Lingue

Scontro tra titani: GDPR e arbitrato internazionale: uno sguardo al futuro

Pubblicazioni: novembre 10, 2021

Torna alla panoramica

Autori

Catherine Raudaschl

Guide per esperti correlate

Introduzione

Negli ultimi anni si sono presentate domande sulle implicazioni pratiche della privacy dei dati personali e della cybersecurity sull'effettivo svolgimento degli arbitrati internazionali, soprattutto se si tiene conto del ritmo costante dei cambiamenti tecnologici.

Il Regolamento generale sulla protezione dei dati (GDPR)[1] ha festeggiato il suo secondo compleanno nel maggio 2020. Il quadro normativo sulla protezione dei dati personali del GDPR mira a garantire la libera circolazione dei dati personali di "persone fisiche identificate o identificabili".[2] Si applica all'interno dell'Unione europea e ha un ambito di applicazione extraterritoriale che può estendersi al di fuori dell'UE.[3] Il GDPR può riguardare non solo tutte le persone fisiche o giuridiche, ma assoggetta anche le autorità pubbliche, le agenzie e gli altri organismi, comprese eventualmente le organizzazioni internazionali, agli obblighi di protezione dei dati personali.[Le sanzioni previste dal GDPR possono ammontare al 4% del fatturato annuo mondiale dell'ente che ha commesso la violazione nell'esercizio finanziario precedente o a 20 milioni di euro, a seconda di quale sia il valore più alto.[5] La necessità di prendere seriamente in considerazione la sua applicazione è già stata stabilita attraverso multe multimilionarie che sono state inflitte in diverse giurisdizioni.[6]

Sebbene l'applicazione delle leggi sulla protezione dei dati personali all'arbitrato sia ormai assodata, non lo è il modo in cui tali leggi dovrebbero essere applicate. Per questo motivo, nel febbraio 2019 l'International Council for Commercial Arbitration (ICCA) e l'International Bar Association (IBA) hanno istituito una task force congiunta sulla protezione dei dati nei procedimenti arbitrali internazionali, con l'obiettivo di produrre una guida che fornisca indicazioni pratiche sulla protezione dei dati personali negli arbitrati internazionali. La Task Force ha pubblicato una bozza di consultazione di questa guida nel marzo 2020.[7] Il presente commento si baserà su questa bozza di guida (la Roadmap),[8] mentre la versione finale e rivista della Roadmap dovrebbe essere pubblicata nel settembre 2021. Sebbene al momento della stesura del presente documento sia scaduto il termine per la presentazione dei commenti sulla bozza di consultazione, la versione preliminare della Roadmap è comunque esemplificativa delle questioni sollevate dal GDPR negli arbitrati internazionali. Verrà pertanto utilizzata come base di discussione.

La maggior parte delle leggi sulla protezione dei dati personali sono obbligatorie nei procedimenti arbitrali, il che significa che prescrivono:

  • quali dati personali possono essere trattati
  • dove;
  • con quali mezzi
  • con quali misure di sicurezza delle informazioni; e
  • per quanto tempo.[9]

Tuttavia, non si occupa di come questi obblighi vincolanti debbano essere rispettati nei procedimenti arbitrali. In assenza di indicazioni specifiche da parte delle autorità di regolamentazione, la Roadmap intende aiutare i professionisti dell'arbitrato a identificare e comprendere gli obblighi in materia di protezione dei dati personali e della privacy a cui possono essere soggetti nel contesto di un arbitrato internazionale. Inoltre, la portata della protezione del GDPR rimane rilevante nei procedimenti arbitrali internazionali, soprattutto se le leggi del GDPR si applicano agli arbitrati con sede al di fuori dell'UE. Se si ritiene che il GDPR si applichi all'arbitrato, vi sono diverse altre implicazioni: in primo luogo, se il trattamento dei dati personali è vietato e, in secondo luogo, se vi sono restrizioni al trasferimento dei dati personali al di fuori dell'UE. Infine, a causa della crescente frequenza degli attacchi informatici, le conseguenze di un tale attacco a un arbitrato potrebbero comportare danni significativi.

Questo articolo si propone di commentare la Roadmap e di esplorare le misure pratiche che dovrebbero essere prese in considerazione per quanto riguarda gli obblighi di protezione dei dati personali nei procedimenti arbitrali internazionali. La Roadmap è considerata uno strumento promettente, anche se incompleto, per integrare i vari tentativi di armonizzazione dell'arbitrato internazionale finora compiuti, in particolare gli strumenti dell'IBA e della Commissione delle Nazioni Unite per il diritto commerciale internazionale (UNCITRAL).

In primo luogo, verrà fornita una breve sintesi della Roadmap che include un riferimento ai principi del GDPR. Non si tratta di una panoramica completa, ma piuttosto di introdurre i punti principali della Roadmap per fornire al lettore un contesto per la discussione successiva. In secondo luogo, verrà fornito un commento che tocca sei questioni pertinenti:

  • l'applicabilità del GDPR agli arbitrati svolti al di fuori dell'UE;
  • il GDPR nel contesto degli arbitrati dell'Accordo di libero scambio nordamericano (NAFTA), come illustrato nella causa Tennant Energy, LLC contro il Governo del Canada;[10]
  • la questione delle videoconferenze, la cui importanza è aumentata notevolmente nel corso della pandemia Covid-19, compresi i riferimenti al "Protocollo ICCA-NYC Bar-CPR sulla Cybersecurity nell'arbitrato internazionale" (Protocollo sulla Cybersecurity)[11] alle Linee guida sulla Cybersecurity dell'IBA[12] e alla Nota di orientamento dell'ICC sulle possibili misure volte a mitigare gli effetti della pandemia COVID-19;[13]
  • i "finanziatori terzi" e il modo in cui vengono presi in considerazione nella Roadmap;
  • l'abuso del GDPR, soprattutto come scudo per la mancata divulgazione; e
  • la possibilità di utilizzare la non conformità ai requisiti di protezione dei dati personali come mezzo per l'annullamento o il rifiuto del riconoscimento e dell'esecuzione del lodo arbitrale.

