Limbi

Ciocnirea titanilor: GDPR și arbitrajul internațional - o privire la viitor

Publicații: noiembrie 10, 2021

Înapoi la prezentare generală

Autori

Catherine Raudaschl

Ghiduri de specialitate conexe

Introducere

În ultimii ani, au apărut întrebări cu privire la implicațiile practice ale confidențialității datelor cu caracter personal și ale securității cibernetice asupra desfășurării efective a arbitrajelor internaționale - în special atunci când se ia în considerare ritmul constant al schimbărilor tehnologice.

Regulamentul general privind protecția datelor (GDPR)[1] și-a sărbătorit a doua aniversare în mai 2020. Cadrul de protecție a datelor cu caracter personal al GDPR urmărește să asigure libera circulație a datelor cu caracter personal ale "persoanelor fizice identificate sau identificabile."[2] Acesta se aplică în cadrul Uniunii Europene și are un domeniu de aplicare extrateritorial care se poate extinde în afara UE;[3] GDPR poate afecta nu numai toate persoanele fizice sau juridice, ci supune, de asemenea, autoritățile publice, agențiile și alte organisme - posibil inclusiv organizațiile internaționale - obligațiilor de protecție a datelor cu caracter personal.[4] Sancțiunile GDPR se pot ridica la 4 % din cifra de afaceri anuală la nivel mondial a entității care încalcă legea în exercițiul financiar precedent sau la 20 de milioane de euro, luându-se în considerare valoarea cea mai mare[5] Necesitatea de a lua în serios aplicarea GDPR a fost deja stabilită prin amenzi de mai multe milioane de euro care au fost impuse în mai multe jurisdicții[6].

Deși aplicarea legilor privind protecția datelor cu caracter personal la arbitraj este stabilită, modul în care legile ar trebui să fie aplicate nu este. Din acest motiv, Consiliul Internațional pentru Arbitraj Comercial (ICCA) și Asociația Internațională a Barourilor (IBA) au înființat în februarie 2019 un grup operativ comun privind protecția datelor în procedurile de arbitraj internațional, cu scopul de a elabora un ghid care să ofere orientări practice privind protecția datelor cu caracter personal în arbitrajul internațional. Grupul operativ a publicat un proiect de consultare a acestui ghid în martie 2020[7] Prezentul comentariu se va baza pe acest proiect de foaie de parcurs (foaia de parcurs)[8], urmând ca versiunea finală, revizuită a foii de parcurs să fie publicată în septembrie 2021. Deși termenul limită pentru comentarii cu privire la proiectul de consultare a expirat la momentul redactării, versiunea preliminară a foii de parcurs este totuși ilustrativă pentru problemele ridicate de GDPR în arbitrajele internaționale. Prin urmare, aceasta va fi utilizată ca bază de discuție.

Majoritatea legilor privind protecția datelor cu caracter personal sunt obligatorii în procedurile de arbitraj, ceea ce înseamnă că acestea prescriu

  • ce date cu caracter personal pot fi prelucrate;
  • unde;
  • prin ce mijloace;
  • cu ce măsuri de securitate a informațiilor; și
  • pentru cât timp.[9]

Totuși, acestea nu abordează modul în care aceste obligații obligatorii ar trebui respectate în cadrul procedurilor de arbitraj. În absența unor orientări specifice din partea autorităților de reglementare, foaia de parcurs este menită să ajute profesioniștii din domeniul arbitrajului să identifice și să înțeleagă obligațiile în materie de protecție a datelor cu caracter personal și de confidențialitate la care pot fi supuși în contextul unui arbitraj internațional. În plus, amploarea protecției GDPR rămâne relevantă în procedurile de arbitraj internațional, în principal dacă legile GDPR se aplică arbitrajelor cu sediul în afara UE. Există diverse alte implicații dacă se constată că GDPR se aplică arbitrajului: în primul rând, dacă prelucrarea datelor cu caracter personal este interzisă și, în al doilea rând, dacă există restricții privind transferurile de date cu caracter personal în afara UE. În cele din urmă, din cauza frecvenței tot mai mari a atacurilor cibernetice, consecințele unui astfel de atac asupra unui arbitraj ar putea aduce daune semnificative.

Prezentul articol urmărește să ofere comentarii cu privire la foaia de parcurs și să exploreze măsurile practice care ar trebui luate în considerare în ceea ce privește obligațiile de protecție a datelor cu caracter personal în cadrul procedurilor de arbitraj internațional. Acesta identifică foaia de parcurs drept un instrument promițător, deși incomplet, care completează diversele încercări de armonizare a arbitrajului internațional de până acum, în special instrumentele IBA și ale Comisiei Națiunilor Unite pentru dreptul comercial internațional (UNCITRAL).

În primul rând, va fi prezentat un scurt rezumat al foii de parcurs, care include o trimitere la principiile GDPR. Aceasta nu se dorește a fi o prezentare cuprinzătoare, ci mai degrabă va introduce principalele puncte ale foii de parcurs pentru a oferi cititorului contextul pentru discuția ulterioară. În al doilea rând, va fi furnizat un comentariu care abordează șase aspecte pertinente:

  • aplicabilitatea GDPR la arbitrajele desfășurate în afara UE;
  • GDPR în contextul arbitrajelor din cadrul Acordului Nord-American de Liber Schimb (NAFTA), astfel cum este ilustrat în cauza Tennant Energy, LLC împotriva Guvernului Canadei;[10]
  • chestiunea videoconferințelor, a cărei importanță a crescut foarte mult în timpul pandemiei Covid-19, inclusiv referiri la "Protocolul ICCA-NYC Bar-CPR privind securitatea cibernetică în arbitrajul internațional" (Protocolul privind securitatea cibernetică)[11] Orientările IBA privind securitatea cibernetică[12] și Nota de orientare a ICC privind posibilele măsuri menite să atenueze efectele pandemiei COVID-19;[13]
  • "finanțatorii terți" și modul în care aceștia sunt luați în considerare în foaia de parcurs;
  • abuzul de GDPR, în special ca un scut pentru nedivulgare; și
  • potențialul de utilizare a nerespectării cerințelor privind protecția datelor cu caracter personal ca o cale de anulare sau de refuz al recunoașterii și executării hotărârii arbitrale.

