Sin duda muchos de nosotros hemos recibido últimamente numerosas notificaciones, a menudo de remitentes que ni siquiera sabíamos que tuvieran información nuestra, comunicándonos la entrada en vigor del Reglamento de Protección de Datos (RGPD) de la Unión Europea (UE) el 25 de mayo de 2018. El RGPD tiene un amplio alcance y ha suscitado debates sobre cuál será su incidencia sobre el arbitraje internacional. En este artículo destacaremos las implicaciones para las partes, letrados, instituciones arbitrales o terceros y consideraremos cómo debe de darse cumplimiento con el RGPD, incluyendo obtener consentimiento, tratamiento de datos, derecho de acceso, denegación y eliminación de datos, así como la transferencia de datos fuera de la UE.
¿Qué es el RGPD?
El RGPD sustituye a la ley de 1995 de la UE sobre protección de datos. Su finalidad es la de proteger a las personas físicas en lo que respecta a sus datos personales. El RGPD establece un “sistema de opt-in” según el cual el interesado ha de dar su consentimiento al tratamiento de sus datos por la entidad receptora de los mismos. También es posible retirar el consentimiento en cualquier momento.
Por otra parte, el RGPD establece a favor de los interesados un derecho absoluto a acceder a los datos personales que les conciernen. Los receptores de datos personales no pueden transferirlos fuera de la Unión Europea a menos que el país de destino ofrezca un nivel de protección de datos equivalente.
¿Por qué el RGPD supone un problema?
La definición que el RGPD hace del término “interesados” es tan amplia que, en ausencia de una exención, sus disposiciones afectan a prácticamente todos los arbitrajes en que una parte, letrado, institución arbitral o tercero, como un perito, por ejemplo, proceda de la Unión Europea y del Espacio Económico Europeo.
En lo que respecta a los abogados, el RGPD afectará a la forma en que recaban documentación para determinar los hechos de un caso. Tendrán que obtener el consentimiento de los implicados para crear una base de datos de trabajo en la que se depositarán todas las pruebas documentales y para usarla en el arbitraje. Esto es algo que puede resultar difícil cuando en la controversia se manejen documentos de terceros.
Los tribunales e instituciones arbitrales (además de las compañías que venden bases de datos de arbitraje) tendrán que garantizar a las partes afectadas el derecho a negarse al tratamiento de los datos personales disponibles que les conciernan, así como el derecho absoluto a acceder a los mismos previa solicitud.
No está claro cómo afectará la prohibición de transferir datos personales fuera de la UE a la notificación, por ejemplo, de requerimientos o medidas cautelares que se dicten en relación con procedimientos arbitrales.
Como receptores de datos, los tribunales tendrán la difícil tarea de asegurarse de que los documentos que se les presenten han recibido el pertinente consentimiento. El derecho de acceso, que es absoluto, plantea un difícil reto, toda vez que el tribunal no puede negarse a que la persona que lo solicite compruebe los datos que tiene sobre ella. Los tribunales también deben garantizar la adecuada protección de los datos.
El RGPD supone, además, un desafío para las instituciones arbitrales que mantienen bases de datos sobre casos y árbitros. Puede ocurrir, por ejemplo, que un árbitro contrariado pida acceder a los datos mantenidos por la institución después de ser recusado o solicite ver los datos que un despacho mantiene sobre él para averiguar por qué no ha sido nombrado en un caso determinado.
El RGPD tiene otras implicaciones para personas físicas y jurídicas que venden información sobre arbitraje, incluidas aquellas que tienen bases de datos con información sobre árbitros. A partir de ahora, las empresas y personas que recaban información tendrán que asegurarse de que los árbitros han otorgado su expreso consentimiento al uso de sus datos.
¿Por qué no podemos simplemente ignorar el RGPD?
El incumplimiento del RGPD conlleva responsabilidad administrativa, civil y penal. El control del cumplimiento del RGPD se confiará a entidades locales independientes, que podrán imponer sanciones de hasta el 4% de la facturación anual o de 20 millones de euros (23,5 millones de USD), lo que sea mayor. El RGPD crea además una nueva causa de pedir al establecer que toda persona que sufra daños tendrá derecho a ser indemnizada. Los estados miembros pueden regular otras sanciones, especialmente para aquellos incumplimientos que no se castiguen con sanciones administrativas.
¿Cuál es la mejor forma de afrontar los retos que plantea el RGPD?
Al igual que ocurre con otras áreas de cumplimiento normativo, como es, por ejemplo, la prevención de la corrupción y la defensa de la competencia, parece que el cumplimiento del RGPD pasa por la adopción de protocolos de protección y otras medidas preventivas en las primeras fases del procedimiento o incluso antes de su inicio.
Es necesario que la comunidad arbitral haga presión para que los distintos gobiernos adopten, al implementar el RGPD, medidas legislativas que establezcan una exención para el arbitraje, tal y como contempla el preámbulo del reglamento. Aunque hay países (principalmente Irlanda) que han efectuado importantes avances en este sentido, parece improbable que, a pesar de su conveniencia, se logre una uniformidad a este respecto entre los estados miembros de la UE.
Las partes también podrían manifestar a los árbitros su intención de dar cumplimiento al reglamento. Dicho cumplimiento significaría obtener el consentimiento de las personas afectadas y requerir a los testigos para que consientan expresamente, en sus declaraciones, el uso de sus datos personales en el arbitraje. De esta forma, la carga de recabar el consentimiento pasaría, convenientemente, de los árbitros a las partes.
Joe Tirado (Londres) y Markus Gómez (Madrid)
