Idiomas

Choque de Titãs: RGPD e Arbitragem Internacional - um olhar sobre o futuro

Publicações: novembro 10, 2021

Voltar à visão geral

Autores

Catherine Raudaschl

Guias de especialistas relacionados

Introdução

Nos últimos anos, têm surgido questões sobre as implicações práticas da privacidade dos dados pessoais e da cibersegurança na condução efectiva de arbitragens internacionais - especialmente quando se tem em conta o ritmo constante da evolução tecnológica.

O Regulamento Geral sobre a Proteção de Dados (RGPD)[1] celebrou o seu segundo aniversário em maio de 2020. O quadro de proteção de dados pessoais do RGPD visa assegurar a livre circulação de dados pessoais de "pessoas singulares identificadas ou identificáveis"[2]. Aplica-se na União Europeia e tem um âmbito de aplicação extraterritorial que pode estender-se para fora da UE[3]; o RGPD pode afetar não só todas as pessoas singulares ou colectivas, mas também sujeita as autoridades públicas, agências e outros organismos - possivelmente incluindo organizações internacionais - a obrigações de proteção de dados pessoais[4].[4] As sanções do RGPD podem ascender a 4 por cento do volume de negócios anual a nível mundial da entidade infratora no exercício financeiro anterior ou a 20 milhões de euros, consoante o montante mais elevado. 5] A necessidade de levar a sério a sua aplicação já foi estabelecida através de multas de vários milhões de euros que foram impostas em várias jurisdições. 6]

Embora a aplicação das leis de proteção de dados pessoais à arbitragem esteja estabelecida, a forma como as leis devem ser aplicadas não está. Por esse motivo, o Conselho Internacional de Arbitragem Comercial (ICCA) e a International Bar Association (IBA) criaram, em fevereiro de 2019, um Grupo de Trabalho Conjunto sobre Proteção de Dados em Procedimentos de Arbitragem Internacional, com o objetivo de elaborar um guia que forneça orientações práticas sobre a proteção de dados pessoais na arbitragem internacional. O Grupo de Trabalho publicou um projeto de consulta deste guia em março de 2020[7]. O presente comentário basear-se-á neste projeto de roteiro (o Roteiro)[8], estando a versão final e revista do Roteiro prevista para ser publicada em setembro de 2021. Embora o prazo para comentários sobre o projeto de consulta tenha terminado no momento da redação do presente documento, a versão preliminar do Roteiro é, no entanto, ilustrativa das questões levantadas pelo RGPD em arbitragens internacionais. Por conseguinte, será utilizada como base de discussão.

A maioria das leis de proteção de dados pessoais é obrigatória em procedimentos de arbitragem, o que significa que prescrevem

  • que dados pessoais podem ser processados;
  • onde;
  • por que meios;
  • com que medidas de segurança da informação; e
  • durante quanto tempo[9].

Não abordam, no entanto, a forma como estas obrigações vinculativas devem ser cumpridas nos processos arbitrais. Na ausência de orientações específicas dos reguladores, o Roteiro destina-se a ajudar os profissionais da arbitragem a identificar e compreender as obrigações em matéria de proteção de dados pessoais e de privacidade a que podem estar sujeitos no contexto de uma arbitragem internacional. Além disso, a extensão da proteção do RGPD continua a ser relevante nos procedimentos de arbitragem internacional, principalmente se as leis do RGPD se aplicam a arbitragens com sede fora da UE. Existem várias outras implicações se o RGPD for aplicável à arbitragem: em primeiro lugar, se o tratamento de dados pessoais é proibido e, em segundo lugar, se existem restrições às transferências de dados pessoais para fora da UE. Por último, devido à crescente frequência de ciberataques, as consequências de um ataque a uma arbitragem podem acarretar danos significativos.

O presente artigo procura comentar o Roteiro e explorar medidas práticas que devem ser tidas em conta no que respeita às obrigações de proteção de dados pessoais em procedimentos de arbitragem internacional. Identifica o Roteiro como uma ferramenta promissora, embora incompleta, para complementar várias tentativas de soft law para harmonizar a arbitragem internacional até à data, nomeadamente os instrumentos da IBA e da Comissão das Nações Unidas para o Direito Comercial Internacional (UNCITRAL).

Em primeiro lugar, será apresentado um breve resumo do Roteiro, que inclui uma referência aos princípios do RGPD. Não se pretende que seja uma panorâmica exaustiva, mas sim que introduza os principais pontos do Roteiro para dar ao leitor o contexto para a discussão subsequente. Em segundo lugar, será apresentado um comentário que aborda seis questões pertinentes:

  • a aplicabilidade do RGPD a arbitragens realizadas fora da UE;
  • o RGPD no contexto das arbitragens do Acordo de Comércio Livre da América do Norte (NAFTA), como ilustrado no caso Tennant Energy, LLC v Government of Canada;[10]
  • a questão da videoconferência, cuja importância aumentou consideravelmente ao longo da pandemia de Covid-19, incluindo referências ao "Protocolo ICCA-NYC Bar-CPR sobre Cibersegurança na Arbitragem Internacional" (Protocolo de Cibersegurança)[11], às Diretrizes de Cibersegurança da IBA[12] e à Nota de Orientação da ICC sobre possíveis medidas destinadas a atenuar os efeitos da pandemia de COVID-19;[13]
  • "financiadores terceiros" e a forma como são tidos em conta no Roteiro;
  • abuso do RGPD, especialmente como escudo para a não divulgação; e
  • o potencial de utilização do incumprimento dos requisitos de proteção de dados pessoais como um caminho para a anulação ou recusa de reconhecimento e execução da sentença arbitral.

As considerações finais serão apresentadas na conclusão.

