Introduzione

Negli ultimi anni, si sono presentate domande sulle implicazioni pratiche della privacy dei dati personali e della sicurezza informatica sulla condotta effettiva degli arbitrati internazionali - specialmente quando si tiene conto del ritmo costante del cambiamento tecnologico.

Il regolamento generale sulla protezione dei dati (GDPR)[i] ha festeggiato il suo secondo compleanno nel maggio 2020. Il quadro di protezione dei dati personali del GDPR mira a garantire la libera circolazione dei dati personali di "persone fisiche identificate o identificabili".[ii] Si applica all'interno dell'Unione europea e ha una portata extraterritoriale che può estendersi al di fuori dell'UE;[iii] Il GDPR può interessare non solo tutte le persone fisiche o giuridiche, ma sottopone anche le autorità pubbliche, le agenzie e altri organismi - eventualmente anche le organizzazioni internazionali - agli obblighi di protezione dei dati personali.[iv] Le sanzioni del GDPR possono ammontare al 4 per cento del fatturato annuo mondiale dell'entità che ha commesso la violazione nell'anno finanziario precedente o a 20 milioni di euro, se superiore.[v] La necessità di prendere sul serio la sua applicazione è già stata stabilita attraverso multe multimilionarie che sono state imposte in diverse giurisdizioni.[vi]

Sebbene l'applicazione delle leggi sulla protezione dei dati personali all'arbitrato sia stabilita, il modo in cui le leggi dovrebbero essere applicate non lo è. Per questo motivo, il Consiglio internazionale per l'arbitrato commerciale (ICCA) e l'International Bar Association (IBA) hanno istituito una Task Force congiunta sulla protezione dei dati nei procedimenti di arbitrato internazionale nel febbraio 2019, con l'obiettivo di produrre una guida che fornisca una guida pratica alla protezione dei dati personali nell'arbitrato internazionale. La Task Force ha pubblicato una bozza di consultazione di questa guida nel marzo 2020.[vii] Il presente commento sarà basato su questa bozza di tabella di marcia (la tabella di marcia),[viii] con la versione finale e rivista della tabella di marcia che dovrebbe essere pubblicata nel settembre 2021. Anche se il termine per i commenti sulla bozza di consultazione è passato al momento della scrittura, la versione preliminare della tabella di marcia è comunque illustrativa delle questioni sollevate dal GDPR negli arbitrati internazionali. Sarà quindi utilizzata come base di discussione.

La maggior parte delle leggi sulla protezione dei dati personali sono obbligatorie nei procedimenti arbitrali, cioè prescrivono:

• quali dati personali possono essere trattati;
• dove;
• con quali mezzi;
• con cui le misure di sicurezza delle informazioni; e
• per quanto tempo.[ix]

Non affrontano, tuttavia, come questi obblighi vincolanti dovrebbero essere rispettati nei procedimenti arbitrali. In assenza di una guida specifica da parte delle autorità di regolamentazione, la Roadmap ha lo scopo di aiutare i professionisti dell'arbitrato a identificare e comprendere gli obblighi di protezione dei dati personali e della privacy a cui possono essere soggetti nel contesto di un arbitrato internazionale. Inoltre, la portata della protezione del GDPR rimane rilevante nei procedimenti arbitrali internazionali, soprattutto se le leggi del GDPR si applicano agli arbitrati con sede al di fuori dell'UE. Ci sono varie implicazioni ulteriori se il GDPR si trova applicato all'arbitrato: in primo luogo, se il trattamento dei dati personali è vietato e in secondo luogo, se ci sono restrizioni sui trasferimenti di dati personali al di fuori dell'UE. Infine, a causa della crescente frequenza dei cyberattacchi, le conseguenze di un tale attacco a un arbitrato potrebbero portare danni significativi.

Questo articolo cerca di fornire un commento alla Roadmap e di esplorare le misure pratiche che dovrebbero essere prese in considerazione per quanto riguarda gli obblighi di protezione dei dati personali nei procedimenti arbitrali internazionali. Esso identifica la Roadmap come uno strumento promettente, anche se incompleto, per completare i vari tentativi di soft law per armonizzare l'arbitrato internazionale finora, in particolare gli strumenti dell'IBA e della Commissione delle Nazioni Unite per il diritto commerciale internazionale (UNCITRAL).

In primo luogo, verrà dato un breve riassunto della tabella di marcia che include il riferimento ai principi del GDPR. Questo non vuole essere una panoramica completa, ma piuttosto introdurrà i punti principali della tabella di marcia per dare al lettore un contesto per la discussione successiva. In secondo luogo, verrà fornito un commento che tocca sei questioni pertinenti:

• l'applicabilità del GDPR agli arbitrati tenuti al di fuori dell'UE;
• GDPR nel contesto degli arbitrati del North American Free Trade Agreement (NAFTA), come illustrato in Tennant Energy, LLC v Government of Canada;[x]
• la questione della videoconferenza, che ha notevolmente aumentato di importanza durante la pandemia di Covid-19, compresi i riferimenti al "Protocollo ICCA-NYC Bar-CPR sulla sicurezza informatica nell'arbitrato internazionale" (Protocollo sulla sicurezza informatica)[xi] le linee guida dell'IBA sulla sicurezza informatica[xii] e la nota di orientamento dell'ICC sulle possibili misure volte a mitigare gli effetti della pandemia COVID-19;[xiii]
• "finanziatori terzi" e come vengono presi in considerazione nella tabella di marcia;
• l'abuso del GDPR, specialmente come scudo per la non divulgazione; e
• la possibilità di utilizzare il mancato rispetto dei requisiti di protezione dei dati personali come via per l'annullamento o il rifiuto del riconoscimento e dell'esecuzione del lodo arbitrale.

Le riflessioni finali saranno fornite nella conclusione.

