Habeas Data – Datos Personales – Privacidad

Texto completo del primer fallo sobre spam en Argentina

Posted: abril 30th, 2006 | Author: | Filed under: Argentina, Casos, Spam | No Comments »

PROTECCION DE DATOS PERSONALES. MARKETING. BASES DE DATOS. HABEAS DATA . Spam. Envio de correo electrónico. Solicitud de remoción. Incumplimiento. Daños producidos al ordenador en la fragmentación del disco rí­gido. Derecho a la privacidad. Derecho a controlar la información personal. Derecho a pedir la remoción de un banco de datos con fines de publicidad.

Ver notas de Jorge Prividera Favio Farinella Nota de Prensa

SUMARIO

1.- A través del denominado -marketing de banco de datos- las empresas crearon un sistema por el que se brinda información gratuita ví­a personas, correo, telefónica o Internet a cambio de proporcionar datos personales que servirán a los fines de la publicidad de sus productos. Con esa información se configuran bancos de datos que contienen las caracterí­sticas de los usuarios y que además se comercializan, quienes así­ comienzan a concretar ventas. Se produce entonces, un cruzamiento de datos que apunta a vender un determinado producto a quien compró otro con anterioridad y en razón de la información que dejó al hacerlo; esta situación se multiplica cuando tiene lugar a través de Internet, como consecuencia de la información que arroja el usuario en la red cuando ingresa a distintas páginas web y que después será utilizada con una finalidad distinta de la que previó cuando la brindó.

2.- La información que recolectan los demandados y el modo en que la organizan, o sea que agrupan las direcciones de correo electrónico por la profesión o actividad que desarrolla la persona, constituye incuestionablemente una verdadera base de datos. Repárese que en algunos casos el archivo que ofrecen a la venta incluye, también, datos como nombre y apellido, dirección, teléfono, fecha de nacimiento, número de documento e ingresos aproximados o empresas con nombre, cuit, cantidad de empleados, fax, responsable, cargo y rubro.

3.- La ley 25.326 en su art. 27, permite el tratamiento de datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales, publicitarios, o que permitan establecer hábitos de consumo cuando éstos figuren en documentos accesibles al público (inc. 1). No obstante, la norma prevé la posibilidad de que, en cualquier momento, el titular solicite el retiro o bloqueo de su nombre de los referidos bancos de datos (inc. 3).

4.- Los informes producidos por las distintas entidades oficiadas y la pericia -“no impugnados por las partes (art. 477 del CPCC)-, dan cuenta del significado del término SPAM y del daño que se ocasiona a los receptores de los mensajes atento al tiempo de descarga que requiere identificarlos, seleccionarlos y borrarlos, así­ como también al incremento en el costo de recepción y procesamiento. Ello genera, además, la necesidad de implementar sistemas para bloquear y, aún lograr, la protección de los virus que pueden dispensar. El informe pericial explica el proceso de fragmentación que tiene lugar el almacenamiento y la eliminación de archivos y el perjuicio que ello irroga, que se traduce en una notable disminución de la velocidad de almacenamiento y obtención de información. Asimismo, puntualiza que los correos electrónicos son archivos de pequeño tamaño y, consecuentemente, su excesiva grabación y borrado produce una mayor fragmentación del disco rí­gido de la computadora.

5. Si se encuentran probados los extremos invocados por los actores en cuanto a la existencia de la base de datos, la inclusión de sus datos personales, el enví­o masivo de mensajes con el consecuente daño que esa circunstancia provoca y el requerimiento de no enviar más publicidad a sus casillas de correo que, si bien no fue remitido por los medios tradicionales de interpelación sino a través de Internet, no puede quitársele el valor que tiene, dado que fue el medio previsto por los demandados a ese fin en los términos del decreto 1558/01, art. 27, tercer párrafo, corresponde ordenar el cese del tratamiento de datos y la eliminación de los datos personales de los actores.

6.- La actividad de envio de correos elecrtónicos no solicitados comporta una invasión en la esfera de la intimidad de los actores y de su tranquilidad, por cuanto se ven sometidos a la intromisión en sus datos personales que se ve reflejada en el enví­o masivo de mensajes no solicitados y la oferta de comercialización de esos datos que efectúan a terceros, cuando ya habí­an requerido el cese del enví­o y el bloqueo de esa información de la base respectiva, conforme lo previsto en el ya citado art. 27 de la ley 25.326. Esta nueva faceta de la vida í­ntima de las personas -“que se pone de manifiesto con el avance de las comunicaciones- merece el resguardo del ordenamiento jurí­dico como los otros aspectos de ella, contemplados en el art. 1071 bis del Código Civil.

Caso -Tanús Gustavo Daniel y otro c/ Cosa Carlos Alberto y otro s/ habeas data- – Juzgado Civil y Comercial Federal Nº 3 de la Capital Federal – Secretarí­a Nº 6 -“ 7/4/2006.

TEXTO COMPLETO DEL FALLO

Buenos Aires, 7 de abril de 2006.-
Y VISTOS, para resolver estos autos caratulados -TANUS GUSTAVO DANIEL Y OTRO c/ COSA CARLOS ALBERTO Y OTRO s/ HABEAS DATA-, Expte. n* ° 1.791/2003, radicado en la Secretarí­a n* ° 6, de cuyo estudio resulta y

CONSIDERANDO. 1) Los doctores GUSTAVO DANIEL TANíšS y PABLO ANDRí‰S PALAZZI (letrados en causa propia), promueven la presenta acción de habeas data -“que amplí­an a fs. 261/27- contra don CARLOS ALBERTO COSA y doña ANA CAROLINA MAGRANER, con fundamento en el art. 43 de la Constitución Nacional y en la ley 25.326, a fin de obtener : a) el acceso a los datos personales de los actores, incluidos en las bases de datos que los demandados utilizan para enviarles mensajes de correo electrónico no solicitado (SPAM) b)la eliminación de esos registros en las mencionadas bases; c) se condene a los demandados a adoptar los recaudos técnicos necesarios para proceder al bloqueo de toda dirección de correo electrónico vinculada con los actores.

Solicitaron y obtuvieron a fs. 180 el dictado de una medida cautelar, tendiente a que los demandados se abstuvieren de enviar mensajes a las casillas de los actores así­ como transferir o ceder a terceros la dirección de su correo electrónico u otro dato personal que se vincule con ellos. Relatan que aquellos , bajo el nombre de fantasí­a -PUBLICC SOLUCIONES INFORMíTICAS-, se dedican a la venta de bases de datos que contiene información personal de terceros, en especial de direcciones de correos electrónicos de millones de usuarios argentinos de Internet, cuya finalidad es hacer publicidad masiva e indiscriminada, y para ello se valen precisamente del mismo método, es decir, el enví­o de correos electrónicos no () solicitados, denominados SPAM.

Agregan que promocionan sus servicios en diferentes sitios de Internet y que, según las constancias que emanan del NIC-AR, resultan ser titulares. Explican que las base de datos que comercializan los demandados -“y que en reiterados ocasiones les ofrecieron- no solo contiene las direcciones de correo, sino también datos personales que, conforme a la ley 25.326, son considerados -sensibles- y que apuntan a diferenciar a los consumidores por perfiles o tipos. Los actores destacan que en diversas oportunidades respondieron esos mensajes solicitando el cese de los enví­os y el acceso a la información relacionada con ellos que los demandados tuvieran en su poder, así­ como también la eliminación de esa información de las mencionadas bases de datos.

Se explayan sobre la naturaleza del correo electrónico y del SPAM (enví­o de mensajes no solicitados) y resaltan que, a diferencia de la publicidad no requerida que se recibe habitualmente por otros medios como el correo postal, llamadas telefónicas o fax, en el caso del SPAM es el receptor quien asume parte del costo económico de esa actividad, ya que además del tiempo que se utiliza para -bajar- ese mensaje, implica un gasto por la conexión a cargo del usuario final, quien debe pagar el tiempo de tarifa telefónica y de servicio de Internet que conlleva ese proceso. A ello, añaden el desgaste que se produce en el disco rí­gido de la computadora por la -fragmentación- (los espacios que quedan en el sistema) que se origina al borrar esos mensajes. Por último, destacan la invasión a la privacidad que constituye este tipo de tratamiento de los datos personales, en violación a las disposiciones de los arts. 18 y 19 de la constitución Nacional, 11 de la Convención Americana sobre Derechos Civiles y Polí­ticos. Ofrecen prueba, dejan planteado el caso federal y solicitan la imposición de costas.

2) Requerido el informe previsto en el art. 39 de la ley 25.326, don CARLOS ALBERTO COSA y doña ANA CAROLINA ELIZABETH MAGRANER, con patrocinio letrado, piden a fs. 229/234 el rechazo de la acción por improcedente. Sostiene que no existe tal base de datos y que obtiene las direcciones de correo directamente de Internet, de acuerdo a un criterio de búsqueda previamente determinado. Aducen que los actores tiene una gran relación con el ámbito informático, como abogados especialistas en el tema y que sus direcciones de correo electrónico aparecen con diversos sistemas de búsqueda. Explican que ofrecen un servicio lí­cito, que consiste en el siguiente procedimiento: ingresan en la página de Internet donde se encuentra la sujeto, le enví­an un correo y con el mismo método buscan otros, sin que esas direcciones sean parte de alguna base de datos y de la cual pueden eliminarse.