O roteiro

As pessoas singulares e colectivas estão sujeitas a obrigações de proteção dos dados pessoais dos titulares dos dados. A arbitragem em si não está sujeita a obrigações de proteção de dados pessoais. No entanto, se apenas um participante na arbitragem estiver sujeito a obrigações de proteção de dados pessoais, a arbitragem pode ser afetada como um todo. O facto de o tratamento de dados pessoais ser abrangido pelas leis pertinentes, o âmbito material e jurisdicional determinará se as leis de proteção de dados pessoais são aplicáveis[14].

As leis modernas de proteção de dados pessoais aplicam-se sempre que os dados pessoais de um titular de dados são processados durante as actividades abrangidas pelo âmbito jurisdicional das leis de proteção de dados pessoais relevantes[15]. Os dados pessoais incluem "qualquer informação relativa a uma pessoa singular identificada ou identificável"[16]. Durante os procedimentos arbitrais típicos, são trocadas porções substanciais de informação relativa, entre outros, às partes, aos seus advogados, ao tribunal e a terceiros. Como tal, são susceptíveis de serem consideradas abrangidas pela definição de "dados pessoais". As "pessoas em causa" referem-se às pessoas acima mencionadas que são identificadas ou identificáveis[17]. O tratamento inclui operações activas e passivas, abrangendo assim a utilização, a divulgação e o apagamento de dados pessoais, bem como a receção, a organização e o armazenamento de dados pessoais[18].[18] O âmbito de aplicação abrange acções sempre que os dados pessoais são tratados no contexto das actividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante na UE[19] e extraterritorialmente, como quando os dados pessoais são transferidos para fora da UE para entidades ou indivíduos que, por outras razões, não estão já sujeitos ao RGPD[20].

Os árbitros serão qualificados como responsáveis pelo tratamento de dados, o que significa que serão responsáveis pelo cumprimento das leis de proteção de dados pessoais. No entanto, com base na definição de "responsável pelo tratamento de dados",[21] a maioria dos participantes na arbitragem[22] será provavelmente considerada como tal, incluindo o advogado, as partes e a instituição. Os responsáveis pelo tratamento de dados podem delegar o tratamento de dados a subcontratantes[23], que estarão sob o seu controlo e exigirão acordos de tratamento de dados nos termos previstos na legislação aplicável. Assim, as secretárias, os transcritores, os tradutores e outros são susceptíveis de serem considerados subcontratantes. Há ainda a questão dos responsáveis conjuntos pelo tratamento que determinam conjuntamente as finalidades e os meios de tratamento dos dados. O controlo conjunto é interpretado em sentido lato, mas a responsabilidade do controlador conjunto limita-se apenas ao tratamento que o controlador determinou, à sua finalidade e meios e não ao tratamento global[24].

Nas arbitragens internacionais, as restrições às transferências de dados pessoais entre jurisdições são uma forma evidente de aplicação das leis de proteção de dados pessoais. Os antecedentes dos diferentes participantes na arbitragem determinarão a aplicação de diferentes regimes de proteção de dados pessoais. As leis modernas de proteção de dados pessoais restringem as transferências de dados pessoais para países terceiros para garantir que as obrigações legais não sejam contornadas pela transferência de dados pessoais para jurisdições com padrões inferiores de proteção de dados pessoais[25]. O RGPD permite transferências de dados pessoais de países terceiros se ocorrer uma das seguintes situações

  • o país foi considerado pela Comissão da UE como oferecendo uma proteção adequada dos dados pessoais;
  • se for aplicada uma das garantias expressamente enumeradas;
  • uma derrogação que permita transferências quando necessário para a declaração, o exercício ou a defesa de acções judiciais; ou
  • um interesse legítimo imperioso de uma parte[26].

Estas regras aplicam-se aos participantes na arbitragem e não à arbitragem no seu conjunto, obrigando assim a que cada participante na arbitragem considere quais as restrições à transferência de dados pessoais que lhe são aplicáveis.

Os princípios de proteção dos dados pessoais aplicáveis na arbitragem incluem o tratamento justo e lícito, a proporcionalidade, a minimização dos dados, a limitação das finalidades, os direitos das pessoas em causa, a exatidão, a segurança dos dados, a transparência e a responsabilidade[27].

Alguns destes princípios requerem comentários adicionais. O tratamento leal e lícito significa que os dados pessoais só devem ser tratados da forma que as pessoas em causa razoavelmente esperam e que deve existir uma base jurídica para o tratamento. Aplicando o princípio da equidade, a parte e o seu advogado devem interrogar-se se, no contexto de todos os factos, os indivíduos esperariam que os seus dados pessoais fossem tratados dessa forma, se isso terá consequências adversas para eles e se essas consequências são justificadas. Este princípio não impedirá que os dados pessoais encontrados em mensagens de correio eletrónico profissional sejam admitidos como prova.

A noção de tratamento lícito implica uma base jurídica baseada em factos e específica para cada caso. Em vez de se basear no consentimento, devem ser invocadas as bases jurídicas específicas previstas no RGPD[28].

A proporcionalidade exige que se considere a natureza, o âmbito, o contexto e as finalidades do tratamento em relação aos riscos para a pessoa em causa[29]. A minimização dos dados exige que os participantes na arbitragem limitem o tratamento a dados pessoais que sejam adequados, pertinentes e limitados ao necessário[ 30].[A transparência exige que os titulares dos dados sejam notificados do tratamento e da finalidade do tratamento dos dados pessoais através de avisos gerais, notificações específicas ou ambos[31]. A responsabilização está relacionada com a responsabilidade pessoal pela conformidade com a proteção de dados, o que significa que os participantes na arbitragem devem documentar todas as medidas de proteção de dados pessoais e as decisões tomadas para demonstrar a conformidade[32].