Le riflessioni finali saranno fornite nella conclusione.

La tabella di marcia

Le persone fisiche e giuridiche sono soggette all'obbligo di proteggere i dati personali degli interessati. L'arbitrato in sé non è soggetto agli obblighi di protezione dei dati personali. Tuttavia, se solo un partecipante all'arbitrato è soggetto agli obblighi di protezione dei dati personali, l'arbitrato può essere influenzato nel suo complesso. Il fatto che il trattamento dei dati personali rientri nelle leggi, nel materiale e nell'ambito giurisdizionale pertinenti determinerà l'applicazione delle leggi sulla protezione dei dati personali.[14]

Le moderne leggi sulla protezione dei dati personali si applicano ogni volta che i dati personali di un soggetto vengono trattati durante le attività che rientrano nell'ambito di applicazione giurisdizionale delle leggi sulla protezione dei dati personali.[15] I dati personali comprendono "qualsiasi informazione relativa a una persona fisica identificata o identificabile".[16] Durante i tipici procedimenti arbitrali, vengono scambiate porzioni sostanziali di informazioni relative, tra l'altro, alle parti, ai loro consulenti, al tribunale e a terzi. In quanto tali, è probabile che rientrino nella definizione di "dati personali". Il trattamento comprende operazioni attive e passive e comprende l'utilizzo, la diffusione e la cancellazione di dati personali, nonché la ricezione, l'organizzazione e la conservazione di dati personali.[L'ambito di applicazione comprende azioni ogniqualvolta i dati personali sono trattati nel contesto delle attività di uno stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell'UE[19] e a livello extraterritoriale, ad esempio quando i dati personali sono trasferiti al di fuori dell'UE a entità o persone che non sono per altri motivi già soggette al GDPR.[20]

Gli arbitri saranno qualificati come responsabili del trattamento dei dati, il che significa che saranno responsabili della conformità alle leggi sulla protezione dei dati personali. Tuttavia, in base alla definizione di "responsabile del trattamento dei dati",[21] la maggior parte dei partecipanti all'arbitrato[22] sarà probabilmente considerata tale, compresi i consulenti, le parti e l'istituzione. I responsabili del trattamento dei dati possono delegare il trattamento dei dati agli incaricati del trattamento,[23] che saranno sotto il loro controllo e richiederanno accordi sul trattamento dei dati nei termini previsti dalla legge applicabile. Pertanto, segretari, trascrittori, traduttori e altri soggetti possono essere considerati responsabili del trattamento. Vi è poi la questione dei contitolari del trattamento che determinano congiuntamente le finalità e i mezzi del trattamento dei dati. La contitolarità è interpretata in senso lato, ma la responsabilità del contitolare del trattamento è limitata solo al trattamento che il responsabile del trattamento ha determinato, alle sue finalità e ai suoi mezzi, e non al trattamento complessivo.[24]

Negli arbitrati internazionali, le restrizioni ai trasferimenti di dati personali tra giurisdizioni sono un modo evidente di applicare le leggi sulla protezione dei dati personali. Il background dei diversi partecipanti all'arbitrato determinerà l'applicazione di diversi regimi di protezione dei dati personali. Le moderne leggi sulla protezione dei dati personali limitano i trasferimenti di dati personali verso Paesi terzi per garantire che gli obblighi di legge non siano elusi dal trasferimento di dati personali verso giurisdizioni con standard inferiori di protezione dei dati personali.[25] Il GDPR consente il trasferimento di dati personali da un Paese terzo se si verifica una delle seguenti condizioni:

  • il Paese è stato ritenuto dalla Commissione UE in grado di fornire un'adeguata protezione dei dati personali;
  • viene messa in atto una delle garanzie espressamente elencate;
  • una deroga che consenta i trasferimenti se necessari per l'accertamento, l'esercizio o la difesa di diritti legali; oppure
  • un interesse legittimo impellente di una parte.[26]

Queste regole si applicano ai partecipanti all'arbitrato e non all'arbitrato nel suo complesso, per cui ogni partecipante all'arbitrato deve considerare quali restrizioni al trasferimento dei dati personali si applicano a lui.

I principi di protezione dei dati personali applicabili all'arbitrato comprendono il trattamento equo e legittimo, la proporzionalità, la minimizzazione dei dati, la limitazione delle finalità, i diritti degli interessati, l'accuratezza, la sicurezza dei dati, la trasparenza e la responsabilità.[27]

Alcuni di questi principi richiedono ulteriori commenti. Un trattamento corretto e lecito significa che i dati personali devono essere trattati solo secondo modalità che gli interessati si aspetterebbero ragionevolmente e che deve esistere una base giuridica per il trattamento. Applicando il principio di correttezza, la parte e i suoi consulenti devono chiedersi se, nel contesto di tutti i fatti, le persone si sarebbero aspettate che i loro dati personali fossero trattati in questo modo, se ciò avrà conseguenze negative su di loro e se tali conseguenze sono giustificate. Questo principio non impedirà che i dati personali trovati nelle e-mail aziendali siano ammessi come prova.

La nozione di trattamento lecito implica una base giuridica che è basata sui fatti e specifica per il caso. Piuttosto che basarsi sul consenso, si dovrebbero invocare le basi giuridiche specifiche del GDPR.[28]

La proporzionalità richiede una considerazione della natura, dell'ambito, del contesto e delle finalità del trattamento in relazione ai rischi per l'interessato.[29] La minimizzazione dei dati richiede che i partecipanti all'arbitrato limitino il trattamento ai dati personali adeguati, pertinenti e limitati a quanto necessario.[30] La trasparenza richiede che gli interessati siano informati del trattamento e delle finalità del trattamento dei dati personali attraverso avvisi generali, notifiche specifiche o entrambi.[31] La responsabilità riguarda la responsabilità personale per la conformità alla protezione dei dati, il che significa che i partecipanti all'arbitrato devono documentare tutte le misure di protezione dei dati personali e le decisioni prese al fine di dimostrare la conformità.[32]