Alegan que la actividad que realizan no puede calificarse como SPAM, dado que quienes enví­an este tipo de correos ocultan su identidad y ellos, por el contrario, se encuentran registrados como titulares de los dominios utilizados para la promoción del servicio, ante el Ministerio de Relaciones Exteriores (Network Information Center, NIC-AR). Aducen que los pretensores dieron su dirección de correo electrónico personal de Internet, de modo que no pueden invocar que se haya infringido el art. 5 inc. 2 de la ley 25.326 cuando establece que –¦ no será necesario el consentimiento cuando los datos se obtengan de fuentes de acceso público irrestricto-. Finalmente, niegan comercializar datos -sensible-, así­ como también haber recibido por parte de los actores la solicitud del caso de enví­o de correos y que se les haya ocasionado a los demandantes un perjuicio económico. Ofrecen pruebas.

3) Cabe efectuar una apreciación previa referente a las prestaciones efectuadas a fs. 345/347 por la parte actora y a fs. 349/351 por la demanda, en las que se adjudican en forma mutua el allanamiento y el desistimiento, respectivamente. En cuanto a estas peticiones, es menester dejar sentado que ni el escrito de fs. 229/234 ni el de fs. 336/343 constituyen un allanamiento a la pretensión de los actores, así­ como tampoco el escrito de fs. 345/347 comporta un desistimiento de la acción, dado que de la simple lectura de sus contenidos ninguno de ellos reúne -“ni siquiera en mí­nima medida- las condiciones requeridas que el Código Procesal exige como modos anormales de terminación del proceso. Se abrió la causa a prueba a fs. 357, diligenciándose la etapa pertinente de fs. 361 a 505 y, corrida la vista al señor Procurador Fiscal que prevé el art. 39 de la ley 24.946 a fs. 506, quedó el proceso en estado de resolver.

4) La acción de hábeas data -“con origen en el art. 43 de la Constitución Nacional y posterior reglamentación en la ley 25.326- constituye un subtipo de amparo destinado por un lado, a tomar conocimiento de los datos que obran en un registro o banco de dato público o privado, creado con el objeto de proporcionar informes así­ como de la finalidad que persiguen y, por el otro, a obtener la supresión, rectificación, confidencialidad o actualización de ellos, en caso de falsedad, inexactitud, desactualización o tratamiento prohibido (art. 33). De este modo, son diversas las situaciones que pueden afectar a una persona -“fí­sica o jurí­dica- como consecuencia del almacenamiento y tratamiento de sus datos e igualmente amplia es la tutela que ofrece la acción de hábeas data. Paralelamente, dado que es una acción expedita, y por lo tanto restrictiva, deben evaluarse rigurosamente las circunstancias en virtud de las cuales ésta se inicia, siendo menester además que se carezca de otra ví­a más idónea para articular la pretensión.

En otro orden , conviene puntualizar las distintas naturalezas que pueden revestir los datos de las persona. Así­, los personales representan la información de cualquier tipo, ya sea de í­ndole comercial, laboral. Patrimonial, financiera, entre otras; en tanto que los datos sensibles son aquellos que revelan origen racial y étnico, opiniones, polí­ticas, convicciones religiosas, filosóficas o morales, afiliación sindical, referentes a la salud o a la actividad sexual. Estos últimos se encuentran reservados a la órbita de la intimidad de las personas y no procede su registro ni su tratamiento, salvo en las condiciones excepcionales contempladas en el art. 7 de la ley citada.

5) En el sub examine, la pretensión consiste en el acceso y la supresión de los datos que los demandados poseen de los actores, el cese de su tratamiento y el bloqueo de toda dirección de correo electrónico vinculada con los demandantes. En relación a ello cabe resaltar la particularidad que la materia exterioriza, tanto por la diversidad de garantí­as que protege este tipo de acción -“puntualizada con anterioridad en el considerando 4- cuanto por lo novedoso del caso, así­ como la complejidad de la tecnologí­a que se halla involucrada en el tratamiento de los datos. No puede soslayarse, además, que ese procesamiento de información tiene en el presente una finalidad exclusivamente publicitaria.

A través del denominado -marketing de banco de datos- las empresas crearon un sistema por el que se brinda información gratuita ví­a personas, correo, telefónica o Internet a cambio de proporcionar datos personales que servirán a los fines de la publicidad de sus productos. Con esa información se configuran bancos de datos que contienen las caracterí­sticas de los usuarios y que además se comercializan, quienes así­ comienzan a concretar ventas. Se produce entonces, un cruzamiento de datos que apunta a vender un determinado producto a quien compró otro con anterioridad y en razón de la información que dejó al hacerlo; esta situación se multiplica cuando tiene lugar a través de Internet, como consecuencia de la información que arroja el usuario en la red cuando ingresa a distintas páginas web y que después será utilizada con una finalidad distinta de la que previó cuando la brindó (conf. Masciotra, Mario. -El habeas data. La garantí­a polifuncional-, pags. 464, 467).

Los actores solicitan ser removidos de la base de datos que poseen los demandados y estos últimos, por su parte, niegan la existencia de la documental aportada por la actora -“que no fue desconocida en los términos del art. 456 inc. 1º del CPCC (art. 37 de la ley 25.326)- que los demandados promocionan la venta, y hasta el obsequio, de bancos de datos. Ello en virtud de la documentación obrante a fs. 4/7, 12/47, consistente en mensajes de correo electrónico enviados a los actores en distintas fechas por -publicc soluciones informáticas-, denominación que pertenece a los demandados, según lo reconocieran en el informe que produjeron a fs. 230 vta., 4to. Y 5to. párrafos y fs. 231, 3º párrafo, quienes también aceptaron -“contradictoriamente con la postura asumida- que publicitan la venta de bases de datos a fs. 230, cap. III, primero y segundo párrafos.

A esta altura y sobre la cuestión a decidir, no resulta ocioso recordar la definición que brinda la ley de habeas data acerca del archivo, registro, base o banco de datos, cuando legisla que: -indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso- (art. 2). A su vez, el decreto 1558/2001 reglamenta que -…quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquéllos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o trasferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a tí­tulo oneroso o gratuito- (art. 1º).

En este sentido, ha de concluirse que la información que recolectan los demandados y el modo en que la organizan, o sea que agrupan las direcciones de correo electrónico por la profesión o actividad que desarrolla la persona, constituye incuestionablemente una verdadera base de datos. Repárese que en algunos casos el archivo que ofrecen a la venta incluye, también, datos como nombre y apellido, dirección, teléfono, fecha de nacimiento, número de documento e ingresos aproximados (ver fs. 21) o empresas con nombre, cuit, cantidad de empleados, fax, responsable, cargo y rubro (ver fs. 27).

Igualmente, ofertan la cesión o transferencia de los mencionados archivos a terceros, con la finalidad de enviar publicidad y promocionan, además, un servicio que posibilita el enví­o de correos electrónicos ocultando la dirección remitente, en flagrante violación a lo dispuesto en el art. 6 inc. e y en el art. 14 de la ley, dado que ese accionar imposibilita o, por lo menos, dificulta el acceso a la base de datos (ver fs. 44). Por otra parte, el tratamiento de los datos que los demandados llevan a cabo le adjudica a la información que tomaron en la oportunidad en que volcaron esos datos en Internet, en detrimento de lo dispuesto en el art. 4 inc. 3º.

Ahora bien, como los demandados argumentan que la recopilación de la información que ofrecen es extraí­da de documentos accesibles al público sin restricciones, el tratamiento que realizan encuadra en las previsiones del art. 5 inc. 2 ap. a) de la ley, que exime de requerir el consentimiento del titular de los datos; ha de tenerse en cuenta, además, que en principio la calidad de los datos se limitarí­a a la estipulada en el inc. c) de la norma citada (nombre, documento nacional de identidad, identificación tributaria o provisional, ocupación, fecha de nacimiento y domicilio).

Por otra parte, la ley 25.326 en su art- 27, permite el tratamiento de datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales, publicitarios, o que permitan establecer hábitos de consumo cuando éstos figuren en documentos accesibles al público (inc. 1). No obstante, la norma prevé la posibilidad de que, en cualquier momento, el titular solicite el retiro o bloqueo de su nombre de los referidos bancos de datos (inc. 3). Y tal como surge de la documentación que aportaron los actores a fs. 49, 51, 56, 58 y 59, así­ lo pidieron en reiteradas oportunidades a las direcciones de correo tarjetas@publicc.zzn.com y remover@publi.com.ar -“esta última arrojó un resultado negativo- previstas por los demandados para enviar la solicitud de no recibir más publicidad (ver fs. 57 y 60). Tampoco obtuvieron resultado alguno cuando requirieron el acceso a los datos, puesto que con posterioridad a ello continuaron los enví­os de mensajes (confrontar las respectivas fechas de la prueba documental por el perito en informática ingeniero Daniel Edgardo Cortés a fs. 482/488, punto 2).