La tabella di marcia

Le persone fisiche e giuridiche sono soggette agli obblighi di protezione dei dati personali degli interessati. L'arbitrato stesso non è soggetto agli obblighi di protezione dei dati personali. Tuttavia, se solo un partecipante all'arbitrato è soggetto agli obblighi di protezione dei dati personali, l'arbitrato può essere influenzato nel suo insieme. Il fatto che il trattamento dei dati personali rientri nelle leggi pertinenti, l'ambito materiale e giurisdizionale determinerà se le leggi sulla protezione dei dati personali sono applicabili.[xiv]

Le moderne leggi sulla protezione dei dati personali si applicano ogni volta che i dati personali di un soggetto vengono elaborati durante le attività che rientrano nel campo di applicazione giurisdizionale delle relative leggi sulla protezione dei dati personali.[xv] I dati personali includono "qualsiasi informazione relativa a una persona fisica identificata o identificabile".[xvi] Durante un tipico procedimento arbitrale, vengono scambiate porzioni sostanziali di informazioni relative, tra l'altro, alle parti, ai loro avvocati, al tribunale e a terzi. Come tali, è probabile che rientrino nella definizione di "dati personali". I "soggetti dei dati" si riferiscono alle persone summenzionate che sono identificate o identificabili.[xvii] Il trattamento comprende operazioni attive e passive e comprende quindi l'utilizzo, la diffusione e la cancellazione di dati personali, nonché la ricezione, l'organizzazione e la conservazione di dati personali.[xviii] Il campo di applicazione comprende azioni ogni volta che i dati personali sono trattati nel contesto delle attività di uno stabilimento di un responsabile o di un incaricato del trattamento nell'UE[xix] ed extraterritorialmente, come quando i dati personali sono trasferiti fuori dall'UE a entità o individui che non sono per altri motivi già soggetti al GDPR.[xx]

Gli arbitri saranno qualificati come controllori di dati, il che significa che saranno responsabili del rispetto delle leggi sulla protezione dei dati personali. Tuttavia, in base alla definizione di "controllore dei dati";[xxi] la maggior parte dei partecipanti all'arbitrato[xxii] sono suscettibili di essere considerati come tali, compresi gli avvocati, le parti e l'istituzione. I responsabili del trattamento dei dati possono delegare l'elaborazione dei dati ai responsabili del trattamento,[xxiii] che saranno sotto il loro controllo e richiederanno accordi di trattamento dei dati nei termini previsti dalla legge applicabile. Così, segretarie, trascrittori, traduttori e altri possono essere considerati responsabili del trattamento dei dati. C'è l'ulteriore questione dei controllori congiunti che determinano congiuntamente gli scopi e i mezzi del trattamento dei dati. Il controllo congiunto è interpretato in modo ampio, ma la responsabilità del controllore congiunto è limitata solo al trattamento che il controllore ha determinato, ai suoi scopi e mezzi e non al trattamento complessivo.[xxiv]

Negli arbitrati internazionali, le restrizioni ai trasferimenti di dati personali tra le giurisdizioni sono un modo evidente in cui si applicano le leggi sulla protezione dei dati personali. Il background dei diversi partecipanti all'arbitrato determinerà l'applicazione di diversi regimi di protezione dei dati personali. Le moderne leggi sulla protezione dei dati personali limitano i trasferimenti di dati personali a paesi terzi per garantire che gli obblighi legali non vengano elusi dal trasferimento di dati personali a giurisdizioni con standard inferiori di protezione dei dati personali.[xxv] Il GDPR permette il trasferimento di dati personali di paesi terzi se si verifica uno dei seguenti casi:

• il paese è stato ritenuto dalla Commissione UE in grado di fornire un'adeguata protezione dei dati personali;
• una delle salvaguardie espressamente elencate sono messe in atto;
• una deroga che permette i trasferimenti se necessari per la costituzione, l'esercizio o la difesa di rivendicazioni legali; o
• un interesse legittimo inderogabile di una parte.[xxvi]

Queste regole si applicano ai partecipanti all'arbitrato e non all'arbitrato nel suo insieme, obbligando così ogni partecipante all'arbitrato a considerare quali restrizioni di trasferimento di dati personali si applicano a lui.

I principi di protezione dei dati personali applicabili nell'arbitrato includono il trattamento equo e legittimo, la proporzionalità, la minimizzazione dei dati, la limitazione delle finalità, i diritti degli interessati, l'accuratezza, la sicurezza dei dati, la trasparenza e la responsabilità.[xxvii]

Alcuni di questi principi richiedono ulteriori commenti. Trattamento equo e legittimo significa che i dati personali dovrebbero essere trattati solo in modi che gli interessati si aspetterebbero ragionevolmente e che ci deve essere una base legale per il trattamento. Applicando il principio di equità, la parte e il suo avvocato dovrebbero chiedersi se, nel contesto di tutti i fatti, le persone si sarebbero aspettate che i loro dati personali venissero trattati in quel modo, se ciò avrà conseguenze negative su di loro e se queste conseguenze sono giustificate. Questo principio non impedirà che i dati personali trovati nelle e-mail commerciali siano ammessi come prova.

La nozione di trattamento legittimo implica una base giuridica che è determinata dai fatti e specifica al caso. Piuttosto che fare affidamento sul consenso, dovrebbero essere invocate basi legali specifiche nel GDPR.[xxviii]

La proporzionalità richiede una considerazione della natura, della portata, del contesto e degli scopi del trattamento in relazione ai rischi posti al soggetto dei dati.[xxix] La minimizzazione dei dati richiede ai partecipanti all'arbitrato di limitare il trattamento ai dati personali che sono adeguati, pertinenti e limitati a ciò che è necessario.[xxx] La trasparenza richiede che le persone interessate siano informate del trattamento e dello scopo del trattamento dei dati personali attraverso avvisi generali, notifiche specifiche o entrambi.[xxxi] L'accountability si riferisce alla responsabilità personale per la conformità alla protezione dei dati, il che significa che i partecipanti all'arbitrato dovrebbero documentare tutte le misure di protezione dei dati personali e le decisioni prese per dimostrare la conformità.[xxxii]