O cumprimento da proteção de dados pessoais afecta cada uma das fases do processo de arbitragem internacional, não só durante a arbitragem propriamente dita, mas também durante os preparativos. Desde o início, os participantes na arbitragem devem considerar quais as leis de proteção de dados pessoais que se aplicam a si próprios e a outros participantes na arbitragem, e quais os participantes na arbitragem que irão processar dados pessoais como responsáveis pelo tratamento, subcontratantes ou responsáveis conjuntos pelo tratamento. As regras de transferência de dados pessoais de países terceiros e os acordos de tratamento de dados pessoais relativos a terceiros prestadores de serviços também devem ser considerados. Durante o processo de recolha e análise de documentos, as partes e os seus consultores jurídicos necessitam de uma base legal para as actividades de tratamento e para as transferências de dados pessoais de países terceiros[33].

O pedido de arbitragem, bem como as alegações subsequentes, incluirão dados pessoais que se inserem diretamente no âmbito do tratamento. Se uma instituição arbitral estiver vinculada às leis de proteção de dados pessoais aplicáveis, deve considerar as potenciais obrigações de proteção de dados pessoais que se aplicam durante cada fase processual. Se uma instituição arbitral estiver sujeita ao RGPD, tornar-se-á normalmente um controlador de dados pessoais. Para cumprir os artigos 13.º e 14.º do RGPD, essa instituição deve incluir no seu aviso de privacidade informações relativas a medidas de segurança, ao exercício dos direitos dos titulares dos dados, à manutenção de registos e às políticas de violação e retenção de dados[34]. As organizações internacionais que administram arbitragens investidor-Estado podem, no entanto, ser excluídas do âmbito de aplicação das leis de proteção de dados pessoais devido a privilégios e imunidades no Estado constituinte ou num acordo do país de acolhimento. Devem, portanto, ser feitas considerações separadas neste caso, incluindo, nomeadamente, se a organização está vinculada por leis de proteção de dados pessoais e se - e em que medida - os participantes na arbitragem estariam abrangidos por privilégios e imunidades[35].

Durante a nomeação dos árbitros para um tribunal arbitral, são geralmente trocadas quantidades significativas de dados pessoais dos potenciais árbitros. Os participantes na arbitragem devem incluir a base jurídica para o tratamento destes dados pessoais nos seus avisos legais e notificar expressamente os árbitros que estão a ser considerados para nomeação do tratamento dos seus dados pessoais, especialmente no caso de transferências de dados pessoais de países terceiros[36].

Uma vez iniciada a arbitragem, as responsabilidades pela conformidade com a proteção dos dados pessoais devem ser atribuídas atempadamente para minimizar os riscos. A proteção de dados pessoais deve ser incluída na ordem de trabalhos da primeira conferência processual e os participantes na arbitragem devem tentar chegar a acordo sobre a forma de abordar o cumprimento da proteção de dados pessoais o mais cedo possível. As partes, os seus advogados e os árbitros devem considerar a celebração de um protocolo de proteção de dados pessoais para gerir eficazmente as questões de conformidade. Se tal não for possível, uma opção alternativa é o Tribunal incluí-lo na Ordem Processual Número Um[37].

No processo de produção e divulgação de documentos, o princípio da minimização dos dados pessoais é especialmente relevante. Nos termos do GDPR, isso provavelmente exigiria:

  • limitar os dados pessoais divulgados ao que é relevante e não duplicado;
  • identificar os dados pessoais contidos no material de resposta; e
  • a supressão ou pseudonimização de dados pessoais desnecessários.

Estas questões devem também ser consideradas numa fase inicial do processo, de preferência antes ou durante a primeira conferência processual[38].

Quando se trata de proferir sentenças, os árbitros e as instituições devem considerar a base e a necessidade de incluir dados pessoais nas sentenças. Se a arbitragem for confidencial, existe, no entanto, o risco de a sentença se tornar pública quando for executada. Mesmo que os dados pessoais sejam suprimidos, normalmente continuam a ser dados pessoais, uma vez que a pessoa em causa é identificável a partir do resto da sentença ou dos materiais conexos[39].

A conservação e o apagamento de dados são considerados tratamento ao abrigo do RGPD, que estabelece que os dados pessoais devem ser "conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais os dados pessoais são tratados"[40]. Os participantes na arbitragem têm de considerar qual o período de conservação de dados razoável e devem adotar uma abordagem proporcional para equilibrar as suas necessidades com o impacto da conservação de dados na pessoa em causa[41].

A aplicabilidade do RGPD a arbitragens realizadas fora da UE

O âmbito territorial do Regulamento Geral sobre a Proteção de Dados é relativamente amplo. Os profissionais devem estar cientes da sua aplicação, independentemente de estarem ou não localizados, ou de a arbitragem ter lugar, na UE. O RGPD aplica-se ao tratamento de dados pessoais por responsáveis pelo tratamento ou subcontratantes estabelecidos na UE, independentemente de o próprio tratamento ter lugar na UE (artigo 3.º, n.º 1). Além disso, quando se trata de oferecer bens ou serviços a cidadãos da UE ou de monitorizar comportamentos que ocorrem na UE, o RGPD aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento ou um subcontratante não estabelecido na UE (artigo 3.º, n.º 2).

Aplicado ao contexto arbitral, o RGPD impõe obrigações aos responsáveis pelo tratamento de dados e aos subcontratantes - árbitros, advogados, partes e instituições - que se inserem no seu âmbito material e territorial, e não diretamente ao procedimento arbitral. Mesmo que apenas um participante na arbitragem tenha uma ligação à UE, será obrigado a tratar os dados pessoais em conformidade com o RGPD. Podem surgir implicações para o processo no seu conjunto[42].