Respecto del daño que los actores alegan que les origina la recepción del mentado correo masivo no solicitado, ya sea por el costo económico como por el tiempo que esa actividad insume, debe estarse a las probanzas adquiridas a ese efecto. En este sentido, los informes producidos a fs. 413/414, 427/428, 447, 450 y 496/499 por las distintas entidades oficiadas y la pericia mencionada precedentemente (punto 6) -“no impugnados por las partes (art. 477 del CPCC)-, dan cuenta del significado del término SPAM y del daño que se ocasiona a los receptores de los mensajes atento al tiempo de descarga que requiere identificarlos, seleccionarlos y borrarlos, así­ como también al incremento en el costo de recepción y procesamiento. Ello genera, además, la necesidad de implementar sistemas para bloquear y, aún lograr, la protección de los virus que pueden dispensar.

Por su parte, el experto explica el proceso de fragmentación que tiene lugar el almacenamiento y la eliminación de archivos y el perjuicio que ello irroga, que se traduce en una notable disminución de la velocidad de almacenamiento y obtención de información. Asimismo, puntualiza que los correos electrónicos son archivos de pequeño tamaño y, consecuentemente, su excesiva grabación y borrado produce una mayor fragmentación del disco rí­gido de la computadora (ver respuesta brindada al séptimo punto de pericia).

En esas condiciones, se encuentran probados los extremos invocados por los actores en cuanto a la existencia de la base de datos, la inclusión de sus datos personales, el enví­o masivo de mensajes con el consecuente daño que esa circunstancia provoca y el requerimiento de no enviar más publicidad a sus casillas de correo que, si bien no fue remitido por los medios tradicionales de interpelación sino a través de Internet, no puede quitársele el valor que tiene, dado que fue el medio previsto por los demandados a ese fin en los términos del decreto 1558/01, art. 27, tercer párrafo.

De ese modo, además del daño apuntado precedentemente, la actividad de los demandados comporta una invasión en la esfera de la intimidad de los actores y de su tranquilidad, por cuanto se ven sometidos a la intromisión en sus datos personales que se ve reflejada en el enví­o masivo de mensajes no solicitados y la oferta de comercialización de esos datos que efectúan a terceros, cuando ya habí­an requerido el cese del enví­o y el bloqueo de esa información de la base respectiva, conforme lo previsto en el ya citado art. 27 de la ley 25.326 (ver considerando 4). Y esta nueva faceta de la vida í­ntima de las personas -“que se pone de manifiesto con el avance de las comunicaciones- merece el resguardo del ordenamiento jurí­dico como los otros aspectos de ella, contemplados en el art. 1071 bis del Código Civil.

Es dable destacar en idéntico sentido la jurisprudencia extranjera, que ha sostenido en la materia que la garantí­a de la intimidad se traduce en un derecho de control sobre los datos relativos a la propia persona, siendo la libertad informática el derecho a controlar el uso de los mismo insertos en un programa informático, pudiendo el ciudadano oponerse a que determinados datos personales sean utilizados para fines distintos de aquel legí­timo que justificó su obtención (T. Constitucional, España, Sala 1, 8-11-1999, La Ley 2001 D-545). Por ende, estimo que se encuentran reunidos los elementos suficientes para admitir la pretensión deducida por los actores.

En razón de los fundamentos vertidos, normas legales y jurisprudencia citadas y oí­do que fue el Ministerio Público Fiscal así­ como lo dispuesto en el art. 68 del CPCC y 43 de la ley 25.326,

RESUELVO:
I) Hacer lugar a la acción de hábeas data promovida por los doctores GUSTAVO TANíšS y PABLO ANDRES PALAZZI y condenar a don CARLOS COSA y a doña ANA CAROLINA ELIZABETH MAGRANER para que en el plazo de DIEZ DIAS CORRIDOS: a) permitan a los actores el acceso a los datos personales que poseen de ellos; b) con posterioridad, los eliminen de las bases de datos que detentan; c) cesen en el tratamiento de sus datos personales, con costas a su cargo.
(……)
Regí­strese, notifí­quese, comuní­quese a la Dirección Nacional de Protección de Datos Personales -“Secretarí­a de Polí­tica Judicial y Asuntos Legislativos del Ministerio de Justicia, Seguridad y Derechos Humanos, sita en Sarmiento 327 de esta ciudad a cuyo fin lí­brese oficio y, oportunamente, archí­vese. Fdo.: Roberto Torti – Juez Federal. Viviana J. M. Malagamba -“ Secretaria Federal


Primer fallo contra el spam en Argentina

Posted: abril 25th, 2006 | Author: | Filed under: Argentina, Noticias, Público en general, Spam | No Comments »

Ver notas de “Clarin”:http://www.clarin.com/diario/2006/04/26/sociedad/s-03303.htm “La Nación”:http://www.aat-ar.org/Revista_art.asp?iid=622

El 7 de abril de 2006 el Juez a cargo del Juzgado Civil y Comercial Federal Nº 3, Secretarí­a Nº 6 de la Capital Federal, Dr. Roberto Torti dictó la primera sentencia que declara ilegal el SPAM en Argentina. En esa decisión el juez dispuso que los demandados deberán otorgar a los actores el acceso a sus datos personales, borrar la información de sus correos electrónicos y cesar en el tratamiento de esos datos. También condena a los demandados a pagar las costas del juicio.

El caso se inició en febrero del año 2003 cuando Gustavo Tanús y Pablo Palazzi, decidieron recurrir a la justicia luego que el demandado hiciera caso omiso a sus pedidos de que no les enviara más mensajes de correo electrónico con publicidad no solicitada.

Cabe recordar que el 11 de noviembre de 2003 se habí­a dictado la primera medida cautelar en ese caso. En esa decisión el juez dispuso que los demandados debí­an abstenerse de seguir enviando correos electrónicos a los actores mientras durara el litigio. Además de prohibir que los demandados enví­en mensajes de correo electrónico a las casillas de los actores, la medida cautelar habí­a dispuesto que también deberí­an abstenerse de “transferir o ceder a terceros las direcciones de correo electrónico u otro dato personal vinculado a ellos (arts. 1, 2, 5, 11 y 27 de la Ley 25.326 de Protección de Datos Personales), hasta tanto finalizara el litigio.

En la demanda, Tanús y Palazzi acompañaron copias de los mensajes de correo electrónicos recibidos, que contení­an direcciones a las que supuestamente podí­an solicitar ser removidos de la lista de distribución, pero que nunca funcionaron, y de los que ellos enviaban ejerciendo los derechos reconocidos por la Ley de Protección de Datos. Además en la causa se produjo una extensa pericia que demostró que Tanús y Palazzi habí­an recibido los correos con publicidad, habí­an pedido ser removidos y no habí­an obtenido respuesta, pues continuaron recibiendo ofertas comerciales por correo electrónico.

La sentencia se base en ley de protección de datos de Argentina, que en forma especí­fica regula las comunicaciones de marketing y en su art. 27 establece que los que reciban este tipo de comunicaciones tienen derecho a acceder a los datos personales y a solicitar ser removidos de la base de datos (art. 27 ley 25.326). Si no lo hacen, al afectado le queda la posibilidad de iniciar una acción de habeas data. La decisión del juez también señala que los demandados tení­an una base de datos y que al ofrecer un servicio que posibilita el enví­o de correos electrónicos ocultando la dirección remitente violan los arts. 6 inc “e” y 14 de la ley de habeas data dado que ese accionar imposibilita o dificulta el acceso a la base de datos. Finalmente señala que el tratamiento de los datos de los actores con un propósito distinto es contrario al principio de finalidad previsto en la ley 25.326.

En materia legislativa, la Secretarí­a de Comunicaciones habí­a elaborado un anteproyecto que contení­a fuertes sanciones de multa para aquellos que practicaran spam, pero el proyecto nunca obtuvo estado legislativo. En la actualidad, se encuentran en trámite en el Congreso dos proyectos de Ley que pretenden regular el correo electrónico no solicitado, conocido mundialmente como SPAM, aunque se desconoce en qué estado se encuentran dichos trámites.

El problema del spam, que en estos año llego a constituir mas de la mitad del correo electrónico que circula por la red, es que hace recaer los costos de la publicidad en quien recibe el mensaje (los usuarios de Internet) y no en quien lo enví­a. A ello se suma el perjuicio que le causa a los proveedores de servicio de Internet que tienen que procesarlos y la que los filtros o programas para detenerlo no son 100% efectivos.


Reflexiones del Profesor Spiros Simitis en su visita a Buenos Aires

Posted: abril 20th, 2006 | Author: | Filed under: Conferencias, General, Público en general, Unión Europea | No Comments »

*Reflexiones del Profesor Spiros Simitis en su visita a Buenos Aires en el “cuarto Seminario Internacional sobre Protección de Datos Personales”:http://www.habeasdata.org/SimitisSeminario, el dí­a 27 de marzo de 2006*
“por Pablo A. Palazzi”:http://www.habeasdata.org/pablopalazzi

*1. Introducción*
En el cuarto Seminario Internacional sobre Protección de Datos Personales organizado por la “Dirección Nacional de Protección de Datos”:http://www2.jus.gov.ar/dnpdp/index.html, el dí­a 27 de marzo de 2006, disertó en Buenos Aires el profesor y especialista en protección de datos “Dr. Spiros Simitis”:http://de.wikipedia.org/wiki/Spiros_Simitis. He aquí­ un breve resumen de su exposición con nuestros comentarios.

El profesor Spiros Simitis fue comisionado del Land de Hesse (el primer estado que aprobó la primera ley de protección de datos del mundo y de importante influencia en el resto) en materia de protección de datos a partir del año 1975. También es profesor de Derecho civil y de derecho laboral en la Universidad de Frankfurt, y director del Research Center for the Protection of Personal Data de la misma universidad.

