Clash of the Titans: GDPR e a Arbitragem Internacional - Um Olhar para o Futuro
Autor: Neva Cirkveni e Por Neuburger
Introdução
Nos últimos anos, têm-se levantado questões sobre as implicações práticas da privacidade dos dados pessoais e da segurança informática na condução real das arbitragens internacionais - especialmente quando se tem em conta o ritmo constante das mudanças tecnológicas.
O Regulamento Geral de Protecção de Dados (GDPR)[i] comemorou seu segundo aniversário em maio de 2020. O quadro de protecção de dados pessoais da GDPR visa assegurar a livre circulação de dados pessoais da(s) "pessoa(s) singular(es) identificada(s) ou identificável(is)".[ii] Aplica-se dentro da União Europeia e tem um âmbito extra-territorial que se pode estender para fora da UE;[iii] A GDPR pode afectar não só todas as pessoas singulares ou colectivas, mas também sujeitar as autoridades públicas, agências e outros organismos - possivelmente incluindo organizações internacionais - às obrigações de protecção de dados pessoais.[iv] As sanções da GDPR podem ascender a 4% do volume de negócios anual da entidade infractora a nível mundial do ano financeiro anterior ou a 20 milhões de euros, o que for mais elevado.[v] A necessidade de levar a sério a sua aplicação já foi estabelecida através de multas de vários milhões de euros que foram impostas em várias jurisdições.[vi]
Embora seja estabelecida a aplicação das leis de protecção de dados pessoais à arbitragem, a forma como as leis devem ser aplicadas não o é. Por esse motivo, o Conselho Internacional de Arbitragem Comercial (ICCA) e a International Bar Association (IBA) estabeleceram em fevereiro de 2019 uma Força Tarefa Conjunta de Proteção de Dados em Processo de Arbitragem Internacional, com o objetivo de produzir um guia que forneça orientação prática para a proteção de dados pessoais em arbitragem internacional. A Task Force publicou um esboço de consulta deste guia em Março de 2020.[vii] O presente comentário será baseado neste esboço de roteiro (o Roteiro),[viii] com a versão final e revista do Roteiro, que deverá ser publicada em Setembro de 2021. Embora o prazo para comentários sobre o projecto de consulta tenha passado no momento da redacção, a versão preliminar do Roteiro é, no entanto, ilustrativa das questões levantadas pela GDPR nas arbitragens internacionais. Será, portanto, utilizada como base de discussão.
A maioria das leis de protecção de dados pessoais são obrigatórias nos procedimentos de arbitragem, o que significa que prescrevem:
- que dados pessoais podem ser processados;
- onde;
- por que meios;
- com que medidas de segurança da informação; e
- por quanto tempo.[ix]
Eles não abordam, no entanto, como essas obrigações vinculativas devem ser cumpridas nos procedimentos arbitrais. Na ausência de orientações específicas dos reguladores, o Roteiro pretende ajudar os profissionais de arbitragem a identificar e compreender as obrigações de protecção de dados pessoais e de privacidade a que podem estar sujeitos no contexto de uma arbitragem internacional. Além disso, a extensão da protecção da GDPR continua a ser relevante nos procedimentos de arbitragem internacional, principalmente se as leis da GDPR se aplicam a arbitragens realizadas fora da UE. Existem várias outras implicações se a GDPR se aplicar à arbitragem: em primeiro lugar, se o processamento de dados pessoais é proibido e, em segundo lugar, se existem restrições às transferências de dados pessoais para fora da UE. Finalmente, devido à crescente frequência dos ciberataques, as consequências de um tal ataque a uma arbitragem poderão acarretar danos significativos.
Este artigo procura fornecer comentários sobre o Roteiro e explorar medidas práticas que devem ser tomadas em consideração em relação às obrigações de protecção de dados pessoais nos procedimentos de arbitragem internacional. Ele identifica o Roteiro como uma ferramenta promissora, embora incompleta, para complementar várias tentativas de harmonização da arbitragem internacional até o momento, principalmente instrumentos da IBA e da Comissão das Nações Unidas para o Direito Comercial Internacional (UNCITRAL).
Em primeiro lugar, será apresentado um breve resumo do Roteiro que inclui uma referência aos princípios do GDPR. Isto não pretende ser uma visão abrangente, mas sim introduzir os pontos principais do Roteiro para dar ao leitor um contexto para a discussão subsequente. Em segundo lugar, será fornecido um comentário que toca em seis questões pertinentes:
- a aplicabilidade do GDPR às arbitragens realizadas fora da UE;
- GDPR no contexto das arbitragens do Acordo de Livre Comércio Norte-Americano (NAFTA), como ilustrado em Tennant Energy, LLC v Governo do Canadá;[x]
- a questão da videoconferência, que tem aumentado muito de importância em toda a pandemia de Covid-19, incluindo referências ao "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration" (Protocolo ICCA-NYC Bar-CPR sobre Segurança Cibernética em Arbitragem Internacional)[xi] as Diretrizes de Segurança Cibernética da IBA[xii] e a ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic (Nota de Orientação da ICC sobre Medidas Possíveis para Atenuar os Efeitos da Pandemia da COVID-19);[xiii]
- de terceiros" e como eles são levados em conta no Roteiro;
- abuso do GDPR, especialmente como escudo para a não divulgação; e
- a possibilidade de utilizar o incumprimento dos requisitos de protecção de dados pessoais como via para a anulação ou recusa do reconhecimento e execução da sentença arbitral.
As considerações finais serão fornecidas na conclusão.
