La privacidad en la web según la W3C

| 4 min read

Siempre que daba charlas sobre la web y cómo se creaban los estándares con los que funciona (desde el HTML a los protocolos de comunicación) decía que cualquiera podía participar de los mismos. ¿Cuántas otras tecnologías eran tan abiertas como para que cualquier persona interesada pudiera sentarse y participar de todas las reuniones que definían el futuro de la misma? Ahora que estoy enfrentándome a participar en estos grupos puedo decir que, si bien cualquiera puede participar, no es tan fácil como decía desde afuera.

Por la beca que obtuve de Article19 tengo que participar en tres grupos, al menos en un principio: Privacy Community Group (conocido como PrivacyCG), Privacy Interest Group (PING) y Public Interest Technology Group (PITG). Iré uno por uno para explicar(me) cuál es el objetivo de cada uno, cómo cumple sus funciones y de qué forma se puede participar desde la sociedad civil.

Privacy Community Group (PrivacyCG)

Según el sitio web del grupo su misión es la de incubar funcionalidades y APIs [1] para la web con un foco en la privacidad de los usuarios. En el grupo participan los fabricantes de navegadores web, defensores de la privacidad, desarrolladores de aplicaciones web y cualquier otra organización interesada. El marco de su acción es discutir ideas sobre nuevas características de la plataforma web para ser implementadas en los navegadores u aplicaciones. También el grupo puede discutir potenciales modificaciones de características actuales de la plataforma web con el fin de mejorar la privacidad del usuario.

El grupo está liderado por tres personas que, en este momento, son empleados de Microsoft, Apple y Mozilla.

En este grupo se puede participar abiertamente, es suficiente con ser miembro de la W3C.

Los temas que se trataron en el último encuentro fueron:

Privacy Interest Group (PING)

Cuando se está desarrollando un nuevo estándar, se recomienda que se pida asesoramiento para supervisar si puede haber algún problema con la privacidad. En ese caso, este grupo de personas revisa el borrador del estándar y da sus sugerencias y comentarios sobre posibles problemas. Está conformado por personas independientes (llamados expertos internos, asi participo yo) y de distintas organizaciones, como pueden ser las empresas que crean navegadores (Google, Microsoft, Mozilla, Brave, etc.)

Por cada borrador de estándar, una persona del grupo se ofrece como revisor, y mientras la realiza va comentando en el grupo los temas que pueden ser preocupantes y las observaciones que cree necesarias. Una vez que se termina, tambien se hace una puesta en común con el grupo.

Los temas que se trataron en el último encuentro fueron:

  • Informe sobre la revisión de las siguientes propuestas de estándares:
    • WebGPU
    • WebXR Augmented Reality Module 1
  • Planes para reuniones en el próximo evento anual de la W3C
  • Revisiones de estándares pendientes

Public Interest Technology Group (PITG)

Este grupo se inició hace algunos años por personas interesadas en la privacidad en diferentes ámbitos tecnológicos. Es el menos oficial de los tres, pero al mismo tiempo, el que lleva mayor impronta de la sociedad civil. Si bien la participación es abierta, el ingreso no es directo, uno tiene que solicitar entrar, enviar una descripción de sí mismo (a que se dedica, por qué quiere participar) y eso se comparte en la lista de correo para ver si alguien que ya pertenece al grupo tiene alguna duda o impugnación para que esa persona participe. Esto es porque hay activistas que participando de este grupo pueden ponerse en riesgo y porque se intenta que no haya personas que estén trabajando en algunas de las compañías que suelen supervisarse, para que no intente influir.

En este grupo también se comparte el trabajo que las personas llevan adelante en otros espacios para que se conozcan las discusiones que están siendo llevadas adelante en las diferentes organizaciones que crean estándares para nuestras comunicaciones.

Los temas que se trataron en el último encuentro fueron:

  • Conversaciones sobre estándares que están actualmente en la IETF (Internet Engineerig Task Force):
    • openGPG
    • DNS privacy
    • LAMPS-wg
    • attestation y privacypass (interesante sobre cómo reemplazar los Captcha para saber si alguien es humano o un robot)

Son mis dos primeros meses participando de los grupos y recién ahora me estoy empezando a habituar a su modo de funcionamiento, así que espero aprender un poco más en el futuro cercano. Como comparten las agendas antes, hay tiempo de leer sobre qué seran las discusiones y tener más información. Por ejemplo, cuando se discutió la propuesta de First Party Set[2] en PrivacyCG llegue a leer antes de qué trataba, y me fue mucho más fácil entender las conversaciones.

Lo interesante es ver cómo cada grupo interactúa con los otros (hay personas que están en los tres, otras que solo en una, etc) y de qué forma se trabaja (y discute) colaborativamente sobre los estándares a seguir. En este momento el tema que parece estar siempre presente es el de las cookies y como se manejan en los navegadores para, de un lado dar más privacidad a los usuarios, y por el otro permitir algunos usos de recolección de datos (esto último suele estar impulsado por las compañías que viven de los mismos).

En próximos post espero poder ir explicando más sobre las discusiones en sí, las dinámicas de los grupos para llevar adelante esas conversaciones y de qué forma todo lo que se discute en esas reuniones termina en los dispositivos de cada unx de nosotrxs.


  1. API es una sigla que procede de la lengua inglesa y que alude a la expresión Application Programming Interface (cuya traducción es Interfaz de Programación de Aplicaciones). Podemos entender la API como un código que indica a las aplicaciones cómo pueden mantener una comunicación entre sí. Estas reglas permiten que los distintos programas mantengan interacciones. Extraído de definicion.de. ↩︎

  2. First party set es una propuesta de estándar para permitir que los sitios web que están relacionados pero que tienen distinto dominio, google.com y youtube.com por ejemplo, puedan interactuar como si fueran el mismo sitio en lo que tiene que ver con seguridad de las cookies. En este momento, con el bloqueo que algunos navegadores hacen de las cookies de terceros (cookies de un sitio web mientras estamos visitando otro), las interacciones entre sitios web que pertenencen a la misma empresa madre (Alphabet en este caso) se complican o son bloqueadas. ↩︎