Gândurile finale vor fi prezentate în concluzie.

Foaia de parcurs

Persoanele fizice și juridice sunt supuse obligațiilor de a proteja datele cu caracter personal ale persoanelor vizate. Arbitrajul în sine nu face obiectul obligațiilor de protecție a datelor cu caracter personal. Cu toate acestea, dacă un singur participant la arbitraj face obiectul obligațiilor de protecție a datelor cu caracter personal, arbitrajul poate fi afectat în ansamblu. Dacă prelucrarea datelor cu caracter personal se încadrează în legile relevante, domeniul de aplicare material și jurisdicțional va determina dacă se aplică legile privind protecția datelor cu caracter personal[14].

Legile moderne privind protecția datelor cu caracter personal se aplică ori de câte ori datele cu caracter personal ale unei persoane vizate sunt prelucrate în cursul activităților care intră în domeniul de aplicare jurisdicțional al legilor relevante privind protecția datelor cu caracter personal.[15] Datele cu caracter personal includ "orice informații referitoare la o persoană fizică identificată sau identificabilă".[16] În cursul procedurilor de arbitraj tipice, se schimbă porțiuni substanțiale de informații referitoare, printre altele, la părți, avocații acestora, tribunal și terți. Ca atare, este probabil ca aceste informații să fie considerate ca intrând sub incidența definiției "datelor cu caracter personal". "Persoanele vizate" se referă la persoanele menționate anterior care sunt identificate sau identificabile[17] Prelucrarea include operațiuni active și pasive, cuprinzând astfel utilizarea, diseminarea și ștergerea datelor cu caracter personal, precum și primirea, organizarea și stocarea datelor cu caracter personal.[18] Domeniul de aplicare cuprinde acțiuni ori de câte ori datele cu caracter personal sunt prelucrate în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de operator în UE[19] și extrateritorial, cum ar fi atunci când datele cu caracter personal sunt transferate în afara UE către entități sau persoane care, din alte motive, nu fac deja obiectul GDPR[20].

Arbitrii vor fi calificați drept operatori de date, ceea ce înseamnă că vor fi responsabili de respectarea legislației privind protecția datelor cu caracter personal. Cu toate acestea, pe baza definiției "operatorului de date";[21] majoritatea participanților la arbitraj[22] sunt susceptibili de a fi considerați ca atare, inclusiv avocații, părțile și instituția. Operatorii de date pot delega prelucrarea datelor unor operatori de date[23], care se vor afla sub controlul lor și vor necesita acorduri de prelucrare a datelor în condițiile prevăzute de legislația aplicabilă. Astfel, secretarele, transcriitorii, traducătorii și alții sunt susceptibili de a fi considerați operatori de date. Mai există și problema operatorilor comuni care stabilesc împreună scopurile și mijloacele de prelucrare a datelor. Controlul comun este interpretat în sens larg, însă răspunderea operatorului comun este limitată doar la prelucrarea pe care operatorul a determinat-o, la scopul și mijloacele acesteia, și nu la prelucrarea globală[24].

În arbitrajele internaționale, restricțiile privind transferurile de date cu caracter personal între jurisdicții reprezintă un mod evident în care se aplică legislația privind protecția datelor cu caracter personal. Contextul diferiților participanți la arbitraj va determina aplicarea diferitelor regimuri de protecție a datelor cu caracter personal. Legile moderne privind protecția datelor cu caracter personal restricționează transferurile de date cu caracter personal către țări terțe pentru a se asigura că obligațiile legale nu sunt eludate prin transferul de date cu caracter personal către jurisdicții cu standarde mai scăzute de protecție a datelor cu caracter personal[25]. GDPR permite transferurile de date cu caracter personal către țări terțe dacă se întâmplă una dintre următoarele situații

  • țara a fost considerată de Comisia UE ca oferind o protecție adecvată a datelor cu caracter personal;
  • este pusă în aplicare una dintre garanțiile enumerate în mod expres;
  • o derogare care permite transferurile în cazul în care acestea sunt necesare pentru constatarea, exercitarea sau apărarea unor acțiuni în justiție; sau
  • interesul legitim imperios al unei părți[26].

Aceste norme se aplică participanților la arbitraj și nu arbitrajului în ansamblul său, impunând astfel ca fiecare participant la arbitraj să analizeze ce restricții privind transferul datelor cu caracter personal i se aplică.

Principiile de protecție a datelor cu caracter personal aplicabile în arbitraj includ prelucrarea echitabilă și legală, proporționalitatea, minimizarea datelor, limitarea scopului, drepturile persoanelor vizate, exactitatea, securitatea datelor, transparența și responsabilitatea[27].

Câteva dintre aceste principii necesită comentarii suplimentare. Prelucrarea echitabilă și legală înseamnă că datele cu caracter personal ar trebui prelucrate numai în moduri la care persoanele vizate s-ar aștepta în mod rezonabil și că prelucrarea trebuie să aibă un temei juridic. Aplicând principiul corectitudinii, partea și avocatul acesteia ar trebui să se întrebe dacă, în contextul tuturor faptelor, persoanele vizate s-ar fi așteptat ca datele lor cu caracter personal să fie prelucrate într-un astfel de mod, dacă aceasta va avea consecințe negative asupra lor și dacă aceste consecințe sunt justificate. Acest principiu nu va împiedica admiterea ca probă a datelor cu caracter personal găsite în e-mailurile de afaceri.

Noțiunea de prelucrare legală implică un temei juridic bazat pe fapte și specific fiecărui caz. Mai degrabă decât să ne bazăm pe consimțământ, ar trebui invocate temeiurile juridice specifice din GDPR[28].

