La protección de datos personales en los arbitrajes bajo el RGPD
Sin duda muchos lectores habrán recibido últimamente numerosas notificaciones, a menudo de remitentes que ni siquiera sabían que tuvieran información del individuo en cuestión, comunicando el cumplimiento obligatorio del Reglamento de Protección de Datos (RGPD) de la Unión Europea (UE) desde el 25 de mayo de 2018. El RGPD tiene un amplio alcance y ha suscitado debates sobre cuál será su incidencia sobre el arbitraje internacional. En este artículo destacaremos las implicaciones para las partes, letrados, instituciones arbitrales o terceros y consideraremos cómo debe de darse cumplimiento al RGPD, incluyendo el análisis de si es necesario obtener consentimiento, cómo obtener dicho consentimiento cuando fuere necesario, cómo reunir documentos, derechos de acceso, oposición y supresión de datos, así como la transferencia internacional de datos fuera de la UE.
¿Qué es el RGPD?
El RGPD sustituye a la Directiva 95/46 de la UE sobre protección de datos personales. Su finalidad es la de proteger a las personas físicas en lo que respecta a sus datos personales. El RGPD establece un sistema según el cual el responsable del tratamiento solamente podrá tratar dichos datos si resulta aplicable al menos una de las seis bases legales previstas. Una de estas bases legales es el consentimiento, junto con, y al mismo nivel que el cumplimiento de obligaciones legales, la necesidad para la ejecución de un contrato o el interés legítimo del responsable del tratamiento o de un tercero. Aunque la opción del consentimiento no debería ser la primera opción y deberá emplearse con cautela, en caso de utilizarse, el interesado que ha consentido al tratamiento de sus datos personales también podrá retirar dicho consentimiento en cualquier momento.
Asimismo, los responsable del tratamiento no pueden, como regla general, transferirlos fuera de la Unión Europea a menos que el país de destino ofrezca un nivel de protección de datos equivalente o si el responsable del tratamiento o el encargado del tratamiento han ofrecido garantías suficientes o si se pueden aplicar algunas de las excepciones previstas en el RGPD.
¿Por qué es el RGPD relevante para el arbitraje?
La definición que el RGPD hace del término “interesados” es tan amplia que, en ausencia de una exención, sus disposiciones aplican prácticamente a todos los datos personales de cualquier individuo cuando aplique el RGPD. Y también aplicará a todos los responsables del tratamiento y encargados del tratamiento de datos personales sitos en la UE o, en caso de estar ubicados fuera de la UE, que traten datos de individuos que estén en la UE, siempre que las actividades de tratamiento de datos estén relacionadas con el ofrecimientos de servicios (por ejemplo, el arbitraje) a esos interesados o la monitorización de su comportamiento tenga lugar dentro de la Unión.
Teniendo en cuenta que cualquier parte, letrado, institución arbitral o tercero profesional, como un perito, pueden ser considerados responsables del tratamiento y, en determinadas circunstancias, encargados del tratamiento, el RGPD podrá aplicar a muchas situaciones que no estaban sometidas a una regulación específica antes del 25 de mayo de 2018.
En lo que respecta a los abogados, el RGPD podrá afectar a la forma en que recaban documentación para determinar los hechos de un caso. Aunque existen distintas bases legales que permiten tratar los datos de forma adecuada sin necesidad de obtener el consentimiento, los abogados tendrán que tener conocimiento y práctica en dichas bases legales. Igualmente, un arbitraje puede implicar documentos elaborados por terceros, y los abogados también deberán saber cómo tratar dichos datos personales.
Los tribunales e instituciones arbitrales (además de las compañías que venden bases de datos de arbitraje) tendrán que garantizar el cumplimiento del RGPD tal y como se implemente en las legislaciones nacionales respectivas, garantizando, entre otros, el derecho absoluto de los interesados a acceder a los datos personales previa solicitud, así como el resto de derechos de los interesados.
