Em uma época em que os dados são uma nova forma de moeda, A proteção de informações confidenciais é uma consideração essencial na arbitragem internacional. Ao mesmo tempo, As leis de proteção de dados do mundo se expandiram rapidamente em escopo a ponto de que, De acordo com Gonçalves e Brancher, "Não há área de lei que não seja impactada por esses problemas."[1] Esta nota explora os principais desafios e considerações práticas em torno do tópico de proteção de dados em arbitragem internacional.
Confidencialidade na arbitragem internacional
A arbitragem internacional é amplamente valorizada por sua natureza confidencial. Ao contrário dos ternos domésticos, Os procedimentos de arbitragem geralmente ocorrem a portas fechadas, e os prêmios de arbitragem permanecem inéditos, a menos que acordado de outra forma.
Este princípio se reflete nas regras da maioria das instituições arbitrais. Por exemplo, a 2025 Regras de arbitragem do Centro de Arbitragem Internacional de Cingapura fornecer que todos os participantes de uma arbitragem “terá uma obrigação contínua de tratar todos os assuntos relacionados aos procedimentos como confidenciais."[2]
similarmente, a 2024 HKIAC Regras de arbitragem administradas pelo Centro de Arbitragem Internacional de Hong Kong afirme que “[em]A menos que acordado de outra forma pelas partes, Nenhum representante do partido ou parte pode publicar, divulgar ou comunicar qualquer informação relacionada a […] a arbitragem sob o acordo de arbitragem".[3]
Na Inglaterra e País de Gales, A confidencialidade dos procedimentos de arbitragem está até implícita nos termos de acordos de arbitragem (com exceções limitadas). Em A saga oriental, O Tribunal Comercial considerou que “as partes concordaram em se submeter à arbitragem de disputas particulares decorrentes entre elas e somente entre elas", dando origem a um termo implícito de confidencialidade.[4] Em Ali Shipping, O Tribunal de Apelação confirmou que isso se estende a documentos que são produzidos pelas partes, articulações, submissões escritas, e depoimentos de testemunhas, entre outras coisas.[5]
Segurança cibernética: Lições do hack do PCA
Contudo, em raras ocasiões, Os dados são extraídos dos procedimentos de arbitragem sem o consentimento das partes.
Em 2015, Tribunal Permanente de Arbitragem ("PCA") estava hospedando audiências de alto nível entre as Filipinas e a China por uma disputa marítima no Mar da China Meridional. Especificamente, As Filipinas iniciaram a arbitragem sob a Parte XV do Anexo VII à Convenção das Nações Unidas sobre a Lei do Mar ("Ultos"), Alegando que as reivindicações territoriais da China para a região foram além de seus direitos sob a convenção e que estava agravando a disputa das partes ao construir uma série de ilhas artificiais (às vezes chamado de “Grande parede de areia") para fortalecer seu domínio sobre a região.[6]
Embora a China se recusasse a participar, A arbitragem prosseguiu em sua ausência. Contudo, no dia 3 da audiência, Uma empresa independente de segurança cibernética descobriu uma exploração no site do PCA que estava sendo usada por um grupo de hackers chineses associados ao estado.[7] Especificamente, O grupo foi acusado de ter abusado de uma exploração no agora intercalado Adobe Flash Player para obter acesso e alterar partes do site do tribunal para carregar código malicioso nos computadores de visitantes.
Felizmente, Não houve uma violação de dados de alto perfil desde 2015, E o risco de uma violação de segurança cibernética é provavelmente maior das partes do que as instituições arbitrais. As instituições arbitrais também podem ter requisitos estatutários para tomar cuidado para evitar essas violações de dados. Por exemplo, Artigo 32 do Regulamento geral de proteção de dados do Reino Unido fornece que controladores de dados e processadores “deve implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança apropriado ao risco".[8]
Está claro do acima, Portanto, que existem restrições firmes sobre o uso para outros fins de dados que foram adquiridos no decorrer de uma arbitragem internacional. Contudo, A proliferação de regimes rigorosos de proteção de dados significa que os participantes da arbitragem devem garantir que os dados sejam tratados adequadamente no processo arbitral também.