Talvez o mais notável no contexto da arbitragem internacional, onde a transferência de materiais de arbitragem contendo dados pessoais é comum, são as restrições impostas à transferência de dados pessoais para "países terceiros" fora do Espaço Económico Europeu (EEE). Neste cenário, é necessária uma de quatro bases legais para que as transferências de dados pessoais sejam permitidas. Em primeiro lugar, a transferência para um país terceiro é permitida se o país terceiro for objeto de uma decisão de adequação (artigo 45.º, n.º 1)[43]. Se não for esse o caso, deve ser aplicada, sempre que possível, uma das garantias adequadas (artigo 46.º, n.º 1)[44].[44] Se não existir uma decisão de adequação e se não for viável uma salvaguarda adequada, pode ser invocada uma derrogação específica (artigo 49.º, n.º 1)[45] Por último, na ausência do acima referido, uma parte pode invocar um interesse legítimo imperioso (artigo 49.º, n.º 1)[46] como base legal para uma transferência de dados pessoais de terceiros.

O Roteiro estabelece de forma bastante exaustiva as considerações necessárias que os participantes na arbitragem devem fazer. Sublinha em várias ocasiões que são os participantes na arbitragem, e não a arbitragem em si, a quem se aplicam os princípios de proteção de dados pessoais e as regras de transferência[47]. Em consonância com isto, a conclusão presumível é que um árbitro baseado na UE para uma arbitragem fora da UE que, de outra forma, não está sujeita ao RGPD, teria, no entanto, de cumprir os requisitos de tratamento e transferência de dados pessoais do RGPD. Isto é, de facto, geralmente aceite em procedimentos de arbitragem comercial[48], mas a situação não é tão clara quando se trata de arbitragem investidor-Estado.

O caso da Tennant Energy, LLC contra o Governo do Canadá

Em 2019, na arbitragem do Capítulo 11 do NAFTA Tennant Energy, LLC v Government of Canada (Tennant),[49] Tennant, o requerente, levantou a questão da aplicação do GDPR ao processo à luz da nacionalidade e domicílio de um dos membros do tribunal no Reino Unido. No entanto, o Tribunal emitiu instruções às partes declarando que "uma arbitragem ao abrigo do Capítulo 11 do NAFTA, um tratado em que nem a União Europeia nem os seus Estados-Membros são partes, não se enquadra, presumivelmente, no âmbito material do GDPR"[50].

É importante distinguir entre a arbitragem baseada em tratados e a arbitragem comercial, sendo que a Tennant se insere na primeira categoria. O Roteiro faz esta distinção, observando que as organizações internacionais podem ser excluídas do âmbito de aplicação das leis de proteção de dados pessoais[51]. Os membros do tribunal na arbitragem Tennant podem estar sujeitos a certas imunidades derivadas do Acordo de Sede do Tribunal Permanente de Arbitragem (PCA) com os Países Baixos. No entanto, o tribunal do NAFTA não considerou se, como organização internacional, o APC estaria sujeito às regras de transferência do RGPD ou se os membros do tribunal obteriam certas imunidades do acordo.

A direção Tennant levanta mais questões do que fornece respostas sobre a aplicabilidade do GDPR aos procedimentos da NAFTA e às arbitragens baseadas em tratados em geral, uma discussão matizada que está além do presente escopo. No entanto, a direção de Tennant, vista à luz do Roteiro, demonstra que este tópico permanece altamente incerto. É questionável, na melhor das hipóteses, se o Roteiro traz alguma clareza aos participantes arbitrais confrontados com tal questão, considerando especialmente que o Roteiro foi emitido após a direção Tennant ter sido proferida, mas não concedeu a esta última qualquer consideração.

A questão da videoconferência

O Roteiro reconhece a importância da segurança dos dados pessoais. No entanto, com a recente utilização de tecnologia adicional para facilitar as audiências virtuais, bem como o trabalho a partir de casa - principalmente alimentado pelas actuais circunstâncias que nos são impostas pela pandemia de Covid-19 - esta questão tem um peso adicional. O Protocolo sobre Cibersegurança[52] e as Diretrizes sobre Cibersegurança da IBA[53] lançaram alguma luz sobre esta questão.

Tal como o Roteiro, o Protocolo sobre Cibersegurança estabelece vários princípios subjacentes. Aplica-se o princípio da proporcionalidade, o Tribunal tem a autoridade e o poder discricionário para determinar as medidas de segurança em vigor e a segurança da informação é uma questão que deve ser discutida na primeira conferência de gestão do caso. O Anexo A do Protocolo sobre Cibersegurança fornece uma lista de verificação que as partes numa arbitragem podem utilizar para salvaguardar os procedimentos.

Na sequência da recente mudança nos padrões e ambientes de trabalho devido à pandemia de Covid-19, estas questões devem ter mais peso. Num mundo que tem sido pressionado a encontrar novas formas de conduzir os negócios e de se adaptar a tempos de incerteza, um dos problemas que o sector jurídico tem enfrentado é a questão das audiências combinada com as restrições e a necessidade de distanciamento social. Como tal, a popularidade da videoconferência e a utilização da mesma em procedimentos de arbitragem internacional é algo que o Roteiro deveria abordar, mas não o fez - ou, pelo menos, ainda não o fez.

Embora muitos tenham discutido e apontado as questões das audiências em vídeo, a maioria não abordou a forma como as leis de proteção de dados pessoais lhes devem ser aplicadas, não só no que diz respeito à proteção de dados pessoais, mas também à segurança, uma vez que algumas plataformas foram sujeitas a ataques de segurança[54].