Proporționalitatea impune luarea în considerare a naturii, a domeniului de aplicare, a contextului și a scopurilor prelucrării în raport cu riscurile la care este expusă persoana vizată[29] Minimizarea datelor impune participanților la arbitraj să limiteze prelucrarea la datele cu caracter personal care sunt adecvate, relevante și limitate la ceea ce este necesar.[30] Transparența impune ca persoanele vizate să fie notificate cu privire la prelucrarea și scopul prelucrării datelor cu caracter personal, fie prin notificări generale, fie prin notificări specifice, fie prin ambele. 31] Răspunderea se referă la responsabilitatea personală pentru respectarea protecției datelor, ceea ce înseamnă că participanții la arbitraj ar trebui să documenteze toate măsurile de protecție a datelor cu caracter personal și deciziile luate pentru a demonstra conformitatea. 32]

Respectarea protecției datelor cu caracter personal afectează etapele individuale ale procedurilor de arbitraj internațional, nu numai în timpul arbitrajului în sine, ci și în timpul pregătirilor. De la început, participanții la arbitraj ar trebui să ia în considerare legile privind protecția datelor cu caracter personal care se aplică lor și altor participanți la arbitraj, precum și participanții la arbitraj care vor prelucra date cu caracter personal în calitate de operatori, împuterniciți sau operatori comuni. De asemenea, ar trebui avute în vedere normele privind transferul de date cu caracter personal din țările terțe și acordurile de prelucrare a datelor cu caracter personal privind furnizorii de servicii terți. În timpul procesului de colectare și revizuire a documentelor, părțile și consilierii lor juridici au nevoie de o bază legală pentru activitățile de prelucrare și transferurile de date cu caracter personal din țări terțe[33].

Cererea de arbitraj, precum și observațiile ulterioare, vor include date cu caracter personal care intră direct în domeniul prelucrării. În cazul în care o instituție de arbitraj este supusă legilor aplicabile privind protecția datelor cu caracter personal, aceasta trebuie să ia în considerare eventualele obligații în materie de protecție a datelor cu caracter personal care se aplică în timpul fiecărei etape procedurale. În cazul în care o instituție de arbitraj este supusă GDPR, aceasta va deveni, de obicei, un operator de date cu caracter personal. Pentru a se conforma articolelor 13 și 14 din GDPR, o astfel de instituție ar trebui să includă în notificarea sa privind confidențialitatea informații referitoare la măsurile de securitate, exercitarea drepturilor persoanelor vizate, păstrarea înregistrărilor și politicile de încălcare și păstrare a datelor[34]. Organizațiile internaționale care administrează arbitraje între investitori și stat pot fi însă excluse din domeniul de aplicare al legilor privind protecția datelor cu caracter personal din cauza privilegiilor și imunităților din statul constitutiv sau dintr-un acord cu țara gazdă. Prin urmare, trebuie să se facă considerații separate în acest caz, inclusiv, printre altele, dacă organizația este obligată să respecte legile privind protecția datelor cu caracter personal și dacă - și în ce măsură - participanții la arbitraj ar fi acoperiți de privilegii și imunități[35].

În timpul numirii arbitrilor într-un tribunal arbitral, se schimbă, în general, cantități semnificative de date cu caracter personal ale potențialilor arbitri. Participanții la arbitraj ar trebui să includă temeiul juridic pentru prelucrarea acestor date cu caracter personal în avizele lor juridice și să notifice în mod expres arbitrii care sunt luați în considerare pentru numire cu privire la prelucrarea datelor lor cu caracter personal, în special în cazul transferurilor de date cu caracter personal din țări terțe[36].

Odată ce arbitrajul este în curs de desfășurare, responsabilitățile privind conformitatea cu protecția datelor cu caracter personal ar trebui să fie alocate din timp pentru a minimiza riscurile. Protecția datelor cu caracter personal ar trebui să fie inclusă pe ordinea de zi a primei conferințe procedurale, iar participanții la arbitraj ar trebui să încerce să convină asupra modului de abordare a respectării protecției datelor cu caracter personal cât mai curând posibil. Părțile, avocații acestora și arbitrii ar trebui să ia în considerare încheierea unui protocol privind protecția datelor cu caracter personal pentru a gestiona în mod eficient problemele de conformitate. În cazul în care acest lucru nu este posibil, o opțiune alternativă este ca Tribunalul să le includă în Ordonanța procedurală numărul unu[37].

În procesul de producere și divulgare a documentelor, principiul minimizării datelor cu caracter personal este deosebit de relevant. În conformitate cu GDPR, acest lucru ar necesita probabil:

  • limitarea datelor cu caracter personal divulgate la ceea ce este relevant și fără duplicate;
  • identificarea datelor cu caracter personal conținute în materialul de răspuns; și
  • redactarea sau pseudonimizarea datelor cu caracter personal inutile.

Aceste aspecte ar trebui, de asemenea, luate în considerare la începutul procedurii, de preferință la sau înainte de prima conferință de procedură[38].

În ceea ce privește pronunțarea sentințelor, arbitrii și instituțiile ar trebui să ia în considerare temeiul și necesitatea includerii datelor cu caracter personal în sentințe. Dacă arbitrajul este confidențial, există totuși riscul ca o hotărâre să devină publică atunci când este executată. Chiar dacă datele cu caracter personal sunt redactate, acestea rămân de obicei date cu caracter personal, deoarece persoana vizată poate fi identificată din restul hotărârii sau din materialele conexe[39].

Păstrarea și ștergerea datelor sunt considerate prelucrare în conformitate cu RGPD, care prevede că datele cu caracter personal sunt "păstrate într-o formă care permite identificarea persoanelor vizate pentru o perioadă care nu depășește durata necesară pentru scopurile pentru care sunt prelucrate datele cu caracter personal"[40]. Operatorii trebuie să ia în considerare, să documenteze și să poată justifica durata de stocare. Participanții la arbitraj trebuie să ia în considerare ce perioadă de păstrare a datelor este rezonabilă și ar trebui să adopte o abordare proporțională pentru a echilibra nevoile lor cu impactul păstrării datelor asupra subiectului[41].