*2. Origenes y estado actual del derecho a la protección de datos personales*
La charla comenzó señalando el origen literario del problema, con alusiones a “1984″:http://www.ucm.es/info/bas/utopia/html/1984.htm de Orwell y la obra de “Huxley”:http://es.wikipedia.org/wiki/Aldous_Huxley . También recordó la naturaleza fundamental de estos derechos y la necesidad de reconocerlos. Comparó a Argentina con Polonia, Hungrí­a y España, paí­ses que en su momento no pudieron legislar esta materia por falta de un gobierno democrático.

Simitis señaló que todo comenzó en junio de 1969, cuando un diario alemán publicó un artí­culo en el cual se advertí­a sobre los peligros que la informática planteaba a los derechos de los ciudadanos. El artí­culo concluí­a planteando la necesidad de una ley. El Primer Ministro del estado de Hesse leyó este artí­culo e inmediatamente ordenó la creación de una comisión que elaborarí­a una ley que tratara el problema de las bases de datos públicas que contení­an datos de todos los ciudadanos (contrariamente a lo que sucede cuando se crea una comisión, en Alemania esa comisión terminó la ley). En ese entonces, el gobierno apoyaba la existencia de un banco de datos centralizado que contuviera la información de los ciudadanos. La publicidad del gobierno citaba el siguiente ejemplo: -Si Ud. maneja en la ruta y tiene un accidente y se encuentra inconsciente, con un solo acceso al ordenador será posible conocer sus antecedentes, su historia clí­nica, sus enfermedades, etc. Las chances de sobrevivir se incrementarán significativamente …-.

A raí­z de esta nota periodí­stica, el tema se instauró en la opinión pública y el 7 de octubre de 1970, el estado alemán de Hesse ya tení­a su ley aprobada. Surgí­a así­ la primera ley de protección de datos del mundo.

Luego contó como las leyes de protección de datos se fueron reproduciendo en Europa y en otros paí­ses del mundo y resumió los principios fundamentales en los siguientes:
1) cualquier regulación de protección de datos personales es una respuesta del derecho a los avances de la tecnologí­a;
2) no importa quien ni cómo realiza un tratamiento de datos personales, lo que debe importar es que cuando hay datos personales deben entrar a jugar las reglas diseñadas para contener o limitar estos tratamientos y dar derechos al titular de los datos sobre esos datos;
3) el tratamiento de datos personales debe ser la excepción, no la regla, es decir, quien trata datos personales debe estar legitimado de alguna forma para hacerlo, ya sea por el consentimiento del titular de los datos o por una ley que lo autorice a tal efecto
4) este procesamiento de datos personales debe ser lo mas transparente posible y a tales fines se debe informar al titular de los datos personales de la finalidad del procesamiento de sus datos y registrar la base de datos ante la autoridad de contralor;
5) una adecuada protección de los datos personales obliga a establecer una autoridad de contralor independiente.

El profesor Simitis señaló que actualmente la protección de los datos personales se concibe como una barrera al intento de monopolizar al individuo y usar sus datos personales acumulados en ordenadores como medio de determinar e influenciar en su comportamiento.

Trece años después de la ley del Land de Hesse, la Corte constitucional Alemana aprobó su conocida sentencia sobre la ley del censo, reconociendo por primera vez el derecho a la autodeterminación informativa. El tribunal en aquel fallo sentenció que la persona que no sabe quién tiene sus datos y con qué finalidad, renuncia a ejercer sus derechos. El tribunal constitucional alemán calificó al mencionado derecho como un derecho fundamental de los ciudadanos.

Unos años mas adelante, la Unión Europea aprobó la “Directiva de Protección de Datos Personales”:http://www.habeasdata.org/DirectivaEuropeaPDP, que armonizó las legislaciones de los entonces quince estados miembros. Luego vino la Constitución europea que reconoce al derecho a la protección de datos personales el rango de derecho fundamental. Esto, según Simitis, tiene dos significados: 1) la protección de datos personales será un derecho fundamental para todo las actividades que realicen la Unión Europea y sus estados miembros y 2) para el tema de las transferencias internacionales de datos personales.

*3. Los nuevos desafí­os*
Las reflexiones del Profesor Simitis luego se orientaron a los conceptos actuales de la protección de datos y su evolución. El derecho de la protección de datos nació como una reacción a la tecnologí­a. En 1970 se pensaba en servidores centralizados de datos personales con enormes bases de datos únicas conteniendo toda la información de los ciudadanos. Ese era el “problema”:http://www.mpp-rdg.mpg.de/pdf_dat/burkert.pdf que la ley de Hesse buscó resolver. En esa época solo el gobierno contaba con los medios para esta gran capacidad de procesamiento. El sector privado no disponí­a de semejantes ordenadores. Simitis explicó que en pocos años este procesamiento se descentralizó, sólo una década después ya habí­a laptops, luego aparecen Internet y la computación distribuida y el ordenador personal al alcance de todos e incluido en toda clase de dispositivos (palms, celulares, relojes, etc). La tecnologí­a fue demostrando que en pocos años las leyes originales de protección de datos eran absurdas y anticuadas. Por eso Simitis concluye que hoy en dí­a en materia de protección de datos se legisla para una fracción muy corta de tiempo. La ley de Hesse exigí­a que el comisionado de protección de datos informara de los cambios al Parlamento y esto se usó para actualizar la ley. Lo mismo ocurre en Noruega, donde el Parlamento obligó a que la ley de protección de datos se revisara cada cuatro años.

Estos cambios fueron avanzando y Simitis refiere que hoy en dí­a los mayores tratamientos de datos personales se realizan en el sector privado. Se ejemplifican con los informes comerciales, el marketing, las tarjetas de crédito, las tarjetas de fidelidad, el uso de RFID en supermercados, viajes, hoteles, gastos, cuentas, etc… Casi todos los actos que realizamos hoy en dí­a en la sociedad quedan registrados y de alguna manera pueden ser recuperados. Nada se salva… De allí­ la importancia de tener leyes de protección de datos..

Simitis explica que todas estas bases de datos han hecho que para el gobierno ya no sea necesario que el propio Estado junte la información en un solo gran banco de datos. Ahora la recolección la realiza el sector privado en numerosos bancos de datos dispersos entre sí­, y cuando el Estado la necesita, le alcanza con solicitarla con alguna justificación relacionada con el interés público. El ejemplo que nos da el profesor Simitis es lo que ocurrió con los atentados del 11 de septiembre. Toda la información necesaria la tení­a el sector privado. Al estado le alcanzaba con juntar todos estos datos pero no necesitaba una gran base de datos centralizada (algún autor los ha bautizado como “Big Brother little helpers”:http://papers.ssrn.com/sol3/papers.cfm?abstract_id=582302 ) y no fue casual que “fuera el sector privado el que le ofreció al Estado”:http://multinationalmonitor.org/mm2001/01november/nov01interviewhofnagle.html luego de los atentados edificar todo el sistema de hardware y software para tener acceso a todas estas bases de datos.

*4. Conclusiones*
Para terminar, fue placentero escuchar a uno de los mas conocidos especialistas en protección de datos personales disertar en Argentina sobre la historia y fundamentos de la protección de datos personales.

Sobre todo resulta importante que una autoridad como Simitis explique porqué resulta necesario adoptar leyes de protección de datos personales, que regulan la forma en que los terceros deben cumplir con los deberes relativos al manejo de información personal.

(c)2006 Pablo Palazzi – Algunos Derechos reservados


Fallo final en el caso United States v. Google (privacidad sobre historial de busqueda)

Posted: abril 17th, 2006 | Author: | Filed under: Casos, Derecho a la imagen, EEUU | No Comments »

ALBERTO R. GONZALES, in his official capacity as Attorney General of the Uni-ted States, Plaintiff, v. GOOGLE, INC., Defendant.

NO. CV 06-8006MISC JW

UNITED STATES DISTRICT COURT FOR THE NORTHERN DISTRICT OF CALIFORNIA, SAN JOSE DIVISION

2006 U.S. Dist. LEXIS 13412

March 17, 2006, Decided

[*1] Attorney(s) for Plaintiff or Petitioner: Joel Mcelvain, U. S. Department of Justice.

Attorney(s) for Defendant or Respondent: Albert Gidari, Jr., Perkins Coie, LLP.

JAMES WARE, United States District Judge.

ORDER GRANTING IN PART AND DENYING IN PART MOTION TO COMPEL COMPLIANCE WITH SUBPOENA DUCES TECUM
I. INTRODUCTION
This case raises three vital interests: (1) the national interest in a judicial system to reach informed decisions through the power of a subpoena to compel a third party to produce relevant information; (2) the third-party’s interest in not being compelled by a subpoena to reveal confidential business information and devote resources to a distant litiga-tion; and (3) the interest of individuals in freedom from general surveillance by the Government of their use of the In-ternet or other communications media.
In aid of the Government’s position in the case of ACLU v. Gonzales, Civil Action No. 98-CV-5591 pending in the Eastern District of Pennsylvania, United States Attorney General Alberto R. Gonzales has subpoenaed Google, Inc., (“Google”) to compile and produce a massive amount of information from Google’s search index, and to turn [*2] over a significant number of search queries entered by Google users. Google timely objected to the Government’s request. Following the requisite meet and confer, the Government filed the present Miscellaneous Action in this District to com-pel Google to comply with the subpoena. On March 14, 2006, this Court held a hearing on the Government’s Motion. n1 At that hearing, the Government made a significantly scaled-down request from the information it originally sought. For the reasons explained in this Order, the motion to compel, as modified, is GRANTED as to the sample of URLs from Google search index and DENIED as to the sample of users’ search queries from Google’s query log.

n1 The Court continued the hearing date originally proposed by the parties in order to allow for amici to prepare and submit their briefs to the Court.

