En una era donde los datos son una nueva forma de moneda, Salvaguardar la información confidencial es una consideración esencial en el arbitraje internacional. Al mismo tiempo, Las leyes de protección de datos del mundo se han expandido rápidamente en alcance hasta el punto de que, Según Gonçalves y Brancher, "No hay un área de ley que no se vea afectada por estos problemas.."[1] Esta nota explora desafíos clave y consideraciones prácticas que rodean el tema de la protección de datos en el arbitraje internacional.
Confidencialidad en arbitraje internacional
El arbitraje internacional es ampliamente valorado por su naturaleza confidencial. A diferencia de los trajes domésticos, Los procedimientos de arbitraje generalmente tienen lugar a puerta cerrada, y los premios de arbitraje permanecen inéditos a menos que se acuerde lo contrario.
Este principio se refleja en las reglas de la mayoría de las instituciones arbitral.. Por ejemplo, la 2025 Reglas de arbitraje del Centro Internacional de Arbitraje de Singapur proporcionar que todos los participantes a un arbitraje "estará bajo una obligación continua de tratar todos los asuntos relacionados con los procedimientos como confidenciales."[2]
similar, la 2024 HKIAC administró reglas de arbitraje del Centro de Arbitraje Internacional de Hong Kong declara que "[en]a menos que las partes acuerden lo contrario, Ningún representante de la parte o del partido puede publicar, divulgar o comunicar cualquier información relacionada con [...] el arbitraje bajo el acuerdo de arbitraje".[3]
En Inglaterra y Gales, La confidencialidad de los procedimientos de arbitraje incluso está implícito en los términos de los acuerdos de arbitraje (con excepciones limitadas). En La saga oriental, El tribunal comercial sostuvo que "Las partes han acordado someterse a arbitraje disputas particulares que surgen entre ellas y solo entre ellas", dando lugar a un término implícito de confidencialidad.[4] En Envío de Ali, El Tribunal de Apelaciones confirmó que esto se extiende a los documentos producidos por las partes., alegatos, presentaciones escritas, y declaraciones de testigos, entre otras cosas.[5]
Ciberseguridad: Lecciones del truco de PCA
sin embargo, en raras ocasiones, Los datos se extraen de los procedimientos de arbitraje sin el consentimiento de las partes.
En 2015, la Corte Permanente de Arbitraje ("PCA") estaba organizando audiencias de alto perfil entre Filipinas y China sobre una disputa marítima en el Mar del Sur de China. Específicamente, Filipinas inició el arbitraje bajo la Parte XV del Anexo VII a la Convención de las Naciones Unidas sobre la Ley del Mar ("Unclos"), alegando que las afirmaciones territoriales de China a la región fueron más allá de sus derechos bajo la convención y que estaba agravando la disputa de las partes al construir una serie de islas artificiales (a veces denominado el "Gran muro de arena") Para fortalecer su espera sobre la región.[6]
Aunque China se negó a participar, el arbitraje procedió en su ausencia. sin embargo, en el día 3 de la audiencia, Una firma independiente de ciberseguridad descubrió una hazaña en el sitio web de la PCA que supuestamente fue utilizada por un grupo de piratas informáticos chinos asociados al estado.[7] Específicamente, Se alegó que el grupo había abusado de una hazaña en el ahora discontinuado Adobe Flash Player para obtener acceso y alterar partes del sitio web de la corte para cargar código malicioso en las computadoras de los visitantes.
por suerte, No ha habido una violación de datos de alto perfil desde 2015, y el riesgo de una violación de ciberseguridad es probablemente mayor de las partes que las instituciones arbitral. Las instituciones arbitral también pueden tener requisitos legales para tener cuidado para evitar dichas violaciones de datos. Por ejemplo, Artículo 32 del Regulación general de protección de datos del Reino Unido Proporciona que los controladores y procesadores de datos "implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo".[8]
Está claro de lo anterior, por lo tanto, que existen restricciones firmes sobre el uso para otros fines de datos adquiridos en el curso de un arbitraje internacional. sin embargo, La proliferación de regímenes de protección de datos estrictos significa que los participantes de arbitraje deben garantizar que los datos también se manejen adecuadamente dentro del proceso arbitral..
