HTML.itHTML.it


 Editoriale di HTML.it

  Le specifiche P3P e la privacy in rete
    Venerdì 20 aprile 2001

La Platform for Privacy Preferences (P3P) è una tecnologia sviluppata per consentire agli utenti di avere un maggior controllo sulla propria privacy in rete. Le specifiche di questo nuovo strumento sono state messe a punto dal World Wide Web Consortium a partire dal 1997 ma hanno ricevuto un'accelerazione solamente nel corso del 2000 arrivando nel dicembre di quell'anno a essere proposte come Candidate Recommendation. Il prossimo passo da compiere, presumibilmente entro l'anno, sarà l'assunzione a raccomandazione vera e propria, ossia ufficialmente terminata in tutte le sue parti. Da allora in poi le specifiche dovranno essere implementate in ogni sito e in ogni navigatore in modo da poter essere sfruttate nel miglior modo possibile.

Ma cos'è il P3P?
In poche parole specifica alcune chiare regole per lo scambio delle informazioni personali fra sito e utente implementandole nei due luoghi adatti alla gestione delle transizioni: il server web e il client (ossia il browser o User Agent). Quando le specifiche P3P saranno accolte da entrambi i lati della comunicazione sarà possibile per l'utente conoscere in modo preciso i tipi di dati che vengono recuperati dal sito visitato. Attraverso la negoziazione dei permessi si potrà dunque consentire lo scambio solo dei dati essenziali o impedirlo completamente.

Per ora, a parte alcuni software poco diffusi, l'unico browser che ha accolto parzialmente le specifiche P3P è Internet Explorer 6, tuttora distribuito solo come Public Preview. Attraverso il software della Microsoft, una delle principali protagoniste nella definizione delle specifiche, non è possibile rendersi conto di tutte le novità che sono state aggiunte dal P3P. Infatti la casa di Redmond ha preferito implementare in Explorer solamente le cosiddette Compact Policies, ossia un semplice compendio delle specifiche P3P.

Le compact policies possono tuttora agire solamente sul più evidente fenomeno di collezionamento di dati: i cookies. Ogni volta che si accede ad un sito infatti Microsoft Internet Explorer 6 interroga il server sulle politiche di privacy adottate, se queste coincidono con le preferenze che l'utente ha impostate nella sezione di configurazione il browser registra i cookies del sito altrimenti, visualizzando una piccola icona nella parte bassa del navigatore, li rigetta.

È facile prevedere che questo della Microsoft sia solamente un piccolo passo verso l'adozione a regime delle nuove caratteristiche. Considerando che Netscape e Opera, i due più prossimi contendenti di Explorer, hanno fatto sapere poco o nulla sul fronte privacy, si può ragionevolmente pensare che passerà ancora molta acqua sotto i ponti prima di poter vedere attese le richieste del consorzio WWW. Per chi fosse tuttora curioso e per chi avesse la necessità di testare le politiche di privacy P3P può liberamente scaricare Orby Privacy Plus, un software freeware che, integrato in Internet Explorer, consente di interpretare i dati P3P informando l'utente del loro livello di affidabilità.

Come poter implementare le specifiche P3P nel proprio sito?
Le indicazioni del consorzio WWW prevedono che tutti i riferimenti alle specifiche P3P devono essere integrate in un file XML esterno che potrà essere inviato al browser o utilizzando un normale collegamento HTML inserito in tutte le pagine oppure impostando il server per rispondere automaticamente ad una richiesta di pagina con i dati P3P. Nel primo caso sarà necessario impostare un collegamento al file XML con la sintassi da inserire, come un file CSS esterno, tra i tag HEAD della pagina in questione (<link rel="P3Pv1" href="documento.xml">). Nel secondo caso invece bisognerà agire sui parametri di configurazione dei web server indicandogli di integrare nella risposta alla pagina anche i richiami al P3P.

