XML (5)�Preferencias de privacidad en P3P
El auge del e-business cada vez implica más la recogida de datos de los visitantes de los sitios Web corporativos, desde información básica a la creación de perfiles personales en función de los formularios que rellenan. Sin embargo, los usuarios no siempre son conscientes de la información que sobre ellos se está recabando y compartiendo, lo que puede provocar problemas de confianza e incluso legales. Aliviar este inconveniente es el cometido del estándar P3P.
Las políticas de privacidad describen abiertamente y en detalle lo que las empresas hacen con la información que recogen de los visitantes de sus Webs. El problema es que no siempre es sencillo localizar dichas políticas, y cuando lo son suelen estar cargadas de jerga técnica y legal que dificultan su comprensión. No es de extrañar, por tanto, que sean muy pocos los usuarios que las leen, y menos aún los que llegan a saber realmente que se está haciendo y que se hará con sus datos personales.
World Wide Web Consortium (W3C) ha especificado, a partir de XML, Platform for Privacy Preferences (P3P) 1.0 con la pretensión de dar a los usuarios un mayor control sobre lo que los sitios Web y sus propietarios hacen con sus datos proporcionando información de privacidad legible por las máquinas que les permita actuar sobre lo que están viendo. En otras palabras, P3P es un estándar basado en XML que permite a los sitios Web especificar sus políticas de privacidad y a los navegadores Web alertar a los usuarios cuándo dichas políticas no se ajustan a sus deseos. Implementado en las versiones 6.0 y superiores de los navegadores, según la propia página de W3C dedicada al estándar, “en su nivel más básico, P3P es un conjunto estandarizado de cuestiones con múltiples opciones posibles que cubren todos los principales aspectos de las políticas de privacidad de un sitio Web, ofreciendo una clara instantánea de cómo un sitio trata las cuestiones personales de sus usuarios (...) P3P permite a los navegadores ”leer” esta instantánea automáticamente y compararla con el propio conjunto de preferencias de privacidad del usuario. Así, se mejora el control del usuario poniendo las políticas de privacidad, de un modo fácilmente comprensible, donde los usuarios puedan encontrarla y, lo que es más importante, actuar sobre lo que ven”.
Despliegue
Desplegar la plataforma estándar requiere convertir las prácticas de privacidad de la organización a un formato P3P. Para ello, se utiliza un editor P3P (P3P Editor) o un generador de políticas online (P3P Edit). Estas herramientas invitan a responder a una serie de cuestiones con múltiples respuestas sobre los principales aspectos de la política de privacidad del sitio. Dicha información se emplea para generar en XML la política P3P en su totalidad o una política abreviada que se presenta como una simple cabecera HTTP.
Cuando un navegador que soporta el estándar, como Internet Explorer 6 o Netscape 7, visita un sitio Web, intentará recuperar la política P3P para tomar decisiones sobre la privacidad. El navegador busca el directorio raíz –/w3c/p3p.xml– para obtener el archivo completo, un pequeño archivo XML o cabeceras HTTP que indican dónde leer la política en su totalidad. Estos navegadores analizan la política, la comparan con las normas de privacidad en ellos creadas por el usuario, y, en consecuencia, le dan o no acceso al sitio.
Hoy, sin embargo, la mayoría de las implementaciones de P3P por lo general no operan con la política completa: los navegadores como Internet Explorer 6 y Netscape 7 sólo soportan la modalidad de política compacta o abreviada del estándar. Esta variante se basa fundamentalmente en el uso de cookies con una pequeño conjunto de palabras clave transmitidas por las cabeceras HTTP. Se puede obtener una guía de despliegue detallada de las cabeceras HTTP, incluida la información de configuración de servidor, en www.w3.org/TR/p3pdeployment.
Una vez que se establece la política abreviada P3P y se publica a un visitante, el navegador compara los puntos referentes a la privacidad con las políticas de aceptación de cookies del usuario final y rechaza, deniega o modifica las propiedades de las cookies.
Uno de los retos de la implementación de P3P es asegurar que la política de privacidad de la compañía está bien pensada, debatida y aceptada internamente, algo que va más allá de las tareas habituales de los administradores Web, ya que implica, además de cuestiones tecnológicas, cuestiones legales y de negocio. Sin embargo, el mayor problema de las tecnologías de privacidad como P3P es considerar cómo los usuarios finales usarán la tecnología en el mundo real.
Posibilidades limitadas
Lo cierto es que las implementaciones actuales de P3P de los navegadores limitan en gran medida las posibilidades de los usuarios. Aunque posibilitan la gestión de cookies, que para mucha gente representan la raíz de los problemas de privacidad, no permiten tomar decisiones detalladas sobre la utilización de los datos, ni proporciona demasiada información sobre qué tipos de prácticas de políticas están en juego. Existen, sin embargo, soluciones que complementan la acción de los navegadores en este campo, como Privacy Bird, de AT&T, que aportan un más completo tratamiento de las políticas P3P.
Otro punto flaco de P3P es el bajo número de sitios Web que aplican políticas de seguridad, pues, si bien algunos estudios sugieren que del 25% al 30% de los principales ya disponen de ellas, una encuesta realizada a más de 850.000 sitios por SecuritySpace.com muestra que menos del 5% cuentan con políticas abreviadas, las únicas que hoy importan realmente. E, incluso cuando existen políticas, es difícil hacer desaparecer el escepticismo entre los usuarios. De acuerdo con una reciente encuesta de Harris Interactive, la mayoría de los usuarios no confían en el modo en que las corporaciones online tratan su información personal y también a la mayoría les gustaría que se les obligase a realizar auditorías externas. A los internautas les preocupa el modo en que las empresas comparten sus datos personales entre sí, y qué información podría llegar a ser pirateada, dando lugar a potenciales robos de identidad y, por ejemplo, enojosos envíos de correo electrónico no solicitado.
Herramientas de monitorización
Para disminuir el riesgo de potenciales problemas legales, conviene monitorizar la adhesión a las políticas de privacidad de la compañía e informar claramente a los empleados de las implicaciones de la privacidad del sitio. No en vano, demasiado a menudo las políticas de seguridad son diseñadas por un pequeño numero de personas, como abogados o técnicos, sin participación de otros empleados que, en el día a día, entran en contacto con los datos recogidos y que, en la práctica, no comprenden la política de privacidad más que los visitantes. En este sentido, las emergentes tecnologías de monitorización y auditoria de privacidad, como ZeroKnowledge Enterprise Privacy Manager, Watchfire Web CPO e IBM Tivoli Privacy Manager, pueden ayudar a observar y rastrear la recogida y uso de los datos internos, pero nunca proporcionarán las garantías necesarias para asegurar que dicha información sea mal uti
Autor:
01/12/2002
Votos:
|