COMISIÓN EUROPEA DIRECCCIÓN GENERAL XV Mercado Interior y Servicios Financieros Libre circulación de la Información, Derecho de Sociedades e Información Financiera Libre circulación de la información, protección de datos y sus aspectos internacionales XV D/5032/98 WP 11 Grupo de Trabajo sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales DICTAMEN 1/98 Plataforma de Preferencias de Privacidad (P3P) y Norma de Perfiles Abierta (OPS) Adoptado por el Grupo de Trabajo el 16 de junio de 1998 Plataforma de Preferencias de Privacidad (P3P) y Norma de Perfiles Abierta (OPS) Dictamen del Grupo de Trabajo El Proyecto de Plataforma de Preferencias de Privacidad (P3P por Platform for Privacy Preferences) concibe la privacidad informática y la protección de datos como algo que debe ser objeto de un acuerdo entre el usuario de Internet cuyos datos se recaban y el sitio Internet que registra dichos datos. La filosofía parte de la idea de que el usuario da su consentimiento para que un sitio Internet registre sus datos personales (el objetivo de la Norma de Perfiles Abierta –conocida por su sigla en inglés OPS por Open Profiling Standard– es garantizar la transmisión segura de un perfil normalizado de datos personales), a condición de que las prácticas en materia de privacidad informática declaradas por el sitio como, por ejemplo, el propósito para el cual se registran los datos y si estos datos se utilizan o no para fines secundarios o se pasan a terceros, satisfagan las exigencias del usuario. El Consorcio World Wide Web ha querido poner a punto un vocabulario único a través del cual se puedan articular las preferencias del usuario y las prácticas del sitio Internet. No se considera la posibilidad de adaptar este vocabulario a las necesidades y al contexto legislativo de regiones geográficas específicas. Sorprendentemente, dada la intención de que el P3P sea aplicable a escala mundial, el vocabulario no se ha elaborado tomando como referencia los niveles más elevados que se conocen en materia de protección de datos y de la intimidad, sino que ha intentado formalizar un modelo común de un nivel inferior. Estas decisiones en materia de política informática hacen prever que la puesta en práctica de la P3P y de la OPS en la Unión Europea dará lugar a una serie de problemas concretos que se abordan a continuación. Es fundamental resolver estos aspectos si se quiere que la P3P y la OPS tengan una incidencia positiva en la protección de la intimidad y en el entorno en línea. • Una plataforma técnica para la protección de la intimidad no bastará por sí sola para proteger la intimidad personal en la Red. Es necesario aplicarla en un contexto de normas de protección de datos que sean ejecutables y deparen a todas las personas un nivel mínimo y no negociable de protección de la intimidad. Recurrir a la P3P y a la OPS sin que exista tal marco jurídico presenta el riesgo de pasar la responsabilidad básicamente al usuario necesitado de protegerse, una evolución que minaría el principio sentado internacionalmente de que el cumplimiento de los principios de la protección de datos incumbe al 'controlador de datos' (Directrices OCDE 1980, Convenio del Consejo de Europa nº 108 de 1981, Directrices NNUU 1990, Directivas comunitarias 95/46/CE y 97/66/CE). Tal inversión de responsabilidades también presupone un nivel de conocimientos sobre los riesgos que el tratamiento de datos entraña para la intimidad de las personas, algo que no resulta realista esperar de la mayoría de los ciudadanos. • Existe el riesgo de que la P3P, una vez puesta en práctica en la próxima generación de software de navegación, pueda llevar a los operadores radicados en la UE a creer erróneamente que podrían quedar eximidos de algunas de sus obligaciones legales (p.e. dar a los usuarios acceso a sus datos personales) si el usuario consiente en ello como parte de la negociación en línea. De hecho, las empresas, organizaciones y personas establecidas en la UE y que prestan servicios a través de Internet estarán obligados en cualquier caso a observar las normas fijadas en la Directiva sobre protección de datos 95/46/CE (incorporada en las respectivas legislaciones nacionales) en lo que respecta al registro y tratamiento de datos personales. Así pues, la P3P podría causar confusión no sólo entre los operadores en cuanto a sus obligaciones, sino también entre los usuarios de Internet en cuanto a la naturaleza de sus derechos de protección de datos. Por tanto, el software de navegación vendido o distribuido en la UE debe estar concebido y configurado de tal manera que resulten imposibles los acuerdos en línea contrarios a la legislación vigente en materia de protección de datos. • Para los usuarios radicados en la UE que entren en contacto con sitios Internet establecidos en países extracomunitarios, la preocupación principal es que la organización a la que comunican sus datos personales no esté sujeta a la directiva europea o a ninguna normativa de protección de datos efectivamente aplicada 1. El factor determinante para decidir si proporcionar o no datos a tales sitios será no sólo conocer el contenido aproximado de las normas aplicables sino también saber si en caso de incumplimiento existen sanciones y, lo más importante, si existe una vía de recurso simple y eficaz cuando alguien infrinja las normas. Teóricamente, una plataforma en línea dedicada a las preferencias de privacidad debería ser capaz de proporcionar tal información a los usuarios. No obstante, el vocabulario de la P3P tal como está constituido en este momento no exige –y ni siquiera permite– que se facilite a los usuarios información sobre sanciones y vías de recurso. Por consiguiente, para que la P3P pueda ser una herramienta útil para obtener en línea el consentimiento informado para las transferencias de datos personales de usuarios de la UE (como exige la letra a) del apartado 1 del artículo 26 de la Directiva), se hace necesario volver a examinar el vocabulario normalizado. • Dada la escasa probabilidad de que la mayoría de los usuarios de Internet modifiquen los parámetros preconfigurados de su navegador, la posición "por defecto" sobre las preferencias de privacidad de un usuario tendrá una enorme incidencia en el nivel general de protección de la intimidad en línea. La P3P y las OPS deben integrarse en la tecnología de navegación con posiciones por defecto que reflejen el interés del usuario por disfrutar de un nivel elevado de protección de su intimidad (incluida la capacidad de navegar por los sitios de la Red de forma anónima) sin verse bloqueado o sufrir molestias por su intento de acceder a los sitios. Cuando un operador exija que se le facilite un perfil de datos identificables como condición para acceder a su sitio Internet, habrá que pedir cada vez el consentimiento del usuario para proporcionar dicha información al sitio en cuestión. Cuando el sitio no requiera tal información, el acceso puede efectuarse sin solución de continuidad. Los principales fabricantes de software de navegación tienen la responsabilidad de aplicar la P3P y las OPS de forma que aumenten en lugar de disminuir los niveles de protección de la intimidad. 1 Ello sin perjuicio de un examen más detallado del artículo 4 de la Directiva 95/46/CE, que podría interpretarse en el sentido de que la Directiva resulta aplicable a los sitios de la Red de terceros países que recopilen datos de usuarios radicados en la UE. Dada la importancia del proceso de aplicación de la P3P y de la OPS, así como los diferentes asuntos que actualmente está examinando el Grupo de Trabajo en relación con la funcionalidad de los protocolos de web (HTTP), el Grupo de Trabajo anima a que se desarrolle un software de Internet que se ajuste a las normas en materia de protección de datos aplicables en la Unión Europea, y considera que sería apropiado poner a punto los mecanismos que permitan verificar la conformidad del software de Internet a este respecto. Hecho en Bruselas, el 16 de junio de 1998 Por el Grupo de Trabajo El Presidente P.J. HUSTINX