O Roteiro
As pessoas físicas e jurídicas estão sujeitas a obrigações para proteger os dados pessoais dos sujeitos dos dados. A arbitragem em si não está sujeita a obrigações de protecção de dados pessoais. No entanto, se apenas um participante da arbitragem estiver sujeito a obrigações de proteção de dados pessoais, a arbitragem pode ser afetada como um todo. Se o processamento de dados pessoais se enquadra nas leis relevantes, o âmbito material e jurisdicional determinará se as leis de proteção de dados pessoais são aplicáveis.[xiv]
As modernas leis de protecção de dados pessoais aplicam-se sempre que os dados pessoais sobre um indivíduo são processados durante as actividades abrangidas pelas leis de protecção de dados pessoais relevantes no âmbito jurisdicional.[xv] Os dados pessoais incluem "qualquer informação relativa a uma pessoa singular identificada ou identificável".[xvi] Durante os procedimentos típicos de arbitragem, são trocadas partes substanciais de informações relativas, entre outras coisas, às partes, aos seus advogados, ao tribunal e a terceiros. Como tal, é provável que sejam consideradas como qualificadas sob a definição de "dados pessoais". Os "sujeitos dos dados" referem-se às pessoas acima mencionadas que são identificadas ou identificáveis.[xvii] O processamento inclui operações activas e passivas, abrangendo assim a utilização, divulgação e eliminação de dados pessoais, bem como a recepção, organização e armazenamento de dados pessoais.[xviii] O âmbito de aplicação abrange acções sempre que os dados pessoais são tratados no contexto das actividades de um estabelecimento de um responsável pelo tratamento ou de um processador na UE[xix] e extraterritoriamente, como quando os dados pessoais são transferidos para fora da UE para entidades ou indivíduos que não estão, por outras razões, já sujeitos ao GDPR.[xx]
Os árbitros serão qualificados como controladores de dados, o que significa que serão responsáveis pelo cumprimento das leis de protecção de dados pessoais. No entanto, com base na definição de "responsável pelo tratamento de dados";[xxi] participantes mais arbitrais[xxii] são susceptíveis de ser considerados como tal, incluindo o advogado, as partes, e a instituição. Os controladores de dados podem delegar o processamento de dados aos processadores de dados,[xxiii] que estarão sob seu controle e exigirão acordos de processamento de dados nos termos prescritos pela lei aplicável. Assim, os secretários, transcriptores, tradutores e outros são todos susceptíveis de serem considerados processadores de dados. Há ainda a questão dos co-responsáveis pelo tratamento de dados que determinam em conjunto os objectivos e os meios de tratamento de dados. O co-controle é interpretado de forma ampla, mas a responsabilidade do co-controlador é limitada apenas ao processamento que o controlador determinou, à sua finalidade e meios e não ao processamento global.[xxiv]
Nas arbitragens internacionais, as restrições às transferências de dados pessoais entre jurisdições são uma forma evidente de aplicação das leis de proteção de dados pessoais. Os antecedentes dos diferentes participantes da arbitragem determinarão a aplicação de diferentes regimes de proteção de dados pessoais. As modernas leis de proteção de dados pessoais restringem as transferências de dados pessoais a países terceiros para assegurar que as obrigações legais não sejam contornadas pela transferência de dados pessoais para jurisdições com padrões mais baixos de proteção de dados pessoais.[xxv] O GDPR permite transferências de dados pessoais de países terceiros se ocorrer uma das seguintes situações:
- o país foi considerado pela Comissão da UE como proporcionando uma protecção de dados pessoais adequada;
- uma das salvaguardas expressamente listadas é posta em prática;
- uma derrogação que permita transferências quando necessário para o estabelecimento, exercício ou defesa de acções judiciais; ou
- o interesse legítimo de uma parte.[xxvi]
Estas regras se aplicam aos participantes arbitrais e não à arbitragem como um todo, mandatando assim que cada participante arbitral considere quais restrições de transferência de dados pessoais se aplicam a eles.
Os princípios de protecção de dados pessoais aplicáveis na arbitragem incluem o tratamento justo e lícito, proporcionalidade, minimização de dados, limitação da finalidade, direitos do sujeito dos dados, exactidão, segurança dos dados, transparência e responsabilidade.[xxvii]
Alguns destes princípios requerem mais comentários. Um tratamento justo e lícito significa que os dados pessoais só devem ser tratados de forma que as pessoas em causa possam razoavelmente esperar e que deve haver uma base legal para o tratamento. Aplicando o princípio da lealdade, a parte e seu advogado devem se perguntar se, no contexto de todos os fatos, as pessoas teriam esperado que seus dados pessoais fossem processados de tal forma, se isso terá conseqüências adversas sobre elas e se essas conseqüências são justificadas. Este princípio não impedirá que dados pessoais encontrados em e-mails comerciais sejam admitidos como prova.
