In un'epoca in cui i dati sono una nuova forma di valuta, La salvaguardia delle informazioni sensibili è una considerazione essenziale nell'arbitrato internazionale. Allo stesso tempo, Le leggi sulla protezione dei dati del mondo si sono rapidamente ampliate di portata al punto, Secondo Gonçalves e Brancher, “Non vi è alcuna area di diritto che non sia influenzata da questi problemi."[1] Questa nota esplora sfide chiave e considerazioni pratiche che circondano l'argomento della protezione dei dati nell'arbitrato internazionale.
Riservatezza nell'arbitrato internazionale
L'arbitrato internazionale è ampiamente apprezzato per la sua natura riservata. A differenza delle tute domestiche, Le procedure arbitrali si svolgono in genere a porte chiuse, e i premi arbitrali rimangono inediti se non diversamente concordato.
Questo principio si riflette nelle regole della maggior parte delle istituzioni arbitrali. Per esempio, il 2025 Regole arbitrali del Centro arbitrale internazionale di Singapore fornire che tutti i partecipanti a un arbitrato "deve avere un obbligo continuo di trattare tutte le questioni relative al procedimento come confidenziale."[2]
allo stesso modo, il 2024 HKIAC ha somministrato le regole arbitrali del Centro arbitrato internazionale di Hong Kong affermarlo "[in]salvo diverso accordo tra le parti, Nessun rappresentante di partito o partito può pubblicare, divulgare o comunicare qualsiasi informazione relativa a [...] l'arbitrato ai sensi dell'accordo di arbitrato".[3]
In Inghilterra e Galles, La riservatezza del procedimento arbitrale è persino implicita nei termini degli accordi di arbitrato (con eccezioni limitate). Nel La saga orientale, Il tribunale commerciale ha ritenuto "Le parti hanno accettato di sottoporsi a arbitrazioni particolari controversie tra loro e solo tra di loro", dando origine a un termine implicito di riservatezza.[4] Nel Spedizione di Ali, La Corte d'appello ha confermato che ciò si estende ai documenti prodotti dalle parti, memorie, osservazioni scritte, e le dichiarazioni dei testimoni, tra l'altro.[5]
Sicurezza informatica: Lezioni da PCA Hack
tuttavia, in rare occasioni, I dati vengono estratti da procedimenti arbitrali senza il consenso delle parti.
Nel 2015, la Corte permanente di arbitrato (“PCA") Ospitava audizioni di alto profilo tra le Filippine e la Cina per una disputa marittima nel Mar Cinese Meridionale. In particolare, Le Filippine hanno avviato l'arbitrato ai sensi della parte XV dell'allegato VII alla Convenzione delle Nazioni Unite sulla legge del mare (“Unclos"), sostenendo che le affermazioni territoriali della Cina sulla regione andavano oltre i suoi diritti ai sensi della Convenzione e che stava aggravando la controversia delle parti costruendo una serie di isole artificiali (a volte soprannominava il “Grande parete di sabbia") per rafforzare la sua presa sulla regione.[6]
Sebbene la Cina si rifiutasse di partecipare, L'arbitrato procedette in sua assenza. tuttavia, Il giorno 3 dell'udienza, Una società indipendente di sicurezza informatica ha scoperto un exploit sul sito Web della PCA che è stato presumibilmente utilizzato da un gruppo di hacker cinesi associati allo stato.[7] In particolare, Si presumeva che il gruppo avesse abusato di un exploit nel giocatore Adobe Flash ora discontinato per ottenere l'accesso e alterare parti del sito Web del tribunale per caricare il codice dannoso sui computer dei visitatori.
per fortuna, Da allora non c'è stata una violazione dei dati di alto profilo 2015, e il rischio di una violazione della sicurezza informatica è probabilmente più elevato dalle parti rispetto alle istituzioni arbitrali. Le istituzioni arbitrali possono anche avere requisiti legali per prevenire tali violazioni dei dati. Per esempio, Articolo 32 del Regolamento generale sulla protezione dei dati del Regno Unito Fornisce che i responsabili dei dati e i processorideve attuare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio".[8]
È chiaro da quanto sopra, perciò, che esistono ferme restrizioni sull'uso per altri scopi di dati acquisiti nel corso di un arbitrato internazionale. tuttavia, La proliferazione di rigorosi regimi di protezione dei dati significa che i partecipanti all'arbitrato devono garantire che anche i dati siano gestiti correttamente all'interno del processo arbitrale.