Aplicabilitatea RGPD la arbitrajele desfășurate în afara UE

Domeniul de aplicare teritorial al Regulamentului general privind protecția datelor este relativ larg. Practicienii ar trebui să fie conștienți de aplicarea acestuia, indiferent dacă se află sau nu în UE sau dacă arbitrajul are loc sau nu în UE. RGPD se aplică prelucrării datelor cu caracter personal de către operatorii sau persoanele împuternicite de operatori stabiliți în UE, indiferent dacă prelucrarea în sine are loc în UE [articolul 3 alineatul (1)]. În plus, atunci când este vorba de oferirea de bunuri sau servicii cetățenilor UE sau de monitorizarea comportamentului care are loc în UE, GDPR se aplică prelucrării datelor cu caracter personal de către un operator sau o persoană împuternicită de operator care nu este stabilită în UE [articolul 3 alineatul (2)].

Aplicat la contextul arbitrajului, GDPR impune obligații operatorilor și persoanelor împuternicite de operator - arbitri, avocați, părți și instituții - care intră în domeniul său de aplicare material și teritorial, mai degrabă decât direct procedurii de arbitraj. Chiar dacă este vorba despre un singur participant la arbitraj care are o legătură cu UE, acesta va fi obligat să prelucreze datele cu caracter personal în conformitate cu GDPR. Pot apărea implicații pentru procedură în ansamblu[42].

Poate cele mai notabile în contextul arbitrajului internațional, în care transferul de materiale de arbitraj care conțin date cu caracter personal este ceva obișnuit, sunt restricțiile impuse transferului de date cu caracter personal către "țări terțe" din afara Spațiului Economic European (SEE). Într-un astfel de scenariu, unul dintre cele patru temeiuri legale este necesar pentru ca transferurile de date cu caracter personal să fie permise. În primul rând, transferul către o țară terță este permis în cazul în care țara terță face obiectul unei decizii de adecvare [articolul 45 alineatul (1)][43] Dacă nu este cazul, ar trebui instituită una dintre garanțiile adecvate [articolul 46 alineatul (1)], în măsura în care este posibil.44] În cazul în care nu există o decizie de adecvare și o garanție adecvată nu este fezabilă, se poate invoca o derogare specifică [articolul 49 alineatul (1)][45] În cele din urmă, în absența celor menționate mai sus, o parte se poate baza pe un interes legitim imperios [articolul 49 alineatul (1)][46] ca temei legal pentru un transfer de date cu caracter personal către terți.

Foaia de parcurs stabilește în mod destul de cuprinzător considerațiile necesare pe care trebuie să le facă participanții la arbitraj. Aceasta subliniază în mai multe rânduri că participanții la arbitraj, și nu arbitrajul ca atare, sunt cei cărora li se aplică principiile de protecție a datelor cu caracter personal și normele de transfer[47]. În conformitate cu aceasta, concluzia prezumtivă este că un arbitru cu sediul în UE care participă la un arbitraj din afara UE, care altfel nu face obiectul GDPR, ar trebui totuși să respecte cerințele GDPR privind prelucrarea și transferul datelor cu caracter personal. Acest lucru este într-adevăr general acceptat în procedurile de arbitraj comercial,[48] dar situația nu este la fel de clară atunci când vine vorba de arbitrajul investitor-stat.

Cazul Tennant Energy, LLC v Guvernul Canadei

În 2019, în cadrul arbitrajului NAFTA Capitolul 11 Tennant Energy, LLC v Government of Canada (Tennant),[49] Tennant, reclamantul, a ridicat problema aplicării GDPR la procedură, având în vedere naționalitatea și domiciliul în Regatul Unit ale unuia dintre membrii tribunalului. Cu toate acestea, tribunalul a dat indicații părților afirmând că "un arbitraj în temeiul capitolului 11 din NAFTA, un tratat la care nici Uniunea Europeană, nici statele membre ale acesteia nu sunt părți, nu intră, în mod prezumtiv, în domeniul de aplicare material al GDPR"[50].

Este important să se facă distincția între arbitrajul bazat pe tratate și arbitrajul comercial, Tennant încadrându-se în prima categorie. Foaia de parcurs se ocupă de această distincție, menționând că organizațiile internaționale pot fi excluse din domeniul de aplicare al legilor privind protecția datelor cu caracter personal[51] Membrii tribunalului din cadrul arbitrajului Tennant pot face obiectul anumitor imunități derivate din Acordul de sediu al Curții Permanente de Arbitraj (APC) cu Țările de Jos. Cu toate acestea, tribunalul NAFTA nu a analizat dacă, în calitate de organizație internațională, PCA ar fi supusă normelor de transfer ale GDPR sau dacă membrii tribunalului ar deriva anumite imunități din acord.

Instrucțiunea Tennant ridică mai multe întrebări decât oferă răspunsuri cu privire la aplicabilitatea GDPR la procedurile NAFTA și, în general, la arbitrajele bazate pe tratate, o discuție nuanțată a acestora depășind domeniul de aplicare actual. Cu toate acestea, direcția Tennant, privită în lumina foii de parcurs, demonstrează că acest subiect rămâne extrem de incert. Este discutabil, în cel mai bun caz, dacă foaia de parcurs aduce vreo claritate participanților la arbitraj care se confruntă cu o astfel de problemă, având în vedere în special faptul că foaia de parcurs a fost emisă după ce a fost emisă directiva Tennant, dar nu a reușit să acorde acesteia din urmă nicio atenție.

Problema videoconferințelor

Foaia de parcurs recunoaște importanța securității datelor cu caracter personal. Cu toate acestea, având în vedere recenta utilizare a tehnologiei suplimentare pentru a facilita audierile virtuale, precum și munca de la domiciliu - alimentată în principal de circumstanțele actuale impuse de pandemia Covid-19 - această problemă are o greutate suplimentară. Protocolul privind securitatea cibernetică[52] și Orientările privind securitatea cibernetică ale IBA[53] au aruncat o oarecare lumină asupra problemei.

Ca și Foaia de parcurs, Protocolul privind securitatea cibernetică stabilește mai multe principii de bază. Se aplică principiul proporționalității, Tribunalul are autoritatea și puterea discreționară de a stabili măsurile de securitate în vigoare, iar securitatea informațiilor este o chestiune care ar trebui discutată la prima conferință de gestionare a cauzei. Anexa A la Protocolul privind securitatea cibernetică oferă o listă de verificare pe care părțile la un arbitraj o pot utiliza pentru a proteja procedurile.