Como já foi referido, é essencial compreender os diferentes papéis das partes envolvidas na arbitragem relativa ao RGPD, nomeadamente quem são os "responsáveis pelo tratamento de dados" e os "subcontratantes". Se o software de videoconferência estiver a processar quaisquer dados pessoais, como o nome de utilizador e o endereço de correio eletrónico da utilização do serviço por uma das partes, será considerado um "processador de dados". Isto significa que tem de cumprir as regras do RGPD se algum dos participantes estiver domiciliado na UE. Uma vez que o Tribunal é o "controlador de dados", será então da responsabilidade do Tribunal garantir essa conformidade.

A Câmara de Comércio Internacional (ICC) emitiu uma nota de orientação[55] que fornece às partes cláusulas sugeridas para protocolos de cibersegurança e audiências virtuais. Esta nota visa abordar o aspeto da segurança, mas não aborda o aspeto da proteção dos dados pessoais. O Roteiro deve discutir as possibilidades de aplicação da proteção de dados pessoais às audiências realizadas virtualmente e também a forma de as respeitar. Embora o RGPD especifique os requisitos que têm de ser cumpridos no que diz respeito à videoconferência, não dá orientações sobre a forma como os seus requisitos são diretamente aplicáveis.

Embora o Roteiro não forneça recomendações sobre fornecedores de software específicos, poderia compilar e fornecer aos profissionais uma lista das especificações necessárias de um software ideal para audiências de vídeo, tal como fornece listas de verificação sobre vários outros assuntos nos seus anexos.

Qual é o papel dos financiadores terceiros?

Entende-se por terceiro financiador qualquer entidade não participante no processo arbitral que celebre um acordo para financiar a totalidade ou parte dos custos do processo em troca de um montante total ou parcialmente dependente do resultado do processo[56]. Os terceiros financiadores têm acesso a vários dados pessoais nos processos arbitrais que estão a financiar ou que estão a considerar financiar. Embora o Roteiro se dirija expressamente apenas aos participantes na arbitragem, refere que as orientações são relevantes para os prestadores de serviços que também são afectados pelos requisitos de proteção de dados pessoais[57].

No Roteiro, os prestadores de serviços incluem "peritos em e-discovery, profissionais de tecnologias da informação, repórteres de tribunal, serviços de tradução, etc."[58], mas os financiadores terceiros não são explicitamente mencionados. Nos termos do RGPD, a recolha e o armazenamento de dados pessoais estão incluídos no tratamento. Assim, se os financiadores terceiros recolherem dados pessoais de terceiros, as leis relativas aos dados pessoais aplicar-se-ão também a eles[59].

O RGPD permite que uma parte trate dados pessoais se "o tratamento for necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro"[60], o que pode ser potencialmente citado pelos participantes na arbitragem como base jurídica aplicável para o tratamento de dados pessoais relevantes. As orientações sobre este tema são limitadas[61] e o Roteiro indica que:

O primeiro passo numa avaliação de interesse legítimo é identificar um interesse legítimo - qual é a finalidade do tratamento dos dados pessoais e porque é que é importante para si enquanto responsável pelo tratamento? No contexto da arbitragem, o interesse legítimo pode envolver a administração da justiça, assegurando que os direitos das partes são respeitados e a resolução rápida e justa dos litígios ao abrigo das regras de arbitragem aplicáveis, e muitos outros interesses também."[62]

A inclusão de "muitos outros interesses também" poderia possivelmente incluir o interesse monetário legítimo de terceiros financiadores. Se assim for, estes seriam então claramente obrigados a celebrar acordos de tratamento de dados com as partes no processo arbitral e seriam incluídos no âmbito dos regulamentos e requisitos de proteção de dados pessoais. É interessante notar que o Roteiro omite pormenores explícitos sobre a forma como os terceiros financiadores se enquadram neste contexto, especialmente tendo em conta o aumento da sua inclusão em procedimentos arbitrais.

Um escudo para a não divulgação

As obrigações de proteção de dados pessoais conduzem ao potencial de abuso. As partes arbitrais podem utilizar o RGPD como escudo de má fé para impedir a divulgação de informações relevantes para o processo ou solicitadas pela contraparte. Por exemplo, uma parte pode opor-se a um pedido de divulgação alegando que os documentos contêm dados pessoais não relacionados com o litígio, ou que a supressão de informações pessoais seria indevidamente onerosa[63].

O Roteiro aborda o potencial de abuso. Sugere que se levantem e clarifiquem as obrigações em matéria de proteção de dados pessoais o mais cedo possível para reduzir o risco de estas terem impacto nos processos. Os participantes devem considerar a possibilidade de celebrar um "protocolo de proteção de dados" - um acordo sobre a forma como a proteção dos dados pessoais será aplicada num determinado contexto. Em alternativa, se não for possível celebrar um protocolo de proteção de dados, estas questões devem ser abordadas no despacho processual número um[64].

A título de comparação, pode analisar-se a conformidade com o RGPD durante a descoberta de informações em litígios nos EUA. Os tribunais federais dos EUA têm utilizado testes de equilíbrio para decidir se devem ou não ordenar a divulgação ou o cumprimento de intimações ou ordens de descoberta que potencialmente violam estatutos estrangeiros, incluindo leis de proteção de dados pessoais.[65] Uma lista não exaustiva de factores analisados pelos tribunais federais dos EUA é

  • a importância dos documentos ou outras informações solicitadas para o litígio;
  • o grau de especificidade do pedido
  • se a informação teve origem nos EUA;
  • a disponibilidade de meios alternativos para obter as informações; e
  • a medida em que o incumprimento prejudicaria interesses importantes dos EUA[66].