La conformità alla protezione dei dati personali riguarda le singole fasi del procedimento arbitrale internazionale, non solo durante l'arbitrato stesso ma anche durante la preparazione. Fin dall'inizio, i partecipanti all'arbitrato devono considerare quali leggi sulla protezione dei dati personali si applicano a loro stessi e agli altri partecipanti all'arbitrato, e quali partecipanti all'arbitrato tratteranno i dati personali in qualità di responsabili, incaricati del trattamento o corresponsabili del trattamento. Occorre inoltre considerare le norme sul trasferimento dei dati personali dei paesi terzi e gli accordi sul trattamento dei dati personali relativi ai fornitori di servizi terzi. Durante il processo di raccolta e revisione dei documenti, le parti e i loro consulenti legali hanno bisogno di una base legale per le attività di trattamento e per i trasferimenti di dati personali da paesi terzi.[33]

La richiesta di arbitrato, così come le successive comunicazioni, includeranno dati personali che rientrano a pieno titolo nell'ambito del trattamento. Se un'istituzione arbitrale è vincolata dalle leggi applicabili in materia di protezione dei dati personali, deve prendere in considerazione i potenziali obblighi di protezione dei dati personali che si applicano durante ogni fase procedurale. Se un'istituzione arbitrale è soggetta al GDPR, in genere diventa un responsabile del trattamento dei dati personali. Per conformarsi agli articoli 13 e 14 del GDPR, tale istituzione dovrebbe includere nella sua informativa sulla privacy informazioni relative alle misure di sicurezza, all'esercizio dei diritti degli interessati, alla tenuta dei registri e alle politiche di violazione e conservazione dei dati.[34] Le organizzazioni internazionali che amministrano arbitrati tra investitori e Stati, tuttavia, possono essere escluse dall'ambito di applicazione delle leggi sulla protezione dei dati personali a causa dei privilegi e delle immunità dello Stato costituente o di un accordo con il Paese ospitante. In questo caso, quindi, occorre fare considerazioni distinte, tra cui stabilire se l'organizzazione è vincolata dalle leggi sulla protezione dei dati personali e se - e in che misura - i partecipanti all'arbitrato sarebbero coperti da privilegi e immunità.[35]

Durante la nomina degli arbitri in un tribunale arbitrale, vengono generalmente scambiate quantità significative di dati personali dei potenziali arbitri. I partecipanti all'arbitrato dovrebbero includere la base giuridica per il trattamento di questi dati personali nelle loro comunicazioni legali e notificare espressamente agli arbitri che vengono presi in considerazione per la nomina il trattamento dei loro dati personali, soprattutto in caso di trasferimenti di dati personali da paesi terzi.[36]

Una volta avviato l'arbitrato, le responsabilità di conformità in materia di protezione dei dati personali dovrebbero essere assegnate tempestivamente per ridurre al minimo i rischi. La protezione dei dati personali dovrebbe essere inclusa nell'ordine del giorno della prima conferenza di procedura e i partecipanti all'arbitrato dovrebbero cercare di accordarsi su come affrontare la conformità alla protezione dei dati personali il più presto possibile. Le parti, i loro consulenti e gli arbitri dovrebbero considerare la possibilità di stipulare un protocollo sulla protezione dei dati personali per gestire efficacemente le questioni di conformità. Qualora ciò non sia possibile, un'opzione alternativa è che il Tribunale li includa nell'Ordine di procedura numero uno.[37]

Nel processo di produzione e divulgazione dei documenti, il principio della minimizzazione dei dati personali è particolarmente rilevante. Ai sensi del GDPR, ciò richiederebbe probabilmente

  • limitare i dati personali divulgati a quelli pertinenti e non duplicativi;
  • identificare i dati personali contenuti nel materiale di risposta; e
  • eliminare o pseudonimizzare i dati personali non necessari.

Anche queste questioni dovrebbero essere prese in considerazione nelle prime fasi del procedimento, preferibilmente durante o prima della prima conferenza di procedura.[38]

Quando si tratta di emettere i lodi, gli arbitri e le istituzioni dovrebbero considerare la base e la necessità di includere i dati personali nei lodi. Se l'arbitrato è riservato, c'è comunque il rischio che un lodo diventi pubblico quando viene eseguito. Anche se i dati personali vengono cancellati, in genere rimangono dati personali in quanto l'interessato è identificabile dal resto del lodo o dal materiale correlato.[39]

La conservazione e la cancellazione dei dati sono considerate un trattamento ai sensi del GDPR, che prevede che i dati personali siano "conservati in una forma che consenta l'identificazione dell'interessato per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati".[40] I responsabili del trattamento devono considerare, documentare ed essere in grado di giustificare la durata della conservazione. I partecipanti all'arbitrato devono considerare quale periodo di conservazione dei dati sia ragionevole e devono adottare un approccio proporzionato per bilanciare le loro esigenze con l'impatto della conservazione dei dati sull'interessato.[41]

L'applicabilità del GDPR agli arbitrati svolti al di fuori dell'UE

L'ambito territoriale del Regolamento generale sulla protezione dei dati è relativamente ampio. I professionisti devono essere consapevoli della sua applicazione, indipendentemente dal fatto che si trovino o meno nell'UE o che l'arbitrato abbia sede nell'UE. Il GDPR si applica al trattamento dei dati personali da parte di responsabili o incaricati del trattamento stabiliti nell'UE, indipendentemente dal fatto che il trattamento stesso abbia luogo nell'UE (articolo 3, paragrafo 1). Inoltre, quando si tratta di offrire beni o servizi a cittadini dell'UE o di monitorare comportamenti che avvengono all'interno dell'UE, il GDPR si applica al trattamento dei dati personali da parte di un responsabile o incaricato del trattamento non stabilito nell'UE (articolo 3, paragrafo 2).