Ca urmare a schimbării recente a modelelor și mediilor de lucru ca urmare a pandemiei Covid-19, acestor aspecte ar trebui să li se acorde mai multă importanță. Într-o lume care a fost presată să găsească noi modalități de desfășurare a afacerilor și să se adapteze la vremuri de incertitudine, una dintre problemele cu care s-a confruntat sectorul juridic este problema audiențelor, combinată cu restricțiile și nevoia de distanțare socială. Ca atare, popularitatea videoconferințelor și utilizarea acestora în cadrul procedurilor de arbitraj internațional este un aspect pe care foaia de parcurs ar trebui să îl abordeze, dar nu a făcut-o - sau, cel puțin, nu încă.

Deși mulți au discutat și au subliniat problemele legate de audierile video, majoritatea nu au reușit să abordeze modul în care ar trebui să li se aplice legislația privind protecția datelor cu caracter personal, nu numai în ceea ce privește protecția datelor cu caracter personal, ci și securitatea, deoarece unele platforme au fost supuse unor atacuri de securitate[54].

După cum s-a discutat mai sus, este esențial să se înțeleagă rolurile diferite ale părților implicate în arbitraj în ceea ce privește GDPR, și anume cine sunt "operatorii de date" și "procesatorii de date". În cazul în care software-ul de videoconferință prelucrează orice date cu caracter personal, cum ar fi numele de utilizator și adresa de e-mail de la utilizarea serviciului de către o parte, acestea vor fi considerate un "operator de date". Aceasta înseamnă că trebuie să adere la normele GDPR dacă oricare dintre participanți are domiciliul în UE. Întrucât Tribunalul este "operatorul de date", va fi responsabilitatea Tribunalului să asigure această conformitate.

Camera Internațională de Comerț (ICC) a publicat o notă de orientare[55] care oferă părților clauze sugerate pentru protocoalele de securitate cibernetică și audierile virtuale. Aceasta urmărește să abordeze aspectul securității, dar nu și aspectul protecției datelor cu caracter personal. Foaia de parcurs ar trebui să discute posibilitățile în care protecția datelor cu caracter personal s-ar aplica audierilor desfășurate virtual și, de asemenea, modul de respectare a acestora. Deși GDPR specifică cerințele care trebuie îndeplinite în ceea ce privește videoconferințele, acesta nu oferă orientări cu privire la modul în care cerințele sale sunt direct aplicabile.

Deși foaia de parcurs nu oferă recomandări cu privire la anumiți furnizori de software, aceasta ar putea compila și oferi practicienilor o listă cu specificațiile necesare ale unui software ideal pentru audiențe video, la fel cum oferă liste de verificare cu privire la diverse alte aspecte în anexele sale.

Care este locul finanțatorilor terți?

Prin terț finanțator se înțelege orice persoană care nu este parte la procedura arbitrală și care încheie un acord de finanțare totală sau parțială a costurilor procedurii în schimbul unei sume care depinde în totalitate sau parțial de rezultatul cauzei[56]. Terții finanțatori au acces la diverse date cu caracter personal în cadrul procedurilor arbitrale pe care le finanțează sau pe care intenționează să le finanțeze. Deși foaia de parcurs se adresează în mod expres numai participanților la arbitraj, aceasta precizează că orientările sunt relevante pentru furnizorii de servicii care sunt, de asemenea, afectați de cerințele privind protecția datelor cu caracter personal[57].

În foaia de parcurs, furnizorii de servicii includ "experți în e-discovery, profesioniști în tehnologia informației, grefieri, servicii de traducere etc."[58], însă finanțatorii terți nu sunt menționați în mod explicit. În conformitate cu GDPR, colectarea și stocarea datelor cu caracter personal sunt incluse în prelucrare. Prin urmare, dacă finanțatorii terți colectează date cu caracter personal de la alte persoane, legislația privind datele cu caracter personal li s-ar aplica și lor[59].

GDPR permite unei părți să prelucreze date cu caracter personal dacă "prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de un terț"[60], ceea ce poate fi potențial citat de participanții la arbitraj ca temei juridic aplicabil pentru prelucrarea datelor cu caracter personal relevante. Există orientări limitate cu privire la acest subiect.[61] Foaia de parcurs prevede că:

"Primul pas într-o evaluare a interesului legitim este identificarea unui interes legitim - care este scopul prelucrării datelor cu caracter personal și de ce este acesta important pentru dumneavoastră, în calitate de operator? În contextul arbitrajului, interesul legitim poate implica administrarea justiției, asigurarea respectării drepturilor părților și soluționarea rapidă și echitabilă a cererilor în temeiul normelor de arbitraj aplicabile, precum și multe alte interese."[62]

Includerea "multor alte interese" ar putea include, eventual, interesul monetar legitim al terților finanțatori. În acest caz, aceștia ar fi în mod clar obligați să încheie acorduri de prelucrare a datelor cu părțile la procedurile de arbitraj și ar fi incluși în domeniul de aplicare al reglementărilor și cerințelor privind protecția datelor cu caracter personal. În mod interesant, foaia de parcurs omite să detalieze în mod explicit modul în care finanțatorii terți se încadrează în această situație, în special având în vedere creșterea includerii lor în procedurile arbitrale.

Un scut pentru nedivulgare

Obligațiile privind protecția datelor cu caracter personal conduc la un potențial de abuz. Părțile arbitrale pot utiliza GDPR ca un scut cu rea-credință pentru a împiedica divulgarea informațiilor relevante pentru procedură sau solicitate de contraparte. De exemplu, o parte se poate opune unei cereri de divulgare susținând că documentele conțin date cu caracter personal care nu au legătură cu litigiul sau că redactarea informațiilor cu caracter personal ar fi excesiv de împovărătoare[63].

Foaia de parcurs abordează potențialul de abuz. Aceasta sugerează ridicarea și clarificarea obligațiilor de protecție a datelor cu caracter personal cât mai curând posibil pentru a reduce riscul ca acestea să afecteze procedurile. Participanții ar trebui să ia în considerare încheierea unui "protocol privind protecția datelor" - un acord privind modul în care protecția datelor cu caracter personal va fi aplicată într-un anumit context. Alternativ, în cazul în care nu este posibil să se ajungă la un protocol semnat privind protecția datelor, aceste aspecte ar trebui abordate în Ordonanța de procedură numărul unu[64].

