Os ciberataques no mundo digital de hoje estão se tornando cada vez mais comuns e a arbitragem internacional não foi afetada. Ao contrário, arbitragem internacional pode ser altamente suscetível a ataques cibernéticos. Isso é explicado por sua própria natureza e princípios subjacentes, ou seja, privacidade, confidencialidade, flexibilidade processual e o envolvimento de vários participantes e dados confidenciais.
Em 2015, por exemplo, o site da Tribunal Permanente de Arbitragem foi hackeado durante uma arbitragem entre a China e as Filipinas sobre uma disputa delicada nas fronteiras marítimas. O mesmo vale para o setor jurídico em geral, como evidenciado pelo Vazamento de ‘Panama Papers’, que envolveu a liberação de milhões de documentos de advogado-cliente criptografados na posse de um escritório de advocacia baseado no Panamá.
À luz de tais eventos, durante a semana de arbitragem em Nova York, a 2020 edição do Protocolo sobre Segurança Cibernética em Arbitragem Internacional foi liberado. Este Protocolo é o resultado de um esforço conjunto de dois anos do Conselho Internacional de Arbitragem Comercial, o Instituto Internacional para Prevenção e Resolução de Conflitos e o Bar da Cidade de Nova York. Seu objetivo é aumentar a conscientização sobre assuntos de cibersegurança na comunidade de arbitragem e ajudar os participantes na arbitragem a adotar medidas apropriadas para mitigar riscos potenciais.[1]
Na mesma veia, em 2018, a International Bar Association publicou seu próprio conjunto de Diretrizes de segurança cibernética. Seu objetivo é ajudar as empresas a se protegerem de violações da segurança dos dados e de possíveis responsabilidades, bem como manter suas operações em execução no caso de um ataque cibernético.
Quais são as consequências das violações da segurança cibernética na arbitragem internacional?
O impacto de um ataque cibernético variará com base nas circunstâncias particulares de cada caso. Contudo, em geral, pode resultar, inter alia, em:
- um aumento do custo total de uma arbitragem internacional e perda econômica para qualquer participante cujas informações estejam comprometidas;[2]
- atrasos adicionais e frustração do processo arbitral, pois pode dar origem a uma série de questões práticas, tais como o admissibilidade de evidências hackeadas, a alocação de custos adicionais, potencial questionamento da imparcialidade e independência dos árbitros (que às vezes pode ser justificado), bem como desacordos em termos das medidas apropriadas a serem adotadas para remediar a violação;
- danos à reputação decorrentes da cobertura adversa da mídia sobre o incidente, especialmente para árbitros, instituições e conselho;[3]
- possível responsabilidade contratual e / ou tortuosa de acordo com as leis aplicáveis, principalmente por violar os requisitos de segurança cibernética impostos pelos diversos regimes de proteção de dados atualmente em vigor em todo o mundo.[4] Por exemplo, uma falha na implantação de medidas de segurança apropriadas pode levar a processos, multas e sanções regulatórias sob o Regulamento Geral de Proteção de Dados, aplicável na Europa ou no Lei Geral de Proteção de Dados, aplicável no brasil.[5]
Qual é a melhor abordagem para mitigar o risco de ataques cibernéticos na arbitragem internacional?
A cibersegurança eficaz exige a participação ativa e contínua de todos os participantes da arbitragem, ou seja, partes, conselho, árbitros, instituições administradoras (caso existam), especialistas, testemunhas e qualquer outro indivíduo que possa estar envolvido no processo de arbitragem.[6]
Em particular, instituições arbitrais, devido ao seu papel de administrador, estão aptos a empregar estratégias de cibersegurança de maneira centralizada que lhes permita captar a crescente sofisticação dos ataques cibernéticos. Por sua vez, os árbitros podem decidir sobre ‘camadas extras de proteção’, incorporados em ordens processuais e adaptados às necessidades de cada caso individual.
Deve-se notar, mesmo assim, que o significado da segurança cibernética não deve ser exagerado. Medidas caras demais em situações em que os riscos de invasão cibernética não são substanciais podem ser contraproducentes.
Consequentemente, a melhor abordagem seria que todos os participantes da arbitragem internacional prestassem uma boa consideração às preocupações de segurança cibernética, reconhecendo seu papel como parte de um senso compartilhado de responsabilidade coletiva, especialmente onde os ataques podem parecer futuros, mas abordar a questão não deve se tornar um fim em si.
- Anastasia Tzevelekou, Aceris Law LLC
[1] Prefácio ao 2020 Protocolo, para. Eu.
[2] Comentário ao Princípio 1(d) do protocolo.
[3] Ibid.
[4] Ibid.
[5] Comentário ao Princípio 4(b) do protocolo.
[6] S. Cohen e M. Morril, Nota introdutória à edição especial do TDM Segurança Cibernética na Arbitragem Internacional (2019).