Como responsables del tratamiento, los tribunales tendrán la tarea de asegurar el cumplimiento con alguna de las seis bases legales para poder tratar datos personales y respetar los derechos de los interesados. El derecho de acceso, que es casi absoluto, plantea un difícil reto, toda vez que, en principio, el tribunal no puede negarse a que la persona que lo solicite compruebe los datos que tiene sobre ella. Los tribunales también deben garantizar la adecuada protección de los datos.
El RGPD supone, además, un desafío para las instituciones arbitrales que mantienen bases de datos sobre casos y árbitros. Podría ocurrir, por ejemplo, que un árbitro contrariado pida acceder a los datos mantenidos por la institución después de ser recusado o solicite ver los datos que un despacho mantiene sobre él para averiguar por qué no ha sido nombrado en un caso determinado.
Todas estas partes involucrados deberían elaborar su Registro de Actividades de Tratamiento e incluir con todo detalle los contenidos establecidos en el RGPD.
En relación a las transferencias internacionales de datos fuera de la Unión Europea, el RGPD establece un sistema de cumplimiento basado en la jerarquía de los métodos de transferencia. Aunque existe una previsión específica en el RGPD (artículo 49.1.e), que podría ser de aplicación para la transferencia de datos personales fuera de la UE cuando dicha transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, esta previsión solamente sería de aplicación si no existiese otro método disponible, tal como una decisión de adecuación, la ejecución de cláusulas tipo aprobadas o la existencia de normas corporativas vinculantes. Por ello, resulta importante entender esta arquitectura de cara a organizar y llevar a cabo por ejemplo, los requerimientos o medidas cautelares que se dicten en relación con procedimientos arbitrales.
El RGPD tiene otras implicaciones para personas físicas y jurídicas que venden información sobre arbitraje, incluidas aquellas que tienen bases de datos que compilan información sobre árbitros. Por lo tanto, las empresas que traten esta información también deberán cumplir con los requisitos bajo el RGPD.
¿Por qué no podemos simplemente ignorar el RGPD?
El incumplimiento del RGPD conlleva responsabilidad administrativa, civil y, en función de cada legislación nacional, puede llevar aparejada responsabilidad penal (este no sería el caso, por el momento, bajo derecho español). El control del cumplimiento del RGPD se confiará a entidades locales independientes, que podrán imponer sanciones de hasta el 4% de la facturación anual o de 20 millones de euros (23,5 millones de USD), lo que sea mayor. En sentido similar a la anterior Directiva 95/46, el RGPD contempla además que toda persona que sufra daños tendrá derecho a ser indemnizada. Los estados miembros pueden regular otras sanciones, junto con e independientemente de las sanciones que pudieran imponerse en casos de incumplimientos.
¿Cuál es la mejor forma de afrontar los retos que plantea el RGPD?
Al igual que ocurre con otras áreas de cumplimiento normativo, como es, por ejemplo, la prevención de la corrupción y la defensa de la competencia, el cumplimiento del RGPD pasa por la adopción de protocolos de protección de datos y otras medidas preventivas, de forma que cuando se inicien procedimientos estos aspectos estén estudiados y organizados.
Es necesario que la comunidad arbitral haga presión para que los distintos gobiernos adopten, al implementar el RGPD, medidas legislativas que establezcan menciones específicas para el arbitraje. Aunque hay países (principalmente Irlanda) que han efectuado importantes avances en este sentido, parece improbable que, a pesar de su conveniencia, se logre una uniformidad a este respecto entre los estados miembros de la UE.
En resumen, aunque el RGPD supone grandes oportunidades para las empresas, también conlleva la necesidad de cumplir con una serie de derechos y obligaciones que deberán ser analizados en detalle y pueden requerir la implementación de sólidos programas de cumplimiento, que el sector del arbitraje tiene que conocer.
Joe Tirado (Londres) y Markus Gómez (Madrid)
Profesional de contacto