Il rispetto della protezione dei dati personali influisce sulle singole fasi del procedimento arbitrale internazionale, non solo durante l'arbitrato stesso ma anche durante i preparativi. Fin dall'inizio, i partecipanti all'arbitrato dovrebbero considerare quali leggi sulla protezione dei dati personali si applicano a loro stessi e ad altri partecipanti all'arbitrato, e quali partecipanti all'arbitrato tratteranno i dati personali come controllori, processori o controllori congiunti. Anche le norme di trasferimento dei dati personali dei paesi terzi e gli accordi di trattamento dei dati personali riguardanti i fornitori di servizi terzi dovrebbero essere considerati. Durante il processo di raccolta e revisione dei documenti, le parti e i loro consulenti legali hanno bisogno di una base legale per le attività di trattamento e i trasferimenti di dati personali di paesi terzi.[xxxiii]

La richiesta di arbitrato, così come le successive presentazioni, includeranno dati personali che rientrano perfettamente nel campo del trattamento. Se un'istituzione arbitrale è vincolata dalle leggi applicabili sulla protezione dei dati personali, deve considerare i potenziali obblighi di protezione dei dati personali che si applicano durante ogni fase procedurale. Se un'istituzione arbitrale è soggetta al GDPR, diventerà tipicamente un responsabile del trattamento dei dati personali. Per conformarsi agli articoli 13 e 14 del GDPR, tale istituzione dovrebbe includere informazioni riguardanti le misure di sicurezza, l'esercizio dei diritti degli interessati, la conservazione dei record e le politiche di violazione e conservazione dei dati nella sua informativa sulla privacy.[xxxiv] Le organizzazioni internazionali che amministrano arbitrati tra investitore e Stato, tuttavia, possono essere escluse dal campo di applicazione delle leggi sulla protezione dei dati personali a causa di privilegi e immunità nello Stato costituente o in un accordo del paese ospitante. In questo caso bisogna fare delle considerazioni a parte, tra l'altro se l'organizzazione è vincolata dalle leggi sulla protezione dei dati personali e se - e in che misura - i partecipanti all'arbitrato sarebbero coperti da privilegi e immunità.[xxxv]

Durante la nomina degli arbitri in un tribunale arbitrale, vengono generalmente scambiate quantità significative di dati personali dei potenziali arbitri. I partecipanti all'arbitrato dovrebbero includere la base legale per il trattamento di questi dati personali nei loro avvisi legali e notificare espressamente agli arbitri che sono considerati per la nomina il trattamento dei loro dati personali, specialmente nel caso di trasferimenti di dati personali di paesi terzi.[xxxvi]

Una volta che l'arbitrato è in corso, le responsabilità di conformità alla protezione dei dati personali dovrebbero essere assegnate presto per minimizzare i rischi. La protezione dei dati personali dovrebbe essere inclusa nell'ordine del giorno della prima conferenza procedurale, e i partecipanti all'arbitrato dovrebbero cercare di concordare come affrontare la conformità alla protezione dei dati personali il prima possibile. Le parti, i loro consulenti legali e gli arbitri dovrebbero considerare di stipulare un protocollo di protezione dei dati personali per gestire efficacemente le questioni di conformità. Se ciò non è possibile, un'opzione alternativa è che il Tribunale li includa nell'Ordine Procedurale Numero Uno.[xxxvii]

Nel processo di produzione e divulgazione dei documenti, il principio di minimizzazione dei dati personali è particolarmente rilevante. Secondo il GDPR, questo richiederebbe probabilmente:

• limitando i dati personali divulgati a ciò che è pertinente e non duplicativo;
• identificare i dati personali contenuti nel materiale di risposta; e
• redigere o pseudonimizzare i dati personali non necessari.

Anche queste questioni dovrebbero essere considerate all'inizio del procedimento, preferibilmente durante o prima della prima conferenza procedurale.[xxxviii]

Quando si tratta di rendere i lodi, gli arbitri e le istituzioni dovrebbero considerare la base e la necessità di includere dati personali nei lodi. Se l'arbitrato è confidenziale, c'è comunque il rischio che un lodo diventi pubblico quando viene eseguito. Anche se i dati personali sono stati redatti, di solito rimangono dati personali perché il soggetto dei dati è identificabile dal resto del lodo o dai materiali correlati.[xxxix]

La conservazione e la cancellazione dei dati sono considerate un trattamento ai sensi del GDPR, che prevede che i dati personali siano "conservati in una forma che consenta l'identificazione degli interessati per un periodo non superiore a quello necessario per le finalità per le quali i dati personali sono trattati".[xl] I controllori devono considerare, documentare ed essere in grado di giustificare la durata della conservazione. I partecipanti all'arbitrato devono considerare quale periodo di conservazione dei dati sia ragionevole e devono adottare un approccio proporzionato per bilanciare le loro esigenze con l'impatto della conservazione dei dati sul soggetto.[xli]

L'applicabilità del GDPR agli arbitrati tenuti fuori dall'UE

La portata territoriale del regolamento generale sulla protezione dei dati è relativamente ampia. I praticanti dovrebbero essere consapevoli della sua applicazione, sia che essi si trovino o meno, o che l'arbitrato abbia sede, nell'UE. Il GDPR si applica al trattamento dei dati personali da parte dei responsabili o degli incaricati del trattamento stabiliti nell'UE, indipendentemente dal fatto che il trattamento stesso avvenga nell'UE (articolo 3(1)). Inoltre, quando si tratta di offrire beni o servizi ai cittadini dell'UE o il monitoraggio del comportamento che ha luogo all'interno dell'UE, il GDPR si applica al trattamento dei dati personali da parte di un responsabile o di un incaricato del trattamento non stabilito nell'UE (articolo 3(2)).

