iba

Ciocnirea titanilor: GDPR și arbitrajul internațional - o privire spre viitor

Autor: Neva Cirkveni și Per Neuburger

Introducere

În ultimii ani, s-au prezentat întrebări cu privire la implicațiile practice ale confidențialității datelor cu caracter personal și securitatea cibernetică asupra desfășurării efective a arbitrajelor internaționale - mai ales atunci când este luat în considerare ritmul constant al schimbărilor tehnologice.

Regulamentul general privind protecția datelor (GDPR)[i] și-a sărbătorit cea de-a doua aniversare în mai 2020. Cadrul de protecție a datelor cu caracter personal al GDPR urmărește să asigure libera circulație a datelor cu caracter personal ale "persoanelor fizice identificate sau identificabile".[ii] Acesta se aplică în Uniunea Europeană și are un domeniu de aplicare extrateritorială care se poate extinde în afara UE;[iii] GDPR poate afecta nu numai toate persoanele fizice sau juridice, ci supune, de asemenea, autoritățile publice, agențiile și alte organisme - inclusiv, eventual, organizațiile internaționale - unor obligații în materie de protecție a datelor cu caracter personal.[iv] Sancțiunile prevăzute de GDPR se pot ridica la 4 % din cifra de afaceri anuală mondială a entității care a încălcat legea în anul financiar precedent sau la 20 de milioane de euro, oricare dintre acestea este mai mare.[v] Necesitatea de a lua în serios aplicarea acesteia a fost deja stabilită prin amenzi de mai multe milioane de euro care au fost aplicate în mai multe jurisdicții.[vi]

Deși aplicarea legilor privind protecția datelor cu caracter personal la arbitraj este stabilită, modul în care legile ar trebui să fie aplicate nu este. Din acest motiv, Consiliul Internațional pentru Arbitraj Comercial (ICCA) și Asociația Internațională a Barourilor (IBA) au înființat în februarie 2019 un grup de lucru comun privind protecția datelor în procedurile de arbitraj internațional, cu scopul de a elabora un ghid care să ofere îndrumări practice privind protecția datelor cu caracter personal în arbitrajul internațional. Grupul operativ a publicat un proiect de consultare a acestui ghid în martie 2020.[vii] Prezentul comentariu se va baza pe acest proiect de foaie de parcurs ("foaia de parcurs"),[viii] urmând ca versiunea finală, revizuită, a foii de parcurs să fie publicată în septembrie 2021. Deși termenul limită pentru observații cu privire la proiectul de consultare a expirat la momentul redactării acestui document, versiunea preliminară a Foii de parcurs este totuși ilustrativă pentru problemele ridicate de GDPR în arbitrajele internaționale. Prin urmare, aceasta va fi utilizată ca bază de discuție.

Majoritatea legilor privind protecția datelor cu caracter personal sunt obligatorii în procedurile de arbitraj, ceea ce înseamnă că acestea prevăd:

  • ce date cu caracter personal pot fi prelucrate;
  • unde;
  • prin ce mijloace;
  • cu care măsuri de securitate a informațiilor; și
  • pentru cât timp.[ix]

Ei nu abordează, in orice caz, modul în care aceste obligații obligatorii ar trebui să fie respectate în cadrul procedurilor de arbitraj. În absența unor orientări specifice din partea autorităților de reglementare, foaia de parcurs este menită să ajute profesioniștii în arbitraj să identifice și să înțeleagă obligațiile în materie de protecție a datelor cu caracter personal și a vieții private la care pot fi supuși în contextul unui arbitraj internațional. În plus, amploarea protecției GDPR rămâne relevantă în cadrul procedurilor de arbitraj internațional, în principal dacă legile GDPR se aplică în cazul arbitrajelor cu sediul în afara UE. Există diverse implicații suplimentare dacă se constată că GDPR se aplică arbitrajului: în primul rând, dacă este interzisă prelucrarea datelor cu caracter personal și, în al doilea rând, dacă există restricții privind transferurile de date cu caracter personal în afara UE. În cele din urmă, din cauza frecvenței tot mai mari a atacurilor cibernetice, consecințele unui astfel de atac asupra unui arbitraj ar putea atrage daune semnificative.

Acest articol urmărește să ofere comentarii cu privire la foaia de parcurs și să exploreze măsurile practice care ar trebui luate în considerare în ceea ce privește obligațiile de protecție a datelor cu caracter personal în cadrul procedurilor de arbitraj internațional. Acesta identifică Foaia de parcurs ca fiind un instrument promițător, deși incomplet, pentru a completa diversele încercări de armonizare a arbitrajului internațional făcute până în prezent prin intermediul instrumentelor de soft law, în special instrumentele IBA și ale Comisiei Națiunilor Unite pentru dreptul comerțului internațional (UNCITRAL).

În primul rând, va fi prezentat un scurt rezumat al foii de parcurs, care include referiri la principiile GDPR. Acesta nu se dorește a fi o prezentare cuprinzătoare, ci mai degrabă o introducere a principalelor puncte ale Foii de parcurs pentru a oferi cititorului contextul pentru discuțiile ulterioare. În al doilea rând, se va oferi un comentariu care abordează șase aspecte pertinente:

  • aplicabilitatea GDPR în cazul arbitrajelor desfășurate în afara UE;
  • GDPR în contextul arbitrajelor din cadrul Acordului Nord-American de Comerț Liber (NAFTA), așa cum este ilustrat în cauza Tennant Energy, LLC v Government of Canada;[x]
  • problema videoconferințelor, care a crescut foarte mult în importanță pe tot parcursul pandemiei Covid-19, inclusiv referiri la "ICCA-NYC Bar-CPR Protocol privind securitatea cibernetică în arbitrajul internațional" (Protocolul de securitate cibernetică)[xi] Orientările IBA privind securitatea cibernetică[xii] și Nota de orientare a CPI privind posibilele măsuri de atenuare a efectelor pandemiei COVID-19;[xiii]
  • "finanțatori terți" și modul în care aceștia sunt luați în considerare în foaia de parcurs;
  • utilizarea abuzivă a GDPR, în special ca scut de protecție pentru nedivulgare; și
  • potențialul de a utiliza nerespectarea cerințelor de protecție a datelor cu caracter personal ca o cale de anulare sau de refuz de recunoaștere și executare a hotărârii arbitrale.

Considerațiile finale vor fi prezentate în concluzie.

