El proyecto P3P (Platform for Privacy Preferences Project), está siendo
desarrollado por el World Wide Web Consortium, (conocido también como W3C),
y en principio se presenta como una ayuda para mejorar la privacidad de los
usuarios en la WWW, pretende estandarizar la industria del sector y
automatizar la vía para que los usuarios tengan el control sobre sus datos
personales o la información que recogen las webs visitadas. El problema es
que no todos piensan que el P3P es una solución efectiva. Es más, las
críticas sobre tan confuso protocolo arrecian; así, por ejemplo, acaba de
salir, en esa línea, el informe de Junkbusters, avalado por el mismísimo
EPIC (Electronic Privacy Information Center).
*Introducción e Historia
P3P se presenta a sí mismo como una manera para que el usuario pueda
controlar la información que las webs pueden obtener de él, y ello se
realizaría mediante un formulario, que será a la vez fuente de información y
límite para las web-sites visitadas. Se supone que las web-sites no podrán
almacenar dicha información en formato legible (se omite la palabra
cifrado), y se supone que otros navegadores y usuarios no podrán acceder a
esa información personal que llevaríamos adherida en nuestros paseos por la
web. Para defensores de tal proyecto P3P, este método impulsaría a los
usuarios a controlar sus propias políticas de privacidad de datos, mediante
un formulario sencillo de entender. Para los demás, se eluden los principios
de la OCDE, que eran simples y uniformes para la privacidad online, y
elabora un indice de “elecciones” que el usuario deberá hacer sobre la
recolección y uso de sus datos personales.
Para ello, (W3C), está desarrollando un lenguaje específico para uso
inter-webs, que permitirá, por ejemplo, saber si el usuario accede a sus
propios datos, recogerá datos físicos, datos sobre compras, que
organizaciones tendrán/tienen acceso a esos datos, y en definitiva lo que
algunos ya comienzan a denominar como “la madre de todas las cookies”.
El informe pone el siguiente ejemplo para que se entienda mejor el
funcionamiento de P3P. Imaginemos a “Joe Surfer que configura su P3P, de
manera que no revele la dirección de su vivienda a ninguna web, a menos que
desee comprar un producto y quiera que se lo lleven a casa. Cuando Joe
Surfer quiera conectar con una web (de esas tan populares y magnificas) que
requiera la apertura de la dirección de su vivienda, el P3P de Joe bloqueará
el acceso de su navegador a dicha web. Cuando llegue a otra de esas
estupendas web a las que todo el mundo va y también requiera la dirección de
su casa, Joe, de nuevo, no podrá visitarla. Y al final o abandona o permite
que todos sepan la dirección de su casa.”
El problema de la privacidad y protección de datos, no es nuevo, ni el
proyecto P3P tampoco, de hecho ha habido ya varios proyectos y borradores
rechazados. Recordemos, por ejemplo, que en 1998 en la 23 reunión del IWG
en Hong-Kong, el 15 de abril, en las actas de dicha reunión se podía
observar como el proyecto P3P producía recelos fundados, argumentándose que
“existen aspectos que deben ser clarificados en relación con la seguridad,
calidad de datos, períodos de retención de información…acceso y
rectificación”, y se añadía que:
1) La tecnología por si misma nunca podrá ser solución para garantizar la
privacidad en la Web, se necesita,a demás un marco legal, código de
conducta, auditorías independientes y recursos legales para el individuo.
2) “Cualquier usuario debería tener la opción de visitar una Web de forma
anónima”.
3) Necesidad del “consentimiento previo e informado del afectado como paso
previo al tratamiento de sus datos”.
4) Se consideraba de vital importancia realizar seguimiento del proyecto
P3P.
Esta fue, la posición común del IWG, ya en 1998, sobre Tecnologías Avanzadas
de Privacidad (PET). En el fondo, no hacían sino adaptarse a las guías de la
OCDE (Organización para la Cooperación y Desarrollo Económico) de 1980,
sobre privacidad, motores de búsqueda como herramientas susceptibles de ser
usadas en la explotación masiva de datos (data-mining), robots en webs, y
asuntos relacionados.
Para grupos como Junkbusters, o el mismo EPIC, antes de obtener un protocolo
técnico para la protección de la privacidad sería necesario comprender la
naturaleza legal y ética de dicha privacidad, lo que para el derecho
norteamericano supondría el control, y uso de la información personal que
otros tienen sobre nosotros. Pero también la OCDE, en sus ya mencionadas,
Guidelines on the Protection of Privacy and Transborder Flows of Personal
Data, mantiene una postura similar, buscando una transparencia y lealtad en
el uso de tales datos.
Se mantiene que la privacidad es de tal importancia que no se debería dejar
al individuo regular, elegir o negociar tal tema, sobre todo por que estaría
en clara desventaja en dicha negociación, al menos la gran mayoría de los
usuarios de Internet.
Como precursor del P3P están las famosas cookies, que diga lo que se diga,
además, también son una forma de obtener perfiles de usuarios, una forma de
relacionar una IP con determinadas webs, o una forma de relacionar
determinados enlaces con el lugar de donde se viene, o a donde se va. Con la
decisión de Netscape de permitir marcar el navegador con información de
interés para la web visitada, desde luego el usuario perdió algo de libertad
a la hora de navegar, y lo cierto es que aún hoy día, no está muy claro las
medidas de control sobre las cookies, y se asume, por quien está interesado
en asumir tal cosa, que el usuario medio es consciente de ellas y de lo que
significan.
Más evolucionado que el sistema de las cookies se presentó el sistema de
banners, que permitía saber de donde, a donde y que querías. DoubleClick es
la exponente máxima de este sistema, y en este caso si que afronta un
procedimiento legal, además por otros asuntos, por su conducta invasiva.
Lejos de afrontar una solución se dio como respuesta la pasividad, o la
interesada indolencia y en contra de lo que el Internet Engineering Task
Force, (RFC 2109 ), proponía, Netscape, Microsoft (que le siguió) y la
mayoría de constructores de navegadores continuaron en esa línea.
Curiosamente son las mismas empresas que avalan al P3P.
(Continúa).
evalle@hispasec.com
Deja un comentario