Applicato al contesto arbitrale, il GDPR impone obblighi ai controllori e ai processori di dati - arbitri, avvocati, parti e istituzioni - che rientrano nel suo ambito materiale e territoriale, piuttosto che al procedimento arbitrale direttamente. Anche se è solo un partecipante all'arbitrato che ha una connessione con l'UE, sarà obbligato a trattare i dati personali in conformità con il GDPR. Possono sorgere implicazioni per il procedimento nel suo complesso.[xlii]

Forse più notevole nel contesto dell'arbitrato internazionale, dove il trasferimento di materiale arbitrale contenente dati personali è comune, sono le restrizioni poste sul trasferimento di dati personali a "paesi terzi" al di fuori dello Spazio economico europeo (SEE). In un tale scenario, una delle quattro basi legali è necessaria per consentire il trasferimento di dati personali. In primo luogo, il trasferimento a un paese terzo è consentito se il paese terzo è soggetto a una decisione di adeguatezza (articolo 45(1)).[xliii] Se questo non è il caso, una delle garanzie appropriate (articolo 46(1)) dovrebbe essere messa in atto, se possibile.[xliv] Se non c'è una decisione di adeguatezza e una salvaguardia adeguata non è fattibile, si può ricorrere a una deroga specifica (articolo 49, paragrafo 1).[xlv] Infine, in mancanza di quanto sopra, una parte può invocare un interesse legittimo inderogabile (articolo 49, paragrafo 1)[xlvi] come base legale per un trasferimento di dati personali da parte di terzi.

La tabella di marcia espone in modo abbastanza esauriente le considerazioni necessarie che i partecipanti all'arbitrato devono fare. Sottolinea a più riprese che sono i partecipanti all'arbitrato, e non l'arbitrato in quanto tale, a cui si applicano i principi di protezione dei dati personali e le regole di trasferimento.[xlvii] In linea con questo, la conclusione presuntiva è che un arbitro con sede nell'UE per un arbitrato non UE che non è altrimenti soggetto al GDPR dovrebbe comunque rispettare i requisiti di trattamento e trasferimento dei dati personali del GDPR. Questo è infatti generalmente accettato nei procedimenti di arbitrato commerciale,[xlviii] ma la situazione non è così chiara quando si tratta di arbitrato investitore-stato.

Il caso di Tennant Energy, LLC contro il governo del Canada

Nel 2019, nell'arbitrato del capitolo 11 del NAFTA Tennant Energy, LLC contro il governo del Canada (Tennant),[xlix] Tennant, l'attore, ha sollevato la questione dell'applicazione del GDPR al procedimento alla luce della nazionalità del Regno Unito e del domicilio di uno dei membri del tribunale. Tuttavia, il tribunale ha dato indicazioni alle parti affermando che "un arbitrato ai sensi del capitolo 11 del NAFTA, un trattato di cui né l'Unione europea né i suoi Stati membri sono parte, non rientra, presuntivamente, nel campo di applicazione materiale del GDPR".[l]

È importante distinguere tra arbitrato basato su trattati e arbitrato commerciale, e Tennant rientra nella prima categoria. La tabella di marcia si impegna con questa distinzione, notando che le organizzazioni internazionali possono essere escluse dal campo di applicazione delle leggi sulla protezione dei dati personali.[li] I membri del tribunale nell'arbitrato Tennant possono essere soggetti a certe immunità derivate dall'accordo di sede della Corte permanente di arbitrato (PCA) con i Paesi Bassi. Tuttavia, il tribunale NAFTA non ha considerato se, in quanto organizzazione internazionale, la PCA sarebbe stata soggetta alle regole di trasferimento del GDPR o se i membri del tribunale avrebbero tratto alcune immunità dall'accordo.

Il sito Tennant La direzione solleva più domande che risposte per quanto riguarda l'applicabilità del GDPR ai procedimenti NAFTA e agli arbitrati basati su trattati più in generale, una discussione sfumata dei quali va oltre il presente scopo. Tuttavia, la direzione di Tennant, vista alla luce della tabella di marcia, dimostra che questo argomento rimane altamente incerto. È discutibile, nel migliore dei casi, se la tabella di marcia porti un po' di chiarezza ai partecipanti all'arbitrato che si trovano ad affrontare tale questione, considerando soprattutto che la tabella di marcia è stata emessa dopo il Tennant La direzione è stata emessa, ma non ha concesso a quest'ultimo alcuna considerazione.

La questione della videoconferenza

La tabella di marcia riconosce l'importanza della sicurezza dei dati personali. Tuttavia, con il recente uso di ulteriori tecnologie per facilitare le udienze virtuali, così come il lavoro da casa - per lo più alimentato dalle attuali circostanze imposte a noi dalla pandemia di Covid-19 - questa questione ha un peso aggiuntivo. Il protocollo sulla sicurezza informatica[lii] e le linee guida di sicurezza informatica dell'IBA[liii] hanno fatto luce sulla questione.

Come la Roadmap, il Protocollo sulla Cybersecurity stabilisce diversi principi di base. Si applica il principio di proporzionalità, il Tribunale ha l'autorità e la discrezione per determinare le misure di sicurezza in atto, e la sicurezza delle informazioni è una questione che dovrebbe essere discussa alla prima conferenza di gestione del caso. L'Allegato A del Protocollo sulla Cybersecurity fornisce una lista di controllo che le parti di un arbitrato possono utilizzare per salvaguardare il procedimento.

In seguito al recente cambiamento dei modelli e degli ambienti di lavoro dovuto alla pandemia di Covid-19, si dovrebbe dare più peso a queste questioni. In un mondo che è stato spinto a trovare nuovi modi di condurre gli affari e adattarsi a tempi di incertezza, uno dei problemi che il settore legale ha affrontato è la questione delle udienze combinate con le restrizioni e la necessità di distanziamento sociale. Come tale, la popolarità delle videoconferenze e l'uso delle stesse nei procedimenti arbitrali internazionali è qualcosa che la tabella di marcia dovrebbe affrontare, ma non lo ha fatto - o, almeno, non ancora.

Anche se molti hanno discusso e sottolineato i problemi delle audizioni video, la maggior parte non ha affrontato come le leggi sulla protezione dei dati personali dovrebbero essere applicate ad esse, non solo per quanto riguarda la protezione dei dati personali, ma anche la sicurezza, dato che alcune piattaforme sono state soggette ad attacchi di sicurezza.[liv]

Come discusso sopra, è essenziale capire i diversi ruoli delle parti coinvolte nell'arbitrato per quanto riguarda il GDPR, vale a dire chi sono i "responsabili del trattamento dei dati" e i "responsabili del trattamento dei dati". Se il software di videoconferenza sta elaborando qualsiasi dato personale, come il nome utente e l'indirizzo e-mail dall'uso del servizio da parte di una parte, sarà considerato un "elaboratore di dati". Questo significa che devono aderire alle regole del GDPR se qualcuno dei partecipanti è domiciliato nell'UE. Poiché il Tribunale è il "responsabile del trattamento dei dati", sarà quindi responsabilità del Tribunale garantire tale conformità.