A noção de processamento legal implica uma base legal que é orientada para os factos e específica para cada caso. Em vez de confiar no consentimento, devem ser invocadas bases legais específicas na GDPR.[xxviii]
A proporcionalidade requer uma consideração da natureza, âmbito, contexto e finalidades do processamento em relação aos riscos colocados à pessoa em causa.[xxix] A minimização de dados requer que os participantes arbitrais limitem o processamento a dados pessoais que sejam adequados, relevantes e limitados ao que é necessário.[xxx] A transparência exige que os sujeitos dos dados sejam notificados sobre o tratamento e a finalidade do tratamento dos dados pessoais através de avisos gerais, notificações específicas ou ambos.[xxxi] A prestação de contas refere-se à responsabilidade pessoal pela conformidade da protecção de dados, o que significa que os participantes arbitrais devem documentar todas as medidas de protecção de dados pessoais e as decisões tomadas para demonstrar a conformidade.[xxxii]
O cumprimento da protecção de dados pessoais afecta as etapas individuais dos procedimentos de arbitragem internacional, não só durante a própria arbitragem, mas também durante os preparativos. Desde o início, os participantes arbitrais devem considerar que leis de proteção de dados pessoais se aplicam a si mesmos e a outros participantes arbitrais, e que participantes arbitrais estarão processando dados pessoais como controladores, processadores ou co-responsáveis. Também devem ser consideradas as regras de transferência de dados pessoais de terceiros países e os acordos de processamento de dados pessoais relativos a prestadores de serviços de terceiros. Durante o processo de coleta e revisão de documentos, as partes e seus consultores legais precisam de uma base legal para as atividades de processamento e transferências de dados pessoais de terceiros países.[xxxiii]
O pedido de arbitragem, bem como os pedidos subsequentes, incluirão dados pessoais que se enquadram perfeitamente no âmbito do processamento. Se uma instituição arbitral estiver vinculada pelas leis de proteção de dados pessoais aplicáveis, ela precisa considerar as possíveis obrigações de proteção de dados pessoais que se aplicam durante cada etapa processual. Se uma instituição arbitral estiver sujeita à GDPR, ela normalmente se tornará um controlador de dados pessoais. Para cumprir os artigos 13 e 14 da GDPR, tal instituição deve incluir informações relativas às medidas de segurança, ao exercício dos direitos das pessoas em causa, à manutenção de registos e às políticas de violação e retenção de dados no seu aviso de privacidade.[xxxiv] Organizações internacionais que administram arbitragens investidor-estado, no entanto, podem ser excluídas do âmbito das leis de proteção de dados pessoais devido a privilégios e imunidades no Estado constituinte ou em um acordo do país anfitrião. Portanto, considerações separadas devem ser feitas aqui, incluindo, inter alia, se a organização está vinculada pelas leis de proteção de dados pessoais e se - e até que ponto - os participantes da arbitragem estariam cobertos por privilégios e imunidades.[xxxv]
Durante a nomeação de árbitros para um tribunal arbitral, geralmente são trocadas quantidades significativas de dados pessoais de potenciais árbitros. Os participantes dos árbitros devem incluir a base legal para o processamento desses dados pessoais em suas notificações legais e notificar expressamente os árbitros que estão sendo considerados para a nomeação do processamento de seus dados pessoais, especialmente no caso de transferências de dados pessoais de países terceiros.[xxxvi]
Uma vez que a arbitragem esteja em curso, as responsabilidades de conformidade com a protecção de dados pessoais devem ser atribuídas antecipadamente para minimizar os riscos. A proteção de dados pessoais deve ser incluída na agenda da primeira conferência processual, e os participantes da arbitragem devem tentar chegar a um acordo sobre como abordar o cumprimento da proteção de dados pessoais o mais cedo possível. As partes, seus conselheiros e os árbitros devem considerar a possibilidade de entrar em um protocolo de proteção de dados pessoais para gerenciar as questões de conformidade de forma eficaz. Quando isso não for possível, uma opção alternativa é que o Tribunal os inclua na Ordem Processual Número Um.[xxxvii]
No processo de produção e divulgação de documentos, o princípio da minimização de dados pessoais é especialmente relevante. Sob a GDPR, isto provavelmente exigiria:
- limitando os dados pessoais revelados ao que é relevante e não duplicado;
- identificação dos dados pessoais contidos no material receptivo; e
- Redacção ou pseudonímia de dados pessoais desnecessários.
Estas questões também devem ser consideradas no início dos procedimentos, de preferência na primeira conferência processual ou antes dela.[xxxviii]
Quando se trata da entrega de prêmios, os árbitros e instituições devem considerar a base e a necessidade de incluir dados pessoais nos prêmios. Se a arbitragem for confidencial, há, no entanto, o risco de uma sentença se tornar pública quando for executada. Mesmo que os dados pessoais sejam redactados, eles normalmente permanecem dados pessoais, uma vez que o sujeito dos dados é identificável a partir do restante da sentença ou materiais relacionados.[xxxix]
A retenção e eliminação de dados são consideradas como tratamento no âmbito da GDPR, que prevê que os dados pessoais devem ser "conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para os fins para os quais os dados pessoais são tratados".[xl] Os controladores devem considerar, documentar e ser capazes de justificar a duração do armazenamento. Os participantes arbitrais devem considerar que período de retenção de dados é razoável e devem adoptar uma abordagem proporcional para equilibrar as suas necessidades com o impacto da retenção de dados sobre o assunto.[xli]
A aplicabilidade do GDPR às arbitragens realizadas fora da UE
O âmbito territorial do Regulamento Geral de Protecção de Dados é relativamente amplo. Os profissionais devem estar cientes da sua aplicação, quer estejam ou não localizados, quer a arbitragem esteja sentada, na UE. A GDPR aplica-se ao tratamento de dados pessoais por responsáveis pelo tratamento ou processadores estabelecidos na UE, independentemente de o próprio tratamento ocorrer na UE (artigo 3.º, n.º 1). Além disso, quando se trata de oferecer bens ou serviços a cidadãos da UE ou da monitorização de comportamentos que ocorrem na UE, a GDPR aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento ou processador não estabelecido na UE (artigo 3(2)).
Aplicada ao contexto arbitral, a GDPR impõe obrigações aos controladores e processadores de dados - árbitros, advogados, partes e instituições - que se enquadram no seu âmbito material e territorial, e não directamente no processo arbitral. Mesmo que seja apenas um participante arbitral que tenha uma conexão com a UE, eles serão obrigados a processar dados pessoais de acordo com a GDPR. Podem surgir implicações para o processo como um todo.[xlii]
Talvez mais notáveis no contexto da arbitragem internacional, onde a transferência de materiais de arbitragem contendo dados pessoais é comum, são as restrições colocadas à transferência de dados pessoais para "países terceiros" fora do Espaço Económico Europeu (EEE). Em tal cenário, uma das quatro bases legais é necessária para que as transferências de dados pessoais sejam permitidas. Em primeiro lugar, a transferência para um país terceiro é permitida se o país terceiro estiver sujeito a uma decisão de adequação (n.º 1 do artigo 45.º).[xliii] Se não for este o caso, deve ser criada, sempre que possível, uma das salvaguardas apropriadas (artigo 46(1)).[xliv] Se não houver uma decisão de adequação e não for viável uma salvaguarda adequada, pode ser invocada uma derrogação específica (n.º 1 do artigo 49.º).[xlv] Por último, na ausência do acima referido, uma parte pode invocar um interesse legítimo imperioso (artigo 49.º, n.º 1)[xlvi] como base legal para uma transferência de dados pessoais de terceiros.