Legislazione sulla protezione dei dati
Sempre più leggi sulla protezione dei dati sono arrivate nell'ultimo decennio, includendo il Il noto regolamento generale sulla protezione dei dati dell'Unione Europea dell'Unione Europea (“GDPR"). Il GDPR impone forti multe per non conformità fino a 20 milioni di euro o 4% del fatturato di un'azienda nell'anno precedente, qualunque sia più alto.[9] È, perciò, cruciale che le parti con legami con l'Unione europea siano conformi alle sue disposizioni.
Su carta, Sembrerebbe che gli arbitrati internazionali siano esattamente soggetti al GDPR se qualsiasi parte di essa ha sede o operi in Unione Europea:
Articolo 3
Portata territoriale
- Questo regolamento si applica all'elaborazione di dati personali nel contesto delle attività di una creazione di un controller o di un processore nell'Unione, indipendentemente dal fatto che l'elaborazione abbia luogo nell'Unione o meno.
- Questo regolamento si applica all'elaborazione dei dati personali di soggetti di dati che sono nell'Unione da un controller o un processore non stabilito nell'Unione, dove le attività di elaborazione sono correlate:
(un') L'offerta di beni o servizi, Indipendentemente dal fatto che sia richiesto un pagamento dell'argomento dei dati, a tali soggetti di dati nell'Unione; o
(B) Il monitoraggio del loro comportamento per quanto riguarda il loro comportamento all'interno dell'Unione.
- Questo regolamento si applica all'elaborazione dei dati personali da parte di un controller non stabilito nell'Unione, Ma in un luogo in cui il diritto dello Stato membro si applica in virtù del diritto internazionale pubblico.
Articolo 3 sembra imporre il GDPR agli arbitrati in cui qualsiasi forma di elaborazione o controllo dei dati si svolge nell'Unione europea, che si tratti di istituzioni arbitrali, arbitri, consiglio, Testimoni, Reporter di corte, o altri. Secondo i recital del GDPR, si applica il regolamento "inter alia, alle attività dei tribunali e di altri organi giudiziari".[10] Secondo Nato, Sorge così un argomento plausibile che arbitri e istituzioni arbitrali rientrano nell'ambito del GDPR.[11] Questo solleva domande interessanti, come se overbroad Richieste di produzione di documenti in arbitrato può violare il GDPR.
tuttavia, Un tribunale arbitrale costituito dall'accordo di libero scambio nordamericano (“IL PETROLIO") in caso di Tennant v. Canada ha determinato che il GDPR non si applicava nonostante uno dei suoi arbitri fosse nel Regno Unito (Quindi un membro dell'Unione europea) e nonostante il suo avviso sulla privacy dei dati sul suo sito Web che indica che ne era coperto.[12] Il tribunale lo ha ragionato "un trattato a cui né l'Unione europea né i suoi Stati membri sono partiti, non, presumibilmente, entrare nell'ambito materiale del GDPR."[13]
Ciò rende l'applicabilità del GDPR agli arbitrati internazionali piuttosto poco chiari. Come sostengono Huang e Xie, La giurisprudenza dell'Unione europea successiva dell'Unione Europea indica che questa potrebbe essere stata una decisione errata basata su un'interpretazione errata dell'articolo 2.[14]
Tuttavia, Solo il tempo dirà come i tribunali arbitrali tratteranno le leggi sulla protezione dei dati come il GDPR che sembrano avere un effetto extraterritoriale.
Ordini procedurali e misure protettive
Per ora, Le preoccupazioni sulla protezione dei dati dovrebbero essere generalmente sollevate all'inizio dei procedimenti, Idealmente intorno al periodo della prima conferenza di gestione dei casi. Per di qua, Le parti possono indicare il loro caso e garantire che siano previste misure adeguate di protezione dei dati.
Le regole arbitrali dell'arbitrato della Corte di Internazionale di Londra 2020, per esempio, fornire quanto segue:
30.5 In conformità con i suoi doveri ai sensi dell'articolo 14.1, In una fase iniziale dell'arbitrato il tribunale arbitrale, in consultazione con le parti e se appropriato la LCIA, considera se è opportuno adottare:
(io) Eventuali misure di sicurezza delle informazioni specifiche per proteggere le informazioni fisiche ed elettroniche condivise nell'arbitrato; e
(ii) qualsiasi mezzo per affrontare l'elaborazione dei dati personali prodotti o scambiati nell'arbitrato alla luce della protezione dei dati applicabile della legislazione equivalente.
