavía no son vinculantes. En el pasado, la CNUDMI y la IBA se han inclinado por la armonización en el arbitraje internacional a través de sus normas, directrices y similares; aunque éstas no son vinculantes, son ciertamente persuasivas. Al igual que la CNUDMI y la IBA han intentado hacer con varios aspectos del arbitraje internacional, también hay una necesidad imperiosa de armonizar los requisitos de protección de datos personales en relación con el arbitraje; por lo tanto, deberían establecerse las directrices necesarias teniendo en cuenta la armonización.

Aunque sigue faltando armonización, comprensión y concienciación sobre los requisitos de cumplimiento del RGPD y sus implicaciones en el contexto del arbitraje internacional, nosotros, como profesionales del arbitraje, seguiremos conformándonos con el marco jurídico actualmente en vigor. No obstante, a pesar de sus defectos, la hoja de ruta representa un paso muy necesario y alentador en la dirección de una comprensión común de las obligaciones de protección de datos personales para los participantes en el arbitraje.

[i] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), DO 2016 L 119/1.

[ii] Los "datos personales" se definen en el artículo 4 del RGPD como

(1) "Datos personales": toda información relativa a una persona física identificada o identificable ("interesado"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador como el nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física".

[iii] El ámbito de aplicación territorial del RGPD se define en el artículo 3 como sigue:

1. "El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos personales de los interesados que se encuentran en la Unión por parte de un responsable o encargado del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

(a) la oferta de bienes o servicios, independientemente de que se requiera un pago del interesado, a dichos interesados en la Unión; o

(b) el control de su comportamiento en la medida en que éste tenga lugar dentro de la Unión.

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable del tratamiento no establecido en la Unión, sino en un lugar en el que se aplica el Derecho de los Estados miembros en virtud del Derecho internacional público".

[iv] Véase la definición de "encargado del tratamiento" en el artículo 4 del RGPD.

[v] Art. 83(4), GDPR.

[vi] 'Largest fine under GDPR levied against Google' (Simmons + Simmons, 22 de enero de 2019), véase www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, 'British Airways fined £20m over data breach' (BBC, 16 de octubre de 2020), véase www.bbc.com/news/technology-54568784.

[vii] 'ICCA-IBA Joint Task Force on Data Protection in International Arbitration' (ICCA), véase www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, consultado el 18 de agosto de 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration' (ICCA, febrero de 2020), véase https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, consultado el 18 de agosto de 2021.

[ix] Ibid, 1.

[x] Caso PCA No. 2018-54.

[xi] ICCA y el Colegio de Abogados de Nueva York y el Instituto Internacional para la Prevención y Resolución de Conflictos, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', véase https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, consultado el 18 de agosto de 2021.

[xii] 'Cybersecurity Guidelines' (IBA, octubre de 2018), véase www.ibanet.org/LPRU/Cybersecurity, consultado el 1 de diciembre de 2020.

[xiii] 'ICC Guidance Note on Possible Measures Aim' (Cámara de Comercio Internacional, 9 de abril de 2020), consultado el 18 de agosto de 2021.

[xiv] Hoja de ruta, sección B.

[xv] Ibid.

[xvi] Art. 4, GDPR.

[xvii] Ibid.

[xviii] Artículo 4, GDPR

[xix] Ibid, Art 3(1).

[xx] Hoja de ruta, 7.

[xxi] Art. 4, GDPR.

[xxii] La hoja de ruta define a los "participantes en el arbitraje" como "incluyendo a las partes, sus abogados, los árbitros y las instituciones arbitrales (únicamente)". Véase Hoja de ruta (n 3), 2.

[xxiii] Art. 4, GDPR.

[xxiv] Véase la sentencia de 29 de julio de 2019, Fashion ID GmbH & Co KG contra Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, párrafos 74, 85. Véase también la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; sentencia de 10 de julio de 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Hoja de ruta, 11

[xxvi] Ibid, 12.

[xxvii] Art. 5 y 12-22, GDPR; Hoja de ruta 14-15.

[xxviii] Por ejemplo, en virtud del RGPD, el tratamiento de datos personales en el contexto del arbitraje internacional es lícito cuando es necesario para los fines de los intereses legítimos del responsable del tratamiento -sin perjuicio de las limitaciones basadas en los intereses y derechos fundamentales del interesado- y los datos sensibles pueden tratarse en virtud de la excepción de las reclamaciones legales (artículo 9, apartado 2, letra f)) en el contexto del arbitraje.

[xxix] Hoja de ruta, 19.

[xxx] Ibid, 20-21.

[xxxi] Ibid, 30-31.

[xxxii] Ibid, 32.

[xxxiii] Ibid, 33-36.

[xxxiv] Ibid, 37-39.

[xxxv] Ibid, 37.

[xxxvi] Ibid, 39.

[xxxvii] Ibid, 40-41.

[xxxviii] Ibid, 42.

[xxxix] Ibid, 43.

[xl] Artículo 5(1)(e), GDPR.

[xli] Hoja de ruta, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] La Comisión Europea ha considerado que el país ofrece una protección de datos adecuada.