Applicato al contesto arbitrale, il GDPR impone obblighi ai responsabili e agli incaricati del trattamento dei dati - arbitri, consulenti, parti e istituzioni - che rientrano nel suo ambito di applicazione materiale e territoriale, piuttosto che direttamente al procedimento arbitrale. Anche se un solo partecipante all'arbitrato ha un legame con l'UE, sarà obbligato a trattare i dati personali in conformità al GDPR. Possono sorgere implicazioni per il procedimento nel suo complesso.[42]

Forse le più importanti nel contesto dell'arbitrato internazionale, dove il trasferimento di materiale arbitrale contenente dati personali è comune, sono le restrizioni poste al trasferimento di dati personali a "Paesi terzi" al di fuori dello Spazio economico europeo (SEE). In questo scenario, per consentire il trasferimento di dati personali è necessaria una delle quattro basi legali. In primo luogo, il trasferimento a un paese terzo è consentito se il paese terzo è soggetto a una decisione di adeguatezza (articolo 45, paragrafo 1).[43] In caso contrario, è necessario adottare, ove possibile, una delle garanzie appropriate (articolo 46, paragrafo 1).[44] Se non c'è una decisione di adeguatezza e non è possibile una salvaguardia appropriata, si può invocare una deroga specifica (articolo 49, paragrafo 1).[45] Infine, in assenza di quanto sopra, una parte può invocare un interesse legittimo impellente (articolo 49, paragrafo 1)[46] come base legittima per un trasferimento di dati personali da parte di terzi.

La Roadmap illustra in modo abbastanza esaustivo le considerazioni necessarie che i partecipanti all'arbitrato devono fare. Sottolinea in più occasioni che sono i partecipanti all'arbitrato, e non l'arbitrato in quanto tale, a cui si applicano i principi di protezione dei dati personali e le norme sul trasferimento.[47] In linea con ciò, la conclusione presuntiva è che un arbitro con sede nell'UE che partecipi a un arbitrato extra-UE, altrimenti non soggetto al GDPR, dovrà comunque rispettare i requisiti del GDPR in materia di trattamento e trasferimento dei dati personali. Ciò è in effetti generalmente accettato nei procedimenti di arbitrato commerciale,[48] ma la situazione non è altrettanto chiara quando si tratta di arbitrato tra investitori e Stati.

Il caso di Tennant Energy, LLC contro il Governo del Canada

Nel 2019, nell'arbitrato NAFTA Capitolo 11 Tennant Energy, LLC v Government of Canada (Tennant),[49] Tennant, il ricorrente, ha sollevato la questione dell'applicazione del GDPR al procedimento alla luce della nazionalità e del domicilio nel Regno Unito di uno dei membri del tribunale. Tuttavia, il Tribunale ha dato indicazioni alle parti affermando che "un arbitrato ai sensi del capitolo 11 del NAFTA, un trattato di cui non fanno parte né l'Unione europea né i suoi Stati membri, non rientra, in via presuntiva, nell'ambito di applicazione materiale del GDPR"[50].

È importante distinguere tra arbitrato basato su trattati e arbitrato commerciale, e Tennant rientra nella prima categoria. La Roadmap si impegna a fare questa distinzione, notando che le organizzazioni internazionali possono essere escluse dall'ambito di applicazione delle leggi sulla protezione dei dati personali.[51] I membri del tribunale nell'arbitrato Tennant possono essere soggetti ad alcune immunità derivanti dall'accordo di sede della Corte permanente di arbitrato (PCA) con i Paesi Bassi. Tuttavia, il tribunale NAFTA non ha considerato se, in quanto organizzazione internazionale, l'APC sarebbe stata soggetta alle norme sul trasferimento del GDPR o se i membri del tribunale avrebbero beneficiato di alcune immunità derivanti dall'accordo.

L'orientamento di Tennant solleva più domande che risposte in merito all'applicabilità del GDPR ai procedimenti NAFTA e, più in generale, agli arbitrati basati su trattati, una discussione sfumata dei quali esula dal presente scopo. Tuttavia, l'orientamento di Tennant, considerato alla luce della Roadmap, dimostra che questo argomento rimane molto incerto. È discutibile, nella migliore delle ipotesi, che la Roadmap porti un po' di chiarezza ai partecipanti all'arbitrato che si trovano ad affrontare tale questione, considerando soprattutto che la Roadmap è stata emanata dopo la pronuncia del Tennant direction, ma non ha concesso a quest'ultimo alcuna considerazione.

La questione della videoconferenza

La Roadmap riconosce l'importanza della sicurezza dei dati personali. Tuttavia, con il recente utilizzo di ulteriori tecnologie per facilitare le udienze virtuali, nonché il lavoro da casa - per lo più alimentato dalle attuali circostanze imposte dalla pandemia di Covid-19 - la questione assume un peso maggiore. Il Protocollo sulla Cybersecurity[52] e le Linee guida sulla Cybersecurity dell'IBA[53] hanno fatto luce sulla questione.

Come la Roadmap, il Protocollo sulla Cybersecurity stabilisce diversi principi di base. Si applica il principio di proporzionalità, il Tribunale ha l'autorità e la discrezionalità per determinare le misure di sicurezza in atto e la sicurezza delle informazioni è una questione che dovrebbe essere discussa alla prima conferenza di gestione del caso. L'Allegato A al Protocollo sulla Cybersecurity fornisce una lista di controllo che le parti di un arbitrato possono utilizzare per salvaguardare il procedimento.

In seguito al recente cambiamento dei modelli e degli ambienti di lavoro dovuto alla pandemia di Covid-19, a questi temi dovrebbe essere data maggiore importanza. In un mondo che ha dovuto trovare nuovi modi di condurre gli affari e di adattarsi a tempi di incertezza, uno dei problemi che il settore legale ha affrontato è la questione delle udienze combinata con le restrizioni e la necessità di un allontanamento sociale. Per questo motivo, la popolarità delle videoconferenze e il loro utilizzo nei procedimenti arbitrali internazionali è un aspetto che la Roadmap dovrebbe affrontare, ma non l'ha fatto - o almeno non ancora.