II. PROCEDURAL BACKGROUND
In 1998, Congress enacted the Child Online Protection Act (“COPA”), which is now codified as 47 U.S.C. * § 231. COPA prohibits the knowing [*3] making of a communication by means of the World Wide Web, “for commercial purposes that is available to any minor and that includes material that is harmful to minors,” subject to certain affirma-tive defenses. 47 U.S.C. * § 231 (a)(1). For this purpose, the statute defines the phrase “material that is harmful to mi-nors” to mean material that is either obscene or material that meets each prong of a three-part test: “(A) the average person, applying contemporary community standards, would find, taking the material as a whole and with respect to minors, is designed to appeal to, or is designed to pander to, the prurient interest; (B) depicts, describes, or represents, in a manner patently offensive with respect to minors, an actual or simulated sexual act or sexual conduct, an actual or simulated normal or perverted sexual act, or a lewd exhibition of the genitals or post-pubescent female breast; and (C) taken as a whole, lacks serious literary, artistic, political, or scientific value for minors.” 47 U.S.C. * § 231 (e)(6).
Upon enactment of COPA, the American Civil Liberties Union and several other plaintiffs (“Plaintiffs”) filed an ac-tion in [*4] the Eastern District of Pennsylvania, challenging the constitutionality of the Act. The district court granted Plaintiffs’ motion for a preliminary injunction on the grounds that COPA is likely to be found unconstitutional on its face for violating the First Amendment rights of adults. ACLU v. Reno, 31 F. Supp. 2d 473 (E.D. Pa. 1998). The United States Court of Appeals for the Third Circuit affirmed the grant of the preliminary injunction. ACLU v. Reno, 217 F.3d 162 (3d Cir. 2000). After granting certiorari, the Supreme Court of the United States vacated the judgment of the Third Circuit, and remanded the case to that court for further review of the district court’s grant of preliminary injunction in favor of Plaintiffs. The Third Circuit again affirmed the preliminary injunction, ACLU v. Ashcroft, 322 F.3d 240 (3d Cir. 2003), and the Supreme Court again granted certiorari.
The Supreme Court affirmed the preliminary injunction and held that there was an insufficient record before it by which the Government could carry its burden to show that less restrictive alternatives may be more effective than the provisions of COPA. Ashcroft v. ACLU, 542 U.S. 656, 673 (2004). [*5] Of these alternatives directed at preventing minors from viewing “harmful to minors” material on the Internet, the Court focused on blocking and filtering software programs which “impose selective restrictions on speech at the receiving end, not universal restrictions at the source.” Id. at 667. To “allow the parties to update and supplement the factual record to reflect current technological realities,” the Court remanded the case for a trial on the merits. Id. at 672.
Following remand, Plaintiffs filed a First Amended Complaint (“FAC”). (98-CV-5591LR, E.D. Pa., Docket Item No. 175). Apparently, in preparing its defense, the Government initiated a study designed to somehow test the effecti-veness of blocking and filtering software. To provide it with data for its study, the Government served a subpoena on Google, America Online, Inc. (“AOL”), Yahoo! Inc. (“Yahoo”), and Microsoft, Inc. (“Microsoft”). The subpoena requi-red that these companies produce a designated listing of the URLs which would be available to a user of their services. The subpoena also required the companies to produce the text of users’ search queries. AOL, Yahoo, and Microsoft appear [*6] to be producing data pursuant to the Government’s request. Google, however, objected.
Google is a Delaware corporation headquartered in Mountain View, CA, that, like AOL, Yahoo, and Microsoft, al-so provides search engine capabilities. Based on the Government’s estimation, and uncontested by Google, Google’s search engine is the most widely used search engine in the world, with a market share of about 45%. The search engine at Google yields URLs in response to a search query entered by a user. The search queries entered may be of varying lengths, and incorporate a number of terms and connectors. Upon receiving a search query, Google produces a respon-sive list of URLs from its search index in a particular order based on algorithms proprietary to Google.
The initial subpoena to Google sought production of an electronic file containing two general categories. First, the subpoena requested “[a]ll URL’s that are available to be located to a query on your company’s search engine as of July 31, 2005.” (Decl. of Joel McElvain, Ex. A (“Subpoena”) at 4.) In negotiations with Google, this request was later na-rrowed to a “multi-stage random” sampling of one million URLs in Google’s indexed [*7] database. As represented to the Court at oral argument, the Government now seeks only 50,000 URLs from Google’s search index. Second, the government also initially sought “[a]ll queries that have been entered on your company’s search engine between June 1, 2005 and July 31, 2005 inclusive.” (Subpoena at 4.) Following further negotiations with Google, the Government na-rrowed this request to all queries that have been entered on the Google search engine during a one-week period. During the course of the present Miscellaneous Action, the Government further restricted the scope of its request, and now represents that it only requires 5,000 entries from Google’s query log in order to meet its discovery needs.
Despite these modifications in the scope of the subpoena, Google maintained its objection to the Government’s re-quests. Before the Court is a motion to compel Google to comply with the modified subpoena, namely, for a sample of 50,000 URLs from Google’s search index and 5,000 search queries entered by Google’s users from Google’s query log.
III. STANDARDS
Rule 45 of the Federal Rules of Civil Procedure governs discovery of nonparties by [*8] subpoena. FED. R. CIV. P. 45 (“Rule 45″). The Advisory Committee Notes to the 1970 Amendment to Rule 45 state that the “scope of discovery through a subpoena is the same as that applicable to Rule 34 and other discovery rules.” Rule 45 advisory committee’s note (1970). Under Rule 34, the rule governing the production of documents between parties, the proper scope of dis-covery is as specified in Rule 26(b). FED. R. CIV. P. 34. See also Heat & Control, Inc. v. Hester Industries. Inc., 785 F.2d 1017 (Fed. Cir. 1986) (“rule 45(b)(1) must be read in light of Rule 26(b)”); Exxon Shipping Co. v. U.S. Dept. of Interior, 34 F.3d 774, 779 (9th Cir. 1994) (applying both Rule 26 and Rule 45 standards to rule on a motion to quash subpoena).
Rule 26(b), in turn, permits the discovery of any non-privileged material “relevant to the claim or defense of any party,” where “relevant information need not be admissible at trial if the discovery appears reasonably calculated to lead to the discovery of admissible evidence.” Rule 26(b)(l). Relevancy, for the purposes of discovery, is defined [*9] broadly, although it is not without “ultimate and necessary boundaries.” Pacific Gas and Elec., Co. v. Lynch, No. C-01-3023 VRW, 2002 WL 32812098, at * 1 (N.D. Cal. August 19, 2002) (citing Hickman v. Taylor, 329 U.S. 495, 507 (1947)).
Rule 26 also specifies that “[a]ll discovery is subject to the limitations imposed by Rule 26(b)(2)(i), (ii), and (iii)” which requires that discovery methods be limited where:

(i) the discovery sought is unreasonably cumulative or duplicative, or is obtainable from some source that is more convenient, less burdensome, or less expensive; (ii) the party seeking discovery has had am-ple opportunity by discovery in the action to obtain the information sought; or (iii) the burden or expense of the proposed discovery outweighs its likely benefit, taking into account the needs of the case, the amount in controversy, the parties’ resources, the importance of the issues at stake in the litigation, and the importance of the proposed discovery in resolving the issues.

The Advisory Committee Notes to the 1983 amendments to Rule 26 state that “[t]he objective is to guard against redun-dant or disproportionate [*10] discovery by giving the court authority to reduce the amount of discovery that may be directed to matters that are otherwise proper subjects of inquiry.” However, the commentators also caution that “the court must be careful not to deprive a party of discovery that is reasonably necessary to afford a fair opportunity to defend and prepare the case.” Rule 26 advisory committee’s note (1983).
In addition to the discovery standards under Rule 26 incorporated by Rule 45, Rule 45 itself provides that “on timely motion, the court by which a subpoena was issued shall quash or modify the subpoena if it . . . subjects a person to undue burden.” Rule 45(3)(A). Of course, “if the sought-after documents are not relevant, nor calculated to lead to the discovery of admissible evidence, then any burden whatsoever imposed would be by definition undue.’” Compaq Com-puter Corp. v. Packard Bell Elec., Inc., 163 F.R.D. 329, 335-36 (N.D. Cal. 1995). Underlying the protections of Rule 45 is the recognition that “the word non-party’ serves as a constant reminder of the reasons for the limitations that charac-terize third-party’ discovery.” Dart Indus. Co. v. Westwood Chem. Co., 649 F.2d 646, 649 (9th Cir. 1980) [*11] (cita-tions omitted). Thus, a court determining the propriety of a subpoena balances the relevance of the discovery sought, the requesting party’s need, and the potential hardship to the party subject to the subpoena. Heat & Control, 785 F.2d at 1024.
IV. DISCUSSION
Google primarily argues that the information sought by the subpoena is not reasonably calculated to lead to evi-dence admissible in the underlying litigation, and that the production of information is unduly burdensome. The Court discusses each of these objections in turn, as well as the Court’s own concerns about the potential interests of Google’s users.

