Răspunsurile Palantir la întrebările Privacy International
Liviu IoniţăLa 11 mai, pe site-ul Monitorului Apărării şi Securităţii a fost publicat articolul ”Bătălia contra Covid-19 şi pierderile colaterale. Astăzi: confidenţialitatea digitală”. Materialul se referă la data mining, procesarea unei cantităţi mari de date şi extragerea informaţiilor relevante, ca fiind un instrument folosit de către guverne şi organizaţii pentru a limita impactul Covid-19, util, dar susceptibil de a fi ori o manevră de afaceri a marilor furnizori de astfel de servicii ori o încercare de extindere a supravegherii în masă de către organizaţiile guvernamentale. În această analiză am oferit o prezentare a acţiunilor din ultima perioadă (aşa cum sunt ele surprinse în sursele publice) ale Palantir, una dintre marile companii care oferă soluţii pentru eradicarea pandemiei.
În context, s-a făcut referire la scrisoarea deschisă trimisă (29 aprilie) companiei Palantir de către organizaţiile Privacy International, Big Brother Watch, medConfidential, Foxglove şi Open Rights Group, conţinând 10 întrebări despre cooperarea cu Serviciul Naţional de Sănătate (NHS) din Marea Britanie. Palantir a formulat un răspuns la aceste întrebări, pe care îl prezentăm în continuare.
Palantir Marea Britanie „salută oportunitatea de a se angaja într-un dialog cu societatea civilă despre sprijinul oferit NHS ca furnizor de software”.
Compania „permite organizaţiilor să îşi gestioneze propriile date în mod eficient, cu asigurarea protecţiei vieţii private individuale”.
Palantir îşi „exprimă îngrijorarea” cu privire la redactarea unora dintre întrebările care i-au fost adresate şi care sugerează „neînţelegeri cu privire la natura software-ului deţinut şi rolul de procesator de date pentru NHS”.
În numele „transparenţei în situaţie de criză”, dar cu protejarea „informaţiilor confidenţiale despre clienţi sau despre procesele lor interne”, Palantir oferă următoarele explicaţii:
- Datele introduse în Foundry pot oferi informaţii sistemelor de învăţare (learning systems) ale altor produse Palantir, cum este, de pildă, Gotham?
Nici Foundry, nici Gotham nu sunt learning systems.
Atât Foundry, cât şi Gotham sunt platforme de integrare a datelor care permit organizaţiilor să îşi gestioneze şi să îşi analizeze propriile
date. Fiecare client îşi furnizează propriul său Foundry sau Gotham.
Toate datele şi tot ceea ce derivă din aceste date, folosind software-ul Palantir, rămân în proprietatea şi sub controlul clienţilor Palantir.
Aceste concepte sunt consolidate contractual, procedural şi prin mijloace tehnice.
- Care sunt tipurile de date prelucrate de Palantir (în relaţia cu NHS)?
Răspunsul la această întrebare este dat de informaţiile deja făcute publice de NHS cu privire la tipurile de date prelucrate ca parte a răspunsului său la Covid-19.
- Palantir obţine acces la baze de date şi/sau înregistrări deţinute de NHS, cum ar fi sistemele de prescripţie online, înregistrările pacienţilor, fişele medicale etc?
a) Cum va respecta cerinţele referitoare la procesarea datelor din categorii speciale, în conformitate cu reglementările privind protecţia datelor ale UE şi ale Marii Britanii?
b) Care sunt acordurile în vigoare pentru a se asigura de respectarea confidenţialităţii relaţiei medic-pacient?
c) Cum asigură Palantir confidenţialitatea datelor care sunt introduse în sistemele sale?
Tipurile de date enumerate la care face referire întrebarea aparţin operatorului de date şi pot fi procesate doar sub coordonrea acestuia.
Din acest motiv, cel indicat să ofere răspuns este operatorul de date, adică NHS.
Conform GDPR şi altor legi relevante, Palantir UK este un data processor, o organizaţie care prelucrează datele în numele unui operator conform reglementărilor. Operatorul de date - în acest caz NHS – este cel care determină modul în care sunt prelucrate datele, scopurile cărora le este destinată această prelucrare şi modul în care prelucrarea trebuie să respecte cadrul legal.
În calitate de data processor, Palantir Technologies UK oferă suport tehnic pentru clienţii săi, furnizând software şi servicii care să le permită să-I sprijine în analiza datelor pe care le colectează.
Ca atare, orice accesare a datelor clienţilor, în orice circumstanţe, este strict în gestionarea clienţilor, în sprijinul scopurilor legitime şi cu respectarea tuturor regulilor şi reglementărilor în vigoare.