Sebbene molti abbiano discusso e sottolineato i problemi delle videoconferenze, la maggior parte di essi non ha affrontato il tema dell'applicazione delle leggi sulla protezione dei dati personali, non solo per quanto riguarda la protezione dei dati personali, ma anche per quanto riguarda la sicurezza, dato che alcune piattaforme sono state oggetto di attacchi alla sicurezza.[54]

Come discusso in precedenza, è essenziale comprendere i diversi ruoli delle parti coinvolte nell'arbitrato relativo al GDPR, ovvero chi sono i "responsabili del trattamento dei dati" e i "responsabili del trattamento dei dati". Se il software di videoconferenza elabora dati personali, come il nome utente e l'indirizzo e-mail derivanti dall'utilizzo del servizio da parte di una delle parti, sarà considerato un "responsabile del trattamento". Ciò significa che deve rispettare le norme del GDPR se uno dei partecipanti è domiciliato nell'UE. Poiché il Tribunale è il "responsabile del trattamento dei dati", sarà sua responsabilità garantire tale conformità.

La Camera di commercio internazionale (ICC) ha pubblicato una nota di orientamento[55] che fornisce alle parti clausole suggerite per i protocolli di sicurezza informatica e le udienze virtuali. La nota mira ad affrontare l'aspetto della sicurezza, ma non quello della protezione dei dati personali. La Roadmap dovrebbe discutere le possibilità di applicazione della protezione dei dati personali alle udienze condotte virtualmente e le modalità di adesione alla stessa. Sebbene il GDPR specifichi i requisiti che devono essere soddisfatti per quanto riguarda le videoconferenze, non fornisce indicazioni sul modo in cui i suoi requisiti sono direttamente applicabili.

Sebbene la Roadmap non fornisca raccomandazioni su specifici fornitori di software, potrebbe compilare e fornire agli operatori del settore un elenco delle specifiche necessarie di un software ideale per le videoconferenze, così come fornisce liste di controllo su varie altre questioni all'interno dei suoi allegati.

Qual è il ruolo dei finanziatori terzi?

Per finanziatore terzo si intende qualsiasi soggetto non parte del procedimento arbitrale che stipula un accordo per finanziare in tutto o in parte i costi del procedimento in cambio di una somma che dipende in tutto o in parte dall'esito del caso.[56] I finanziatori terzi hanno accesso a vari dati personali dei procedimenti arbitrali che finanziano o che stanno considerando di finanziare. Sebbene la Roadmap si rivolga espressamente solo ai partecipanti agli arbitrati, essa afferma che la guida è rilevante per i fornitori di servizi che sono anch'essi interessati dai requisiti di protezione dei dati personali[57].

Nella Roadmap, i fornitori di servizi includono "esperti di e-discovery, professionisti delle tecnologie dell'informazione, cronisti giudiziari, servizi di traduzione, ecc"[58] ma i finanziatori terzi non sono esplicitamente menzionati. Ai sensi del GDPR, la raccolta e l'archiviazione dei dati personali sono incluse nel trattamento. Pertanto, se i finanziatori terzi raccolgono dati personali da altri, le leggi sui dati personali si applicano anche a loro.[59]

Il GDPR consente a una parte di trattare i dati personali se "il trattamento è necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da un terzo"[60], il che può essere potenzialmente citato dai partecipanti all'arbitrato come base giuridica applicabile per il trattamento dei dati personali pertinenti. Esiste una guida limitata su questo argomento.[61] La Roadmap afferma che:

Il primo passo nella valutazione dell'interesse legittimo consiste nell'identificare l'interesse legittimo: qual è lo scopo del trattamento dei dati personali e perché è importante per voi in quanto responsabili del trattamento? Nel contesto dell'arbitrato, l'interesse legittimo può riguardare l'amministrazione della giustizia, la garanzia del rispetto dei diritti delle parti e la risoluzione rapida ed equa delle controversie ai sensi delle norme arbitrali applicabili, nonché molti altri interessi"[62].

L'inclusione di "molti altri interessi" potrebbe forse includere il legittimo interesse monetario dei finanziatori terzi. Se così fosse, essi sarebbero chiaramente obbligati a stipulare accordi di trattamento dei dati con le parti del procedimento arbitrale e rientrerebbero nell'ambito di applicazione delle norme e dei requisiti in materia di protezione dei dati personali. È interessante notare che la Roadmap omette di specificare esplicitamente come i finanziatori terzi si inseriscano nel quadro, in particolare considerando l'aumento della loro inclusione nei procedimenti arbitrali.

Uno scudo per la non divulgazione

Gli obblighi di protezione dei dati personali comportano un potenziale abuso. Le parti arbitrali possono usare il GDPR come scudo in malafede per impedire la divulgazione di informazioni rilevanti per il procedimento o richieste dalla controparte. Ad esempio, una parte può opporsi a una richiesta di divulgazione sostenendo che i documenti contengono dati personali estranei alla controversia, o che la cancellazione dei dati personali sarebbe indebitamente onerosa.[63]

La Roadmap affronta il potenziale di abuso. Suggerisce di sollevare e chiarire gli obblighi di protezione dei dati personali il più presto possibile per ridurre il rischio che questi abbiano un impatto sui procedimenti. I partecipanti dovrebbero considerare la possibilità di stipulare un "protocollo di protezione dei dati", ossia un accordo sulle modalità di applicazione della protezione dei dati personali in un determinato contesto. In alternativa, qualora non sia possibile giungere a un protocollo di protezione dei dati firmato, tali questioni dovrebbero essere affrontate nell'ordinanza procedurale n. 1.[64]

A titolo di paragone, si può considerare la conformità al GDPR durante la scoperta nelle controversie statunitensi. I tribunali federali statunitensi hanno utilizzato test di bilanciamento per decidere se ordinare o meno la divulgazione o l'adempimento di citazioni o ordini di scoperta potenzialmente in violazione di leggi straniere, comprese le leggi sulla protezione dei dati personali.[65] Un elenco non esaustivo di fattori presi in considerazione dai tribunali federali statunitensi è il seguente:

  • l'importanza dei documenti o delle altre informazioni richieste per la controversia;
  • il grado di specificità della richiesta
  • l'origine delle informazioni negli Stati Uniti
  • la disponibilità di mezzi alternativi per ottenere le informazioni; e
  • la misura in cui l'inosservanza pregiudicherebbe importanti interessi degli Stati Uniti.[66]