Foaia de parcurs

Persoanele fizice și juridice au obligația de a proteja datele cu caracter personal ale persoanelor vizate. Arbitrajul în sine nu face obiectul unor obligații de protecție a datelor cu caracter personal. Cu toate acestea, în cazul în care doar unul dintre participanții la arbitraj face obiectul obligațiilor de protecție a datelor cu caracter personal, arbitrajul poate fi afectat în ansamblul său. Dacă prelucrarea datelor cu caracter personal se încadrează în legile relevante, în domeniul de aplicare material și jurisdicțional va determina dacă se aplică legile privind protecția datelor cu caracter personal.[xiv]

Legislația modernă privind protecția datelor cu caracter personal se aplică ori de câte ori datele cu caracter personal ale unei persoane vizate sunt prelucrate în timpul activităților care intră în domeniul de aplicare jurisdicțional al legislației relevante privind protecția datelor cu caracter personal.[xv] Datele cu caracter personal includ "orice informație referitoare la o persoană fizică identificată sau identificabilă".[xvi] În timpul procedurilor tipice de arbitraj, porțiuni substanțiale de informații sunt schimbate referitoare, printre altele, la părți, consilierii lor, tribunalul și terțe părți. Ca atare, este probabil ca acestea să fie considerate ca fiind eligibile în cadrul definiției "datelor cu caracter personal". "Persoanele vizate" se referă la persoanele fizice menționate mai sus care sunt identificate sau identificabile.[xvii] Prelucrarea include operațiuni active și pasive, cuprinzând astfel utilizarea, diseminarea și ștergerea datelor cu caracter personal, precum și primirea, organizarea și stocarea datelor cu caracter personal.[xviii] Domeniul de aplicare cuprinde acțiuni ori de câte ori datele cu caracter personal sunt prelucrate în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de operator în UE.[xix] și extrateritorial, cum ar fi atunci când datele cu caracter personal sunt transferate în afara UE către entități sau persoane fizice care, din alte motive, nu fac deja obiectul GDPR.[xx]

Arbitrii vor fi calificați ca operatori de date, ceea ce înseamnă că vor fi responsabili pentru respectarea legislației privind protecția datelor cu caracter personal. Cu toate acestea, pe baza definiției de "operator de date";[xxi] majoritatea participanților la arbitraj[xxii] sunt susceptibile de a fi considerate ca atare, inclusiv avocații, părțile și instituția. Operatorii de date pot delega procesarea datelor către persoanele împuternicite de către procesatori,[xxiii] care se vor afla sub controlul lor și care vor necesita acorduri de prelucrare a datelor în termenii prevăzuți de legislația aplicabilă. Astfel, secretarele, transcriitorii, traducătorii și alții vor fi probabil considerați operatori de date. Există și problema suplimentară a operatorilor comuni care stabilesc împreună scopurile și mijloacele de prelucrare a datelor. Controlul în comun este interpretat în sens larg, dar răspunderea co-controlatorului este limitată doar la prelucrarea pe care acesta a stabilit-o, la scopurile și mijloacele acesteia, și nu la întreaga prelucrare.[xxiv]

În arbitrajele internaționale, restricțiile privind transferurile de date cu caracter personal între jurisdicții reprezintă o modalitate evidentă de aplicare a legislației privind protecția datelor cu caracter personal. Contextul diferiților participanți la arbitraj va determina aplicarea diferitelor regimuri de protecție a datelor cu caracter personal. Legile moderne privind protecția datelor cu caracter personal restricționează transferurile de date cu caracter personal către țări terțe pentru a se asigura că obligațiile legale nu sunt eludate prin transferul de date cu caracter personal către jurisdicții cu standarde mai scăzute de protecție a datelor cu caracter personal.[xxv] GDPR permite transferurile de date cu caracter personal din țări terțe în cazul în care are loc una dintre următoarele situații:

  • țara a fost considerată de către Comisia Europeană ca oferind o protecție adecvată a datelor cu caracter personal;
  • una dintre măsurile de protecție enumerate în mod expres este pusă în aplicare;
  • o derogare care să permită transferurile în cazul în care acestea sunt necesare pentru constatarea, exercitarea sau apărarea unor pretenții legale; sau
  • interesul legitim și imperios al unei părți.[xxvi]

Aceste norme se aplică participanților la arbitraj și nu arbitrajului în ansamblul său, impunând astfel ca fiecare participant la arbitraj să ia în considerare restricțiile privind transferul de date cu caracter personal care i se aplică.

Principiile de protecție a datelor cu caracter personal aplicabile în arbitraj includ prelucrarea corectă și legală, proporționalitatea, minimizarea datelor, limitarea scopului, drepturile persoanelor vizate, acuratețea, securitatea datelor, transparența și responsabilitatea.[xxvii]

Câteva dintre aceste principii necesită comentarii suplimentare. Prelucrarea corectă și legală înseamnă că datele cu caracter personal ar trebui să fie prelucrate numai în moduri la care persoanele vizate se așteaptă în mod rezonabil și că trebuie să existe un temei juridic pentru prelucrare. Aplicând principiul echității, partea și avocatul acesteia trebuie să se întrebe dacă, în contextul tuturor faptelor, persoanele fizice s-ar fi așteptat ca datele lor cu caracter personal să fie prelucrate într-un astfel de mod, dacă acest lucru va avea consecințe negative asupra lor și dacă aceste consecințe sunt justificate. Acest principiu nu va împiedica admiterea ca probe a datelor cu caracter personal găsite în e-mailurile profesionale.

