Autor: Jesús Hernández Peña

Fuente: La Ley

El autor analiza la importancia de diseñar e implementar un compliance en ciberseguridad del arbitraje, con la finalidad de mitigar y/o eliminar los riesgos inherentes al uso de las nuevas tecnologías en los procedimientos arbitrales. De esta manera, propone que los centros de arbitraje nacionales elaboren sus políticas de cumplimiento a partir de las directivas emitidas por la Cámara de Comercio Internacional y demás instituciones arbitrales internacionales.

I. INTRODUCCIÓN

En el año 2015, la Corte Permanente de Arbitraje fue víctima de un ciberataque perpetrado por un grupo de hackers chinos, quienes introdujeron un malware que infectó las computadoras de los abogados, árbitros y terceras personas que seguían el arbitraje entre China y Las Filipinas por disputas territoriales [1].

Lo anterior nos permite advertir que si bien la tecnología en el arbitraje implica una serie de beneficios y ventajas, como la mejora del almacenamiento de documentación o reducción de costos en las audiencias arbitrales, también podría implicar una serie de riesgos, como la intercepción de correos electrónicos, la extracción de datos mediante el uso de virus o malware, intromisión ilegal de sistemas de almacenamiento de datos [2], entre otros.

Debido a lo anterior, surge la obligación de las instituciones arbitrales, de gestionar correctamente los riesgos informáticos inherentes al arbitraje digital, con el propósito de salvaguardar los derechos de las partes y favorecer el correcto trámite de los arbitrajes. En tal sentido, el presente texto tiene como finalidad exponer la necesidad e importancia de adoptar en el arbitraje un sistema de compliance en ciberseguridad.

II. PROGRAMAS DE CUMPLIMIENTO Y ARBITRAJE

El compliance es una forma de autorregulación que permite gestionar correctamente los riesgos propios de la actividad empresarial o de incumplimiento normativo. Estos programas de cumplimiento se caracterizan por ser amplios y dinámicos (evalúan diversos aspectos como actividades que ejecutan las empresas, características estructurales, legislación, entre otros) y tienen como finalidad prevenir cualquier tipo de riesgo legal. Sobre el particular, Osvaldo Artaza Varela señala lo siguiente:

“Si bien se pueden apreciar ciertas exigencias mínimas, es decir, aspectos a los cuales debe atenderse a la hora de diseñarlos, pueden existir importantes diferencias que vendrían dadas no sólo por las diversas actividades que ejecuten las empresas, sino también por sus características estructurales y la legislación en la que se desenvuelvan” [3].

La efectividad de estos programas de cumplimiento radica en la identificación correcta de los riesgos inherentes a las actividades empresariales y los factores de riesgos existentes al exterior de las empresas [4]. De esta manera, consideramos que, en principio, el uso de la tecnología en el arbitraje debe ser reconocido por parte de las instituciones arbitrales como un factor de riesgo dentro de su programa de compliance. En virtud de lo expuesto, el compliance constituiría una herramienta eficaz que permitiría a las instituciones arbitrales, gestionar y prevenir correctamente los riesgos informáticos de la tramitación digital de los arbitrajes.

III. ¿QUÉ INCUMPLIMIENTOS NORMATIVOS SE EVITARÍAN CON UN COMPLIANCE DE CIBERSEGURIDAD DE LOS ARBITRAJES?

A continuación, detallaremos cuáles serían algunas de las obligaciones que el compliance en ciberseguridad de los arbitrajes coadyuvaría a cumplir.

1. Deber de confidencialidad

El deber de confidencialidad nace de la naturaleza misma del arbitraje y está legislado en el D.L. N° 1071- Decreto Legislativo que norma el arbitraje (en adelante, la Ley de Arbitraje). El alcance y composición de éste deber es muy bien explicado por Roque Caivano:

“(…) En su aspecto material, en tanto implica el imperativo primario de “no divulgar”, simplificando su análisis podríamos decir que estamos en presencia de un deber de abstención, de una obligación de “no hacer”. En su aspecto personal, como toda obligación, genera un vínculo de sujeción entre dos partes: un deudor y un acreedor. Una de las particularidades del deber de confidencialidad en el arbitraje es que (…) en un arbitraje intervienen varios sujetos (las partes, los árbitros, los testigos o peritos, la institución que administra el arbitraje) que, a su vez, se relacionan entre sí a través de una red de vínculos también múltiples ((…), árbitro – institución, parte – institución, (…) institución-testigo, etcétera)” [5].

El incumplimiento del deber de confidencialidad, conforme a la Ley de Arbitraje, genera responsabilidad de las instituciones arbitrales. Esta responsabilidad, en concordancia con el art. 32 del mismo cuerpo legal, es de carácter civil, en tanto la Ley de Arbitraje hace referencia a la culpa de las instituciones arbitrales como criterio de imputación para determinar la responsabilidad de estas. En ese sentido, el análisis de responsabilidad civil radicará en evaluar, si los sujetos han actuado de forma diligente en el cumplimiento de sus obligaciones.

En virtud de lo expuesto, la adopción de un compliance de ciberseguridad en el arbitraje resulta importante para efectos de acreditar la diligencia de la institución arbitral en el cumplimiento de su deber de confidencialidad. De esta manera, la identificación, gestión y prevención de los riesgos informáticos derivados del arbitraje digital permitirían ser más diligentes en el cumplimiento de este deber de confidencialidad.