Il più delle volte, i tribunali federali richiedono la divulgazione nonostante le potenziali violazioni delle leggi straniere sulla protezione dei dati personali.[67]

Gli arbitri si trovano di fronte a considerazioni diverse rispetto ai tribunali quando decidono se ordinare la divulgazione da parte di una parte. È corretto, come sostenuto in letteratura,[68] che i tribunali devono essere consapevoli dei diritti e dei doveri concorrenti alla luce della minaccia di annullamento o di rifiuto dell'esecuzione ai sensi della Convenzione del 1958 sul riconoscimento e l'esecuzione dei lodi arbitrali stranieri (Convenzione di New York). Tuttavia, questa visione non tiene conto del fatto che le ordinanze di divulgazione sono soggette a un controllo minimo da parte dei tribunali statali, in virtù del principio di non interferenza giudiziaria.[69] Gli esempi di tribunali statali che si sono astenuti dal riesaminare le ordinanze di divulgazione sono numerosi.[70]

Alla luce della discrezionalità concessa ai tribunali in materia procedurale, è improbabile che la minaccia di annullamento o di rifiuto dell'esecuzione sia una considerazione centrale. L'inevitabilità che le parti tentino di abusare degli obblighi del GDPR per ottenere un potenziale vantaggio procedurale metterà i tribunali nella difficile posizione di bilanciare gli interessi dell'interessato, da un lato, e di mantenere un solido processo probatorio, dall'altro.[71] Chiarire gli obblighi di conformità alla protezione dei dati personali all'inizio del procedimento - preferibilmente in un protocollo di protezione dei dati firmato - in linea con le raccomandazioni della Roadmap sembra essere un passo fondamentale per controllare questo comportamento.

L'inosservanza dei requisiti di protezione dei dati personali come via per l'annullamento e il rifiuto del riconoscimento e dell'esecuzione

La Roadmap non si occupa di stabilire se l'inosservanza dei requisiti di protezione dei dati personali possa essere utilizzata per annullare un lodo arbitrale o per rifiutarne il riconoscimento e l'esecuzione. Le parti hanno mezzi di ricorso molto limitati contro i lodi. Ciononostante, una parte soccombente può voler contestare l'esito del lodo e utilizzare uno dei principali motivi comuni per impugnare il lodo o per impedirne il riconoscimento o l'esecuzione.

La Convenzione di New York conta attualmente 168 Stati contraenti, il che la rende la base giuridica principale per il riconoscimento e l'esecuzione dei lodi stranieri nell'arbitrato commerciale internazionale. La Convenzione prevede, all'articolo V, motivi limitati per cui il riconoscimento e l'esecuzione di un lodo arbitrale possono essere rifiutati. In particolare, ai fini attuali, l'articolo V, paragrafo 2, lettera b), riconosce la possibilità per l'autorità competente di uno Stato firmatario di rifiutare il riconoscimento o l'esecuzione di un lodo che violi l'ordine pubblico.[72]

I motivi per cui un lodo arbitrale può essere annullato variano a seconda delle giurisdizioni. La Legge modello UNCITRAL sull'arbitrato commerciale internazionale, che è stata ampiamente adottata, stabilisce un elenco di motivi di annullamento all'articolo 34(2). L'articolo 34(2)(b)(ii) stabilisce che un lodo arbitrale può essere annullato dal tribunale se il lodo è in conflitto con l'ordine pubblico dello Stato.[74]

La Corte di giustizia europea (CGUE) ha stabilito nella causa Eco Swiss/Benetton che le disposizioni imperative inderogabili del diritto dell'UE possono costituire norme fondamentali di ordine pubblico, la cui violazione può costituire un motivo di annullamento di un lodo arbitrale basato su tale motivo nel diritto nazionale.[75] L'annullamento o meno di un lodo, o il rifiuto del suo riconoscimento o della sua esecuzione, a causa del mancato rispetto dei requisiti in materia di protezione dei dati personali dipenderà quindi dal fatto che le norme del GDPR debbano essere considerate disposizioni imperative inderogabili, la cui violazione è contraria all'ordine pubblico nazionale.[76]

L'articolo 9, paragrafo 1, del Regolamento Roma I definisce le disposizioni imperative come disposizioni "il cui rispetto è considerato cruciale da un paese per la salvaguardia dei propri interessi pubblici... in misura tale da essere applicabili a qualsiasi situazione che rientri nel loro ambito di applicazione, indipendentemente dalla legge altrimenti applicabile". Come Cervenka e Schwarz hanno precedentemente riconosciuto, la maggior parte delle norme del GDPR possono essere considerate disposizioni imperative ai sensi del diritto dell'UE. In quanto tali, la loro violazione può essere considerata una violazione dell'ordine pubblico.[77]

La possibilità che l'inosservanza dei requisiti di protezione dei dati personali possa portare all'annullamento o al mancato riconoscimento e alla mancata esecuzione di un lodo arbitrale solleva diverse preoccupazioni. In primo luogo, occorre definire con precisione quali obblighi di protezione dei dati personali costituiscano disposizioni imperative, poiché non tutte le violazioni hanno lo stesso peso. In ultima analisi, la Corte di giustizia europea sarà probabilmente chiamata a fornire ulteriori chiarimenti. In secondo luogo, si dovrebbe tenere conto anche del potenziale abuso della possibilità di impugnare o contestare l'esecuzione di un lodo sulla base di una violazione del GDPR, per evitare che le parti violino intenzionalmente le norme sulla protezione dei dati personali per avere la possibilità di ricorrere contro il lodo in un momento successivo. Infine, si dovrebbe definire se le norme sulla protezione dei dati personali faranno parte del diritto procedurale o sostanziale e in che modo.[78]

Sebbene ci sia ancora molto da definire, si dovrebbero affrontare le conseguenze dell'inosservanza dei requisiti di protezione dei dati personali sull'annullamento, nonché sul riconoscimento e sull'esecuzione dei lodi arbitrali. È molto interessante che la tabella di marcia non ne faccia menzione.