30.6 Il tribunale LCIA e Arbitral può emettere istruzioni per la sicurezza delle informazioni o la protezione dei dati, che sarà vincolante per le parti, e nel caso di quelli emessi dalla LCIA, anche sui membri del tribunale arbitrale, Fatta salva le disposizioni obbligatorie di qualsiasi legge o regolamento di diritto applicabile.
La Camera di commercio internazionale pubblica una clausola di protezione dei dati predefinita che, tra l'altro, prevede che "[io]F I dati di categoria sensibili/speciali vengono inviati durante l'arbitrato, deve essere elaborato nella misura necessaria per stabilire, esercizio, o difendere le richieste legali nell'arbitrato."[15]
Un'altra opzione è quella di richiedere un ordine di riservatezza per vincere legalmente i partecipanti a determinati obblighi di non divulgazione.
Conclusione
È evidente che, Man mano che l'arbitrato internazionale si evolve in un mondo sempre più digitale e incentrato sui dati, La protezione dei dati non può più essere trattata come un ripensamento. Allo stesso tempo, Vi sono preziose poche indicazioni da parte della giurisprudenza e dei legislatori sulla questione. Al fine di garantire la protezione dei dati nelle parti di arbitrato internazionale deve garantire che utilizzino piattaforme sicure che siano al sicuro dalle minacce di sicurezza informatica. Devono anche fare attenzione a considerare le leggi sulla protezione dei dati che potrebbero influire su qualsiasi parte dell'arbitrato. Finalmente, Devono tenere presente la loro capacità di richiedere disposizioni specifiche negli ordini procedurali per garantire un livello più elevato di protezione dei dati.
[1] e. Gonçalves e p. Industrie, Problemi di protezione dei dati in arbitrato internazionale ns. Stanco e al. (Eds.) Leadership, Legittimità, Eredità: Un omaggio ad Alexis Mourre (2022), P. 199.
[2] Regole arbitrali del Centro arbitrale internazionale di Singapore 2025, Regola 59.1.
[3] 2024 Regole di arbitrato amministrate HKIAC, Articolo 45.1.
[4] Oxford Shipping contro Nippon Yusen Kaisha [1984] 2 Rep. Lloyd 373, 379, come citato in Ali Shipping Corporation v Shipyard Trogir [1997] EWCA Civ 3054, P. 3.
[5] Ali Shipping Corporation v Shipyard Trogic [1997] EWCA Civ 3054, pp. 18-21 (“è chiaro (E in effetti le parti non contestano) che il principio copra anche le memorie, osservazioni scritte, e le prove dei testimoni, nonché trascrizioni e note delle prove fornite nell'arbitrato ").
[6] Repubblica delle Filippine V. Repubblica popolare cinese, Caso PCA n. 2013-19, premio, 12 luglio 2016, migliore. 7-10.
[7] Minaccetto, Camerashy: Chiusura dell'apertura sull'unità cinese 78020 (2019), P. 15.
[8] Regolamento (Stati Uniti) 2016/679 del Parlamento europeo e del Consiglio, Articolo 32(1).
[9] Regolamento (Stati Uniti) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 Sulla protezione delle persone naturali per quanto riguarda l'elaborazione dei dati personali e sulla libera circolazione di tali dati e la direttiva di abrogazione 95/46/EC [2016] Oj l 119/1, Arte. 83.5.
[10] Regolamento (Stati Uniti) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 Sulla protezione delle persone naturali per quanto riguarda l'elaborazione dei dati personali e sulla libera circolazione di tali dati e la direttiva di abrogazione 95/46/EC [2016] Oj l 119/1, Recitali, per. 20.
[11] sol. Nato, Capitolo 13: Diritti e doveri degli arbitri internazionali (Aggiornato febbraio 2024) nel Arbitrato commerciale internazionale (Terza edizione) (2024).
[12] Tennant Energy LLC V. Governo del Canada, Caso PCA n. 2018-54, Domande e risposta degli investitori alle domande del GDPR del Tribunale e alle domande sulla privacy dei dati, 4 giugno 2019.
[13] Tennant Energy LLC V. Governo del Canada, Caso PCA n. 2018-54, Comunicazione del tribunale alle parti, 24 giugno 2019.
[14] J. Huand e d. Xie, Legge sulla protezione dei dati nell'arbitrato: Applicabile o no?, in W. Parco (ed.), Arbitrato internazionale (2021).
[15] Camera di commercio internazionale, Clausola di protezione dei dati del modello per ordine procedurale uno, https://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-rotection-english.pdf (ultimo accesso 23 Maggio 2025).