- Întrucât acest contract cu NHS va implica, cel mai probabil, prelucrarea datelor dintr-o categorie specială (date despre sănătate / informaţii referitoare la sănătate), a efectuat Palantir o evaluare a impactului privind protecţia datelor (DPIA), în conformitate cu Regulamentul privind protecţia datelor şi Legea privind protecţia datelor din Marea Britanie din 2018?
a) Dacă nu, de ce nu?
b) Dacă da, acest DPIA va fi disponibil public şi când? Dacă nu, de ce nu?
Ca şi în cazul precedent, este de competenţa NHS, în calitate de operator de date cu caracter personal, să răspundă la această întrebare. În conformitate cu art. 35 (1) din Regulamentul general privind protecţia datelor şi art. 64 (1) privind protecţia datelor din Regatul Unit din 2018, evaluarea impactului privind protecţia datelor revine operatorului de date – nu entităţii care procesează date cu caracter personal în numele acestuia („processor”)
- Cum v-aţi asigurat că NHS va putea păstra informaţiile / analiza datelor obţinute după finalizarea acestui contract? S-a declarat anterior că cei care au fost clienţii Palantir au dificultăţi cu acest lucru.
În conformitate cu termenii din contractele încheiate de Palantir, clienţii îşi păstrează proprietatea şi controlul deplin asupra datelor, analizelor şi produselor rezultate din prelucrarea acestora.
Platforma Palantir Foundry stochează date în formate de date standard, fără atribuirea proprietăţii, iar clienţii îşi pot exporta sau transfera cu uşurinţă datele, după cum le permit propriile politici şi protocoale de securitate. Palantir Foundry susţine interoperabilitatea, utilizând API-uri (Application Programming Interface) deschise pentru a permite integrarea cu alte sisteme.
- Va păstra Palantir analiza datelor sau informaţiile obţinute din contractul cu NHS, odată cu finalizarea acestuia?
Răspunsul este „nu”. După cum este precizat în anunţul cu privire la proiect, NHS păstrează proprietatea deplină asupra datelor şi a oricărei analize derivate din aceste date.
Se oferă următoarea analogie: Foundry este pentru datele NHS ceea ce este software-ul unui tabel (spreadsheet) pentru conţinutul acestuia. La fel cum autorul unui tabel poate - oricând doreşte - să exporte conţinutul acestuia într-un alt software de tabele, NHS, în calitate de operator de date, poate exporta, fără obstacole, datele sale de la Foundry în alte programe de gestionare a datelor.
- Cum se va asigura Palantir că orice date cu caracter personal, inclusiv data profiling sau date deduse, care decurg din acest proiect cu NHS, să fie anonimizate efectiv, având în vedere că există cercetări ample care sugerează că tehnicile de anonimizare nu funcţionează?
Ca şi în cazul unora dintre întrebările anterioare, este de competenţa NHS să ofere răspuns.
- Va putea Palantir să folosească ceea ce a dobândit (învăţat) din activitatea derulată în baza acordului cu NHS pentru a îmbunătăţi alte produse viitoare furnizate de Palantir?
a) Dacă da, ce aplicaţii va avea acest produs (produse) obţinute?
b) În ce scopuri va (vor) fi folosit(e)?
Foundry nu este un learning system, ci o platform de integrare a datelor.
- În răspunsul la Covid-19, Palantir are colaborări similare folosind aceleaşi produse în alte ţări?
a) Dacă da, în ce ţări?
Palantir susţine o serie de organizaţii din sectorul public şi privat pentru a răspunde la criza Covid-19, inclusiv analiza răspândirii COVID-19, măsurarea eficienţei strategiilor de atenuare şi îmbunătăţirea coordonării între organizaţii precum spitale şi producătorii de echipamente medicale.
Mai multe informaţii sunt disponibile pe site-ul Palantir.
- Are Palantir alte acorduri cu NHS, în afară de acela la care se referă aceste întrebări şi care a fost deja anunţat?
a) Dacă da, cu cine sunt aceste acorduri?
b) Pentru ce sunt aceste acorduri?
c) Când vor fi făcute publice?
În acest moment, Palantir nu are alte acorduri cu NHS.
Definiţia acceptată a termenilor, în conformitate cu Regulamentul General pentru Protecţia Datelor (GDPR):
Operator de date (data controller): o organizaţie sau o companie care colectează datele cu caracter personal şi ia decizii referitoare la modul în care sunt administrate;
Procesator de date (data processor): o companie sau o organizaţie care ajută controlorul să proceseze datele, urmând instrucţiunile acestuia. Procesatorul de date nu decide cum se utilizează datele personale;
Evaluarea impactului asupra protecţiei datelor (Data Protection Impact Assessment, DPIA): o evaluare bine documentată asupra unui anumit tip de procesare a datelor, referitoare la utilitatea acestor date, care sunt riscurile pentru acest tip de procesare şi ce opţiuni există pentru reducerea şi înlăturarea acestor riscuri.