Conclusione

La Roadmap ha lo scopo di aiutare i professionisti dell'arbitrato a identificare e comprendere gli obblighi in materia di protezione dei dati personali e della privacy a cui possono essere soggetti in un contesto di arbitrato internazionale. Tuttavia, come discusso in precedenza, non affronta ancora alcune questioni specifiche che oggi sono rilevanti e urgenti. Le sei questioni individuate e approfondite nel presente documento sono:

  • l'applicabilità del GDPR agli arbitrati svolti al di fuori dell'UE;
  • il GDPR nel contesto degli arbitrati NAFTA;
  • la questione delle udienze arbitrali virtuali;
  • i finanziatori terzi e il loro ruolo nella Roadmap;
  • potenziale abuso del GDPR; e
  • la potenziale inosservanza del GDPR come via per l'annullamento o il rifiuto del riconoscimento e dell'esecuzione del lodo arbitrale.

Ciascuna di queste questioni richiederà un'ulteriore riflessione, poiché si prevede che diventeranno sempre più rilevanti nei prossimi anni. L'auspicio è che sia stato dimostrato che questi temi sono degni di essere inclusi nella Roadmap.

Gli allegati[79] aggiunti alla Roadmap hanno lo scopo di aiutare i professionisti ad affrontare questi requisiti in modo pratico. L'aggiunta della Checklist per la protezione dei dati, della Checklist per la valutazione dell'interesse legittimo, degli esempi di informative sulla privacy e delle Clausole contrattuali standard dell'UE sono tutte risorse estremamente preziose e dovrebbero essere utilizzate dai professionisti per assicurarsi di essere conformi al GDPR.

Tuttavia, in una situazione di conflitto tra diverse giurisdizioni, le differenze tra le varie legislazioni nazionali in materia di protezione dei dati personali possono generare ambiguità. Anche se le linee guida fornite dalla Roadmap sono di ampio respiro, non sono ancora vincolanti. In passato, l'UNCITRAL e l'IBA hanno puntato sull'armonizzazione dell'arbitrato internazionale attraverso le loro regole, linee guida e simili; sebbene non siano vincolanti, sono certamente persuasive. Come l'UNCITRAL e l'IBA hanno tentato di fare con vari aspetti dell'arbitrato internazionale, c'è anche un'estrema necessità di armonizzare i requisiti di protezione dei dati personali in materia di arbitrato; pertanto, le linee guida necessarie dovrebbero essere messe in atto con l'obiettivo dell'armonizzazione.

Sebbene l'armonizzazione, la comprensione e la consapevolezza dei requisiti di conformità al GDPR e delle sue implicazioni nel contesto dell'arbitrato internazionale siano ancora carenti, noi professionisti dell'arbitrato continueremo ad accontentarci del quadro giuridico attualmente in vigore. Tuttavia, nonostante i suoi difetti, la Roadmap rappresenta un passo incoraggiante e necessario nella direzione di una comprensione comune degli obblighi di protezione dei dati personali per i partecipanti agli arbitrati.

Risorse

  1. Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GU 2016 L 119/1.
  2. I "dati personali" sono definiti all'art. 4 del GDPR come: (1) ""dati personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
  3. L'ambito territoriale del GDPR è definito all'articolo 3 come segue:
    1. Il presente regolamento si applica al trattamento dei dati personali nell'ambito delle attività di uno stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell'Unione, indipendentemente dal fatto che il trattamento abbia luogo o meno nell'Unione.

    2. Il presente regolamento si applica al trattamento dei dati personali degli interessati che si trovano nell'Unione da parte di un responsabile del trattamento o di un incaricato del trattamento non stabilito nell'Unione, qualora le attività di trattamento siano connesse a:

      (a) all'offerta di beni o servizi, indipendentemente dal fatto che sia richiesto un pagamento dell'interessato, a tali interessati nell'Unione; oppure

      (b) al monitoraggio del loro comportamento nella misura in cui il loro comportamento ha luogo all'interno dell'Unione.