Legislação de proteção de dados
Mais e mais leis de proteção de dados passaram a existir na última década, incluindo o Regulamento geral de proteção geral da União Europeia ("GDPR"). O GDPR impõe pesadas multas para não conformidade de até € 20 milhões ou 4% da rotatividade de uma empresa no ano anterior, o que for maior.[9] Isto é, Portanto, crucial que as partes com laços com a União Europeia cumpram suas disposições.
No papel, Parece que as arbitragens internacionais estão sujeitas diretamente ao GDPR se alguma parte que se destaca estivesse sediada ou opere na União Europeia:
Artigo 3
Escopo territorial
- Este regulamento se aplica ao processamento de dados pessoais no contexto das atividades de um estabelecimento de um controlador ou processador na união, independentemente de o processamento ocorrer na união ou não.
- Este regulamento se aplica ao processamento de dados pessoais de titulares de dados que estão na união por um controlador ou processador não estabelecido na união, Onde as atividades de processamento estão relacionadas a:
(uma) a oferta de bens ou serviços, independentemente de ser necessário um pagamento do titular dos dados, a esses titulares de dados na união; ou
(b) O monitoramento de seu comportamento no que diz respeito ao seu comportamento ocorre dentro da união.
- Este regulamento se aplica ao processamento de dados pessoais por um controlador não estabelecido na união, Mas em um local onde a lei estadual membro se aplica em virtude do direito internacional público.
Artigo 3 parece impor o GDPR às arbitragens em que qualquer forma de processamento ou controle de dados ocorre na União Europeia, seja por instituições arbitrais, árbitros, conselho, testemunhas, Repórteres do Tribunal, ou outros. De acordo com os recitais do GDPR, O regulamento se aplica “entre outros, para as atividades dos tribunais e outros órgãos judiciais".[10] De acordo com Nascido, Assim, surge um argumento plausível que os árbitros e instituições arbitrais se enquadram no escopo do GDPR.[11] Isso levanta questões interessantes, como severbroad documentar solicitações de produção em arbitragem pode violar o GDPR.
Contudo, Um tribunal arbitral constituído sob o Acordo de Livre Comércio da América do Norte ("ÓLEO") no caso de Tennant v. Canadá Determinou que o GDPR não se aplicava, apesar de um de seus árbitros estar no Reino Unido (então um membro da União Europeia) e apesar de seu próprio aviso de privacidade de dados em seu site indicando que ele estava coberto por ele.[12] O Tribunal argumentou que “um tratado ao qual nem a União Europeia nem seus Estados -Membros são partidos, não, presumivelmente, vem dentro do escopo material do GDPR."[13]
Isso torna a aplicabilidade do GDPR a arbitragens internacionais bastante incertas. Como Huang e Xie discutem, Posterior Tribunal de Justiça da Jurisprudência da União Europeia indica que essa pode ter sido uma decisão incorreta com base em uma interpretação incorreta do artigo 2.[14]
mesmo assim, Somente o tempo dirá como os tribunais arbitrais tratarão as leis de proteção de dados, como o GDPR, que parecem ter um efeito extraterritorial.
Ordens processuais e medidas de proteção
Por agora, As preocupações com a proteção de dados geralmente devem ser levantadas no início dos procedimentos, Idealmente na época da primeira conferência de gerenciamento de casos. Por aqui, as partes podem declarar seu caso e garantir que medidas adequadas de proteção de dados sejam fornecidas para.
As regras de arbitragem da Tribunal de Arbitragem Internacional de Londres 2020, por exemplo, forneça o seguinte:
30.5 De acordo com suas funções sob o artigo 14.1, em um estágio inicial da arbitragem, o tribunal arbitral deve, em consulta com as partes e quando apropriado a LCIA, Considere se é apropriado adotar:
(Eu) Quaisquer medidas específicas de segurança da informação para proteger as informações físicas e eletrônicas compartilhadas na arbitragem; e
(ii) Qualquer meio para abordar o processamento de dados pessoais produzidos ou trocados na arbitragem à luz da proteção de dados aplicável da legislação equivalente.