Noțiunea de prelucrare legală presupune un temei juridic care se bazează pe fapte și este specific fiecărui caz în parte. Mai degrabă decât să se bazeze pe consimțământ, ar trebui invocate temeiurile juridice specifice din GDPR.[xxviii]

Proporționalitatea necesită luarea în considerare a naturii, a domeniului de aplicare, a contextului și a scopurilor prelucrării în raport cu riscurile pe care le prezintă persoana vizată.[xxix] Minimizarea datelor impune participanților la arbitraj să limiteze prelucrarea la datele cu caracter personal care sunt adecvate, relevante și limitate la ceea ce este necesar.[xxx] Transparența impune ca persoanele vizate să fie notificate cu privire la prelucrarea și scopul prelucrării datelor cu caracter personal fie prin intermediul unor notificări generale, fie prin notificări specifice, fie prin ambele.[xxxi] Răspunderea se referă la responsabilitatea personală pentru respectarea protecției datelor, ceea ce înseamnă că participanții la arbitraj ar trebui să documenteze toate măsurile de protecție a datelor cu caracter personal și deciziile luate pentru a demonstra conformitatea.[xxxii]

Conformitatea protecției datelor cu caracter personal afectează etapele individuale ale procedurilor de arbitraj internațional, nu numai în timpul arbitrajului în sine, ci și în timpul pregătirilor. Încă de la început, participanții la arbitraj ar trebui să ia în considerare care sunt legile privind protecția datelor cu caracter personal care li se aplică lor și altor participanți la arbitraj și care dintre aceștia vor prelucra date cu caracter personal în calitate de operatori, împuterniciți sau coautori. Ar trebui, de asemenea, să se ia în considerare normele privind transferul de date cu caracter personal din țările terțe și acordurile de prelucrare a datelor cu caracter personal privind furnizorii de servicii terți. În timpul procesului de colectare și revizuire a documentelor, părțile și consilierii lor juridici au nevoie de o bază legală pentru activitățile de prelucrare și pentru transferurile de date cu caracter personal din țări terțe.[xxxiii]

Cererea de arbitraj, precum și observațiile ulterioare, vor include date cu caracter personal care se încadrează direct în domeniul prelucrării. În cazul în care o instituție de arbitraj este obligată să respecte legile aplicabile privind protecția datelor cu caracter personal, aceasta trebuie să ia în considerare eventualele obligații de protecție a datelor cu caracter personal care se aplică în timpul fiecărei etape procedurale. În cazul în care o instituție de arbitraj face obiectul GDPR, aceasta va deveni, de obicei, un operator de date cu caracter personal. Pentru a se conforma articolelor 13 și 14 din GDPR, o astfel de instituție ar trebui să includă în avizul său de confidențialitate informații privind măsurile de securitate, exercitarea drepturilor persoanelor vizate, păstrarea înregistrărilor și politicile privind încălcarea și păstrarea datelor.[xxxiv] Cu toate acestea, organizațiile internaționale care administrează arbitraje între investitori și state pot fi excluse din domeniul de aplicare a legislației privind protecția datelor cu caracter personal datorită privilegiilor și imunităților din statul constitutiv sau dintr-un acord cu țara gazdă. Prin urmare, în acest caz trebuie să se facă considerații separate, inclusiv, printre altele, dacă organizația este obligată să respecte legile privind protecția datelor cu caracter personal și dacă - și în ce măsură - participanții la arbitraj ar fi acoperiți de privilegii și imunități.[xxxv]

În timpul numirii arbitrilor unui tribunal arbitral, se face, în general, un schimb semnificativ de date cu caracter personal ale potențialilor arbitri. Participanții la arbitraj ar trebui să includă temeiul juridic pentru prelucrarea acestor date cu caracter personal în notificările lor legale și să notifice în mod expres arbitrii care sunt luați în considerare pentru numire cu privire la prelucrarea datelor lor cu caracter personal, în special în cazul transferurilor de date cu caracter personal din țări terțe.[xxxvi]

Odată ce arbitrajul este în curs de desfășurare, responsabilitățile privind conformitatea în materie de protecție a datelor cu caracter personal ar trebui să fie alocate din timp pentru a minimiza riscurile. Protecția datelor cu caracter personal ar trebui să fie inclusă pe ordinea de zi a primei conferințe de procedură, iar participanții la arbitraj ar trebui să încerce să convină asupra modului în care să abordeze cât mai devreme posibil conformitatea cu protecția datelor cu caracter personal. Părțile, avocații acestora și arbitrii ar trebui să ia în considerare încheierea unui protocol de protecție a datelor cu caracter personal pentru a gestiona în mod eficient problemele de conformitate. În cazul în care acest lucru nu este posibil, o opțiune alternativă este ca Tribunalul să le includă în Ordinul de procedură numărul unu.[xxxvii]

În procesul de producere și divulgare a documentelor, principiul minimizării datelor cu caracter personal este deosebit de relevant. În conformitate cu GDPR, acest lucru ar necesita probabil:

  • limitarea datelor cu caracter personal divulgate la cele relevante și care nu sunt duplicate;
  • identificarea datelor cu caracter personal conținute în materialul de răspuns; și
  • redactarea sau pseudonimizarea datelor cu caracter personal inutile.

Aceste aspecte ar trebui, de asemenea, să fie luate în considerare la începutul procedurii, de preferință la sau înainte de prima conferință de procedură.[xxxviii]

Atunci când vine vorba de pronunțarea de premii, arbitrii și instituțiile ar trebui să ia în considerare baza și necesitatea de a include date cu caracter personal în premii. În cazul în care arbitrajul este confidențial, există totuși riscul ca o hotărâre să devină publică atunci când este executată. Chiar dacă datele cu caracter personal sunt redactate, acestea rămân de obicei date cu caracter personal, deoarece persoana vizată poate fi identificată din restul hotărârii sau din materialele conexe.[xxxix]

Păstrarea și ștergerea datelor sunt considerate prelucrare în conformitate cu RGPD, care prevede că datele cu caracter personal sunt "păstrate într-o formă care să permită identificarea persoanelor vizate pentru o perioadă de timp care nu depășește perioada necesară pentru îndeplinirea scopurilor pentru care sunt prelucrate datele cu caracter personal".[xl] Controlorii trebuie să ia în considerare, să documenteze și să fie capabili să justifice durata de stocare. Participanții la arbitraj trebuie să analizeze ce perioadă de păstrare a datelor este rezonabilă și trebuie să adopte o abordare proporțională pentru a echilibra nevoile lor cu impactul păstrării datelor asupra subiectului.[xli]

Aplicabilitatea GDPR la arbitrajele desfășurate în afara UE

Domeniul de aplicare teritorial al Regulamentului general privind protecția datelor este relativ larg. Practicienii ar trebui să fie conștienți de aplicarea acestuia, indiferent dacă se află sau nu în UE sau dacă arbitrajul are loc în UE. RGPD se aplică prelucrării datelor cu caracter personal de către operatorii sau persoanele împuternicite de operatori stabiliți în UE, indiferent dacă prelucrarea în sine are loc în UE [articolul 3 alineatul (1)]. În plus, atunci când este vorba de oferirea de bunuri sau servicii cetățenilor UE sau de monitorizarea comportamentului care are loc în UE, GDPR se aplică prelucrării datelor cu caracter personal de către un operator sau o persoană împuternicită de operator care nu este stabilită în UE [articolul 3 alineatul (2)].