Legislación de protección de datos
Más y más leyes de protección de datos han llegado a existir durante la última década, incluyendo el La conocida regulación general de la protección de datos de la Unión Europea ("GDPR"). El GDPR impone fuertes multas por incumplimiento de hasta € 20 millones o 4% de la facturación de una empresa en el año anterior, lo que sea más alto.[9] Es, por lo tanto, crucial que los partidos con vínculos con la Unión Europea cumplan con sus disposiciones.
En papel, Parece que los arbitrajes internacionales están directamente sujetos a GDPR si alguna parte tiene su sede o operan en la Unión Europea:
Artículo 3
Alcance territorial
- Esta regulación se aplica al procesamiento de datos personales en el contexto de las actividades de un establecimiento de un controlador o un procesador en la Unión, independientemente de si el procesamiento tiene lugar en la unión o no.
- Esta regulación se aplica al procesamiento de datos personales de sujetos de datos que están en la Unión por un controlador o procesador no establecido en la Unión, donde las actividades de procesamiento están relacionadas con:
(una) la oferta de bienes o servicios, independientemente de si se requiere un pago del sujeto de datos, a tales sujetos de datos en la Unión; o
(si) El monitoreo de su comportamiento en lo que respecta a su comportamiento dentro de la Unión.
- Esta regulación se aplica al procesamiento de datos personales por un controlador no establecido en la Unión, pero en un lugar donde la ley del estado miembro se aplica en virtud del derecho internacional público.
Artículo 3 parece imponer el GDPR a los arbitrajes donde cualquier forma de procesamiento o control de datos tiene lugar en la Unión Europea, ya sea por instituciones arbitral, árbitros, consejo, testigos, reporteros de la corte, u otros. De acuerdo con los recitales del GDPR, la regulación se aplica "entre otras cosas, a las actividades de los tribunales y otros cuerpos judiciales".[10] Según Nacido, Por lo tanto, surge un argumento plausible que los árbitros e instituciones arbitral se encuentran dentro del alcance del GDPR.[11] Esto plantea preguntas interesantes, como si Documentar solicitudes de producción en arbitraje puede violar el GDPR.
sin embargo, Un tribunal arbitral constituido bajo el Tratado de Libre Comercio de América del Norte ("ACEITE") En el caso de Tennant V. Canadá Determinado que el GDPR no se aplicó a pesar de que uno de sus árbitros estaba en el Reino Unido (Entonces un miembro de la Unión Europea) y a pesar de su propio aviso de privacidad de datos en su sitio web que indica que estaba cubierto por él.[12] El tribunal razonó que "un tratado al que ni la Unión Europea ni sus Estados miembros son parte, no, presuntamente, viene dentro del alcance material del GDPR."[13]
Esto hace que la aplicabilidad del GDPR a los arbitrajes internacionales sea bastante poco claro.. Como Huang y Xie discuten, El tribunal posterior de la justicia de la jurisprudencia de la Unión Europea indica que esta puede haber sido una decisión incorrecta basada en una interpretación incorrecta del artículo 2.[14]
sin embargo, Solo el tiempo dirá cómo los tribunales arbitral tratarán las leyes de protección de datos como GDPR que parecen tener un efecto extraterritorial.
Órdenes de procedimiento y medidas de protección
Por ahora, Las preocupaciones sobre la protección de los datos generalmente deben plantearse al principio de los procedimientos, Idealmente, en la época de la primera conferencia de gestión de casos. De esta manera, Las partes pueden indicar su caso y garantizar que se proporcionen medidas adecuadas de protección de datos para.
El Tribunal de Londres de las Reglas de Arbitraje de Arbitraje Internacional 2020, por ejemplo, proporcione lo siguiente:
30.5 De acuerdo con sus deberes en virtud del artículo 14.1, En una etapa temprana del arbitraje, el tribunal arbitral, en consulta con las partes y, cuando corresponda, la LCIA, Considere si es apropiado adoptar:
(yo) Cualquier medida específica de seguridad de la información para proteger la información física y electrónica compartida en el arbitraje; y
(yo) Cualquier medio para abordar el procesamiento de datos personales producidos o intercambiados en el arbitraje a la luz de la protección de datos aplicable de la legislación equivalente.
30.6 La LCIA y el Tribunal Arbitral pueden emitir instrucciones que abordan la seguridad de la información o la protección de datos, que será vinculante para las partes, y en el caso de los emitidos por la LCIA, También en miembros del Tribunal Arbitral, Sujeto a las disposiciones obligatorias de cualquier ley o normas de derecho aplicables.