Cu titlu de comparație, se poate examina conformitatea cu GDPR în timpul descoperirii în litigiile din SUA. Instanțele federale americane au utilizat teste de echilibrare pentru a decide dacă să ordone sau nu divulgarea sau respectarea citațiilor sau a ordinelor de descoperire care ar putea încălca statutele străine, inclusiv legile privind protecția datelor cu caracter personal[65] O listă neexhaustivă de factori analizați de instanțele federale americane este

  • importanța documentelor sau a altor informații solicitate pentru litigiu;
  • gradul de specificitate al cererii;
  • dacă informațiile provin din SUA;
  • disponibilitatea unor mijloace alternative de obținere a informațiilor; și
  • măsura în care nerespectarea cererii ar submina interese importante ale SUA[66].

De cele mai multe ori, instanțele federale solicită divulgarea informațiilor în ciuda potențialelor încălcări ale legislației străine privind protecția datelor cu caracter personal[67].

Arbitrii se confruntă cu considerente diferite de cele ale instanțelor atunci când decid dacă să ordone divulgarea de către o parte. Este corect, după cum se susține în literatura de specialitate,[68] că tribunalele trebuie să fie conștiente de drepturile și obligațiile concurente în lumina amenințării cu anularea sau cu refuzul executării în temeiul Convenției din 1958 privind recunoașterea și executarea sentințelor arbitrale străine (Convenția de la New York). Cu toate acestea, acest punct de vedere nu ține seama de faptul că ordinele de divulgare sunt supuse unei revizuiri minime de către instanțele de stat, având în vedere principiul neinterferenței judiciare[69]. Exemplele de instanțe de stat care se abțin de la a se angaja într-o revizuire a ordinelor de divulgare abundă[70].

Având în vedere marja de apreciere acordată tribunalelor în materie procedurală, este puțin probabil ca amenințarea anulării sau a refuzului executării să fie un considerent central. Inevitabilitatea ca părțile să încerce să abuzeze de obligațiile GDPR pentru a obține un potențial avantaj procedural va pune tribunalele în situații dificile de echilibrare a intereselor persoanei vizate, pe de o parte, și de menținere a unui proces probatoriu solid, pe de altă parte[71] Clarificarea obligațiilor de conformitate în materie de protecție a datelor cu caracter personal la începutul procedurii - de preferință într-un protocol semnat privind protecția datelor - în conformitate cu recomandările foii de parcurs pare a fi o etapă prealabilă pentru a verifica acest comportament.

Nerespectarea cerințelor privind protecția datelor cu caracter personal ca modalitate de anulare și de refuz al recunoașterii și executării

Foaia de parcurs nu abordează dacă nerespectarea cerințelor privind protecția datelor cu caracter personal ar putea fi utilizată pentru anularea unei hotărâri arbitrale sau pentru refuzul recunoașterii și executării acesteia. Părțile dispun de mijloace foarte limitate de recurs împotriva hotărârilor arbitrale. Cu toate acestea, o parte care a pierdut procesul poate dori să conteste rezultatul acestuia și să utilizeze unul dintre principalele motive comune pentru a contesta sentința sau pentru a împiedica recunoașterea sau executarea acesteia.

Convenția de la New York are în prezent 168 de state contractante, ceea ce o transformă în principalul temei juridic pentru recunoașterea și executarea sentințelor străine în arbitrajul comercial internațional. Convenția prevede, la articolul V, motive limitate pe baza cărora recunoașterea și executarea unei hotărâri arbitrale pot fi refuzate. În special în scopul prezentului document, articolul V alineatul (2) litera (b) recunoaște posibilitatea autorității competente a unui stat semnatar de a refuza recunoașterea sau executarea unei hotărâri care încalcă ordinea publică[72].

Motivele pentru care o hotărâre arbitrală poate fi anulată variază de la o jurisdicție la alta. Legea model UNCITRAL privind arbitrajul comercial internațional, care a fost adoptată pe scară largă, stabilește o listă de motive de anulare la articolul 34 alineatul (2). Această listă a fost modelată îndeaproape pe articolul V din Convenția de la New York[73]. Articolul 34 alineatul (2) litera (b) punctul (ii) prevede că o hotărâre arbitrală poate fi anulată de instanță dacă hotărârea este în conflict cu ordinea publică a statului[74].

Curtea Europeană de Justiție (CEJ) a statuat în cauza Eco Swiss v Benetton că dispozițiile imperative imperative ale dreptului UE pot constitui norme fundamentale de ordine publică, a căror încălcare poate constitui un motiv de anulare a unei hotărâri arbitrale bazate pe un astfel de motiv în dreptul intern.[75] Prin urmare, dacă o hotărâre arbitrală poate fi anulată sau dacă recunoașterea sau executarea acesteia poate fi refuzată din cauza nerespectării cerințelor privind protecția datelor cu caracter personal va depinde de faptul dacă normele din GDPR trebuie considerate dispoziții imperative imperative, a căror încălcare este contrară ordinii publice naționale.[76]

Articolul 9 alineatul (1) din Regulamentul Roma I definește dispozițiile imperative primordiale ca dispoziții "a căror respectare este considerată esențială de către o țară pentru salvgardarea intereselor sale publice... în așa măsură încât acestea sunt aplicabile oricărei situații care intră în domeniul lor de aplicare, indiferent de legea aplicabilă în alt mod". După cum au recunoscut anterior Cervenka și Schwarz, majoritatea normelor din GDPR pot fi probabil considerate dispoziții imperative prioritare în conformitate cu dreptul UE. Ca atare, încălcarea lor poate fi considerată o încălcare a ordinii publice[77].