Aplicat în contextul arbitrajului, GDPR impune obligații asupra operatorilor și procesatorilor de date - arbitri, avocați, părți și instituții - care intră în domeniul său de aplicare material și teritorial, mai degrabă decât asupra procedurii de arbitraj în mod direct. Chiar dacă este vorba doar de un singur participant la arbitraj care are o legătură cu UE, acesta va fi obligat să prelucreze datele cu caracter personal în conformitate cu GDPR. Pot apărea implicații pentru întreaga procedură în ansamblul ei.[xlii]

Poate cel mai notabil în contextul arbitrajului internațional, unde transferul de materiale de arbitraj care conțin date cu caracter personal este ceva obișnuit, sunt restricțiile impuse asupra transferului de date cu caracter personal către "țări terțe" din afara Spațiului Economic European (SEE). Într-un astfel de scenariu, este necesar unul dintre cele patru temeiuri legale pentru ca transferurile de date cu caracter personal să fie permise. În primul rând, transferul către o țară terță este permis în cazul în care țara terță face obiectul unei decizii de adecvare [articolul 45 alineatul (1)].[xliii] În caz contrar, ar trebui să se instituie una dintre garanțiile corespunzătoare [articolul 46 alineatul (1)], atunci când este posibil.[xliv] În cazul în care nu există o decizie de adecvare și nu este posibilă o măsură de salvgardare adecvată, se poate recurge la o derogare specifică [articolul 49 alineatul (1)].[xlv] În cele din urmă, în absența celor menționate anterior, o parte poate invoca un interes legitim imperios [articolul 49 alineatul (1)].[xlvi] ca bază legală pentru un transfer de date cu caracter personal de la o terță parte.

Foaia de parcurs stabilește destul de cuprinzător considerațiile necesare pe care participanții la arbitraj trebuie să facă. Aceasta subliniază în mai multe rânduri faptul că principiile de protecție a datelor cu caracter personal și normele de transfer se aplică participanților la arbitraj, și nu arbitrajului ca atare.[xlvii] În conformitate cu aceasta, concluzia prezumtivă este că un arbitru cu sediul în UE pentru un arbitraj din afara UE care nu face altfel obiectul GDPR ar trebui totuși să respecte cerințele GDPR privind prelucrarea și transferul de date cu caracter personal. Acest lucru este, într-adevăr, general acceptat în procedurile de arbitraj comercial,[xlviii] dar situația nu este la fel de clară atunci când vine vorba de arbitrajul investitor-stat.

Cauza Tennant Energy, LLC împotriva Guvernului Canadei

În 2019, în arbitrajul din capitolul 11 al NAFTA Tennant Energy, LLC/Guvernul Canadei (Tennant),[xlix] Tennant, reclamantul, a ridicat problema aplicării GDPR în cadrul procedurii, având în vedere naționalitatea și domiciliul din Regatul Unit al unuia dintre membrii tribunalului. Cu toate acestea, tribunalul a emis instrucțiuni către părți, declarând că "un arbitraj în temeiul capitolului 11 din NAFTA, un tratat la care nici Uniunea Europeană și nici statele membre ale acesteia nu sunt părți, nu intră, în mod prezumtiv, în domeniul de aplicare material al GDPR".[l]

Este important să se facă distincția între arbitraj bazat pe tratat și arbitraj comercial, cu Tennant se încadrează în prima categorie. Foaia de parcurs abordează această distincție, menționând că organizațiile internaționale pot fi excluse din domeniul de aplicare a legilor privind protecția datelor cu caracter personal.[li] Membrii tribunalului în arbitrajul Tennant poate fi supus anumitor imunități derivate din Curtea Permanentă de Arbitraj (APC) Acordul de sediu cu Țările de Jos. Cu toate acestea, tribunalul NAFTA nu a luat în considerare dacă, în calitate de organizație internațională, APC ar fi supusă normelor de transfer ale GDPR sau dacă membrii tribunalului ar deriva anumite imunități din acord.

The Tennant direcția ridică mai multe întrebări decât oferă răspunsuri cu privire la aplicabilitatea GDPR la procedurile NAFTA și la arbitrajele bazate pe tratate, în general, o discuție nuanțată a cărei nuanță este dincolo de domeniul de aplicare actual. Cu toate acestea, direcția Tennant, privită în lumina Foii de parcurs, demonstrează că acest subiect rămâne foarte incert. În cel mai bun caz, este discutabil dacă Foaia de parcurs aduce vreo claritate participanților la arbitraj care se confruntă cu o astfel de problemă, având în vedere în special faptul că Foaia de parcurs a fost emisă după ce Tennant a fost emisă o directivă, dar nu a acordat acesteia din urmă nicio considerație.

Problema videoconferințelor

Foaia de parcurs recunoaște importanța securității datelor cu caracter personal. Cu toate acestea, având în vedere recenta utilizare a tehnologiei suplimentare pentru a facilita audierile virtuale, precum și munca de acasă - alimentată în principal de circumstanțele actuale impuse de pandemia Covid-19 - această problemă are o greutate suplimentară. Protocolul privind securitatea cibernetică[lii] și Ghidul de securitate cibernetică al IBA[liii] au făcut lumină în această problemă.

La fel ca foaia de parcurs, Protocolul privind securitatea cibernetică stabilește mai multe principii de bază. Se aplică principiul proporționalității, Tribunalul are autoritatea și puterea discreționară de a determina măsurile de securitate în vigoare, iar securitatea informațiilor este o chestiune care ar trebui discutată la prima conferință de gestionare a cauzei. Anexa A la Protocolul privind securitatea cibernetică oferă o listă de verificare pe care părțile la un arbitraj o pot utiliza pentru a proteja procedurile.

Ca urmare a recentei schimbări în modelele și mediile de lucru datorate pandemiei Covid-19, acestor aspecte ar trebui să li se acorde mai multă importanță. Într-o lume care a fost presată să găsească noi modalități de desfășurare a activității și să se adapteze la vremuri de incertitudine, una dintre problemele cu care s-a confruntat sectorul juridic este problema audiențelor combinate cu restricții și cu nevoia de distanțare socială. Ca atare, popularitatea videoconferințelor și utilizarea acestora în cadrul procedurilor de arbitraj internațional este un aspect pe care foaia de parcurs ar trebui să îl abordeze, dar nu a făcut-o - sau, cel puțin, nu încă.