A. Relevance
Any information sought by means of a subpoena must be relevant to the claims and defenses in the underlying case. More precisely, the information sought must be “reasonably calculated to lead to admissible evidence.” Rule 26(b). This requirement is liberally construed to permit the discovery of information which ultimately may not be admissible at trial. Overbroad subpoenas seeking irrelevant information may be quashed or modified. See, e.g., Moon v. SCP Pool Corp., 232 F.R.D. 633, 637 (C.D. Cal. 2005) (quashing [*12] subpoena seeking the production of all purchasing infor-mation where the underlying contract dispute was limited to a particular geographic region); W.E. Green v. Baca, 219 F.R.D. 485, 490 (C.D. Cal. 2003) (providing a survey of cases where in limiting the scope of a subpoena, district courts “effectively sustain[] an objection that the requests are vague, ambiguous, or overbroad in part, and overrules in part”).
This Court does not have the benefit of involvement with the underlying litigation. The Court adheres to the princi-ple stated in Truswal Systems Corp. v. Hydro-Air Engineering, Inc., 813 F.2d 1207, 1211-12 (Fed. Cir. 1987): “A dis-trict court whose only connection with a case is supervision of discovery ancillary to an action in another district should be especially hesitant to pass judgment on what constitutes relevant evidence thereunder. Where relevance is in doubt . . . the court should be permissive.”
However, the Court does not construe a general policy of permissiveness to require this Court to abdicate its re-sponsibility to review a subpoena under the Federal Rules when presented with a motion to compel. The Court has re-viewed the [*13] decisions comprising the lengthy procedural history of this case in the Eastern District of Pennsyl-vania, the Third Circuit, and the Supreme Court, as well as Plaintiffs’ current complaint. The Court has heard the parties at oral argument n2 and proceeds to consider the merits of the Government’s motion.

n2 Counsel for Plaintiffs also appeared at the Court’s hearing on the Government’s Motion to Compel.

1. Sample of URLs
As narrowed by negotiations with Google and through the course of this Miscellaneous Action, the Government now seeks a sample of 50,000 URLs from Google’s search index. In determining whether the information sought is reasonably calculated to lead to admissible evidence, the party seeking the information must first provide the Court with its plans for the requested information. See Northwestern Memorial v. Ashcroft, 362 F.3d 923, 931 (7th Cir. 2004). The Government’s disclosure of its plans for the sample of URLs is incomplete. The actual methodology disclosed in the [*14] Government’s papers as to the search index sample is, in its entirety, as follows: “A human being will browse a random sample of 5,000-10,000 URLs from Google’s index and categorize those sites by content” (Supp. Decl. of Phil-lip B. Stark, Ph.D (“Supp. Stark Decl.”) P 4) and from this information, the Government intends to “estimate . . . the aggregate properties of the websites that search engines have indexed.” (Government’s Reply Memorandum in Support of the Motion to Compel Compliance with Subpoena Duces Tecum (“Reply”), Docket Item No. 21 at 4:8-9.) The Gov-ernment’s disclosure only describes its methodology for a study to categorize the URLs in Google’s search index, and does not disclose a study regarding the effectiveness of filtering software. Absent any explanation of how the “aggregate properties” of material on the Internet is germane to the underlying litigation n3, the Government’s disclosure as to its planned categorization study is not particularly helpful in determining whether the sample of Google’s search index sought is reasonably calculated to lead to admissible evidence in the underlying litigation.

n3 Whether adult material exists on the Internet could not seriously be contested by Plaintiffs with web con-tent describing the slang terms “teabagging” and “pearl necklace” in graphic detail (FAC at 43), or websites which contain “numerous photographs of nude men and women in sexual poses with one another, and erotic sto-ries that include graphic sexual scenes” (FAC at 34). Such a reading of the Complaint is also supported by the narrow question posed by the Supreme Court to be answered on remand for trial on the merits.

[*15]
Based on the Government’s statement that this information is to act as a “test set for the study” (Reply at 3:20) and a general statement that the purpose of the study is to “evaluate the effectiveness of content filtering software,” (Reply at 3:2-5) the Court is able to envision a study whereby a sample of 50,000 URLs from the Google search index may be reasonably calculated to lead to admissible evidence on measuring the effectiveness of filtering software. In such a study, the Court imagines, the URLs would be categorized, run through the filtering software, and the effectiveness of the filtering software ascertained as to the various categories of URLs. The Government does not even provide this rudimentary level of general detail as to what it intends to do with the sample of URLs to evaluate the effectiveness of filtering software, and at the hearing neither confirmed nor denied the Court’s speculations about the study. n4 In fact, the Government seems to indicate that such a study is not what it has in mind: “[t]he government seeks this information only to perform a study, in the aggregate, of trends on the Internet” (Reply at 1:19-20) (emphasis added), with no expla-nation [*16] of how an aggregate study of Internet trends would be reasonably calculated to lead to admissible evidence in the underlying suit where the efficacy of filtering software is at issue.

n4 The lack of disclosure on the part of the government is particularly striking when seen in the context of the time that the Government has had to prepare this issue. The Supreme Court’s directive to the Government to address the effectiveness of filtering software was issued in 2004. Additionally, this is not a case where the Gov-ernment does not have the benefit of any information with which to form some basic methodology — the Gov-ernment has already been to the pond and fished, so to speak, with data from AOL, Yahoo, and Microsoft, and it would not have been unreasonable at this stage to have required the Government to assist the Court in its deter-mination of relevance by providing the Court with more information on its plans for the information sought from Google.

As the court in Northwestern Memorial colorfully noted, [*17] “and of course, pretrial discovery is a fishing ex-pedition and one can’t know what one has caught until one fishes [b]ut Fed.R.Civ.P. 45(c) allows the fish to object, and when they do so the fisherman has to come up with more,” 362 F.3d at 931 — it is difficult for a court to determine the relevance of information where the party seeking the information does not concretely disclose its plans for the informa-tion sought. Given the broad definition of relevance in Rule 26, and the current narrow scope of the subpoena, despite the vagueness with which the Government has disclosed its study, the Court gives the Government the benefit of the doubt. The Court finds that 50,000 URLs randomly selected from Google’s data base for use in a scientific study of the effectiveness of filters is relevant to the issues in the case of ACLU v. Gonzales. n5

n5 To the extent that the Government is gathering this information for some other purpose than to run the sample of Google’s search index through various filters to determine the efficacy of those filters, the Court would take a different view of the relevance of the information. For example, the Court would not find the in-formation relevant if it is being sought just to characterize the nature of the URL’s in Google’s database.

[*18]
2. Search Queries
In its original subpoena the Government sought a listing of the text of all search queries entered by Google users over a two month period. As defined in the Government’s subpoena, “queries” include only the text of the search string entered by a user, and not “any additional information that may be associated with such a text string that would identify the person who entered the text string into the search engine, or the computer from which the text string was entered.” (Subpoena at 4.) The Government has narrowed its request so that it now seeks only a sample of 5,000 such queries from Google’s query log. The Government discloses its plans for the query log information as follows: “A random sam-ple of approximately 1,000 Google queries from a one-week period will be run through the Google search engine. A human being will browse the top URLs returned by each search and categorize the sites by content.” (Supp. Stark Decl. P 3.) To the extent that the URLs obtained by the researchers as a result of running the search queries provided are then used to create “a sample of a relevant population of websites that can be categorized and used to test filtering software” [*19] (Reply at 5) similar to the sample created from URLs from Google’s search index, the Court finds that were the-Government to run these URLs through the filtering software and analyze the results, the information sought would be reasonably calculated to lead to admissible evidence.
Google’s arguments challenging the relevance of the search queries to the Government’s study center around its contention that a number of additional factors exist which may mitigate the correlation between a search query and the search result. (Google’s Opposition to the Government’s Motion to Compel (“Opp.”), Docket Item No. 12 at 6:9-8:1.) In particular, Google cites to the presence of a safe search filter, customized searches, or advanced preferences all poten-tially activated at the user end and not reflected in the user’s search string. (Opp. at 6:17-7:2.) Google also argues that the list of search queries does not distinguish between sources of the queries such as adults, minors, automatic queries generated by a program, known as “bot” queries, and artificial queries generated by individual users. (Opp. at 7:3-22.) Contrary to Google’s belief, the broad standard of relevance under Rule 26 does not [*20] require that the information sought necessarily be directed at the ultimate fact in issue, only that the information sought be reasonably calculated to lead to admissible evidence in the underlying litigation. See Laxalt v. McClatchy, 809 F.2d 885, 888 (D.C. Cir. 1987) (holding that “mere relevance to the underlying litigation” is the proper standard to apply to discovery of certain FBI files). Thus, the presence of these additional factors may impact the probative value of the Government’s expert report in the Eastern District of Pennsylvania on the effectiveness of filtering software in preventing minors from accessing “harmful to minors” material on the Internet, but at this stage, the Court does not find the search queries to be entirely irrelevant to the creation of a test set on which to test the effectiveness of search filters in general.