O Roteiro estabelece de forma bastante abrangente as considerações necessárias que os participantes arbitrais devem fazer. Ele enfatiza em várias ocasiões que são os participantes arbitrais, e não a arbitragem como tal, a quem se aplicam os princípios de proteção de dados pessoais e as regras de transferência.[xlvii] Em consonância com isto, a conclusão presuntiva é que um árbitro baseado na UE para uma arbitragem não comunitária que, de outra forma, não estaria sujeito à GDPR, teria, no entanto, de cumprir os requisitos de processamento e transferência de dados pessoais da GDPR. Isto é de facto geralmente aceite nos procedimentos de arbitragem comercial,[xlviii] mas a situação não é tão clara quando se trata de arbitragem investidor-estado.
O caso da Tennant Energy, LLC v Governo do Canadá
Em 2019, na arbitragem do Capítulo 11 do NAFTA Tennant Energy, LLC v Governo do Canadá (Tennant),[xlix] Tennant, o requerente, levantou a questão da GDPR aplicável ao processo à luz da nacionalidade britânica e do domicílio de um dos membros do tribunal. Contudo, o Tribunal emitiu instruções às partes declarando que "uma arbitragem ao abrigo do Capítulo 11 do NAFTA, um tratado no qual nem a União Europeia nem os seus Estados-Membros são partes, não se enquadra, presumivelmente, no âmbito material do GDPR".[l]
É importante distinguir entre a arbitragem baseada em tratados e a arbitragem comercial, sendo que Tennant se enquadra na primeira categoria. O Roteiro envolve esta distinção, observando que as organizações internacionais podem ser excluídas do âmbito de aplicação das leis de protecção de dados pessoais.[li] Os membros do Tribunal na arbitragem de Tennant podem estar sujeitos a certas imunidades derivadas do Acordo da Sede do Tribunal Permanente de Arbitragem (PCA) com os Países Baixos. Contudo, o tribunal NAFTA não considerou se, como organização internacional, o PCA estaria sujeito às regras de transferência do GDPR ou se os membros do tribunal derivariam certas imunidades do acordo.
O Tennant A direção levanta mais questões do que fornece respostas sobre a aplicabilidade da GDPR aos procedimentos do NAFTA e às arbitragens baseadas em tratados em geral, uma discussão matizada que está além do escopo atual. No entanto, a direção Tennant, vista à luz do Roadmap, demonstra que este tópico permanece altamente incerto. É questionável, na melhor das hipóteses, se o Roteiro traz alguma clareza aos participantes arbitrais confrontados com tal questão, considerando especialmente que o Roteiro foi emitido após o Tennant foi dada uma orientação, mas não foi dada qualquer consideração a esta última.
A questão da videoconferência
O Roteiro reconhece a importância da segurança dos dados pessoais. No entanto, com a recente utilização de tecnologia adicional para facilitar audiências virtuais, bem como o trabalho a partir de casa - alimentado principalmente pelas actuais circunstâncias impostas pela pandemia de Covid-19 - esta questão tem um peso adicional. O Protocolo de Ciber-segurança[lii] e as Diretrizes de Ciber-segurança da IBA[liii] lançaram alguma luz sobre o assunto.
Tal como o Roteiro, o Protocolo de Segurança Cibernética estabelece vários princípios subjacentes. O princípio da proporcionalidade aplica-se, o Tribunal tem autoridade e discrição para determinar as medidas de segurança em vigor e a segurança da informação é uma questão que deve ser discutida na primeira conferência de gestão de casos. A Tabela A do Protocolo de Segurança Cibernética fornece uma lista de verificação que as partes de uma arbitragem podem utilizar para salvaguardar os procedimentos.
Após a recente mudança nos padrões e ambientes de trabalho devido à pandemia de Covid-19, estas questões devem ter mais peso. Num mundo que tem sido pressionado para encontrar novas formas de conduzir os negócios e adaptar-se aos tempos de incerteza, uma das questões que o sector jurídico tem enfrentado é a questão das audiências combinadas com restrições e a necessidade de distanciamento social. Como tal, a popularidade da videoconferência e o uso do mesmo em processos de arbitragem internacional é algo que o Roteiro deve abordar, mas que ainda não o fez - ou, pelo menos, ainda não o fez.
Embora muitos tenham discutido e apontado as questões das audiências em vídeo, a maioria falhou em abordar como as leis de proteção de dados pessoais devem ser aplicadas a eles, não só no que diz respeito à proteção de dados pessoais, mas também à segurança, já que algumas plataformas foram sujeitas a ataques de segurança.[vive]
Como discutido acima, é essencial compreender os diferentes papéis das partes envolvidas na arbitragem em relação à GDPR, nomeadamente quem são os "controladores de dados" e os "processadores de dados". Se o software de videoconferência estiver processando quaisquer dados pessoais, tais como o nome de usuário e o endereço de e-mail de uma parte da utilização do serviço, eles serão considerados um "processador de dados". Isto significa que eles devem aderir às regras da GDPR se algum dos participantes estiver domiciliado na UE. Uma vez que o Tribunal é o "controlador de dados", será então da responsabilidade do Tribunal assegurar esse cumprimento.
