Michael Stanton

WirelessBrasil

Ano 2001       Página Inicial (Índice)    

17/04/2001
• P3P - uma solução para privacidade na Web?

Numa séria de 3 artigos publicados nesta coluna em janeiro deste ano, discutimos abordagens jurídicas dadas à questão da privacidade de dados pessoais. Na primeira destes artigos, publicado em 16 de janeiro, falamos sobre os "cookies", literalmente "biscoitos", que foram introduzidos por motivos técnicos para facilitar o desenvolvimento de serviços de WWW, mas acabaram sendo usados e abusados para a coleta de dados pessoais por empresas de propaganda e "marketing", como a DoubleClick (www.doubleclick.net/br). Esta empresa é a maior no ramo de propaganda de sítios WWW, e fornece anúncios incluídos por seus clientes na suas páginas. Seu poder e valor comercial advêm justamente dessa coleta de dados, que permite rastrear os caminhos do usuário pela Web, conhecendo o perfil dos seus interesses, considerado de suma importância para a área de "marketing". Quem não se conforma com esta prática poderá exercer algum controle sobre os "cookies" que ele admite receber de sítios visitados, ou apagando-os do seu computador depois de terem sido recebidos. A maneira exata de fazer estas coisas depende do navegador sendo usado. Nenhuma destas receitas é muito eficiente, pois pode interferir no uso legítimo de "cookies".

Em alguns países, especialmente na Europa, a coleta e guarda de arquivos de dados pessoais são rigorosamente controladas, o que cria um conflito com a situação que prevalece nos EUA, onde não há controle legal. Ao contrário, para evitar a necessidade de legislação própria, procura-se criar esquemas de auto-regulamentação. Nos últimos anos, vem sendo procurado uma solução tecnológica para o controle desta coleta de informações através dos "cookies", que hoje em dia se chama P3P - "Platform for Privacy Preferences" (Plataforma de Preferências de Privacidade). P3P é iniciativa do W3 Consortium (W3C), fundado e ainda liderado por Tim Berners-Lee, criador do WWW, e com objetivo de promover a evolução desta tecnologia (www.w3.org/Consortium). Neste mesmo sítio há uma página repleta de informações sobre a iniciativa P3P (www.w3.org/P3P), incluindo também discussões animadas sobre seu projeto e sua utilização.

Um dos advogados mais fortes desta iniciativa é o Center for Democracy and Technology (CDT), que publicou uma defesa de P3P 1.0, proposta mais recente para adoção pelo W3C (www.cdt.org/privacy/pet/p3pprivacy.shtml). Esta proposta está em discussão pública até 30 de abril. O objetivo principal de P3P 1.0 é criar um sistemática para a definição de políticas de privacidade padronizadas, as quais possam ser lidas e processadas por programas. Estas substituiria as atuais definições, que não sempre são encontradas com facilidade nos sítios WWW das empresas, e quando encontradas são freqüentemente de compreensão difícil, por causa do jargão jurídico empregado. O objetivo da adoção de uma forma "legível por máquinas" para a redação destas políticas é para possibilitar a automação da sua avaliação por ferramentas nas mãos dos usuários. Espera-se que sejam desenvolvidos programas para ler e comparar as políticas de empresas na Web para que o usuário possa escolher com maior precisão com quem ele está lidando no seu uso de WWW. Por si só, a proposta P3P apenas habilita esta abordagem automática de privacidade.

A Microsoft pretende incluir suporte para P3P ainda este ano na versão 6 do seu navegador, Internet Explorer, segundo artigo recente no Wall Street Journal (public.wsj.com/sn/y/SB985132165383902742.html). Há certa controvérsia sobre como será a interface do usuário, pois há muitos que acham que a maioria dos usuários vai usar o navegador sem modificar as opções padrão do fabricante. Segundo o artigo, haverá uma escala de cinco valores, entre "privacidade máxima" e "abertura máxima", sendo que a opção padrão ficará no meio, apenas aceitando "cookies" de sítios de terceiros (como da DoubleClick) se estes também usarem P3P e se implementarem também um mecanismo que permita ser recusado o envio de "cookies". A disputa então vai para a escolha entre as duas formas deste mecanismo: o "incluir" (opt-in), que permite que o usuário explicitamente opte por receber os "cookies", e o "excluir" (opt-out), que requer que ele opte por não recebê-los. Os advogados da privacidade querem que o padrão deva ser "incluir", enquanto os interesses comerciais são da outra opinião.

De qualquer forma, os defensores de P3P admitem que esta tecnologia não existe num vácuo, e que deve haver um contexto, seja de legislação, seja de auto-regulamentação, que defina como ela deva ser utilizada. Isto pode até chegar ao ponto de determinar qual deverá ser a opção padrão dentro dos navegadores, ou que o P3P deva ser obrigatório em certas classes de atividade na Web.

Ainda há de ser considerada a posição dos críticos de P3P. Entre os mais publicados é Karen Coyle, que respondeu ao documento do CDT, mencionado acima, em termos bastante intransigentes (www.kcoyle.net/response.html). No fundo, há uma diferença filosófica entre a sua posição e a dos defensores de P3P. Karen Coyle acredita que o usuário não deve abrir mão desnecessariamente de dados pessoais, e leva esta posição às suas conseqüências lógicas. Por exemplo, revelar informação sobre seu nome, endereço e número de telefone é obviamente essencial para poder realizar compras pela Internet, mas são informações não essenciais para outras interações, e o usuário é melhor servido nestas casos pela anonimidade. O desenvolvimento recente da Internet tem se baseado em atividades como portais, com grande ênfase em entretenimento e não serviços de informação, e que apenas geram receitas oriundas de propaganda. Neste cenário, o P3P representa apenas a aceitação tácita do rastreio das atividades dos usuários, e pressupõe que a política de privacidade de um sítio vai ser o motivo de desempate entre usar seus serviços e os de um concorrente. Karen argumenta que isto demonstra a falta de conteúdo dos sítios em competição.

Para quem realmente se preocupa com a privacidade pessoal, Karen recomenda a adoção de uma série de práticas e ferramentas que efetivamente protegerão a privacidade do usuário, como não revelar desnecessariamente informações pessoais, o uso de pseudônimos e os serviços de empresas como Zero-Knowledge (www.zeroknowledge.com), que podem fornecer identidades não rastreáveis. Finalmente, sugere a adoção de ferramentas de controle de "cookies", algumas das quais foram avaliadas ano passado (web.zdnet.com/pcmag/stories/reviews/0,6755,2571937,00.html), e lamenta que os mecanismos usados por estas ferramentas não tenham sido incorporados nos próprios navegadores por seus fabricantes. Porém reconhece que as lealdades destes fabricantes estão divididas entre seus clientes individuais e corporativos.

Portanto a Web permanece um campo minado para quem se preocupa com a privacidade individual. Porém há esperanças de melhoras com maior exposição pública do problema e o aparecimento de alternativas para facilitar sua proteção.