Deși mulți au discutat și au subliniat problemele legate de audierile video, cei mai mulți nu au reușit să abordeze modul în care ar trebui să li se aplice legile privind protecția datelor cu caracter personal, nu numai în ceea ce privește protecția datelor cu caracter personal, ci și în ceea ce privește securitatea, deoarece unele platforme au fost supuse unor atacuri de securitate.[liv]

După cum s-a discutat mai sus, este esențial să se înțeleagă diferitele roluri ale părților implicate în arbitraj în ceea ce privește GDPR, și anume cine sunt "operatorii de date" și "procesatorii de date". În cazul în care software-ul de videoconferință prelucrează date cu caracter personal, cum ar fi numele de utilizator și adresa de e-mail din utilizarea serviciului de către o parte, acesta va fi considerat un "operator de date". Acest lucru înseamnă că trebuie să respecte normele GDPR dacă oricare dintre participanți are domiciliul în UE. Întrucât Tribunalul este "operatorul de date", va fi atunci responsabilitatea Tribunalului să asigure această conformitate.

Camera Internațională de Comerț (ICC) a publicat o notă de orientare[lv] care pune la dispoziția părților clauze sugerate pentru protocoale de securitate cibernetică și audieri virtuale. Acesta vizează abordarea aspectului de securitate, dar nu abordează aspectul protecției datelor cu caracter personal. Foaia de parcurs ar trebui să discute posibilitățile în care protecția datelor cu caracter personal s-ar aplica audierilor desfășurate în mod virtual și, de asemenea, modul de aderare la acestea. În timp ce GDPR specifică cerințele care trebuie îndeplinite în ceea ce privește videoconferințele, acesta nu oferă orientări cu privire la modul în care cerințele sale sunt direct aplicabile.

Deși Foaia de parcurs nu oferă recomandări cu privire la anumiți furnizori de software, aceasta ar putea compila și pune la dispoziția practicienilor o listă cu specificațiile necesare ale unui software ideal pentru audieri video, la fel cum oferă liste de verificare privind diverse alte aspecte în anexele sale.

Care este rolul finanțatorilor terțiari?

Un finanțator terț este înțeles ca fiind orice non-parte la procedurile de arbitraj care intră într-un acord pentru a finanța toate sau o parte din costul procedurilor în schimbul unei sume care este în întregime sau parțial dependentă de rezultatul cazului.[lvi] Finanțatorii terți au acces la diverse date cu caracter personal în procedurile de arbitraj pe care le finanțează sau pe care intenționează să le finanțeze. Deși foaia de parcurs se adresează în mod expres doar participanților la arbitraj, se precizează că orientările sunt relevante pentru furnizorii de servicii care sunt, de asemenea, afectați de cerințele privind protecția datelor cu caracter personal.[lvii]

În foaia de parcurs, furnizorii de servicii includ "experți în e-discovery, profesioniști în domeniul tehnologiei informației, grefieri, servicii de traducere etc.".[lviii] dar finanțatorii terți nu sunt menționați în mod explicit. În conformitate cu GDPR, colectarea și stocarea datelor cu caracter personal sunt incluse în procesare. Astfel, dacă finanțatorii terți colectează date cu caracter personal de la alte persoane, legile privind datele cu caracter personal se vor aplica și lor.[lix]

GDPR permite unei părți să prelucreze date cu caracter personal dacă "prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o terță parte",[lx] care ar putea fi invocată de participanții la arbitraj ca temei juridic aplicabil pentru prelucrarea datelor cu caracter personal relevante. Există orientări limitate cu privire la acest subiect.[lxi] Foaia de parcurs prevede:

"Primul pas în evaluarea interesului legitim este identificarea unui interes legitim - care este scopul prelucrării datelor cu caracter personal și de ce este important pentru dumneavoastră, în calitate de operator? În contextul arbitrajului, interesul legitim poate implica administrarea justiției, asigurând respectarea drepturilor părților și soluționarea rapidă și echitabilă a cererilor în conformitate cu normele de arbitraj aplicabile, precum și multe alte interese'.[lxii]

Includerea "multor alte interese" ar putea include interesul monetar legitim al terților finanțatori. În acest caz, aceștia ar fi în mod clar obligați să încheie acorduri de prelucrare a datelor cu părțile la procedurile de arbitraj și ar fi incluși în domeniul de aplicare a reglementărilor și cerințelor privind protecția datelor cu caracter personal. În mod interesant, foaia de parcurs omite să detalieze în mod explicit modul în care se încadrează finanțatorii terți, în special având în vedere creșterea includerii acestora în procedurile de arbitraj.

Un scut pentru nedivulgare

Obligațiile de protecție a datelor cu caracter personal conduc la un potențial de abuz. Părțile arbitrale pot folosi GDPR ca scut cu rea-credință pentru a împiedica divulgarea de informații relevante pentru procedură sau solicitate de către contraparte. De exemplu, o parte se poate opune unei cereri de divulgare a informațiilor susținând că documentele conțin date cu caracter personal care nu au legătură cu litigiul sau că redactarea informațiilor cu caracter personal ar fi excesiv de împovărătoare.[lxiii]

Foaia de parcurs abordează potențialul de abuz. Aceasta sugerează să se ridice și să se clarifice obligațiile privind protecția datelor cu caracter personal cât mai devreme posibil pentru a reduce riscul ca acestea să aibă un impact asupra procedurilor. Participanții ar trebui să ia în considerare încheierea unui "protocol de protecție a datelor" - un acord privind modul în care va fi aplicată protecția datelor cu caracter personal într-un anumit context. În mod alternativ, în cazul în care nu este posibil să se ajungă la un protocol semnat privind protecția datelor, aceste aspecte ar trebui abordate în Ordinul de procedură numărul unu.[lxiv]

Ca o comparație, se poate analiza conformitatea cu GDPR în timpul descoperirii în cadrul unui litigiu în SUA. Instanțele federale din SUA au utilizat teste de echilibrare pentru a decide dacă să ordone sau nu divulgarea sau respectarea citațiilor sau a ordinelor de descoperire care pot încălca legile străine, inclusiv legile privind protecția datelor cu caracter personal.[lxv] O listă neexhaustivă a factorilor luați în considerare de instanțele federale americane este:

  • importanța documentelor sau a altor informații solicitate în cadrul litigiului;
  • gradul de specificitate al cererii;
  • dacă informația provine din SUA;
  • disponibilitatea unor mijloace alternative de securizare a informațiilor; și
  • măsura în care nerespectarea ar submina interese importante ale SUA.[lxvi]

De cele mai multe ori, instanțele federale solicită divulgarea, în ciuda posibilelor încălcări ale legilor străine privind protecția datelor cu caracter personal.[lxvii]

Arbitrii se confruntă cu considerente diferite decât instanțele de judecată atunci când decid dacă să dispună divulgarea de către o parte. Este corect, așa cum se argumentează în literatura de specialitate,[lxviii] că tribunalele trebuie să fie conștienți de drepturile și obligațiile concurente în lumina amenințării de anulare sau de executare refuzată în conformitate cu 1958 Convenția privind recunoașterea și executarea sentințelor arbitrale străine (Convenția de la New York). Cu toate acestea, acest punct de vedere nu ține seama de faptul că ordinele de divulgare a informațiilor sunt supuse unei revizuiri minime de către instanțele de stat, având în vedere principiul neamestecului judiciar.[lxix] Exemplele de instanțe de stat care se abțin de la examinarea ordinelor de divulgare a informațiilor abundă.[lxx]

Având în vedere marja de apreciere acordată tribunalelor în chestiuni procedurale, este puțin probabil ca amenințarea de anulare sau de refuz de executare să fie un considerent central. Inevitabilitatea părților care încearcă să abuzeze de obligațiile prevăzute de GDPR pentru a obține un potențial avantaj procedural va pune tribunalele în poziții dificile de echilibrare a intereselor persoanei vizate, pe de o parte, și de menținere a unui proces probatoriu solid, pe de altă parte.[lxxi] Clarificarea obligațiilor de conformitate în materie de protecție a datelor cu caracter personal la începutul procedurii - de preferință printr-un protocol semnat privind protecția datelor - în conformitate cu recomandările din Foaia de parcurs pare a fi un pas necesar pentru a verifica acest comportament.

Nerespectarea cerințelor de protecție a datelor cu caracter personal ca o cale de anulare și de refuz al recunoașterii și executării

Foaia de parcurs nu abordează dacă nerespectarea cerințelor de protecție a datelor cu caracter personal ar putea fi utilizată pentru a anula o hotărâre arbitrală sau pentru a refuza recunoașterea și executarea acesteia. Părțile dispun de mijloace foarte limitate de recurs împotriva sentințelor. Cu toate acestea, o parte care nu a avut câștig de cauză poate dori să conteste rezultatul acesteia și să utilizeze unul dintre principalele motive comune pentru a contesta hotărârea sau pentru a împiedica recunoașterea sau executarea acesteia.

Convenția de la New York are în prezent 168 statele contractante, ceea ce face ca acesta să fie principalul temei juridic pentru recunoașterea și executarea sentințelor străine în arbitrajul comercial internațional. Convenția prevede, la articolul V, motive limitate pe baza cărora se poate refuza recunoașterea și executarea unei hotărâri arbitrale. Cel mai important pentru scopurile prezente, articolul V alineatul (2) litera (b) recunoaște posibilitatea ca autoritatea competentă a unui stat semnatar să refuze recunoașterea sau executarea unei hotărâri care încalcă ordinea publică.[lxxii]

Motivele pentru care o hotărâre arbitrală poate fi anulată variază între diferitele jurisdicții. Legea model UNCITRAL privind arbitrajul comercial internațional, care a fost adoptată pe scară largă, stabilește o listă de motive de anulare la articolul 34 alineatul (2). Această listă a fost inspirată îndeaproape de articolul V din Convenția de la New York.[lxxiii] Articol 34(2)(2)(b)(ii) prevede că o hotărâre arbitrală poate fi anulată de către instanță în cazul în care hotărârea este în conflict cu politica publică a statului.[lxxiv]

Curtea Europeană de Justiție (CEJ) a declarat în Eco Swiss v Benetton că dispozițiile imperative ale dreptului UE pot constitui norme fundamentale de ordine publică, a căror încălcare poate constitui un motiv de anulare a unei hotărâri arbitrale bazate pe un astfel de motiv în dreptul intern.[lxxv] Dacă o hotărâre poate fi anulată sau nu, sau dacă recunoașterea sau executarea acesteia poate fi refuzată din cauza nerespectării cerințelor privind protecția datelor cu caracter personal, va depinde, prin urmare, de faptul dacă normele GDPR trebuie considerate dispoziții imperative prioritare, a căror încălcare este contrară ordinii publice naționale.[lxxvi]

Articolul 9 alineatul (1) din Regulamentul Roma I definește dispozițiile imperative ca fiind dispoziții "a căror respectare este considerată de o țară ca fiind esențială pentru protejarea intereselor sale publice... într-o asemenea măsură încât acestea sunt aplicabile oricărei situații care intră în domeniul lor de aplicare, indiferent de legea aplicabilă în alt mod". După cum au recunoscut anterior Cervenka și Schwarz, majoritatea normelor din GDPR pot fi considerate probabil ca fiind dispoziții imperative prioritare în conformitate cu legislația UE. Ca atare, încălcarea acestora poate fi considerată o încălcare a ordinii publice.[lxxvii]

Posibilitatea ca nerespectarea cerințelor de protecție a datelor cu caracter personal să ducă la anularea sau la nerecunoașterea și neexecutarea unei hotărâri arbitrale ridică diverse probleme. În primul rând, ar trebui să se definească cu precizie care obligații privind protecția datelor cu caracter personal ar constitui dispoziții imperative de prim rang, deoarece nu toate încălcările au aceeași greutate. În cele din urmă, este probabil ca CEJ să fie chemată să ofere clarificări suplimentare. În al doilea rând, ar trebui luat în considerare și potențialul abuz al posibilității de a contesta sau de a contesta executarea unei hotărâri pe baza încălcării RGPD, pentru a împiedica părțile să încalce în mod intenționat normele de protecție a datelor cu caracter personal pentru a avea posibilitatea de a recurge ulterior împotriva hotărârii. În cele din urmă, ar trebui să se definească dacă reglementările privind protecția datelor cu caracter personal ar face parte din dreptul procedural sau material și în ce mod.[lxxviii]

Deși mai sunt multe de definit, ar trebui abordate consecințele nerespectării cerințelor privind protecția datelor cu caracter personal asupra anulării, precum și asupra recunoașterii și executării sentințelor arbitrale. Este foarte interesant faptul că în foaia de parcurs nu se face nicio mențiune în acest sens.