La Camera di Commercio Internazionale (ICC) ha pubblicato una nota di orientamento[lv] che fornisce alle parti le clausole suggerite per i protocolli di sicurezza informatica e le udienze virtuali. Mira ad affrontare l'aspetto della sicurezza, ma non affronta l'aspetto della protezione dei dati personali. La tabella di marcia dovrebbe discutere le possibilità in cui la protezione dei dati personali si applicherebbe alle udienze condotte virtualmente e anche come aderire alla stessa. Mentre il GDPR specifica i requisiti che devono essere soddisfatti per quanto riguarda la videoconferenza, non dà indicazioni sul modo in cui i suoi requisiti sono direttamente applicabili.

Anche se la tabella di marcia non fornisce raccomandazioni su specifici fornitori di software, potrebbe compilare e fornire ai professionisti una lista delle specifiche necessarie di un software ideale per le audizioni video, così come fornisce liste di controllo su varie altre questioni all'interno dei suoi allegati.

Dove si inseriscono i finanziatori terzi?

Un terzo finanziatore è inteso come qualsiasi non parte del procedimento arbitrale che entra in un accordo per finanziare tutto o parte del costo del procedimento in cambio di una somma che dipende interamente o parzialmente dal risultato del caso.[lvi] I finanziatori terzi hanno accesso a vari dati personali nei procedimenti arbitrali che stanno finanziando o che stanno considerando di finanziare. Sebbene la Roadmap sia espressamente indirizzata solo ai partecipanti all'arbitrato, essa afferma che la guida è rilevante per i fornitori di servizi che sono anche interessati dai requisiti di protezione dei dati personali.[lvii]

Nella tabella di marcia, i fornitori di servizi includono "esperti di e-discovery, professionisti delle tecnologie dell'informazione, stenografi, servizi di traduzione, ecc.[lviii] ma i finanziatori terzi non sono esplicitamente menzionati. Secondo il GDPR, la raccolta e la conservazione dei dati personali è inclusa nel trattamento. Quindi, se i finanziatori terzi raccolgono dati personali da altri, le leggi sui dati personali si applicano anche a loro.[lix]

Il GDPR permette a una parte di trattare i dati personali se "il trattamento è necessario ai fini dei legittimi interessi perseguiti dal controllore o da un terzo,[lx] che può potenzialmente essere citato dai partecipanti all'arbitrato come base giuridica applicabile per il trattamento dei dati personali pertinenti. Esiste una guida limitata su questo argomento.[lxi] La tabella di marcia afferma:

Il primo passo nella valutazione del legittimo interesse è identificare un interesse legittimo - qual è lo scopo del trattamento dei dati personali e perché è importante per voi come controllore? Nel contesto dell'arbitrato, l'interesse legittimo può riguardare l'amministrazione della giustizia, assicurando il rispetto dei diritti delle parti e la risoluzione rapida ed equa delle richieste secondo le regole di arbitrato applicabili, e anche molti altri interessi".[lxii]

L'inclusione di "anche molti altri interessi" potrebbe forse includere il legittimo interesse monetario dei finanziatori terzi. Se così fosse, essi sarebbero chiaramente obbligati a stipulare accordi di trattamento dei dati con le parti del procedimento arbitrale e sarebbero inclusi nell'ambito dei regolamenti e dei requisiti di protezione dei dati personali. È interessante notare che la tabella di marcia omette di dettagliare esplicitamente come i finanziatori terzi si inseriscono nel quadro, in particolare considerando l'aumento della loro inclusione nei procedimenti arbitrali.

Uno scudo per la non divulgazione

Gli obblighi di protezione dei dati personali portano al potenziale di abuso. Le parti arbitrali possono usare il GDPR come scudo in malafede per impedire la divulgazione di informazioni rilevanti per il procedimento o richieste dalla controparte. Per esempio, una parte può opporsi a una richiesta di divulgazione sostenendo che i documenti contengono dati personali non correlati alla controversia, o che la rielaborazione delle informazioni personali sarebbe indebitamente onerosa.[lxiii]

La tabella di marcia affronta il potenziale di abuso. Suggerisce di sollevare e chiarire gli obblighi di protezione dei dati personali il più presto possibile per ridurre il rischio che questi abbiano un impatto sui procedimenti. I partecipanti dovrebbero considerare di stipulare un "protocollo di protezione dei dati" - un accordo su come la protezione dei dati personali sarà applicata in un particolare contesto. In alternativa, laddove non sia possibile ottenere un protocollo di protezione dei dati firmato, queste questioni dovrebbero essere affrontate nell'ordine procedurale numero uno.[lxiv]

A titolo di confronto, si può guardare alla conformità al GDPR durante la scoperta nelle controversie statunitensi. I tribunali federali statunitensi hanno impiegato test di bilanciamento per decidere se ordinare o meno la divulgazione o la conformità con mandati di comparizione o ordini di scoperta che sono potenzialmente in violazione di statuti stranieri, comprese le leggi sulla protezione dei dati personali.[lxv] Una lista non esaustiva di fattori esaminati dalle corti federali degli Stati Uniti è:

• l'importanza dei documenti o delle altre informazioni richieste per la controversia;
• il grado di specificità della richiesta;
• se l'informazione ha avuto origine negli Stati Uniti;
• la disponibilità di mezzi alternativi per assicurare le informazioni; e
• la misura in cui il mancato rispetto minerebbe importanti interessi degli Stati Uniti.[lxvi]

Più spesso che no, i tribunali federali richiedono la divulgazione nonostante le potenziali violazioni delle leggi straniere sulla protezione dei dati personali.[lxvii]

