Como mencionaba hace poco sobre este tema¹, existen ideas y propuestas sobre la forma en la que debe automatizarse lo relacionado a la protección de la privacidad y datos personales. En lo que respecta a su obtención vía web existe la propuesta del W3C llamada P3P.

Yo tuve hace muchos años tuve la oportunidad de trabajar en la implementación del protocolo P3P cuando laboraba para Banamex. En aquel entonces la iniciativa detrás de éste parecía prometedora, si bien un  poco limitada y en pañales, pero parecía tener futuro, pese a las opiniones de sus detractores.

El protocolo dependía de tres puntos clave:

• La incorporación en el browser de todos los elementos necesarios para su aplicación práctica, esto es, el que el navegador fuera capaz de reconocer, leer y presentar la declaración de privacidad del sitio web visitado.
• La implementación los elementos de configuración necesarios en el web server del dueño del sitio web para que éste pudiera proporcionar lo que el browser leería.
• La disposición del dueño del sitio web para crear y mantener los archivos XML con su declaración de privacidad y seguridad para todo aquel que visitara y llegara a interactuar o hacer uso de los servicios provistos en el sitio web.

Los tres elementos debían darse para que todo funcionara y que esto se resumiera en una alerta para el visitante del sitio web en su navegador. El browser Internet Explorer de Microsoft fue uno de los primeros en soportar esta iniciativa y al parecer es ya el único que aún la soporta². Para este caso la alerta aparecía en la barra de estado del navegador en forma de un pequeño óvalo de color rojo (coloquialmente llamado «ojo rojo») cuando la política de privacidad del sitio web no era compatible con la configuración de privacidad establecida por el usuario en el browser. Adicionalmente, una opción del menú principal del navegador le permitía transformar la declaración P3P en un texto mostrado en una ventana muy similar a la que comúnmente conocemos de la opción «Acerca de…»

Así, el dueño del sitio web simplemente declaraba sus prácticas y políticas con los datos que podría llegar a solicitar o recabar de manera automática con base en la navegación del cliente o visitante, o manualmente desde formularios y entradas directas del visitante del sitio. Por su parte, el usuario simplemente debía configurar su navegador con las prácticas o preferencias que él considerara adecuadas sobre sus datos personales y así evitar (o ser alertado al) visitar aquellos sitios o páginas con prácticas diferentes o incompatibles .

Banamex fue uno de los primeros en adoptar el protocolo en México. Desafortunadamente, el W3C parece ya haber abandonado esta especificación y el mismo Banamex ya ha retirado su declaración P3P de su portal, lo que es una lástima.

Leyes como la que discutí en el primer post de esta serie de entradas, deberían obligar a adoptar un esquema automatizado que ayude a verificar el uso y cuidado de los datos de los clientes. Un simple «aviso de privacidad» no ayuda mucho.

Referencias.

1. Eduardo René Rodríguez Ávila, «Del robo y mal uso de datos personales (1)«, blog, 2013.01.12. URL: https://eravila.wordpress.com/2013/01/12/del-robo-y-mal-uso-de-datos-personales-1/.
2. «P3P«, Wikipedia, consulted 2013.01.12. URL: http://en.wikipedia.org/wiki/P3P.