30.6 O LCIA e o Tribunal Arbitral podem emitir instruções que abordam a segurança da informação ou a proteção de dados, que será vinculativo para as partes, e no caso daqueles emitidos pelo LCIA, Também em membros do tribunal arbitral, sujeito às disposições obrigatórias de qualquer lei ou regras de direito aplicáveis.
A Câmara de Comércio Internacional publica uma cláusula de proteção de dados padrão que, entre outras coisas, estabelece que "[Eu]f Dados sensíveis/especiais de categoria são enviados durante a arbitragem, deve ser processado na medida necessária para estabelecer, exercício, ou defender reivindicações legais na arbitragem."[15]
Outra opção é solicitar uma ordem de confidencialidade para vincular legalmente os participantes a certas obrigações de não divulgação.
Conclusão
É evidente que, À medida que a arbitragem internacional evolui em um mundo cada vez mais digital e centrado em dados, A proteção de dados não pode mais ser tratada como uma reflexão tardia. Ao mesmo tempo, Há pouca orientação preciosa da jurisprudência e legisladores sobre o assunto. Para garantir a proteção de dados em partes internacionais de arbitragem, devem garantir que elas usem plataformas seguras que estejam a salvo das ameaças de segurança cibernética. Eles também devem tomar cuidado para considerar as leis de proteção de dados que podem afetar qualquer parte da arbitragem. Finalmente, Eles devem ter em mente sua capacidade de solicitar disposições específicas em ordens processuais para garantir um nível mais alto de proteção de dados.
[1] E. Gonçalves and P. Indústrias, Problemas de proteção de dados em arbitragem internacional em G. Cansado e Al. (Eds.) Liderança, Legitimidade, Legado: Uma homenagem a Alexis Mourre (2022), p. 199.
[2] Regras de arbitragem do Centro de Arbitragem Internacional de Cingapura 2025, Regra 59.1.
[3] 2024 Regras de arbitragem administradas pelo HKIAC, Artigo 45.1.
[4] Oxford Shipping v Nippon Yusen Kaisha [1984] 2 Representante do Lloyd's 373, 379, como citado em Ali Shipping Corporation contra Shipyard Trogir [1997] EWCA Civil 3054, p. 3.
[5] Ali Shipping Corporation v Shipyard Trogic [1997] EWCA Civil 3054, pp. 18-21 ("está claro (E de fato as partes não disputam) que o princípio cobre também petiações, submissões escritas, e as provas de testemunhas, bem como transcrições e notas das evidências dadas na arbitragem ”).
[6] República das Filipinas V. República Popular da China, Caso PCA Não. 2013-19, Prémio, 12 Julho 2016, mais. 7-10.
[7] AmeansConnect, CameRashy: Fechando a abertura na unidade da China 78020 (2019), p. 15.
[8] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, Artigo 32(1).
[9] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 abril 2016 Sobre a proteção de pessoas naturais em relação ao processamento de dados pessoais e à livre circulação de tais dados e à diretiva de revogação 95/46/EC [2016] Oj l 119/1, Arte. 83.5.
[10] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 abril 2016 Sobre a proteção de pessoas naturais em relação ao processamento de dados pessoais e à livre circulação de tais dados e à diretiva de revogação 95/46/EC [2016] Oj l 119/1, Recitais, para. 20.
[11] G. Nascermos, Capítulo 13: Direitos e deveres de árbitros internacionais (Atualizado em fevereiro 2024) em Arbitragem Comercial Internacional (Terceira edição) (2024).
[12] Tennant Energy LLC V. Governo do Canadá, Caso PCA Não. 2018-54, Perguntas e resposta do investidor às perguntas do Tribunal GDPR e perguntas de privacidade de dados, 4 Junho 2019.
[13] Tennant Energy LLC V. Governo do Canadá, Caso PCA Não. 2018-54, Comunicação do Tribunal com as partes, 24 Junho 2019.
[14] J. Huand e d. Xie, Lei de Proteção de Dados em Arbitragem de Investimento: Aplicável ou não?, em W. Parque (ed.), Arbitragem Internacional (2021).
[15] Câmara de Comércio Internacional, Modelo Cláusula de proteção de dados para a ordem processual um, https://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-protection-english.pdf (Último acesso 23 Maio 2025).