A Câmara Internacional de Comércio (ICC) emitiu uma nota de orientação[lv] que fornece às partes cláusulas sugeridas para protocolos de ciber-segurança e audiências virtuais. Visa abordar o aspecto da segurança, mas não aborda o aspecto da protecção de dados pessoais. O Roteiro deve discutir as possibilidades em que a proteção de dados pessoais se aplicaria às audiências realizadas virtualmente e também como aderir ao mesmo. Embora a GDPR especifique os requisitos que devem ser cumpridos em relação à videoconferência, ela não dá orientações sobre a forma como seus requisitos são diretamente aplicáveis.
Embora o Roteiro não forneça recomendações sobre provedores de software específicos, ele poderia compilar e fornecer aos profissionais uma lista das especificações necessárias de um software ideal para audições de vídeo, assim como fornece listas de verificação sobre vários outros assuntos dentro de seus anexos.
Onde se encaixam os financiadores de terceiros?
Um terceiro financiador é entendido como qualquer não parte no processo arbitral que celebre um acordo para financiar total ou parcialmente o custo do processo em troca de uma quantia que depende total ou parcialmente do resultado do caso.[lvi] Os financiadores terceiros têm acesso a vários dados pessoais em procedimentos arbitrais que estão a financiar, ou estão a considerar financiar. Embora o Roteiro seja expressamente dirigido apenas aos participantes do processo arbitral, ele afirma que a orientação é relevante para os prestadores de serviços que também são afetados pelos requisitos de proteção de dados pessoais.[lvii]
No Roadmap, os prestadores de serviços incluem 'especialistas em e-discovery, profissionais de tecnologia da informação, repórteres judiciais, serviços de tradução, etc'.[lviii] mas os financiadores de terceiros não são explicitamente mencionados. Sob GDPR, a recolha e armazenamento de dados pessoais é incluída no processamento. Assim, se os terceiros financiadores coletarem dados pessoais de outros, as leis de dados pessoais também se aplicariam a eles.[lix]
A GDPR permite que uma parte processe dados pessoais se "o tratamento for necessário para os fins dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros,".[lx] que pode potencialmente ser citado pelos participantes arbitrais como base legal aplicável para o processamento de dados pessoais relevantes. Existe uma orientação limitada sobre este tópico.[lxi] O Roadmap diz:
O primeiro passo para uma avaliação de interesse legítimo é identificar um interesse legítimo - qual é a finalidade do processamento dos Dados Pessoais e porque é importante para si como controlador? No contexto da arbitragem, o interesse legítimo pode envolver a administração da justiça, assegurando que os direitos das partes são respeitados e a resolução rápida e justa das reclamações ao abrigo das regras de arbitragem aplicáveis, e muitos outros interesses também".[lxii]
A inclusão de "muitos outros interesses também" poderia possivelmente incluir o legítimo interesse monetário de financiadores de terceiros. Se assim for, eles seriam claramente obrigados a celebrar acordos de processamento de dados com as partes no processo arbitral e seriam incluídos no âmbito das normas e requisitos de proteção de dados pessoais. Curiosamente, o Roteiro não detalha explicitamente como os financiadores de terceiros se encaixam no quadro, especialmente considerando o aumento da sua inclusão nos procedimentos arbitrais.
Um escudo para a não revelação
As obrigações de protecção de dados pessoais conduzem ao potencial de abuso. As partes arbitrais podem usar a GDPR como escudo de má fé para impedir a divulgação de informações relevantes para o processo ou solicitadas pela contraparte. Por exemplo, uma parte pode opor-se a um pedido de divulgação alegando que os documentos contêm dados pessoais não relacionados com a disputa, ou que a redação de informações pessoais seria indevidamente onerosa.[lxiii]
O Roteiro aborda o potencial de abuso. Sugere o levantamento e clarificação das obrigações de protecção de dados pessoais o mais cedo possível para reduzir o risco destes procedimentos de impacto. Os participantes devem considerar a celebração de um "protocolo de protecção de dados" - um acordo sobre a forma como a protecção de dados pessoais será aplicada num contexto particular. Alternativamente, quando não for possível alcançar um protocolo de protecção de dados assinado, estas questões devem ser abordadas na Ordem Processual Número Um.[lxiv]
A título de comparação, pode-se olhar para o cumprimento da GDPR durante a descoberta em litígios nos EUA. As cortes federais dos EUA empregaram testes de equilíbrio para decidir se devem ou não ordenar a divulgação ou conformidade com intimações ou ordens de descoberta que potencialmente violam as leis estrangeiras, incluindo as leis de proteção de dados pessoais.[lxv] Uma lista não exaustiva de fatores examinados pelos tribunais federais dos EUA é:
- a importância dos documentos ou outras informações solicitadas para o litígio;
- o grau de especificidade do pedido;
- se a informação teve origem nos EUA;
- a disponibilidade de meios alternativos para assegurar a informação; e
- a medida em que o não cumprimento prejudicaria interesses importantes dos EUA.[lxvi]
Na maioria das vezes, os tribunais federais exigem a divulgação, apesar de potenciais violações das leis estrangeiras de proteção de dados pessoais.[lxvii]
Os árbitros enfrentam considerações diferentes dos tribunais quando decidem se devem ou não ordenar a divulgação por uma das partes. É correto, como argumentado na literatura,[lxviii] que os tribunais devem estar cientes dos direitos e deveres concorrentes à luz da ameaça de anulação ou da recusa de execução nos termos da Convenção de 1958 sobre o Reconhecimento e Execução de Sentenças Arbitrais Estrangeiras (Convenção de Nova Iorque). No entanto, este ponto de vista não leva em conta o fato de que as ordens de divulgação estão sujeitas a uma revisão mínima pelos tribunais estaduais, dado o princípio da não-interferência judicial.[lxix] Abundam os exemplos de tribunais estaduais que se abstêm de se envolver em uma revisão das ordens de divulgação.[lxx]
Tendo em conta a discrição dada aos tribunais em matéria processual, a ameaça de anulação ou de recusa de execução dificilmente poderá ser uma consideração central. A inevitabilidade das partes que tentam abusar das obrigações da GDPR para obter uma potencial vantagem processual colocará os tribunais em posições difíceis de equilibrar os interesses da pessoa em causa, por um lado, e de manter um processo probatório robusto, por outro.[lxxi] O esclarecimento das obrigações de cumprimento da protecção de dados pessoais no início dos procedimentos - de preferência num protocolo de protecção de dados assinado - de acordo com as recomendações do Roteiro parece ser um passo prévio para verificar este comportamento.