Gli arbitri affrontano considerazioni diverse dai tribunali quando decidono se ordinare la divulgazione da parte di una parte. È corretto, come sostenuto nella letteratura,[lxviii] che i tribunali devono essere consapevoli dei diritti e dei doveri concorrenti alla luce della minaccia di annullamento o di rifiuto dell'esecuzione ai sensi della Convenzione del 1958 sul riconoscimento e l'esecuzione dei lodi arbitrali stranieri (Convenzione di New York). Tuttavia, questo punto di vista non tiene conto del fatto che gli ordini di divulgazione sono soggetti a una revisione minima da parte dei tribunali statali, dato il principio di non interferenza giudiziaria.[lxix] Gli esempi di tribunali statali che si astengono dall'impegnarsi in una revisione degli ordini di divulgazione abbondano.[lxx]

Alla luce della discrezione data ai tribunali nelle questioni procedurali, è improbabile che la minaccia di annullamento o di rifiuto dell'esecuzione sia una considerazione centrale. L'inevitabilità delle parti che tentano di abusare degli obblighi del GDPR per ottenere un potenziale vantaggio procedurale metterà i tribunali nella difficile posizione di bilanciare gli interessi del soggetto interessato da un lato, e mantenere un robusto processo probatorio dall'altro.[lxxi] Chiarire gli obblighi di conformità alla protezione dei dati personali all'inizio del procedimento - preferibilmente in un protocollo firmato di protezione dei dati - in linea con le raccomandazioni della tabella di marcia sembra essere un passo preliminare per controllare questo comportamento.

L'inosservanza dei requisiti di protezione dei dati personali come via di annullamento e rifiuto del riconoscimento e dell'esecuzione

La tabella di marcia non tratta se il mancato rispetto dei requisiti di protezione dei dati personali possa essere utilizzato per annullare un lodo arbitrale, o per rifiutarne il riconoscimento e l'esecuzione. Le parti hanno mezzi di ricorso molto limitati contro i lodi. Tuttavia, una parte soccombente potrebbe voler contestare il suo risultato e utilizzare uno dei principali motivi comuni per contestare il lodo o per impedirne il riconoscimento o l'esecuzione.

La Convenzione di New York conta attualmente 168 stati contraenti, il che la rende la base giuridica principale per il riconoscimento e l'esecuzione dei lodi stranieri nell'arbitrato commerciale internazionale. La Convenzione prevede, all'articolo V, motivi limitati per cui il riconoscimento e l'esecuzione di un lodo arbitrale possono essere rifiutati. In particolare, ai presenti fini, l'articolo V(2)(b) riconosce all'autorità competente di uno Stato firmatario la possibilità di rifiutare il riconoscimento o l'esecuzione di un lodo che viola l'ordine pubblico.[lxxii]

I motivi per cui un lodo arbitrale può essere annullato variano tra le diverse giurisdizioni. La legge modello UNCITRAL sull'arbitrato commerciale internazionale, che è stata ampiamente adottata, stabilisce una lista di motivi di annullamento nell'articolo 34(2). Questo elenco è stato strettamente modellato sull'articolo V della Convenzione di New York.[lxxiii] L'articolo 34(2)(b)(ii) stabilisce che un lodo arbitrale può essere annullato dal tribunale se il lodo è in conflitto con l'ordine pubblico dello Stato.[lxxiv]

La Corte di giustizia europea (CGCE) ha affermato nella causa Eco Swiss contro Benetton che le disposizioni obbligatorie prevalenti del diritto dell'UE possono costituire norme fondamentali di ordine pubblico, la cui violazione può costituire un motivo di annullamento di un lodo arbitrale basato su tale motivo nel diritto nazionale.[lxxv] Se un lodo possa essere annullato o meno, o se il suo riconoscimento o la sua esecuzione possano essere rifiutati, a causa del mancato rispetto dei requisiti di protezione dei dati personali, dipenderà quindi dal fatto che le norme del GDPR debbano essere considerate come disposizioni imperative prevalenti, la cui violazione è contraria all'ordine pubblico nazionale.[lxxvi]

L'articolo 9 (1) del regolamento Roma I definisce le disposizioni imperative di base come disposizioni "il cui rispetto è considerato cruciale da un paese per la salvaguardia dei suoi interessi pubblici ... a tal punto che sono applicabili a qualsiasi situazione che rientra nel loro campo di applicazione, indipendentemente dalla legge altrimenti applicabile". Come Cervenka e Schwarz hanno riconosciuto in precedenza, la maggior parte delle norme del GDPR probabilmente possono essere considerate disposizioni obbligatorie prioritarie ai sensi del diritto dell'UE. Come tale, la loro violazione può essere considerata una violazione dell'ordine pubblico.[lxxvii]

La possibilità che il mancato rispetto degli obblighi di protezione dei dati personali possa portare all'annullamento o al non riconoscimento e alla non esecuzione di un lodo arbitrale solleva varie preoccupazioni. In primo luogo, bisognerebbe definire con precisione quali obblighi di protezione dei dati personali costituirebbero disposizioni obbligatorie prioritarie, poiché non tutte le violazioni hanno lo stesso peso. In definitiva, la Corte di giustizia europea sarà probabilmente chiamata a fornire ulteriori chiarimenti. In secondo luogo, dovrebbe essere preso in considerazione anche il potenziale abuso della possibilità di impugnare o contestare l'esecuzione di un lodo sulla base della violazione del GDPR, per evitare che le parti violino intenzionalmente le norme sulla protezione dei dati personali al fine di avere la possibilità di ricorrere contro il lodo in un momento successivo. Infine, si dovrebbe definire se le norme sulla protezione dei dati personali farebbero parte del diritto procedurale o sostanziale e in che modo.[lxxviii]

Anche se c'è molto da definire, le conseguenze del mancato rispetto dei requisiti di protezione dei dati personali sull'annullamento, così come il riconoscimento e l'esecuzione dei lodi arbitrali, dovrebbero essere affrontate. È molto interessante che nessuna menzione di questo si trovi all'interno della tabella di marcia.