Concluzie

Foaia de parcurs este menită să ajute profesioniștii din domeniul arbitrajului să identifice și să înțeleagă obligațiile privind protecția datelor cu caracter personal și a vieții private la care pot fi supuși în contextul unui arbitraj internațional. Cu toate acestea, după cum s-a discutat anterior, aceasta încă nu abordează unele aspecte specifice care sunt relevante și presante în prezent. Cele șase aspecte identificate și dezvoltate în acest document sunt următoarele:

  • aplicabilitatea GDPR în cazul arbitrajelor desfășurate în afara UE;
  • GDPR în contextul arbitrajelor NAFTA;
  • problema audierilor de arbitraj virtuale;
  • finanțatorii terți și locul acestora în foaia de parcurs;
  • potențialul abuz al GDPR; și
  • potențiala neconformitate cu GDPR ca o cale de anulare sau de refuz de recunoaștere și executare a hotărârii arbitrale.

Fiecare dintre aceste aspecte va necesita o reflecție mai aprofundată, deoarece se preconizează că vor deveni din ce în ce mai relevante în anii următori. Speranța este că s-a demonstrat că acestea merită să fie incluse în foaia de parcurs.

Anexele[lxxix] adăugate la foaia de parcurs sunt menite să ajute profesioniștii să abordeze aceste cerințe în mod practic. Adăugarea listei de verificare privind protecția datelor, a listei de verificare privind evaluarea interesului legitim, a exemplelor de notificări de confidențialitate și a clauzelor contractuale standard ale UE reprezintă resurse extrem de valoroase și ar trebui folosite de profesioniști pentru a se asigura că sunt conforme cu GDPR.

Cu toate acestea, într-o situație de conflict între diferite jurisdicții, diferențele dintre diferitele legislații naționale referitoare la protecția datelor cu caracter personal pot duce la ambiguitate. Chiar dacă orientările furnizate de Foaia de parcurs sunt de mare anvergură, acestea nu sunt totuși obligatorii. În trecut, UNCITRAL și IBA s-au orientat spre armonizarea arbitrajului internațional prin intermediul regulilor, orientărilor și altele similare; deși acestea nu sunt obligatorii, sunt cu siguranță convingătoare. Așa cum CNUDCI și IBA au încercat să facă cu diverse aspecte ale arbitrajului internațional, există, de asemenea, o nevoie stringentă de armonizare în ceea ce privește cerințele de protecție a datelor cu caracter personal în ceea ce privește arbitrajul; prin urmare, ar trebui să se instituie orientările necesare, având în vedere armonizarea.

În timp ce armonizarea, înțelegerea și conștientizarea cerințelor de conformitate cu GDPR și implicațiile sale în contextul arbitrajului internațional rămân deficitare, noi, în calitate de profesioniști în arbitraj, vom continua să ne mulțumim cu cadrul juridic existent în prezent. Cu toate acestea, în ciuda defectelor sale, foaia de parcurs prezintă un pas foarte necesar și încurajator în direcția unei înțelegeri comune a obligațiilor privind protecția datelor cu caracter personal pentru participanții la arbitraj.

[i] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO 2016 L 119/1.

[ii] "Datele cu caracter personal" sunt definite la articolul 4 din GDPR ca fiind:

(1) ""date cu caracter personal" înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a persoanei fizice respective.

[iii] Domeniul de aplicare teritorial al GDPR este definit la articolul 3, după cum urmează:

  1. "Prezentul regulament se aplică prelucrării datelor cu caracter personal în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de operator în Uniune, indiferent dacă prelucrarea are loc sau nu în Uniune.
  2. Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilită în Uniune, în cazul în care activitățile de prelucrare sunt legate de:

(a) oferirea de bunuri sau servicii, indiferent dacă este necesară sau nu o plată din partea persoanei vizate, unor astfel de persoane vizate din Uniune; sau

(b) monitorizarea comportamentului acestora, în măsura în care comportamentul lor are loc în cadrul Uniunii.

  1. Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care se aplică legislația unui stat membru în temeiul dreptului internațional public.

[iv] A se vedea definiția "persoanei împuternicite de către operator" la articolul 4 din RGPD.

[v] Articolul 83 alineatul (4) din RGPD.

[vi] "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22 ianuarie 2019), a se vedea www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16 octombrie 2020), a se vedea www.bbc.com/news/technology-54568784.

[vii] "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), a se vedea www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, accesat 18 august 2021.

[viii] Foaia de parcurs ICCA-IBA pentru protecția datelor în arbitrajul internațional" (ICCA, februarie 2020), a se vedea https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, accesat la 18 august 2021.

[ix] Ibidem, 1.

[x] Cazul APC nr. 2018-54.

[xi] ICCA și New York City Bar și Institutul Internațional pentru Prevenirea și Rezolvarea Conflictelor, "ICCA-NYC Bar-CPR Protocol privind securitatea cibernetică în arbitrajul internațional (Ediția 2020)", a se vedea https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accesat 18 august 2021.

[xii] "Cybersecurity Guidelines" (IBA, octombrie 2018), a se vedea www.ibanet.org/LPRU/Cybersecurity, accesat la 1 decembrie 2020.

[xiii] "ICC Guidance Note on Possible Measures Aim" (ICC Guidance Note on Possible Measures Aim) (Camera Internațională de Comerț, 9 aprilie 2020), accesat la 18 august 2021.

[xiv] Foaia de parcurs, secțiunea B.

[xv] Ibidem.

[xvi] Articolul 4, GDPR.

[xvii] Ibidem.

[xviii] Articolul 4, GDPR

[xix] Ibidem, articolul 3 alineatul (1).

[xx] Foaie de parcurs, 7.

[xxi] Articolul 4, GDPR.

[xxii] Foaia de parcurs definește "participanții la arbitraj" ca fiind "inclusiv părțile, consilierii lor juridici, arbitrii și instituțiile de arbitraj (numai)". A se vedea Foaia de parcurs (n. 3), 2.

[xxiii] Articolul 4, GDPR.

[xxiv] A se vedea Hotărârea din 29 iulie 2019, Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punctele 74, 85. A se vedea, de asemenea, Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; Hotărârea din 10 iulie 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Foaie de parcurs, 11

[xxvi] Ibidem, 12.

[xxvii] Articolele 5 și 12-22, GDPR; Foaia de parcurs 14-15.