[xliv] En el caso del arbitraje internacional, lo más probable es que se trate de una cláusula contractual estándar.

[xlv] La excepción relativa a las reclamaciones judiciales, que permite las transferencias cuando son "necesarias para el establecimiento, el ejercicio o la defensa de reclamaciones judiciales", es la más aplicable en el contexto del arbitraje.

[xlvi] Debido a su elevado umbral y al requisito de notificación, la confianza en los intereses legítimos imperiosos tiene poca relevancia práctica. Véase EDPB, "Directrices 2/2018 sobre las excepciones del artículo 49 en virtud del Reglamento 2016/679", 6 de febrero de 2018 (Directrices sobre la transferencia de datos).

[xlvii] Hoja de ruta, 8, 13.

[xlviii] Emily Hay, 'El brazo invisible del GDPR en el arbitraje de tratados internacionales: ¿No podemos hacer que desaparezca?' (Kluwer Arbitration Blog, 29 de agosto de 2019), véase http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [consultado el 18 de agosto de 2021].

[xlix] Caso PCA nº 2018-54.

[l] Ibid, Comunicación del Tribunal a las partes (Perm Ct Arb, 2019).

[li] Hoja de ruta, 37.

[lii] ICCA y New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA), véase https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, consultado el 18 de agosto de 2021.

[liii] 'Cybersecurity Guidelines' (IBA, octubre de 2018), véase www.ibanet.org/LPRU/Cybersecurity, consultado el 1 de diciembre de 2020.

[liv] Andreas Respondek, Tasha Lim, "¿Debería el Grupo de Trabajo sobre Protección de Datos de la ICCA/IBA abordar el impacto del GDPR en las videoconferencias en los procedimientos de arbitraje internacional?". (Kluwer Arbitration Blog, 18 de julio de 2020), véase http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, consultado el 18 de agosto de 2021.

[lv] 'ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic' (ICC, 9 de abril de 2020) consultado el 18 de agosto de 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Hoja de ruta, 2.

[lviii] Ibid, 23-25.

[lix] Art. 4(2), GDPR, véase n. 1.

[lx] Artículo 6(1)(f), GDPR.

[lxi] Allan J Arffa y otros, "GDPR Issues in International Arbitration" (Lexology, 10 de agosto de 2020), véase www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, consultado el 18 de agosto de 2021.

[lxii] Hoja de ruta, anexo 5.

[lxiii] Allan J Arffa y otros, "GDPR Issues in International Arbitration" (Lexology, 10 de agosto de 2020), véase www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> consultado el 18 de agosto de 2021.

[lxiv] Hoja de ruta 40-41.

[lxv] Véase, por ejemplo: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 de febrero de 2020), véase www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> consultado el 18 de agosto de 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, International Commercial Arbitration (2ª ed., Kluwer Law International 2014), 2335.

[lxx] Ibid. Born cita las siguientes sentencias para reforzar este argumento: Sentencia de 22 de enero de 2004, Société Nat'l Cie for Fishing & Marketing 'Nafimco' contra Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "la decisión del tribunal arbitral de ordenar la revelación de pruebas entra dentro de su discreción procesal y no puede ser revisada por los tribunales"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Las solicitudes de divulgación están "bien dentro del ejercicio razonable de la discreción del Tribunal".

[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 de diciembre de 2019), véase www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, consultado el 18 de agosto de 2021.

[lxxii] Convención de Nueva York, Art V(2): "El reconocimiento y la ejecución de un laudo arbitral también podrán denegarse si la autoridad competente del país en el que se solicita el reconocimiento y la ejecución considera que... (b) El reconocimiento o la ejecución del laudo serían contrarios al orden público de ese país".

[lxxiii] Secretario General de la ONU, Comentario analítico sobre el proyecto de texto de una Ley Modelo sobre Arbitraje Comercial Internacional, A/CN.9/264 (1985), art. 34, párr. 6.

[lxxiv] Ley Modelo de la CNUDMI sobre Arbitraje Comercial Internacional, art. 34(2): "Un laudo arbitral puede ser anulado por el tribunal especificado en el artículo 6 sólo si... (b) el tribunal considera que... (ii) el laudo está en conflicto con el orden público de este Estado".

[lxxv] Sentencia de 1 de junio de 1999, Eco Swiss China Time Ltd contra Benetton International NV C-126/97 [1999] ECR I-03055, párrafos. 39 y 41. Para un análisis detallado del orden público de la UE, véase Sacha Prechal y Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond' (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka y Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibid.

[lxxviii] Para un análisis más detallado de estas y otras cuestiones, véase: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" en José R Mata Dona y Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) párrafos 5.63 y siguientes; Cervenka y Schwarz, véase n 76 anterior, 84-85.

[lxxix] 'The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, febrero de 2020), véase https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, consultado el 18 de agosto de 2021.

Este artículo se publicó por primera vez en Dispute Resolution International, Vol 15 No 2, octubre de 2021, y se reproduce con la amable autorización de la International Bar Association, Londres, Reino Unido. © International Bar Association.