La Cámara de Comercio Internacional publica una cláusula de protección de datos predeterminada que, entre otras cosas, proporciona eso "[yo]F Los datos de categoría sensibles/especiales se envían durante el arbitraje, se procesará en la medida necesaria para establecer, ejercicio, o defender reclamos legales en el arbitraje."[15]
Otra opción es solicitar una orden de confidencialidad para vincular legalmente a los participantes a ciertas obligaciones de no divulgación..
Conclusión
Es evidente que, A medida que el arbitraje internacional evoluciona en un mundo cada vez más digital y centrado en los datos, La protección de los datos ya no se puede tratar como una ocurrencia tardía. Al mismo tiempo, Hay poca guía preciosa de la jurisprudencia y los legisladores sobre el asunto.. Para garantizar la protección de datos en las partes de arbitraje internacional, debe asegurarse de que usen plataformas seguras a salvo de las amenazas de seguridad cibernética. También deben tener cuidado de considerar las leyes de protección de datos que podrían afectar a cualquier parte del arbitraje.. Finalmente, Deben tener en cuenta su capacidad para solicitar disposiciones específicas en órdenes de procedimiento para garantizar un mayor nivel de protección de datos.
[1] mi. Gonçalves y P. Industrias, Problemas de protección de datos en arbitraje internacional En g. Cansado y Al. (Eds.) Liderazgo, Legitimidad, Legado: Un homenaje a Alexis Mourre (2022), pags. 199.
[2] Reglas de arbitraje del Centro Internacional de Arbitraje de Singapur 2025, Regla 59.1.
[3] 2024 Reglas de arbitraje administradas por HKIAC, Artículo 45.1.
[4] Oxford Shipping v Nippon Yusen Kaisha [1984] 2 Representante de Lloyd 373, 379, Como se cita en Ali Shipping Corporation v Shipyard Trogir [1997] EWCA Civil 3054, pags. 3.
[5] Ali Shipping Corporation v Shipyard Trogic [1997] EWCA Civil 3054, páginas. 18-21 ("Está despejado (y de hecho las partes no disputan) que el principio cubre también suplica, presentaciones escritas, y las pruebas de los testigos, así como las transcripciones y notas de la evidencia dada en el arbitraje ").
[6] República de Filipinas V. República Popular de China, Número de caso de PCA. 2013-19, Premio, 12 julio 2016, mejor. 7-10.
[7] Amenazas, Cámaras: Cerrar la apertura en la unidad de China 78020 (2019), pags. 15.
[8] Regulación (Yo) 2016/679 del Parlamento Europeo y del Consejo, Artículo 32(1).
[9] Regulación (Yo) 2016/679 del Parlamento Europeo y del Consejo de 27 abril 2016 Sobre la protección de las personas naturales con respecto al procesamiento de datos personales y sobre la libre circulación de dichos datos y la directiva de derogación 95/46/CE [2016] Oj l 119/1, Arte. 83.5.
[10] Regulación (Yo) 2016/679 del Parlamento Europeo y del Consejo de 27 abril 2016 Sobre la protección de las personas naturales con respecto al procesamiento de datos personales y sobre la libre circulación de dichos datos y la directiva de derogación 95/46/CE [2016] Oj l 119/1, Recitales, para. 20.
[11] sol. Nacido, Capítulo 13: Derechos y deberes de los árbitros internacionales (Actualizado en febrero 2024) en Arbitraje Comercial Internacional (Tercera edicion) (2024).
[12] Tennant Energy LLC V. Gobierno de canadá, Número de caso de PCA. 2018-54, Preguntas y respuesta de los inversores a las preguntas del Tribunal GDPR y las preguntas de privacidad de los datos, 4 junio 2019.
[13] Tennant Energy LLC V. Gobierno de canadá, Número de caso de PCA. 2018-54, Comunicación del Tribunal con las partes, 24 junio 2019.
[14] j. Huand y D. Xie, Ley de protección de datos en arbitraje de inversiones: Aplicable o no?, en W. Parque (edición), Arbitraje Internacional (2021).
[15] Cámara de Comercio Internacional, Cláusula de protección de datos modelo para el orden de procedimiento uno, https://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-protection-english.pdf (último accedido 23 Mayo 2025).