Na maior parte das vezes, os tribunais federais exigem a divulgação apesar das potenciais violações das leis estrangeiras de proteção de dados pessoais[67].

Os árbitros enfrentam considerações diferentes das dos tribunais quando decidem se devem ordenar a divulgação por uma parte. É correto, como defendido na literatura,[68] que os tribunais devem estar cientes dos direitos e deveres concorrentes à luz da ameaça de anulação ou de recusa de execução ao abrigo da Convenção de 1958 sobre o Reconhecimento e a Execução de Sentenças Arbitrais Estrangeiras (Convenção de Nova Iorque). No entanto, este ponto de vista não tem em conta o facto de as ordens de divulgação estarem sujeitas a uma revisão mínima pelos tribunais estatais, dado o princípio da não interferência judicial[69]. Abundam os exemplos de tribunais estatais que se abstêm de proceder a uma revisão das ordens de divulgação[70].

Tendo em conta o poder discricionário atribuído aos tribunais em matéria processual, é pouco provável que a ameaça de anulação ou de recusa de execução seja uma consideração central. A inevitabilidade de as partes tentarem abusar das obrigações do RGPD para obterem uma potencial vantagem processual colocará os tribunais em posições difíceis de equilibrar os interesses da pessoa em causa, por um lado, e de manter um processo probatório sólido, por outro.[71] A clarificação das obrigações de conformidade em matéria de proteção de dados pessoais no início do processo - de preferência num protocolo de proteção de dados assinado - em conformidade com as recomendações do Roteiro parece ser um passo prévio para verificar este comportamento.

O incumprimento dos requisitos de proteção de dados pessoais como via para a anulação e a recusa de reconhecimento e execução

O Roteiro não aborda a questão de saber se o incumprimento dos requisitos de proteção de dados pessoais pode ser utilizado para anular uma decisão arbitral ou para recusar o seu reconhecimento e execução. As partes têm meios muito limitados de recurso contra as sentenças. No entanto, uma parte vencida pode querer contestar o seu resultado e utilizar um dos principais fundamentos comuns para contestar a sentença ou para impedir o seu reconhecimento ou execução.

A Convenção de Nova Iorque conta atualmente com 168 Estados contratantes, o que a torna a principal base jurídica para o reconhecimento e a execução de sentenças estrangeiras em arbitragens comerciais internacionais. A Convenção prevê, no seu artigo V, motivos limitados para recusar o reconhecimento e a execução de uma sentença arbitral. Mais especialmente para os presentes efeitos, o artigo V(2)(b) reconhece a possibilidade de a autoridade competente de um Estado signatário recusar o reconhecimento ou a execução de uma sentença que viole a ordem pública[72].

Os fundamentos pelos quais uma sentença arbitral pode ser anulada variam consoante as jurisdições. A Lei Modelo da UNCITRAL sobre Arbitragem Comercial Internacional, que tem sido amplamente adoptada, estabelece uma lista de fundamentos para a anulação no n.º 2 do artigo 34. Esta lista foi estreitamente inspirada no artigo V da Convenção de Nova Iorque[73]. O artigo 34.º, n.º 2, alínea b), subalínea ii), estabelece que uma decisão arbitral pode ser anulada pelo tribunal se a decisão for contrária à ordem pública do Estado[74].

O Tribunal de Justiça das Comunidades Europeias (TJCE) decidiu, no processo Eco Swiss contra Benetton, que as disposições imperativas do direito da UE podem constituir normas fundamentais de ordem pública, cuja violação pode constituir um fundamento para a anulação de uma decisão arbitral baseada em tal fundamento no direito nacional[75]. A possibilidade de anular uma decisão arbitral, ou de recusar o seu reconhecimento ou execução, devido ao incumprimento dos requisitos de proteção de dados pessoais dependerá, por conseguinte, da questão de saber se as normas do RGPD devem ser consideradas disposições imperativas, cuja violação é contrária à ordem pública nacional[76].

O artigo 9.º, n.º 1, do Regulamento Roma I define disposições imperativas como disposições "cujo respeito é considerado crucial por um país para salvaguardar os seus interesses públicos (...) de tal forma que são aplicáveis a qualquer situação abrangida pelo seu âmbito de aplicação, independentemente da lei aplicável de outro modo". Tal como Cervenka e Schwarz reconheceram anteriormente, a maior parte das regras do RGPD podem ser consideradas disposições imperativas de acordo com a legislação da UE. Como tal, a sua violação pode ser considerada uma violação da ordem pública[77].

A possibilidade de o incumprimento dos requisitos de proteção de dados pessoais poder levar à anulação ou ao não reconhecimento e não execução de uma decisão arbitral suscita várias preocupações. Em primeiro lugar, deve ser definido com precisão quais as obrigações em matéria de proteção de dados pessoais que constituiriam disposições imperativas, uma vez que nem todas as violações têm o mesmo peso. Em última análise, o TJCE será provavelmente chamado a prestar mais esclarecimentos. Em segundo lugar, deve também ser tido em conta o potencial abuso da possibilidade de impugnar ou contestar a execução de uma sentença com base na violação do RGPD, a fim de evitar que as partes violem intencionalmente as regras de proteção de dados pessoais para terem a possibilidade de recorrer da sentença posteriormente. Por último, deve ser definido se os regulamentos de proteção de dados pessoais farão parte do direito processual ou substantivo e de que forma[78].

Embora haja muito por definir, devem ser abordadas as consequências do incumprimento dos requisitos em matéria de proteção dos dados pessoais para a anulação, bem como para o reconhecimento e a execução das decisões arbitrais. É muito interessante o facto de não se encontrar qualquer referência a este aspeto no Roteiro.