Conclusione

La Roadmap ha lo scopo di aiutare i professionisti dell'arbitrato a identificare e comprendere gli obblighi di protezione dei dati personali e della privacy a cui possono essere soggetti in un contesto di arbitrato internazionale. Tuttavia, come discusso in precedenza, non affronta ancora alcune questioni specifiche che sono rilevanti e urgenti oggi. Le sei questioni identificate ed elaborate in questo documento sono:

• l'applicabilità del GDPR agli arbitrati tenuti al di fuori dell'UE;
• GDPR nel contesto degli arbitrati NAFTA;
• la questione delle udienze arbitrali virtuali;
• finanziatori terzi e il loro posto nella tabella di marcia;
• potenziale abuso del GDPR; e
• potenziale non conformità con il GDPR come un percorso per l'annullamento o il rifiuto del riconoscimento e dell'esecuzione del lodo arbitrale.

Ciascuna di queste questioni garantirà un'ulteriore riflessione, poiché si prevede che diventeranno sempre più rilevanti negli anni a venire. La speranza è che sia stato dimostrato che questi sono degni di essere inclusi nella tabella di marcia.

Gli allegati[lxxix] aggiunte alla Roadmap hanno lo scopo di aiutare i professionisti ad affrontare praticamente questi requisiti. L'aggiunta della Checklist per la protezione dei dati, la Checklist per la valutazione dell'interesse legittimo, gli esempi di avvisi sulla privacy e le clausole contrattuali standard dell'UE sono tutte risorse estremamente preziose e dovrebbero essere utilizzate dai professionisti per assicurarsi di essere conformi al GDPR.

Tuttavia, in una situazione di conflitto tra diverse giurisdizioni, le differenze tra le varie legislazioni nazionali relative alla protezione dei dati personali possono portare ad ambiguità. Anche se le linee guida fornite dalla Roadmap sono di ampia portata, non sono ancora vincolanti. In passato, l'UNCITRAL e l'IBA hanno cercato di fornire un'armonizzazione nell'arbitrato internazionale attraverso le loro regole, linee guida e simili; sebbene queste non siano vincolanti, sono certamente persuasive. Come l'UNCITRAL e l'IBA hanno tentato di fare con vari aspetti dell'arbitrato internazionale, c'è anche un estremo bisogno di armonizzazione nei requisiti di protezione dei dati personali riguardanti l'arbitrato; quindi, le linee guida necessarie dovrebbero essere messe in atto con l'armonizzazione in mente.

Mentre l'armonizzazione, la comprensione e la consapevolezza dei requisiti di conformità al GDPR e le sue implicazioni nel contesto dell'arbitrato internazionale rimangono carenti, noi come professionisti dell'arbitrato continueremo ad accontentarci del quadro giuridico attualmente in vigore. Tuttavia, nonostante i suoi difetti, la tabella di marcia presenta un passo molto necessario e incoraggiante nella direzione di una comprensione comune degli obblighi di protezione dei dati personali per i partecipanti all'arbitrato.

[i] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GU 2016 L 119/1.

[ii] I "dati personali" sono definiti nell'articolo 4 del GDPR come:

(1) "dati personali": qualsiasi informazione concernente una persona fisica identificata o identificabile ("persona interessata"); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi specifici relativi all'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica".

[iii] L'ambito territoriale del GDPR è definito nell'articolo 3 come segue:

1. Il presente regolamento si applica al trattamento dei dati personali nel contesto delle attività di uno stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell'Unione, indipendentemente dal fatto che il trattamento avvenga o meno nell'Unione.
2. Il presente regolamento si applica al trattamento dei dati personali degli interessati che si trovano nell'Unione da parte di un responsabile o di un incaricato del trattamento non stabilito nell'Unione, quando le attività di trattamento sono connesse a:

(a) l'offerta di beni o servizi, indipendentemente dal fatto che sia richiesto un pagamento della persona interessata, a tali persone nell'Unione; oppure

(b) il controllo del loro comportamento nella misura in cui il loro comportamento si svolge all'interno dell'Unione.

3. Il presente regolamento si applica al trattamento dei dati personali da parte di un responsabile del trattamento non stabilito nell'Unione, ma in un luogo in cui il diritto degli Stati membri si applica in virtù del diritto internazionale pubblico".

[iv] Vedere la definizione di "processore" nell'articolo 4 del GDPR.

[v] Art 83(4), GDPR.

[vi] "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22 gennaio 2019), vedi www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16 ottobre 2020), vedi www.bbc.com/news/technology-54568784.

[vii] 'ICCA-IBA Joint Task Force on Data Protection in International Arbitration' (ICCA), vedi www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, accesso 18 agosto 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, febbraio 2020), vedi https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, accesso 18 agosto 2021.

[ix] Ibidem, 1.

[x] Caso PCA n. 2018-54.

[xi] ICCA e New York City Bar e International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", vedi https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accesso 18 agosto 2021.

[xii] "Linee guida sulla cybersicurezza" (IBA, ottobre 2018), vedi www.ibanet.org/LPRU/Cybersecurity, consultato il 1° dicembre 2020.

[xiii] "ICC Guidance Note on Possible Measures Aim" (Camera di Commercio Internazionale, 9 aprile 2020) consultato il 18 agosto 2021.

[xiv] Tabella di marcia, sezione B.

[xv] Ibidem.

[xvi] Art 4, GDPR.

[xvii] Ibidem.

[xviii] Art 4, GDPR

[xix] Ibidem, art. 3(1).

[xx] Tabella di marcia, 7.

[xxi] Art 4, GDPR.

[xxii] La tabella di marcia definisce i "partecipanti all'arbitrato" come "comprendenti le parti, i loro consulenti legali, gli arbitri e le istituzioni arbitrali (soltanto)". Vedi Tabella di marcia (n. 3), 2.

[xxiii] Art 4, GDPR.

[xxiv] Cfr. sentenza del 29 luglio 2019, Fashion ID GmbH & Co KG contro Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punti 74, 85. Cfr. anche sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; sentenza del 10 luglio 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Tabella di marcia, 11

[xxvi] Ibidem, 12.

[xxvii] Art. 5 e 12-22, GDPR; Tabella di marcia 14-15.