Posibilitatea ca nerespectarea cerințelor privind protecția datelor cu caracter personal să poată duce la anularea sau nerecunoașterea și neexecutarea unei hotărâri arbitrale ridică diverse probleme. În primul rând, ar trebui să se definească cu exactitate obligațiile de protecție a datelor cu caracter personal care ar constitui dispoziții imperative prioritare, deoarece nu toate încălcările au aceeași greutate. În cele din urmă, CEJ va fi probabil chemată să ofere clarificări suplimentare. În al doilea rând, ar trebui, de asemenea, să se ia în considerare abuzul potențial al posibilității de a contesta sau de a contesta executarea unei hotărâri judecătorești pe baza încălcării RGPD, pentru a împiedica părțile să încalce în mod intenționat normele privind protecția datelor cu caracter personal pentru a avea posibilitatea de a recurge ulterior împotriva hotărârii. În cele din urmă, ar trebui definit dacă reglementările privind protecția datelor cu caracter personal vor face parte din dreptul procedural sau material și în ce mod[78].

Deși mai sunt multe de definit, ar trebui abordate consecințele nerespectării cerințelor privind protecția datelor cu caracter personal asupra anulării, precum și asupra recunoașterii și executării sentințelor arbitrale. Este foarte interesant faptul că în foaia de parcurs nu se regăsește nicio mențiune în acest sens.

Concluzii

Foaia de parcurs este menită să ajute profesioniștii din domeniul arbitrajului să identifice și să înțeleagă obligațiile privind protecția datelor cu caracter personal și a vieții private la care pot fi supuși într-un context de arbitraj internațional. Cu toate acestea, astfel cum s-a discutat anterior, aceasta nu abordează încă unele aspecte specifice care sunt relevante și urgente în prezent. Cele șase aspecte identificate și detaliate în prezenta lucrare sunt

  • aplicabilitatea GDPR la arbitrajele desfășurate în afara UE;
  • GDPR în contextul arbitrajelor NAFTA;
  • problema audierilor de arbitraj virtuale;
  • finanțatorii terți și locul lor în foaia de parcurs;
  • potențialul abuz al GDPR; și
  • potențiala nerespectare a GDPR ca o cale de anulare sau de refuz al recunoașterii și executării hotărârii arbitrale.

Fiecare dintre aceste aspecte va justifica o reflecție suplimentară, deoarece se preconizează că acestea vor deveni din ce în ce mai relevante în anii următori. Speranța este că s-a demonstrat că acestea merită să fie incluse în foaia de parcurs.

Anexele[79] adăugate la foaia de parcurs sunt menite să ajute profesioniștii să abordeze aceste cerințe în mod practic. Adăugarea listei de verificare a protecției datelor, a listei de verificare a evaluării interesului legitim, a exemplelor de notificări privind confidențialitatea și a clauzelor contractuale standard ale UE sunt resurse extrem de valoroase și ar trebui utilizate de profesioniști pentru a se asigura că respectă GDPR.

Cu toate acestea, într-o situație de conflict între diferite jurisdicții, diferențele dintre diversele legislații naționale referitoare la protecția datelor cu caracter personal pot duce la ambiguitate. Chiar dacă orientările furnizate de foaia de parcurs sunt ample, acestea nu sunt totuși obligatorii. În trecut, UNCITRAL și IBA s-au orientat spre asigurarea armonizării în arbitrajul internațional prin intermediul normelor, liniilor directoare și altele similare; deși acestea nu sunt obligatorii, ele sunt cu siguranță convingătoare. Așa cum UNCITRAL și IBA au încercat să facă cu diferite aspecte ale arbitrajului internațional, există, de asemenea, o nevoie stringentă de armonizare a cerințelor privind protecția datelor cu caracter personal în ceea ce privește arbitrajul; prin urmare, orientările necesare ar trebui să fie puse în aplicare cu armonizarea în minte.

În timp ce armonizarea, înțelegerea și conștientizarea cerințelor de conformitate cu GDPR și a implicațiilor sale în contextul arbitrajului internațional continuă să lipsească, noi, în calitate de profesioniști în arbitraj, vom continua să ne descurcăm cu cadrul juridic existent în prezent. Cu toate acestea, în ciuda defectelor sale, foaia de parcurs reprezintă un pas foarte necesar și încurajator în direcția unei înțelegeri comune a obligațiilor de protecție a datelor cu caracter personal pentru participanții la arbitraj.

Resurse

  1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO 2016 L 119/1.
  2. "Datele cu caracter personal" sunt definite la articolul 4 din RGPD ca fiind: (1) ""date cu caracter personal" înseamnă orice informații referitoare la o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este cea care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective.
  3. Domeniul de aplicare teritorial al GDPR este definit la articolul 3 după cum urmează:
    1. "Prezentul regulament se aplică prelucrării datelor cu caracter personal în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de operator din Uniune, indiferent dacă prelucrarea are loc sau nu în Uniune.

    2. Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilită în Uniune, în cazul în care activitățile de prelucrare sunt legate de

      (a) oferirea de bunuri sau servicii, indiferent dacă este necesară o plată din partea persoanei vizate, către aceste persoane vizate din Uniune; sau

      (b) monitorizarea comportamentului acestora, în măsura în care comportamentul lor are loc în Uniune.