Conclusão

O Roteiro destina-se a ajudar os profissionais da arbitragem a identificar e compreender as obrigações em matéria de proteção de dados pessoais e de privacidade a que podem estar sujeitos num contexto de arbitragem internacional. No entanto, como já foi referido, ainda não aborda algumas questões específicas que são relevantes e prementes atualmente. As seis questões identificadas e desenvolvidas no presente documento são

  • a aplicabilidade do RGPD a arbitragens realizadas fora da UE;
  • O RGPD no contexto das arbitragens NAFTA;
  • a questão das audiências de arbitragem virtuais;
  • financiadores terceiros e o seu lugar no Roteiro;
  • potenciais abusos do RGPD; e
  • potencial incumprimento do RGPD como via para a anulação ou recusa de reconhecimento e execução da sentença arbitral.

Cada uma destas questões merecerá uma reflexão mais aprofundada, uma vez que se prevê que venham a tornar-se mais relevantes nos próximos anos. A esperança é que se tenha demonstrado que merecem ser incluídas no roteiro.

Os anexos[79] acrescentados ao Roteiro destinam-se a ajudar os profissionais a lidar com estes requisitos de forma prática. A adição da lista de verificação da proteção de dados, a lista de verificação da avaliação do interesse legítimo, os exemplos de avisos de privacidade e as cláusulas contratuais-tipo da UE são recursos extremamente valiosos e devem ser utilizados pelos profissionais para garantir a conformidade com o RGPD.

No entanto, numa situação de conflito entre jurisdições diferentes, as diferenças entre as várias legislações nacionais relativas à proteção de dados pessoais podem dar origem a ambiguidades. Embora as diretrizes fornecidas pelo Roteiro sejam abrangentes, ainda não são vinculativas. No passado, a UNCITRAL e a IBA inclinaram-se para uma harmonização na arbitragem internacional através das suas regras, diretrizes e similares; embora não sejam vinculativas, são certamente persuasivas. Tal como a UNCITRAL e a IBA tentaram fazer em relação a vários aspectos da arbitragem internacional, existe também uma necessidade urgente de harmonização dos requisitos de proteção de dados pessoais no que diz respeito à arbitragem; assim, as diretrizes necessárias devem ser postas em prática com a harmonização em mente.

Enquanto a harmonização, a compreensão e a sensibilização para os requisitos de conformidade do RGPD e as suas implicações no contexto da arbitragem internacional continuarem a faltar, nós, como profissionais da arbitragem, continuaremos a contentar-nos com o quadro legal atualmente em vigor. No entanto, apesar das suas falhas, o Roteiro apresenta um passo muito necessário e encorajador na direção de um entendimento comum das obrigações de proteção de dados pessoais para os participantes arbitrais.

Recursos

  1. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), JO L 119/1.
  2. Os "dados pessoais" são definidos no artigo 4.º do RGPD como (1) "Dados pessoais", qualquer informação relativa a uma pessoa singular identificada ou identificável ("titular dos dados"); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
  3. O âmbito territorial do RGPD é definido no artigo 3:
    1. "O presente regulamento aplica-se ao tratamento de dados pessoais no contexto das actividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante na União, independentemente de o tratamento ter ou não lugar na União.

    2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados que se encontrem na União por um responsável pelo tratamento ou um subcontratante não estabelecido na União, sempre que as actividades de tratamento estejam relacionadas com

      (a) A oferta de bens ou serviços, independentemente de ser necessário um pagamento do titular dos dados, a esses titulares de dados na União; ou

      (b) o controlo do seu comportamento, na medida em que esse comportamento tenha lugar na União.