B. Undue Burden
This Court is particularly concerned anytime enforcement of a subpoena imposes an economic burden on a non-party. Under Rule 45(3)(a), a court may modify or quash a subpoena even for relevant information if it finds that there is an undue burden on the non-party. Undue burden to the non-party is [*21] evaluated under both Rule 26 and Rule 45. See Exxon Shipping Co. v. U.S. Dept. of Interior., 34 F.3d 774, 779 (9th Cir. 1994).
1. Technological Burden of Production
Google argues that it faces an undue burden because it does not maintain search query or URL information in the ordinary course of business in the format requested by the Government. (Opp. at 16:22-15.) As a general rule, non-parties are not required to create documents that do not exist, simply for the purposes of discovery. Insituform Tech., Inc. v. Cat Contracting, Inc., 168 F.R.D. 630, 633 (N.D. Ill. 1996). In this case, however, Google has not represented that it is unable to extract the information requested from its existing systems. Google contends that it must create new code to format and extract query and URL data from many computer banks, in total requiring up to eight full time days of engineering time. Because the Government has agreed to compensate Google for the reasonable costs of production, and given the extremely scaled-down scope of the subpoena as modified, the Court does not find that the technical bur-den of production excuses Google from complying with the [*22] subpoena. Later in this Order, the Court addresses other concerns with respect to this information, however.
Google also argues that even if the Government compensates Google for its engineering time, if the Government plans on executing a high volume of searches on Google, such searches would lead to an interference with Google’s search engine and disrupt use by users and advertisers. (Opp. at 16:24-17:3.) The Government only intends to run 1,000 to 5,000 of the search queries through the Google search engine. (Supp. Stark Decl. P 4.) Furthermore, these searches will be run by humans who will then categorize the search results and record their findings. (Supp. Stark Decl. P 4.) Given the volume and rate of the proposed study, the Court finds that the additional burden on Google’s search engine caused by the Government’s study as represented to the Court, is likely to be de minimus.
2. Potential for Loss of User Trust
Google also argues that it will be unduly burdened by loss of user trust if forced to produce its users’ queries to the Government. Google claims that its success is attributed in large part to the volume of its users and these users may be attracted to its search [*23] engine because of the privacy and anonymity of the service. According to Google, even a perception that Google is acquiescing to the Government’s demands to release its query log would harm Google’s busi-ness by deterring some searches by some users. (Opp. at 18.)
Google’s own privacy statement indicates that Google users could not reasonably expect Google to guard the query log from disclosure to the Government. Google’s privacy statement at www. google.com/privacypolicy.html states only that Google will protect “personal information” of users. “Personal information” is expressly defined for users at www.google.com/privacy_faq.html as “information that you provide to us which personally identifies you, such as your name, email address or billing information, or other data which can be reasonably linked to such information by Google.” (Second Decl. of Joel McElvain, Ex. C.) Google’s privacy policy does not represent to users that it keeps con-fidential any information other than “personal information.” Neither Google’s URLs nor the text of search strings with “personal information” redacted, are reasonably “personal information” under Google’s stated privacy policy. Google’s [*24] privacy policy indicates that it has not suggested to its users that non-”personal information” such as that sought by the Government is kept confidential.
However, even if an expectation by Google users that Google would prevent disclosure to the Government of its users’ search queries is not entirely reasonable, the statistic cited by Dr. Stark that over a quarter of all Internet searches are for pornography (Supp. Stark Decl. P 4), indicates that at least some of Google’s users expect some sort of privacy in their searches. n6 The expectation of privacy by some Google users may not be reasonable, but may nonetheless have an appreciable impact on the way in which Google is perceived, and consequently the frequency with which users use Google. Such an expectation does not rise to the level of an absolute privilege, but does indicate that there is a potential burden as to Google’s loss of goodwill if Google is forced to disclose search queries to the Government.

n6 At the hearing, the Government argued that Google should not be concerned about loss of user trust be-cause Google already discloses its users’ search queries on Google Zeitgeist. Had the Government truly believed that substantial amounts of search query information could be obtained from Google Zeitgeist, it is unlikely that the Government would require further search query information from Google. On the Court’s examination of Google Zeitgeist at http://www.google.com/press/zeitgeist.html, the website only provides the top ten search queries by country or the top fifteen gaining search queries in the United States. These queries for the Week of March 13, 2006, include “teri hatcher,” “world baseball classic,” and “sopranos.”

[*25]
3. Trade Secret
Rule 45(c)(3)(B) provides additional protections where a subpoena seeks trade secret or confidential commercial information from a nonparty. Once the nonparty shows that the requested information is a trade secret or confidential commercial information, the burden shifts to the requesting party to show a “substantial need for the testimony or mate-rial that cannot be otherwise met without undue hardship and assures that the person to whom the subpoena is addressed will be reasonably compensated.” Rule 45(c)(3)(B). Upon such a showing, “the court may order appearance or produc-tion only upon specified conditions.” Id. See also Klay v. Humana, 425 F.3d 977, 983 (11th Cir. 2005); Heat & Control, Inc. v. Hester Industries, Inc., 785 F.2d 1017, 1025 (Fed. Cir. 1986).
a. Search Index and Query Log as Trade Secrets
Trade secret or commercially sensitive information must be “important proprietary information” and the party chal-lenging the subpoena must make “a strong showing that it has historically sought to maintain the confidentiality of this information.” Compaq Computer Corp. v. Packard Bell Elec., Inc., 163 F.R.D. 329, 338 (N.D. Cal. 1995). [*26] A statistically significant sample of Google’s search index and Google’s query log would have independent economic value from not being known generally to the public. The disclosure of a statistically significant sample of Google’s search index or query log may permit competitors to estimate information about Google’s indexing methods or Google’s users. (Decl. of Matt Cutts (“Cutts Decl.”) PP 26, 27.) By declaration, Google represents that it does not share this in-formation with third parties and it has security procedures to maintain the confidentiality of this information. (Cutts Decl. PP 29-35; Decl. of Marty Lev.)
At oral argument, counsel for Google acknowledged that samples from its proprietary search index and query log of 50,000 URLs and 5,000 search queries are far less likely to lead to trade secret disclosure than the Government’s origi-nal requests. Because Google still continues to claim information about its entire search index and entire query log as confidential, the Court will presume that the requested information, as a small sample of proprietary information, may be somewhat commercially sensitive, albeit not independently commercially sensitive. Successive disclosures, [*27] whether in this lawsuit or pursuant to subsequent civil subpoenas, in the aggregate could yield confidential commercial information about Google’s search index or query log.
b. Entanglement in the Underlying Litigation
Google’s remaining trade secret argument is that despite the narrowness of the sample provided, it would become entangled in the underlying litigation where further discovery would risk trade secret disclosure. Rule 45(c)(3)(B) was intended to provide protection for the intellectual property of nonparties. See Mattel, Inc. v. Walking Mountain Prod., 353 F.3d 792, 814 (9th Cir. 2003) (citing Rule 45 advisory committee’s notes (1991)). On the one hand, a determination of the propriety of further discovery is for another set of motions, and not the one presently before the Court. On the other hand, further discovery in this case that would require disclosure of Google’s trade secrets is not merely a remote possibility. The Government has represented that it has sufficient information from other search engines with which to perform its study, but seeks information from Google because such information would add “substantial luster” to its study — ostensibly [*28] because there is something unique about the world of Google. The nature and extent of that uniqueness, if sufficient to add substantial luster to the Government’s study, is also likely to be a matter of discovery for Plaintiffs in the underlying suit involving more than the Government’s proposed “fifteen-minute deposition” of a Google engineer to confirm that the statistician’s procedure had been followed.
In light of the comments of Plaintiffs’ counsel at the hearing, the Court can foresee further entanglement based on Plaintiffs’ challenge to the Government’s ultimate study. In litigation where the ultimate question is not whether there is adult material on the Internet, but fundamentally about limiting the access by minors to such adult material, it is quite likely that Plaintiffs will challenge the sample produced by Google as not representative of what minors search for or encounter on the Internet. Such an inquiry would require additional discovery, some of which may implicate Google’s confidential commercial information. At the hearing, Plaintiffs’ counsel stated that it had already commenced such dis-covery with respect to a search engine included in the Government’s study. [*29] In other words, this Court is con-cerned that a narrow sample of Google’s proprietary index and query log, while in itself not likely to lead to the disclo-sure of confidential information, may act as the thin blade of the wedge in exposing Google to potential disclosure of its confidential commercial information.
c. Substantial Need
The burden thus shifts to the Government to demonstrate that the requested discovery is relevant and essential to a judicial determination of its case. See Upjohn Co. v. Hygieia Biological Laboratories, 151 F.R.D. 355, 358 (E.D. Cal. 1993). Because “there is no absolute privilege for trade secrets and similar confidential information,” Centurion Indus., Inc. v. Warren Steurer and Assoc, 665 F.2d 323, 325 (10th Cir. 1981) (citing Federal Open Market Committee v. Merrill, 443 U.S. 340, 362 (1979)), the district court’s role in this inquiry is to balance the need for the trade secrets against the claim of injury resulting from disclosure. Heat & Control, 785 F.2d at 1025. The determination of substantial need is particularly important in the context of enforcing a subpoena when discovery [*30] of trade secret or confiden-tial commercial information is sought from non-parties. See Mattel, 353 F.3d at 814.
Google contends that it should not be compelled to produce its search index or query log because the information sought by the Government is readily available from open URL databases such as Alexa and transparent search engines such as Dogpile, or that the Government already has sufficient information from AOL, Yahoo, and Microsoft. As a rule, information need not be dispositive of the entire issue disputed in the litigation in order to be discoverable by subpoena. See Compaq, 163 F.R.D. at 333 n.25. In Compaq, industry practice was a material issue in the lawsuit, and the court refused to quash a subpoena for information from a non-party industry member based on the non-party’s argument that information could be discoverable from other industry members. Id. Similarly, at oral argument, the Government’s counsel likened its discovery goals to a team of researchers studying an elephant by separately viewing the trunk, the ears, the tail, etc., and piecing the research together to get a picture of the elephant as whole.
In this case, [*31] the Government has demonstrated a substantial need for some information from Google in cre-ating a set of URLs to run through filtering software. It is uncontested that Google is the market leader with over 45% of the search engine market. (Supp. Stark Decl. PP 4-5.) Because Google has the greatest market share, the Government’s study may be significantly hampered if it did not have access to some information from the most often used search en-gine.
4. Cumulative and Duplicative Discovery
What the Government has not demonstrated, however, is a substantial need for both the information contained in the sample of URLs and sample of search query text. Furthermore, even if the information requested is not a trade se-cret, a district court may in its discretion limit discovery on a finding that “the discovery sought is unreasonably cumula-tive or duplicative, or is obtainable from some other source that is more convenient, less burdensome, or less expen-sive.” Rule 26(b)(2)(i). See In re Sealed Case (Medical Records), 381 F.3d 1205, 1215 (D.C. Cir. 2004) (citing the advi-sory committee’s notes to Rule 26 and finding that “the last sentence of Rule 26(b)(1) was added [*32] in 2000 to em-phasize the need for active judicial use of subdivision (b)(2) to control excessive discovery’”). From this Court’s inter-pretation of the Government’s general statements of purpose for the information requested, both the sample of URLs and the set of search queries are aimed at providing a list of URLs which will be categorized and run through the filter-ing software in an effort to determine the effectiveness of filtering software as to certain categories. Both sources of the URL “test set” list seem to be open to the same sorts of criticism by Plaintiffs in the underlying litigation. The content of these objections are not germane to the Court’s determination of whether the information sought is relevant under the broad dictates of Rule 26, but the actual similarity of the two categories of information sought in their presumed utility to the Government’s study indicates that it would be unreasonably cumulative and duplicative to compel Google to hand over both sets of proprietary information. To borrow the Government’s vivid analogy, in order to aid the Government in its study of the entire elephant, the Court may burden a non-party to require production of a picture [*33] of the ele-phant’s tail, but it is within this Court’s discretion to not require a non-party to produce another picture of the same tail.
Faced with duplicative discovery, and with the Government not expressing a preference as to which source of the test set of URLs it prefers, this Court exercises its discretion pursuant to Rule 26(b)(2) and determines that the marginal burden of loss of trust by Google’s users based on Google’s disclosure of its users’ search queries to the Government outweighs the duplicative disclosure’s likely benefit to the Government’s study. Accordingly, the Court grants the Gov-ernment’s motion to compel only as to the sample of 50,000 URLs from Google’s search index.