Il file XML dovrà contenere, secondo le specifiche leggibili sul sito del consorzio WWW, tutti i dati necessari all'identificazione del tipo di dati richiesti all'utente. In particolare bisognerà segnalare se nelle pagine interne al sito verrà richiesta il Nome del visitatore, la sua data di nascita, il suo sesso, la sua professione, la suca società e il tipo di funzione, l'indirizzo di casa, quello dell'ufficio e il domicilio. A questi vanno poi aggiunti tutti i tipi di informazioni riguardanti la navigazione e il comportamento dell'utente all'interno di un sito e tutte gli altri dati che potrebbero essere utili per identificare i gusti e le preferenze di un navigatore.

La complessità del codice XML da utilizzare ne rendono impossibile in questa veloce panoramica una descrizione analitica. Rimandando ad altra sede una spiegazione più approfondita, consigliamo la lettura del documento Make Your Web Site P3P Compliant (Rendi il tuo sito compatibile con la P3P traduzione di Google) in cui sono illustrati alcuni semplici metodi per mettere online documenti compatibili con la piattaforma. Qui invece ci preme proporre alcune riflessioni di carattere generale.

Il P3P è infatti un altro dei tasselli che il consorzio WWW sta mettendo in campo per rendere il Web e i suoi linguaggi adatti alle nuove necessità della rete. La privacy ne è certamente una delle primarie e la piattaforma sviluppata dal consorzio dovrebbe garantire sia un maggiore controllo delle proprie navigazioni sia la massima trasparenza nelle transazioni sito-utente.

Ogni medaglia ha però anche un'altra faccia. Con l'adozione delle specifiche P3P ogni sito dovrà informare sulle proprie politiche di trattamento dei dati ma potrà anche evitare, come accade in modo meno clamoroso anche oggi, di fornire i propri servizi a chi adotta regole restrittive. La privacy dei navigatori diventa così un nuovo strumento di confronto con cui i siti dovranno fare i conti per bilanciare le necessità di marketing e quelle di rispetto della riservatezza dell'utente. La rete Internet è ormai da tempo il campo preferito per sperimentare nuove attività commerciali. Garantire un ambiente trasparente, sicuro e poco intrusivo è anche il modo per ammorbidire la natura aperta e anarchica della rete.

La piattaforma non prevede infatti la possibilità di una navigazione totalmente anonima e non impone nemmeno limiti tecnologici alla raccolta dei dati ma dà solamente la possibilità, per alcuni siti, di informare della propria politica, diciamo così, "anti-privacy". Il fine di tutto il lavoro del consorzio, e delle società ad esso collegate, è naturalmente quello di rendere davvero trasparente l'operazione di raccolta e distribuzione dei dati. In questo modo però si rischia anche di avallare, per mezzo di un documento ufficiale, una delle più fastidiose pratiche telematiche. C'è chi sostiene infatti, come racconta il lucido articolo di Karen Coyle (una bibliotecaria che presta la sua attività per la Computer Professionals for Social Responsibility), che la piattaforma per la privacy non sia studiata per «proteggere la privacy ma per facilitare la raccolta dei dati personali da parte dei siti web», mascherandola per di più come protezione.

La privacy e a consapevolezza che gli utenti della rete hanno della ricchezza delle proprie informazioni personali è uno dei nodi tuttora irrisolti della navigazione in rete. Alcuni strumenti tecnologici possono certamente sfavorire l'abitudine di collezionare dati personali a fini non sempre leciti. Tuttavia ciò che davvero rimane fondamentale è la conoscenza approfondita di come vengano trattati i nostri dati, di quante tracce lasciamo navigando, dell'importanza della sicurezza sulla rete. Allora ben vengano anche questi strumenti che, sebbene contraddittori e perfettibili, riempiono il vuoto che, con l'espandersi degli accessi, si fa sempre più preoccupante.

di Francesco-Saverio Caccavella

Tutti gli editoriali

Torna a inizio pagina