[xxviii] Per esempio, secondo il GDPR, il trattamento dei dati personali nel contesto dell'arbitrato internazionale è lecito quando è necessario ai fini dei legittimi interessi del titolare del trattamento - fatte salve le limitazioni basate sugli interessi e i diritti fondamentali della persona interessata - e i dati sensibili possono essere trattati in base alla deroga sulle richieste legali (art. 9(2)(f)) nel contesto dell'arbitrato.

[xxix] Tabella di marcia, 19.

[xxx] Ibidem, 20-21.

[xxxi] Ibidem, 30-31.

[xxxii] Ibidem, 32.

[xxxiii] Ibidem, 33-36.

[xxxiv] Ibidem, 37-39.

[xxxv] Ibidem, 37.

[xxxvi] Ibidem, 39.

[xxxvii] Ibidem, 40-41.

[xxxviii] Ibidem, 42.

[xxxix] Ibidem, 43.

[xl] Art 5(1)(e), GDPR.

[xli] Tabella di marcia, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] La Commissione UE ha ritenuto che il paese fornisca un'adeguata protezione dei dati.

[xliv] Nel caso dell'arbitrato internazionale, si tratterebbe molto probabilmente di una clausola contrattuale standard.

[xlv] La deroga per le rivendicazioni legali, che permette i trasferimenti se "necessari per l'accertamento, l'esercizio o la difesa di rivendicazioni legali" è la più applicabile nel contesto arbitrale.

[xlvi] A causa dell'elevata soglia e dell'obbligo di notifica, il ricorso a interessi legittimi inderogabili ha poca rilevanza pratica. Cfr. EDPB, "Linee guida 2/2018 sulle deroghe dell'articolo 49 ai sensi del regolamento 2016/679", 6 febbraio 2018 (Guida al trasferimento dei dati).

[xlvii] Tabella di marcia, 8, 13.

[xlviii] Emily Hay, "Il braccio invisibile del GDPR nell'arbitrato internazionale: Can't We Make It Go Away? (Kluwer Arbitration Blog, 29 agosto 2019), vedi http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [consultato il 18 agosto 2021].

[xlix] Caso PCA n. 2018-54.

[l] Ibidem, Comunicazione del Tribunale alle parti (Perm Ct Arb, 2019).

[li] Tabella di marcia, 37.

[lii] ICCA e New York City Bar e International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), vedi https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accesso 18 agosto 2021.

[liii] "Linee guida sulla cybersicurezza" (IBA, ottobre 2018), vedi www.ibanet.org/LPRU/Cybersecurity, consultato il 1° dicembre 2020.

[liv] Andreas Respondek, Tasha Lim, "La task force ICCA/IBA sulla protezione dei dati dovrebbe affrontare l'impatto del GDPR sulle videoconferenze nei procedimenti arbitrali internazionali? (Kluwer Arbitration Blog, 18 luglio 2020), vedi http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, accesso 18 agosto 2021.

[lv] "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9 aprile 2020) consultato il 18 agosto 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Tabella di marcia, 2.

[lviii] Ibidem, 23-25.

[lix] Art 4(2), GDPR, vedi n 1 sopra.

[lx] Art 6(1)(f), GDPR.

[lxi] Allan J Arffa e altri, "GDPR Issues in International Arbitration" (Lexology, 10 agosto 2020), vedi www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, accesso 18 agosto 2021.

[lxii] Tabella di marcia, allegato 5.

[lxiii] Allan J Arffa e altri, "GDPR Issues in International Arbitration" (Lexology, 10 agosto 2020), vedi www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> consultato il 18 agosto 2021.

[lxiv] Tabella di marcia 40-41.

[lxv] Vedi, per esempio: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 febbraio 2020), vedi www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> consultato il 18 agosto 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, International Commercial Arbitration (2a edn, Kluwer Law International 2014), 2335.

[lxx] Ibidem. Born cita le seguenti sentenze per rafforzare questo argomento: Sentenza del 22 gennaio 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" contro Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "la decisione del tribunale arbitrale di ordinare la scoperta rientra nella sua discrezione procedurale e non può essere rivista dai tribunali"; Karaha Bodas Co contro Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Le richieste di divulgazione sono "ben all'interno del ragionevole esercizio della discrezione del Tribunale".

[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 dicembre 2019), vedi www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, accesso 18 agosto 2021.

[lxxii] Convenzione di New York, art. V(2): "Il riconoscimento e l'esecuzione di un lodo arbitrale possono anche essere rifiutati se l'autorità competente del paese in cui il riconoscimento e l'esecuzione sono richiesti ritiene che... b) Il riconoscimento o l'esecuzione del lodo sarebbe contrario all'ordine pubblico di quel paese".

[lxxiii] Segretario generale delle Nazioni Unite, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), articolo 34, paragrafo 6.

[lxxiv] Legge Modello UNCITRAL sull'Arbitrato Commerciale Internazionale, art. 34(2): "Un lodo arbitrale può essere annullato dal tribunale specificato nell'articolo 6 solo se...(b) il tribunale ritiene che... (ii) il lodo sia in conflitto con l'ordine pubblico di questo Stato".

[lxxv] Sentenza del 1° giugno 1999, Eco Swiss China Time Ltd contro Benetton International NV C-126/97, Racc. 1999, I-03055, punti. 39 e 41. Per una discussione dettagliata della politica pubblica dell'UE, si veda: Sacha Prechal e Natalya Shelkoplyas, "Procedure nazionali, politica pubblica e diritto comunitario. From Van Schijndel to Eco Swiss and Beyond' (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka e Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibidem.

[lxxviii] Per una discussione più dettagliata di queste e altre questioni, si veda: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" in José R Mata Dona e Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka e Schwarz, vedi n 76 sopra, 84-85.

[lxxix] The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, febbraio 2020), vedi https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, accesso 18 agosto 2021.

Questo articolo è stato pubblicato per la prima volta in Dispute Resolution International, Vol 15 No 2, ottobre 2021, ed è riprodotto per gentile concessione dell'International Bar Association, Londra, Regno Unito. © International Bar Association.