    3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento não estabelecido na União, mas num local onde a legislação de um Estado-Membro é aplicável por força do direito internacional público".
  4. Ver a definição de "subcontratante" no artigo 4.º do RGPD.
  5. Artigo 83.º, n.º 4, do RGPD.
  6. "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22 de janeiro de 2019), ver www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16 de outubro de 2020), ver www.bbc.com/news/technology-54568784.
  7. "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), ver www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, acedido em 18 de agosto de 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, fevereiro de 2020), ver https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, acedido em 18 de agosto de 2021.
  9. Ibid, 1.
  10. Processo APC n.º 2018-54.
  11. ICCA e New York City Bar e International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", ver https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, acedido em 18 de agosto de 2021.
  12. "Cybersecurity Guidelines" (IBA, outubro de 2018), ver www.ibanet.org/LPRU/Cybersecurity, acedido em 1 de dezembro de 2020.
  13. "ICC Guidance Note on Possible Measures Aim" (Câmara de Comércio Internacional, 9 de abril de 2020), acedido em 18 de agosto de 2021.
  14. Roteiro, Secção B.
  15. Ibid.
  16. Artigo 4.º do RGPD.
  17. Ibid.
  18. Artigo 4.º do RGPD
  19. Ibid, artigo 3.º, n.º 1.
  20. Roteiro, 7.
  21. Artigo 4.º do RGPD.
  22. O Roteiro define "participantes na arbitragem" como "incluindo as partes, os seus consultores jurídicos, os árbitros e as instituições arbitrais (apenas)". Ver Roteiro (n 3), 2.
  23. Art. 4.º do RGPD.
  24. Ver Acórdão de 29 de julho de 2019, Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, parágrafos 74, 85. Ver também o acórdão de 5 de junho de 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; acórdão de 10 de julho de 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Roteiro, 11
  26. Ibid, 12.
  27. Artigos 5.º e 12.º-22.º do RGPD; Roteiro 14-15.
  28. Por exemplo, nos termos do RGPD, o tratamento de dados pessoais no contexto da arbitragem internacional é lícito quando é necessário para efeitos dos interesses legítimos do responsável pelo tratamento de dados - sujeito a limitações baseadas nos interesses e direitos fundamentais do titular dos dados - e os dados sensíveis podem ser tratados ao abrigo da derrogação relativa a acções judiciais (artigo 9.º, n.º 2, alínea f)) no contexto da arbitragem.
  29. Roteiro, 19.
  30. Ibid, 20-21.
  31. Ibid, 30-31.
  32. Ibidem, 32.
  33. Ibid, 33-36.
  34. Ibid, 37-39.
  35. Ibid, 37.
  36. Ibid, 39.
  37. Ibid, 40-41.
  38. Ibid, 42.
  39. Ibid, 43.
  40. Artigo 5.º, n.º 1, alínea e), do RGPD.
  41. Roteiro, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 de agosto de 2019), ver http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, acedido em 18 de agosto de 2021.
  43. A Comissão da UE considerou que o país oferece uma proteção de dados adequada.
  44. No caso da arbitragem internacional, esta seria muito provavelmente uma cláusula contratual padrão.
  45. A derrogação relativa a acções judiciais, que permite transferências quando "necessárias para a declaração, o exercício ou a defesa de acções judiciais", é a mais aplicável no contexto arbitral.
  46. Devido ao seu elevado limiar e ao requisito de notificação, o recurso a interesses legítimos imperiosos tem pouca relevância prática. Ver EDPB, "Orientações 2/2018 sobre as derrogações do artigo 49.º ao abrigo do Regulamento 2016/679", 6 de fevereiro de 2018 (Orientações sobre a transferência de dados).
  47. Roteiro, 8, 13.
  48. Emily Hay, "O braço invisível do RGPD na arbitragem de tratados internacionais: Can't We Make It Go Away?" (Blogue de Arbitragem da Kluwer, 29 de agosto de 2019), ver http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [acedido em 18 de agosto de 2021].
  49. Processo APC n.º 2018-54.
  50. Ibid, Comunicação do Tribunal às Partes (Perm Ct Arb, 2019).
  51. Roteiro, 37.
  52. ICCA e New York City Bar e International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), ver https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, acedido em 18 de agosto de 2021.
  53. "Cybersecurity Guidelines" (IBA, outubro de 2018), ver www.ibanet.org/LPRU/Cybersecurity, acedido em 1 de dezembro de 2020.
  54. Andreas Respondek, Tasha Lim, 'Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?' (Kluwer Arbitration Blog, 18 de julho de 2020), ver http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, acedido em 18 de agosto de 2021.
  55. "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9 de abril de 2020), acedido em 18 de agosto de 2021.
  56. 'Third-Party Funding in International Arbitration: The ICCA-QMUL report", (ICCA, maio de 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, acedido em 18 de agosto de 2018.
  57. Roteiro, 2.
  58. Ibid, 23-25.
  59. Art. 4.º, n.º 2, do RGPD, ver n.º 1 supra.
  60. Artigo 6.º, n.º 1, alínea f), do RGPD.
  61. Allan J Arffa e outros, "GDPR Issues in International Arbitration" (Lexology, 10 de agosto de 2020), ver www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, acedido em 18 de agosto de 2021.
  62. Roteiro, Anexo 5.
  63. Allan J Arffa e outros, "GDPR Issues in International Arbitration" (Lexology, 10 de agosto de 2020), ver www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, acedido em 18 de agosto de 2021.
  64. Roteiro 40-41.
  65. Ver, por exemplo: David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.
  66. Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6 de fevereiro de 2020), ver www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration acedido em 18 de agosto de 2021.
  68. David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, Arbitragem Comercial Internacional (2ª ed., Kluwer Law International 2014), 2335.
  70. Ibid. Born cita os seguintes acórdãos para reforçar este argumento: Acórdão de 22 de janeiro de 2004, Société Nat'l Cie for Fishing & Marketing 'Nafimco' v Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel de Paris): a decisão do tribunal arbitral de ordenar a divulgação é da sua competência processual e não pode ser revista pelos tribunais"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Os pedidos de divulgação estão "bem dentro do exercício razoável do poder discricionário do Tribunal".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 de dezembro de 2019), ver www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, acedido em 18 de agosto de 2021.
  72. Convenção de Nova Iorque, Art. V(2): "O reconhecimento e a execução de uma sentença arbitral também podem ser recusados se a autoridade competente do país onde o reconhecimento e a execução são solicitados considerar que... (b) O reconhecimento ou a execução da sentença seria contrário à ordem pública desse país.
  73. Secretário-Geral das Nações Unidas, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), artigo 34º, nº 6.
  74. Lei Modelo da UNCITRAL sobre Arbitragem Comercial Internacional, Art. 34(2): Uma decisão arbitral só pode ser anulada pelo tribunal especificado no artigo 6.º se...(b) o tribunal considerar que... (ii) a decisão está em conflito com a ordem pública desse Estado".
  75. Acórdão de 1 de junho de 1999, Eco Swiss China Time Ltd contra Benetton International NV C-126/97 [1999] Coletânea de Jurisprudência I-03055, parágrafos. 39 e 41. Para uma discussão pormenorizada da política pública da UE, ver: Sacha Prechal e Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka e Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. Para uma discussão mais pormenorizada sobre estas e outras questões, ver: Alexander Blumrosen, 'The Allocation of GDPR Compliance in Arbitration' em José R Mata Dona e Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka e Schwarz, ver n 76 acima, 84-85.
  79. 'The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, fevereiro de 2020), ver https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, acedido em 18 de agosto de 2021.

Este artigo foi publicado pela primeira vez em Dispute Resolution International, Vol 15 No 2, outubro de 2021, e é reproduzido com a gentil permissão da International Bar Association, Londres, Reino Unido. © International Bar Association.

Voltar à visão geral