O não cumprimento dos requisitos de protecção de dados pessoais como caminho para a anulação e recusa do reconhecimento e execução
O Roteiro não trata se o não cumprimento dos requisitos de protecção de dados pessoais pode ser utilizado para anular uma sentença arbitral ou para recusar o seu reconhecimento e execução. As partes têm meios de recurso muito limitados contra as sentenças arbitrais. No entanto, uma parte vencida pode querer contestar o seu resultado e usar um dos principais motivos comuns para contestar a sentença ou impedir o seu reconhecimento ou execução.
A Convenção de Nova Iorque tem actualmente 168 Estados contratantes, tornando-a a principal base jurídica para o reconhecimento e execução de sentenças estrangeiras em arbitragem comercial internacional. A Convenção prevê, no Artigo V, fundamentos limitados sobre os quais o reconhecimento e a execução de uma sentença arbitral podem ser recusados. Mais especificamente para os presentes fins, o Artigo V(2)(b) reconhece a possibilidade de a autoridade competente de um Estado signatário recusar o reconhecimento ou a execução de uma sentença arbitral que viole a ordem pública.[lxxii]
Os fundamentos sobre os quais uma sentença arbitral pode ser anulada variam entre as diferentes jurisdições. A Lei Modelo da UNCITRAL sobre Arbitragem Comercial Internacional, que tem sido amplamente adotada, estabelece uma lista de fundamentos de anulação no Artigo 34(2). Esta lista foi baseada no Artigo V da Convenção de Nova Iorque.[lxxiii] O artigo 34(2)(b)(ii) estabelece que uma sentença arbitral pode ser anulada pelo tribunal se a sentença estiver em conflito com a ordem pública do Estado.[lxxiv]
O Tribunal de Justiça Europeu (TJE) decidiu no processo Eco Swiss v Benetton que as disposições imperativas do direito comunitário podem constituir regras fundamentais de ordem pública, cuja violação pode constituir fundamento de anulação de uma decisão arbitral baseada em tal fundamento no direito nacional.[lxxv] Se uma concessão pode ou não ser anulada ou o seu reconhecimento ou execução recusados, devido ao não cumprimento dos requisitos de protecção de dados pessoais, dependerá, portanto, de as regras da GDPR serem ou não consideradas disposições imperativas, cuja violação é contrária à política pública nacional.[lxxvi]
do Regulamento Roma I define disposições imperativas como disposições "cujo respeito é considerado crucial por um país para a salvaguarda dos seus interesses públicos... na medida em que sejam aplicáveis a qualquer situação que se enquadre no seu âmbito de aplicação, independentemente da lei aplicável". Tal como a Cervenka e a Schwarz reconheceram anteriormente, a maioria das regras da GDPR podem provavelmente ser consideradas disposições imperativas nos termos da legislação da UE. Como tal, a sua violação pode ser considerada uma violação da ordem pública.[lxxvii]
A possibilidade de o não cumprimento dos requisitos de protecção de dados pessoais poder levar à anulação ou ao não reconhecimento e não execução de uma decisão arbitral suscita várias preocupações. Em primeiro lugar, deve ser definido com precisão quais obrigações de protecção de dados pessoais constituiriam disposições imperativas, uma vez que nem todas as violações têm o mesmo peso. Em última análise, o TJCE será provavelmente chamado a prestar mais esclarecimentos. Em segundo lugar, o potencial abuso da possibilidade de contestar ou contestar a execução de uma adjudicação com base na violação da GDPR deve também ser tido em conta, para evitar que as partes violem intencionalmente as regras de protecção de dados pessoais, a fim de ter a possibilidade de recorrer posteriormente contra a adjudicação. Finalmente, deve ser definido se os regulamentos de protecção de dados pessoais fariam parte do direito processual ou substantivo e de que forma.[lxxviii]
Embora haja muito a definir, as consequências do não cumprimento dos requisitos de protecção de dados pessoais sobre a anulação, bem como o reconhecimento e a execução de decisões arbitrais, devem ser abordadas. É muito interessante que nenhuma menção a isto se encontre dentro do Roteiro.
Conclusão
O Roteiro destina-se a ajudar os profissionais de arbitragem a identificar e compreender as obrigações de protecção de dados pessoais e de privacidade a que podem estar sujeitos num contexto de arbitragem internacional. Entretanto, como discutido anteriormente, ele ainda não aborda algumas questões específicas que são relevantes e urgentes hoje. As seis questões identificadas e desenvolvidas neste documento são:
- a aplicabilidade do GDPR às arbitragens realizadas fora da UE;
- PIBR no contexto das arbitragens do NAFTA;
- a questão das audiências de arbitragem virtuais;
- financiadores de terceiros e o seu lugar no Roteiro;
- abuso potencial do GDPR; e
- potencial incumprimento da GDPR como via para a anulação ou recusa de reconhecimento e execução da sentença arbitral.
Cada uma destas questões merece uma reflexão mais aprofundada, uma vez que se prevê que só se tornarão mais relevantes nos próximos anos. A esperança é que tenha sido demonstrado que estas são dignas de serem incluídas no Roteiro.