C. Protective Order
As trade secret or confidential business information, Google’s production of a list of URLs to the Government shall be protected by protective order. Generally, “the selective disclosure of protectable trade secrets is not per se unreason-able and oppressive,’ when appropriate protective measures are imposed.” Heat & Control, 785 F.2d at 1025. The Court recognizes that Google was unable to negotiate the particular provisions of the protective order [*34] in the underlying litigation, (Opp. at 12:15-18) but since Google’s filing of its Opposition, the Government has considerably narrowed its request for Google’s information from its proprietary search index such that the risk of trade secret disclosure is substan-tially mitigated.
The Court grants the motion to compel as to a set of 50,000 URLs from Google’s search index and orders the par-ties to show cause, if any, on or before April 3, 2006, why a designation of the produced information as “Confidential” under the existing protective order is insufficient protection for Google’s confidential commercial information.

D. Privacy
The Court raises, sua sponte, its concerns about the privacy of Google’s users apart from Google’s business good-will argument. In Gill v. Gulfstream Park Racing Assoc., the First Circuit held that “considerations of the public inter-est, the need for confidentiality, and privacy interests are relevant factors to be balanced” in a Rule 26(c) determination regarding the subpoena of documents used to prepare an allegedly defamatory report issued by a non-party trade asso-ciation. 399 F.3d 391, 402 (1st Cir. 2005) (citing, as also concerned [*35] with the interest of privacy in the context of discovery, Seattle Times Co. v. Rhinehart, 467 U.S. 20, 35 n.21 (1984), In re Sealed Case (Medical Records), 381 F.3d at 1215, and Ellison v. Am. Nat’1 Red Cross, 151 F.R.D. 8, 11 (D.N.H. 1993)).
The Government contends that there are no privacy issues raised by its request for the text of search queries be-cause the mere text of the queries would not yield identifiable information. Although the Government has only re-quested the text strings entered (Subpoena at 4), basic identifiable information may be found in the text strings when users search for personal information such as their social security numbers or credit card numbers through Google in order to determine whether such information is available on the Internet. (Cutts Decl. PP 24-25.) The Court is also aware of so-called “vanity searches,” where a user queries his or her own name perhaps with other information. Google’s capacity to handle long complex search strings may prompt users to engage in such searches on Google. (Cutts Decl. P 25.) Thus, while a user’s search query reading “[user name] Stanford glee club” may not raise [*36] serious privacy concerns, a user’s search for “[user name] third trimester abortion san jose,” may raise certain privacy issues as of yet unaddressed by the parties’ papers. This concern, combined with the prevalence of Internet searches for sexually explicit material (Supp. Stark Decl. P 4) — generally not information that anyone wishes to reveal publicly — gives this Court pause as to whether the search queries themselves may constitute potentially sensitive information.
The Court also recognizes that there may a difference between a private litigant receiving potentially sensitive in-formation and having this information be produced to the Government pursuant to civil subpoena. The interpretation of the Federal Rules in this Circuit requires that “when the government is named as a party to an action, it is placed in the same position as a private litigant, and the rules of discovery in the Federal Rules of Civil Procedure apply.” Exxon Shipping, 34 F.3d at 776 n.4. However, in Exxon Shipping, the Ninth Circuit was faced with a situation where a litigant sought discovery from the Government; in this case, information is being produced to the Government. [*37] Even though counsel for the Government assured the Court that the information received will only be used for the present litigation, it is conceivable that the Government may have an obligation to pursue information received for unrelated litigation purposes under certain circumstances regardless of the restrictiveness of a protective order. n7 The Court expressed this concern at oral argument as to queries such as “bomb placement white house,” but queries such as “communist berkeley parade route protest war” may also raise similar concerns. In the end, the Court need not express an opinion on this issue because the Government’s motion is granted only as to the sample of URLs and not as to the log of search queries.

n7 “Says the DOJ’s [spokesperson Charles] Miller, “I’m assuming that if something raised alarms, we would hand it over to the proper [authorities].” (Decl. of Ashok Ramani, Ex. B. “Technology: Searching for Searches,” Newsweek, Jan. 30, 2006.) (second alteration in original)

E. Electronic [*38] Communications Privacy Act
The Court also refrains from expressing an opinion on the applicability of the Electronic Communications Privacy Act, codified at 18 U.S.C. * § * § 2510 to 2712. The ECPA was enacted in 1986 “to update and clarify federal privacy protections and standards in light of dramatic changes in new computer and telecommunication technologies.” Freed-man v. America Online, Inc., 303 F. Supp. 2d 121, 124 (D. Conn. 2004) (quoting 132 CONG. REC. S. 14441 (1986)). See also Theofel v. Fare-Jones, 359 F.3d 1066, 1071 (9th Cir. 2004). The Court only notes that the ECPA does not bar the Government’s request for sample of 50,000 URLs from Google’s index though civil subpoena.
V. CONCLUSION
As expressed in this Order, the Court’s concerns with certain aspects of the Government’s subpoena have been miti-gated by the reduced scope the Government’s present requests. Nothing in this Order is intended to indicate how the Court would rule on the original broad subpoena or on any follow-up subpoena. The Court’s decision on this Motion to Compel reflects the limited use to which the Government intends to put the information produced [*39] in response to the subpoena. In particular, this Order does not address the Plaintiffs’ concern articulated at the hearing about the appro-priateness of the Government’s use of the Court’s subpoena power to gather and collect information about what indi-viduals search for over the Internet.
With these limitations, for the reasons stated in this Order, unless the parties agree otherwise on or before April 3, 2006, Google is ordered to confer with the Government to develop a protocol for the random selection and afterward immediate production of a listing of 50,000 URLs in Google’s database on the following conditions:
1. In the development or implementation of the protocol, Google shall not be required to disclose proprietary in-formation with respect to its database;
2. The Government shall pay the reasonable cost incurred by Google in the formulation and implementation of the extraction protocol;
3. Any information disclosed in response to this Order shall be subject to the protective order in the underlying case;
To the extent the motion seeks an order compelling Google to disclose search queries of its users the motion is DENIED. The Court retains jurisdiction to enforce this [*40] Order.

Dated: March 17, 2006
/s/ James Ware
United States District Judge