[xxviii] De exemplu, în conformitate cu RGPD, prelucrarea datelor cu caracter personal în contextul arbitrajului internațional este legală atunci când este necesară în scopul intereselor legitime ale operatorului de date - sub rezerva unor limitări bazate pe interesele și drepturile fundamentale ale persoanei vizate - iar datele sensibile pot fi prelucrate în temeiul derogării privind creanțele legale [articolul 9 alineatul (2) litera (f)] în contextul arbitrajului.

[xxix] Foaie de parcurs, 19.

[xxx] Ibidem, 20-21.

[xxxi] Ibidem, 30-31.

[xxxii] Ibidem, 32.

[xxxiii] Ibidem, 33-36.

[xxxiv] Ibidem, 37-39.

[xxxv] Ibidem, 37.

[xxxvi] Ibidem, 39.

[xxxvii] Ibidem, 40-41.

[xxxviii] Ibidem, 42.

[xxxix] Ibidem, 43.

[xl] Articolul 5 alineatul (1) litera (e) din RGPD.

[xli] Foaie de parcurs, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] Comisia Europeană a considerat că această țară oferă o protecție adecvată a datelor.

[xliv] În cazul arbitrajului internațional, acest lucru ar fi cel mai probabil o clauză contractuală standard.

[xlv] Derogarea privind cererile în justiție, care permite transferurile "necesare pentru constatarea, exercitarea sau apărarea unor cereri în justiție", este cea mai aplicabilă în contextul arbitrajului.

[xlvi] Din cauza pragului ridicat și a cerinței de notificare, invocarea unor interese legitime imperioase are o relevanță practică redusă. A se vedea EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6 februarie 2018 (Data Transfer Guidance).

[xlvii] Foaie de parcurs, 8, 13.

[xlviii] Emily Hay, "Brațul invizibil al GDPR în arbitrajul internațional de tratat: Nu-l putem face să dispară?". (Kluwer Arbitration Blog, 29 august 2019), a se vedea http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [accesat la 18 august 2021].

[xlix] Cazul APC nr. 2018-54.

[l] Ibidem, Comunicarea Tribunalului către părți (Perm Ct Arb, 2019).

[li] Foaie de parcurs, 37.

[lii] ICCA și New York City Bar și Institutul Internațional pentru Prevenirea și Rezolvarea Conflictelor, "ICCA-NYC Bar-CPR Protocol privind securitatea cibernetică în arbitrajul internațional (Ediția 2020)" (ICCA) (ICCA), a se vedea https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accesat 18 august 2021.

[liii] "Cybersecurity Guidelines" (IBA, octombrie 2018), a se vedea www.ibanet.org/LPRU/Cybersecurity, accesat la 1 decembrie 2020.

[liv] Andreas Respondek, Tasha Lim, "Ar trebui ca Grupul de lucru al ICCA/IBA privind protecția datelor "Foaia de parcurs" să abordeze impactul GDPR asupra videoconferinței în procedurile de arbitraj internațional? (Kluwer Arbitration Blog, 18 iulie 2020), a se vedea http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, accesat la 18 august 2021.

[lv] "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9 aprilie 2020), accesat la 18 august 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Foaie de parcurs, 2.

[lviii] Ibidem, 23-25.

[lix] Articolul 4 alineatul (2) din GDPR, a se vedea punctul 1 de mai sus.

[lx] Articolul 6 alineatul (1) litera (f) din RGPD.

[lxi] Allan J Arffa și alții, "GDPR Issues in International Arbitration" (Lexology, 10 august 2020), a se vedea www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, accesat la 18 august 2021.

[lxii] Foaia de parcurs, anexa 5.

[lxiii] Allan J Arffa și alții, "GDPR Issues in International Arbitration" (Lexology, 10 august 2020), a se vedea www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> accesat la 18 august 2021.

[lxiv] Foaia de parcurs 40-41.

[lxv] A se vedea, de exemplu: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Ibidem; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 februarie 2020), a se vedea www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> accesat la 18 august 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Născut, Arbitrajul comercial internațional (2nd edn, Kluwer Law International 2014), 2335.

[lxx] Ibidem. Born citează următoarele hotărâri pentru a întări acest argument: Hotărârea din 22 ianuarie 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco"/ Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "decizia tribunalului arbitral de a ordona prezentarea de probe este la discreția sa procedurală și nu poate fi revizuită de instanțe"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Solicitările de divulgare a informațiilor sunt "bine în cadrul exercitării rezonabile a puterii discreționare a Tribunalului".

[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 decembrie 2019), a se vedea www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, accesat la 18 august 2021.

[lxxii] Convenția de la New York, Art V(2): "Recunoașterea și executarea unei hotărâri arbitrale poate fi, de asemenea, refuzată în cazul în care autoritatea competentă din țara în care se solicită recunoașterea și executarea constată că... (b) Recunoașterea sau executarea hotărârii ar fi contrară ordinii publice din țara respectivă.".

[lxxiii] Secretarul General al ONU, Comentariu analitic privind proiectul de text al unei legi model privind arbitrajul comercial internațional, A/CN.9/264 (1985), Art 34, pentru 6.

[lxxiv] Legea model UNCITRAL privind arbitrajul comercial internațional, Art 34(2): "O hotărâre arbitrală poate fi anulată de către instanța specificată în articolul 6 numai dacă...(b) instanța constată că... (ii) hotărârea este în conflict cu ordinea publică a acestui stat".

[lxxv] Hotărârea din 1 iunie 1999, Eco Swiss China Time Ltd/Benetton International NV C-126/97 [1999] ECR I-03055, par. 39 și 41. Pentru o discuție detaliată a politicii publice a UE, a se vedea: Sacha Prechal și Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka și Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibidem.

[lxxviii] Pentru o discuție mai detaliată a acestor aspecte și a altora, a se vedea: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" în José R Mata Dona și Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021), punctele 5.63 și următoarele; Cervenka și Schwarz, a se vedea nr. 76 de mai sus, 84-85.

[lxxix] "Foaia de parcurs ICCA-IBA pentru protecția datelor în arbitrajul internațional, Anexe", (ICCA, februarie 2020), a se vedea https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, accesat 18 august 2021.

Acest articol a fost publicat pentru prima dată în Dispute Resolution International, Vol 15 Nr. 2, octombrie 2021, și este reprodus cu permisiunea Asociației Internaționale a Baroului, Londra, Marea Britanie. © Asociația Internațională a Baroului.