Os anexos[lxxix] adicionados ao Roteiro destinam-se a ajudar os profissionais a lidar com estes requisitos na prática. A adição da Data Protection Checklist, a Legitimate Interest Assessment Checklist, Exemplos de Avisos de Privacidade e as Cláusulas Contratuais Padrão da UE são recursos extremamente valiosos e devem ser utilizados pelos profissionais para garantir que estejam em conformidade com o GDPR.
No entanto, numa situação de conflito entre diferentes jurisdições, as diferenças entre as várias legislações nacionais relativas à protecção de dados pessoais podem conduzir a ambiguidades. Embora as orientações fornecidas pelo Roteiro sejam abrangentes, elas ainda não são vinculativas. No passado, a UNCITRAL e a IBA inclinaram-se para a harmonização na arbitragem internacional através das suas regras, directrizes e similares; embora estas não sejam vinculativas, são certamente persuasivas. Como a UNCITRAL e a IBA têm tentado fazer com vários aspectos da arbitragem internacional, há também uma necessidade extrema de harmonização nos requisitos de proteção de dados pessoais relativos à arbitragem; assim, as diretrizes necessárias devem ser colocadas em prática com a harmonização em mente.
Embora a harmonização, compreensão e consciência dos requisitos de conformidade da GDPR e suas implicações no contexto da arbitragem internacional continue a faltar, nós, como profissionais de arbitragem, continuaremos a nos contentar com o quadro legal atualmente em vigor. No entanto, apesar de suas falhas, o Roteiro apresenta um passo muito necessário e encorajador na direção de um entendimento comum das obrigações de proteção de dados pessoais para os participantes da arbitragem.
[i] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Directiva 95/46/CE (Regulamento Geral sobre a Protecção de Dados), JO L 119/1 de 2016.
[ii] Dados pessoais" é definido no artigo 4º do GDPR como:
(1) ""Dados pessoais", qualquer informação relativa a uma pessoa singular identificada ou identificável ("pessoa em causa"); uma pessoa singular identificável é aquela que pode ser identificada, directa ou indirectamente, nomeadamente por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador em linha ou a um ou mais factores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular".
[iii] O âmbito territorial do GDPR é definido no artigo 3º da seguinte forma:
- O presente regulamento aplica-se ao tratamento de dados pessoais no contexto das actividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante na União, independentemente de o tratamento se efectuar ou não na União.
- O presente regulamento aplica-se ao tratamento de dados pessoais das pessoas em causa que se encontrem na União por um responsável ou processador não estabelecido na União, sempre que as actividades de tratamento estejam relacionadas com o mesmo:
a) A oferta de bens ou serviços, independentemente de ser exigido um pagamento à pessoa em causa, a essas pessoas na União; ou
b) A monitorização do seu comportamento, na medida em que o seu comportamento tenha lugar no interior da União.
- O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento não estabelecido na União, mas num local em que a legislação dos Estados-Membros é aplicável por força do direito internacional público".
[iv] Ver a definição de 'processador' no artigo 4.
[v] Art 83(4), GDPR.
[vi] Maior multa ao abrigo da GDPR aplicada ao Google (Simmons + Simmons, 22 de Janeiro de 2019), ver www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, 'British Airways multou £20m por violação de dados' (BBC, 16 de Outubro de 2020), ver www.bbc.com/news/technology-54568784.
[vii] ICCA-IBA Joint Task Force on Data Protection in International Arbitration (ICCA), ver www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, acedido a 18 de Agosto de 2021.
[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration' (ICCA, Fevereiro de 2020), ver https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, acedido a 18 de Agosto de 2021.
[ix] Ibid, 1.
[x] Caso PCA No. 2018-54.
[xi] ICCA e New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', ver https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, acedido a 18 de Agosto de 2021.
[xii] 'Cybersecurity Guidelines' (IBA, Outubro de 2018), ver www.ibanet.org/LPRU/Cybersecurity, acedido a 1 de Dezembro de 2020.
[xiii] Nota de Orientação da ICC sobre Medidas Possíveis Objetivo" (Câmara de Comércio Internacional, 9 de abril de 2020) acessada em 18 de agosto de 2021.
[xiv] Roteiro, Secção B.
[xv] Ibid.
[xvi] Artigo 4, GDPR.
[xvii] Ibid.
[xviii] Artigo 4, GDPR
[xix] Ibid, Art 3(1).
[xx] Roadmap, 7.
[xxi] Artigo 4, GDPR.
[xxii] O Roteiro define 'participantes arbitrais' como 'incluindo as partes, seus consultores legais, os árbitros e as instituições arbitrais (somente)'. Ver o Roteiro (n 3), 2.
[xxiii] Artigo 4, GDPR.
[xxiv] Ver Acórdão de 29 de Julho de 2019, Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, parágrafos 74, 85. Ver também Acórdão de 5 de Junho de 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; Acórdão de 10 de Julho de 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
[xxv] Roteiro, 11
[xxvi] Ibid, 12.
[xxvii] Artigo 5 e 12-22, GDPR; Roteiro 14-15.
[xxviii] Por exemplo, segundo a GDPR, o tratamento de dados pessoais no contexto da arbitragem internacional é lícito quando é necessário para os fins dos interesses legítimos do responsável pelo tratamento dos dados - sujeito a limitações baseadas nos interesses e direitos fundamentais da pessoa em causa - e os dados sensíveis podem ser tratados ao abrigo da derrogação relativa às acções judiciais (art. 9º, nº 2, alínea f)) no contexto da arbitragem.
[xxix] Roadmap, 19.
[xxx] Ibid, 20-21.
[xxxi] Ibid, 30-31.
[xxxii] Ibid, 32.
[xxxiii] Ibid, 33-36.
[xxxiv] Ibid, 37-39.
[xxxv] Ibid, 37.
[xxxvi] Ibid, 39.
[xxxvii] Ibid, 40-41.
[xxxviii] Ibid, 42.
[xxxix] Ibid, 43.