2. Deber de protección de datos personales

Las instituciones arbitrales tienen acceso a una cantidad importante de datos personales, que implican estrictas medidas de seguridad y cuyo tratamiento a través de sistemas informáticos no resultan totalmente seguros. Al respecto, Nelson Remolina precisa que: (…) Estos sistemas (…) (iii) no son absolutamente seguros; (…) y (v) traspasan las fronteras físicas, acelerando la circulación y la recolección internacional de la información en comento” [6]. Como vemos, los sistemas informáticos de tratamiento no son absolutamente seguros, por lo que las legislaciones nacionales han impuesto obligaciones de seguridad que deben cumplirse para efectos de proteger la integridad de los datos personales.

En el caso peruano, el principio de seguridad es uno de los pilares de la normativa de datos personales, por lo que todo tratamiento debe realizarse bajo estrictas medidas de seguridad para efectos de evitar las desviaciones voluntarias o involuntarias de información. Esto se complementa con las obligaciones de seguridad contenidas en el capítulo V del Reglamento de la Ley de Protección de Datos Personales y la Directiva de Seguridad de la Autoridad Nacional de Protección de Datos Personales.

Considerando que el arbitraje digital amplía el abanico de riesgos de filtración indebida de datos personales, es necesario que las instituciones arbitrales cumplan con identificar estos riesgos y adopten las medidas necesarias para prevenirlos. Caso contrario, estarían incumpliendo los deberes de seguridad impuestos por la normativa de datos personales, lo cual es una infracción administrativa sancionable.

IV. REFLEXIONES FINALES

Resulta evidente la importancia de contar con un compliance en ciberseguridad para el desarrollo de los arbitrajes digitales, ya que permite salvaguardar la información confidencial y sensible que se intercambia en los procedimientos en cuestión y prevenir cualquier tipo de incumplimiento normativo. Por ese motivo, es recomendable que las instituciones arbitrales, a la par de incentivar el arbitraje digital, adopten las medidas necesarias para asegurar el intercambio seguro de información durante los arbitrajes, garantizando una correcta administración de dichos procedimientos. Para cumplir ésta última tarea, las instituciones arbitrales nacionales pueden guiarse de dos (2) directivas internacionales.

La primera es el informe denominado “Information Technology in International Arbitrarion” del 2017, elaborado por la Comisión de Arbitraje y ADR de la Cámara de Comercio Internacional (CCI), a través del cual, se realizó una serie de recomendaciones para el uso correcto de la tecnología en el arbitraje. Específicamente, el punto 3.5. (Confidentiality and data security) y 4 (Issues relevant to the hearings) de dicho informe desarrollan recomendaciones relacionadas a la confidencialidad y seguridad de la información en los arbitrajes.

Por otro lado, en junio 2020, el Grupo de Trabajo CCI-NYC BAR- CPR publicó el Protocolo de Ciberseguridad en el Arbitraje Internacional, el cual, establece una serie de recomendaciones en materia de seguridad de la información en los arbitrajes. Lo valioso de éste último protocolo es que brinda una serie de parámetros para establecer los factores de riesgos a tenerse en cuenta [7] y los lineamientos de ciberseguridad relevantes para la realización de los protocolos correspondientes [8]. En suma, estamos frente a dos documentos de consulta obligatoria para el tratamiento de los riesgos informáticos que genera la tramitación digital de los arbitrajes.

[*] Jesús Hernández Peña es abogado por la Pontificia Universidad Católica del Perú y especialista en Responsabilidad Civil por la Universidad Castilla-La Mancha (España). Actualmente cursa la Maestría en Derecho de la Empresa de la PUCP y se desempeña como abogado asociado en Bueno i Lercari Consultores.

[1] The Diplomat. Did China Just Hack the International Court Adjudicating Its South China Sea Territorial Claims? (2015) Fecha de consulta: 11 de junio el 2020. Recuperado en: thediplomat.com/2015/10/did-china-just-hack-the-international-court-adjudicating-its-south-china-sea-territorial-claims/.

[2] Véase Gabrielle Kaufmann-Kohler y Thomas Schultz. The use of information technology in Arbitration. 2005. Recuperado en: lk-k.com/wp-content/uploads/The-Use-of-Information-Technology-in-Arbitration.pdf.

[3] Osvaldo Artaza Varela. “Programas de cumplimiento. Breve descripción de las reglas técnicas de gestión del riesgo empresarial y su utilidad-penal”. En Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal. 2014, p. 240.

[4] Ver Osvaldo Artaza Varela y Sebastián Galleguillos. “El deber de gestión del riesgo de corrupción en la empresa emanado de la Ley 20393 de Chile: especial referencia a las exigencias de identificación y evaluación de riesgo.” En Revista Derecho PUCP N° 81, 2018.

[5] Roque Caivano. “El deber de confidencialidad de los árbitros en el arbitraje comercial desde un enfoque comparativo”. En Lima Arbitration N° 4, 2010, p. 131. Recuperado en: http://limaarbitration.net/LAR4/Roque_J._Caivano.pdf.

[6] Nelson Remolina Angarita. Tratamiento de Datos Personales: aproximación internacional y comentarios a la Ley 1581 de 2012, LEGIS: Colombia, 2013. Pp. 3

[7] Schedule B del protocolo de ciberseguridad.

[8] Ibídem.