    3. Il presente regolamento si applica al trattamento dei dati personali da parte di un responsabile del trattamento non stabilito nell'Unione, ma in un luogo in cui si applica il diritto degli Stati membri in virtù del diritto internazionale pubblico".
  4. Si veda la definizione di "incaricato del trattamento" all'art. 4 del GDPR.
  5. Art. 83(4), GDPR.
  6. La più grande multa ai sensi del GDPR inflitta a Google" (Simmons + Simmons, 22 gennaio 2019), cfr. www. simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways multata per 20 milioni di sterline per violazione dei dati" (BBC, 16 ottobre 2020), cfr. www.bbc.com/news/technology-54568784.
  7. ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), cfr. www. arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, consultato il 18 agosto 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, febbraio 2020), cfr. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, visitato il 18 agosto 2021.
  9. Ibidem, 1.
  10. Caso PCA n. 2018-54.
  11. ICCA e New York City Bar e International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", cfr. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, visitato il 18 agosto 2021.
  12. Linee guida sulla cybersecurity (IBA, ottobre 2018), cfr. www.ibanet.org/LPRU/Cybersecurity, consultato il 1° dicembre 2020.
  13. ICC Guidance Note on Possible Measures Aim" (Camera di Commercio Internazionale, 9 aprile 2020), consultato il 18 agosto 2021.
  14. Tabella di marcia, sezione B.
  15. Ibidem.
  16. Art. 4, GDPR.
  17. Ibidem.
  18. Art. 4, GDPR
  19. Ibidem, art. 3(1).
  20. Tabella di marcia, 7.
  21. Art. 4, GDPR.
  22. La Roadmap definisce i "partecipanti all'arbitrato" come "le parti, i loro consulenti legali, gli arbitri e le istituzioni arbitrali (solo)". Cfr. Roadmap (n. 3), 2.
  23. Art. 4, GDPR.
  24. Si veda la sentenza del 29 luglio 2019, Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punti 74, 85. Si veda anche la sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; sentenza del 10 luglio 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Tabella di marcia, 11
  26. Ibidem, 12.
  27. Art. 5 e 12-22, GDPR; Roadmap 14-15.
  28. Ad esempio, ai sensi del GDPR, il trattamento dei dati personali nel contesto dell'arbitrato internazionale è lecito quando è necessario ai fini degli interessi legittimi del titolare del trattamento - fatte salve le limitazioni basate sugli interessi e sui diritti fondamentali dell'interessato - e i dati sensibili possono essere trattati ai sensi della deroga per le richieste legali (art. 9, par. 2, lett. f)) nel contesto dell'arbitrato.
  29. Tabella di marcia, 19.
  30. Ibidem, 20-21.
  31. Ibidem, 30-31.
  32. Ibidem, 32.
  33. Ibidem, 33-36.
  34. Ibidem, 37-39.
  35. Ibidem, 37.
  36. Ibidem, 39.
  37. Ibidem, 40-41.
  38. Ibidem, 42.
  39. Ibidem, 43.
  40. Art. 5(1)(e), GDPR.
  41. Tabella di marcia, 44.
  42. Emily Hay, "Il braccio invisibile del GDPR nell'arbitrato internazionale: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 agosto 2019), cfr. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, consultato il 18 agosto 2021.
  43. La Commissione europea ha ritenuto che il Paese fornisca un'adeguata protezione dei dati.
  44. Nel caso dell'arbitrato internazionale, si tratterebbe molto probabilmente di una clausola contrattuale standard.
  45. La deroga per le richieste legali, che consente i trasferimenti "necessari per l'accertamento, l'esercizio o la difesa di pretese legali", è la più applicabile nel contesto arbitrale.
  46. A causa dell'elevata soglia e dell'obbligo di notifica, il ricorso a interessi legittimi impellenti ha scarsa rilevanza pratica. Cfr. EDPB, "Orientamenti 2/2018 sulle deroghe all'articolo 49 del regolamento 2016/679", 6 febbraio 2018 (orientamenti sul trasferimento dei dati).
  47. Tabella di marcia, 8, 13.
  48. Emily Hay, "Il braccio invisibile del GDPR nell'arbitrato dei trattati internazionali: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 agosto 2019), cfr. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [consultato il 18 agosto 2021].
  49. Caso APC n. 2018-54.
  50. Ibidem, Comunicazione del Tribunale alle parti (Perm Ct Arb, 2019).
  51. Tabella di marcia, 37.
  52. ICCA e New York City Bar e International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), cfr. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, consultato il 18 agosto 2021.
  53. Linee guida sulla cybersecurity" (IBA, ottobre 2018), cfr. www. ibanet.org/LPRU/Cybersecurity, consultato il 1° dicembre 2020.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 18 luglio 2020), cfr. arbitrationblog. kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, visitato il 18 agosto 2021.
  55. ICC Guidance Note on Possible Measures Aimiged at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9 aprile 2020), consultato il 18 agosto 2021.
  56. Finanziamento di terzi nell'arbitrato internazionale: The ICCA-QMUL report", (ICCA, maggio 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, consultato il 18 agosto 2018.
  57. Tabella di marcia, 2.
  58. Ibidem, 23-25.
  59. Art. 4(2), GDPR, cfr. n. 1 sopra.
  60. Art. 6(1)(f), GDPR.
  61. Allan J Arffa e altri, "GDPR Issues in International Arbitration" (Lexology, 10 agosto 2020), cfr. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, consultato il 18 agosto 2021.
  62. Tabella di marcia, allegato 5.
  63. Allan J Arffa e altri, "GDPR Issues in International Arbitration" (Lexology, 10 agosto 2020), cfr. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, consultato il 18 agosto 2021.
  64. Tabella di marcia 40-41.
  65. Si veda, ad esempio: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Ibidem; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6 febbraio 2020), cfr. www. bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration consultato il 18 agosto 2021.
  68. David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
  70. Ibidem. Born cita le seguenti sentenze per rafforzare questa tesi: Sentenza del 22 gennaio 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" contro Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel di Parigi): Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Suppd 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Le richieste di divulgazione sono "ben comprese nel ragionevole esercizio della discrezionalità del Tribunale".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 dicembre 2019), cfr. www. natlawreview.com/article/gdpr-and-international-arbitration-crossroads, consultato il 18 agosto 2021.
  72. Convenzione di New York, articolo V, paragrafo 2: Il riconoscimento e l'esecuzione di un lodo arbitrale possono essere rifiutati anche se l'autorità competente del Paese in cui il riconoscimento e l'esecuzione sono richiesti ritiene che... b) Il riconoscimento o l'esecuzione del lodo sarebbe contrario all'ordine pubblico di tale Paese".
  73. Segretario Generale delle Nazioni Unite, Commento analitico al progetto di testo di una legge modello sull'arbitrato commerciale internazionale, A/CN.9/264 (1985), art. 34, comma 6.
  74. Legge modello UNCITRAL sull'arbitrato commerciale internazionale, art. 34(2): Un lodo arbitrale può essere annullato dal tribunale di cui all'articolo 6 solo se...(b) il tribunale ritiene che...(ii) il lodo sia in contrasto con l'ordine pubblico di questo Stato".
  75. Sentenza del 1° giugno 1999, Eco Swiss China Time Ltd contro Benetton International NV C-126/97 [1999] ECR I-03055, par. 39 e 41. Per una discussione dettagliata sulla politica pubblica dell'UE, si veda: Sacha Prechal e Natalya Shelkoplyas, "Procedure nazionali, politica pubblica e diritto comunitario. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka e Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibidem.
  78. Per una discussione più dettagliata di queste e altre questioni, si veda: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" in José R Mata Dona e Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) par. 5.63 e seguenti; Cervenka e Schwarz, v. sopra n. 76, 84-85.
  79. The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes" (ICCA, febbraio 2020), cfr. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, consultato il 18 agosto 2021.

Questo articolo è stato pubblicato per la prima volta su Dispute Resolution International, vol. 15 n. 2, ottobre 2021, ed è riprodotto per gentile concessione dell'International Bar Association, Londra, Regno Unito. © International Bar Association.

Torna alla panoramica