[xl] Art 5(1)(e), GDPR.
[xli] Roadmap, 44.
[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.
[xliii] A Comissão da União Europeia considerou que o país assegura uma protecção de dados adequada.
[xliv] No caso da arbitragem internacional, isto seria muito provavelmente uma cláusula contratual padrão.
[xlv] A derrogação de acções judiciais, que permite transferências quando "necessárias para a constituição, exercício ou defesa de acções judiciais", é a mais aplicável no contexto arbitral.
[xlvi] Devido ao seu elevado limiar e exigência de notificação, a confiança em interesses legítimos imperiosos tem pouca relevância prática. Ver EDPB, "Orientações 2/2018 sobre derrogações ao artigo 49.º do Regulamento 2016/679", de 6 de Fevereiro de 2018 (Orientações sobre transferência de dados).
[xlvii] Roadmap, 8, 13.
[xlviii] Emily Hay, 'The Invisible Arm of GDPR in International Treaty Arbitration' (O Braço Invisível do GDPR na Arbitragem de Tratados Internacionais): Não podemos fazer com que se vá embora? (Kluwer Arbitration Blog, 29 de Agosto de 2019), ver http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [acedido a 18 de Agosto de 2021].
[xlix] Processo PCA No. 2018-54.
[l] Ibid, Comunicação do Tribunal às Partes (Perm Ct Arb, 2019).
[li] Roadmap, 37.
[lii] ICCA e New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA), ver https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, acedido a 18 de Agosto de 2021.
[liii] 'Cybersecurity Guidelines' (IBA, Outubro de 2018), ver www.ibanet.org/LPRU/Cybersecurity, acedido a 1 de Dezembro de 2020.
[vive] Andreas Respondek, Tasha Lim, 'A Task Force da ICCA/IBA sobre Proteção de Dados 'Roadmap' deve abordar o impacto da GDPR nas Videoconferências em Processos de Arbitragem Internacional? (Kluwer Arbitration Blog, 18 de Julho de 2020), ver http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, acedido a 18 de Agosto de 2021.
[lv] Nota de Orientação da ICC sobre Medidas Possíveis para Atenuar os Efeitos da Pandemia da COVID-19" (ICC, 9 de Abril de 2020) acedida a 18 de Agosto de 2021.
[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.
[lvii] Roteiro, 2.
[lviii] Ibid, 23-25.
[lix] Art 4(2), GDPR, ver n 1 acima.
[lx] Art 6(1)(f), GDPR.
[lxi] Allan J Arffa e outros, 'GDPR Issues in International Arbitration' (Lexology, 10 de Agosto de 2020), ver www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, acedido a 18 de Agosto de 2021.
[lxii] Roteiro, Anexo 5.
[lxiii] Allan J Arffa e outros, 'GDPR Issues in International Arbitration' (Lexology, 10 de Agosto de 2020), ver www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> acedido a 18 de Agosto de 2021.
[lxiv] Roadmap 40-41.
[lxv] Veja, por exemplo: David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.
[lxvi] Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
[lxvii] Leis estrangeiras de Protecção de Dados em Litígios nos EUA e Arbitragem Internacional" (Baker Botts, 6 de Fevereiro de 2020), ver www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> acedido a 18 de Agosto de 2021.
[lxviii] David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395. 406.
[lxix] Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
[lxx] Ibid. Born cita os seguintes julgamentos para reforçar este argumento: Acórdão de 22 de Janeiro de 2004, Société Nat'l Cie for Fishing & Marketing 'Nafimco' contra Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "a decisão do tribunal arbitral de ordenar a descoberta está dentro da sua discrição processual e não pode ser revista pelos tribunais"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Os pedidos de revelação estão "bem dentro do razoável exercício da discrição do Tribunal".
[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 de Dezembro de 2019), ver www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, acedido a 18 de Agosto de 2021.
[lxxii] Convenção de Nova Iorque, Artigo V(2): "O reconhecimento e a execução de uma sentença arbitral também podem ser recusados se a autoridade competente no país onde o reconhecimento e a execução forem solicitados constatar que... (b) O reconhecimento ou a execução da sentença seria contrário à política pública desse país".
[lxxiii] Secretário-Geral da ONU, Comentário Analítico ao Projecto de Texto de uma Lei Modelo sobre Arbitragem Comercial Internacional, A/CN.9/264 (1985), Artigo 34, parágrafo 6.
[lxxiv] Lei Modelo da UNCITRAL sobre Arbitragem Comercial Internacional, Art 34(2): 'Uma sentença arbitral só pode ser anulada pelo tribunal especificado no artigo 6...(b) se...(ii) o tribunal considerar que...(ii) a sentença está em conflito com a política pública deste Estado'.
[lxxv] Acórdão de 1 de Junho de 1999, Eco Swiss China Time Ltd contra Benetton International NV C-126/97 [1999] ECR I-03055, paras. 39 e 41. Para uma discussão detalhada das políticas públicas da UE, veja: Sacha Prechal e Natalya Shelkoplyas, "Procedimentos Nacionais, Política Pública e Direito Comunitário". From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
[lxxvi] Anja Cervenka e Philipp Schwarz, 'Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts' (SchiedsVZ 2020, 78) 84.
[lxxvii] Ibid.
[lxxviii] Para uma discussão mais detalhada sobre estas e outras questões, veja: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" em José R Mata Dona e Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka e Schwarz, ver n 76 acima, 84-85.
[lxxix] O "Roteiro ICCA-IBA para a Protecção de Dados em Arbitragem Internacional, Anexos", (ICCA, Fevereiro de 2020), ver https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, acedido a 18 de Agosto de 2021.
Este artigo foi publicado pela primeira vez em Dispute Resolution International, Vol 15 No 2, outubro 2021, e é reproduzido com a permissão da International Bar Association, Londres, Reino Unido. © International Bar Association.