    3. Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care se aplică legislația unui stat membru în temeiul dreptului internațional public.
  4. A se vedea definiția "persoanei împuternicite de operator" de la articolul 4 din GDPR.
  5. Articolul 83 alineatul (4) din GDPR.
  6. "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22 ianuarie 2019), a se vedea www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fineed £20m over data breach" (BBC, 16 octombrie 2020), a se vedea www.bbc.com/news/technology-54568784.
  7. "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), a se vedea www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, accesat la 18 august 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, februarie 2020), a se vedea https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, accesat la 18 august 2021.
  9. Ibidem, 1.
  10. Cazul PCA nr. 2018-54.
  11. ICCA și New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", a se vedea https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accesat la 18 august 2021.
  12. "Cybersecurity Guidelines" (IBA, octombrie 2018), a se vedea www.ibanet.org/LPRU/Cybersecurity, accesat la 1 decembrie 2020.
  13. "ICC Guidance Note on Possible Measures Aim" (Camera Internațională de Comerț, 9 aprilie 2020), accesat la 18 august 2021.
  14. Foaie de parcurs, secțiunea B.
  15. Ibidem.
  16. Articolul 4, GDPR.
  17. Ibidem.
  18. Articolul 4, GDPR
  19. Ibidem, articolul 3 alineatul (1).
  20. Foaie de parcurs, 7.
  21. Articolul 4 din GDPR.
  22. Foaia de parcurs definește "participanții la arbitraj" ca "incluzând părțile, consilierii lor juridici, arbitrii și instituțiile arbitrale (numai)". A se vedea Foaia de parcurs (n 3), 2.
  23. Articolul 4 din GDPR.
  24. A se vedea Hotărârea din 29 iulie 2019, Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punctele 74, 85. A se vedea și Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; Hotărârea din 10 iulie 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Foaie de parcurs, 11
  26. Ibidem, 12.
  27. Art. 5 și 12-22, GDPR; Foaie de parcurs 14-15.
  28. De exemplu, în temeiul RGPD, prelucrarea datelor cu caracter personal în contextul arbitrajului internațional este legală atunci când este necesară în scopul intereselor legitime ale operatorului de date - sub rezerva unor limitări bazate pe interesele și drepturile fundamentale ale persoanei vizate - iar datele sensibile pot fi prelucrate în temeiul derogării privind creanțele legale [articolul 9 alineatul (2) litera (f)] în contextul arbitrajului.
  29. Foaie de parcurs, 19.
  30. Ibidem, 20-21.
  31. Ibidem, 30-31.
  32. Ibidem, p. 32.
  33. Ibidem, 33-36.
  34. Ibidem, 37-39.
  35. Ibidem, 37.
  36. Ibidem, 39.
  37. Ibidem, 40-41.
  38. Ibidem, 42.
  39. Ibidem, 43.
  40. Articolul 5 alineatul (1) litera (e), GDPR.
  41. Foaie de parcurs, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 august 2019), a se vedea http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accesat la 18 august 2021.
  43. Comisia UE a considerat că țara oferă o protecție adecvată a datelor.
  44. În cazul arbitrajului internațional, aceasta ar fi cel mai probabil o clauză contractuală standard.
  45. Derogarea privind acțiunile în justiție, care permite transferurile atunci când sunt "necesare pentru constatarea, exercitarea sau apărarea unor acțiuni în justiție", este cea mai aplicabilă în contextul arbitrajului.
  46. Datorită pragului său ridicat și a cerinței de notificare, invocarea intereselor legitime imperioase are o relevanță practică redusă. A se vedea EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6 februarie 2018 (Orientări privind transferul de date).
  47. Foaie de parcurs, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 august 2019), a se vedea http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [accesat la 18 august 2021].
  49. Cazul APC nr. 2018-54.
  50. Ibidem, Comunicarea Tribunalului către părți (Perm Ct Arb, 2019).
  51. Foaie de parcurs, 37.
  52. ICCA și New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), a se vedea https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accesat la 18 august 2021.
  53. "Cybersecurity Guidelines" (IBA, octombrie 2018), a se vedea www.ibanet.org/LPRU/Cybersecurity, accesat la 1 decembrie 2020.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 18 iulie 2020), a se vedea http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, accesat la 18 august 2021.
  55. "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9 aprilie 2020), accesat la 18 august 2021.
  56. "Third-Party Funding in International Arbitration: The ICCA-QMUL report", (ICCA, mai 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accesat la 18 august 2018.
  57. Foaie de parcurs, 2.
  58. Ibidem, 23-25.
  59. Articolul 4 alineatul (2) din GDPR, a se vedea n. 1 de mai sus.
  60. Articolul 6 alineatul (1) litera (f) din GDPR.
  61. Allan J Arffa și alții, "GDPR Issues in International Arbitration" (Lexology, 10 august 2020), a se vedea www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, accesat la 18 august 2021.
  62. Foaie de parcurs, anexa 5.
  63. Allan J Arffa și alții, "GDPR Issues in International Arbitration" (Lexology, 10 august 2020), a se vedea www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, accesat la 18 august 2021.
  64. Foaie de parcurs 40-41.
  65. A se vedea, de exemplu: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Ibidem; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6 februarie 2020), a se vedea www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration accesat la 18 august 2021.
  68. David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
  70. Ibidem. Born citează următoarele hotărâri pentru a consolida acest argument: Hotărârea din 22 ianuarie 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" v Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Curtea de Apel din Paris): "decizia tribunalului arbitral de a ordona descoperirea se încadrează în puterea sa discreționară procedurală și nu poate fi revizuită de instanțe"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Cererile de divulgare sunt "în cadrul exercitării rezonabile a puterii discreționare a Tribunalului".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 decembrie 2019), a se vedea www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, accesat la 18 august 2021.
  72. Convenția de la New York, articolul V alineatul (2): "Recunoașterea și executarea unei hotărâri arbitrale pot fi, de asemenea, refuzate dacă autoritatea competentă din țara în care se solicită recunoașterea și executarea constată că... (b) Recunoașterea sau executarea hotărârii ar fi contrară ordinii publice a țării respective.
  73. Secretarul General al ONU, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), articolul 34, punctul 6.
  74. Legea model UNCITRAL privind arbitrajul comercial internațional, articolul 34 alineatul (2): "O hotărâre arbitrală poate fi anulată de instanța menționată la articolul 6 numai dacă...(b) instanța constată că... (ii) hotărârea este în conflict cu ordinea publică a acestui stat".
  75. Hotărârea din 1 iunie 1999, Eco Swiss China Time Ltd/Benetton International NV C-126/97 [1999] ECR I-03055, paragr. 39 și 41. Pentru o discuție detaliată a politicii publice a UE, a se vedea: Sacha Prechal și Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka și Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibidem.
  78. Pentru o discuție mai detaliată a acestor probleme și a altora, a se vedea: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" în José R Mata Dona și Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) par. 5.63 et seq; Cervenka și Schwarz, a se vedea n 76 de mai sus, 84-85.
  79. "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, februarie 2020), a se vedea https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, accesat la 18 august 2021.

Acest articol a fost publicat pentru prima dată în Dispute Resolution International, vol. 15 nr. 2, octombrie 2021, și este reprodus cu permisiunea Asociației Internaționale a Barourilor, Londra, Regatul Unit. © Asociația Internațională a Barourilor.

Înapoi la prezentare generală