Totul a început când contul de X (fost Twitter) al Palantir a publicat un manifest în 22 de puncte, care a alarmat opinia publică. Printre puncte se numărau apeluri la serviciul militar național universal și promovarea „armelor cu inteligență artificială”. „Palantir este perceput ca un contractor de apărare”, a declarat Duncan McCann, responsabil cu tehnologia și datele la Good Law Project, un grup de campanie juridică. „Dacă ar fi rămas doar în această nișă, poate că oamenii ar fi acceptat. Dar o companie de apărare are valori fundamental diferite față de o organizație de sănătate precum NHS, și aici apare această îngrijorare.”
Ceea ce părea o șansă mică acum patru-cinci luni pare acum realizabil pentru McCann. Opoziția față de programul emblematic de date al Palantir, numit Federated Data Platform (FDP), utilizat de NHS, a trecut de la o preocupare marginală a activiștilor la o problemă serioasă de guvernanță pentru NHS England și guvernul britanic în ansamblu. Luni, Palantir a intrat sub o nouă atenție. Financial Times a relatat că NHS England ar fi permis angajaților Palantir acces „nelimitat” la datele pacienților, citând o notă internă de informare.
Platforma Gotham a Palantir este folosită de comunitățile de informații, militare și de poliție din întreaga lume. Foundry, soluția civilă a companiei, stă la baza FDP-ului NHS. Deși par produse diferite, o analiză din 2020 realizată de Privacy International și No Tech For Tyrants a constatat că cele două sisteme împart aceeași arhitectură Palantir. Această arhitectură comună se află în centrul unei probleme de guvernanță pe care criticii susțin că nu a fost niciodată abordată corespunzător.
Potrivit NHS England, Palantir „va opera doar sub instrucțiunile NHS atunci când procesează date pe platformă” și „nu va controla datele din platformă, nici nu i se va permite să le acceseze, să le folosească sau să le partajeze în propriile scopuri”. Palantir a răspuns, afirmând că „nu folosește în niciun fel datele pacienților sau orice date NHS în propriile scopuri. Palantir acționează exclusiv ca procesator de date sub instrucțiunile NHS”, a declarat Charles Carlson de la Palantir UK pentru Al Jazeera. „În ceea ce privește verificarea, auditorii analizează controalele noastre și conformitatea cu acestea, iar noi trecem prin multiple audituri.” El a menționat că „clienții înșiși, ajutați de NCSC (Centrul Național de Securitate Cibernetică), fac propria validare.”
Deși auditurile pot arăta că Palantir respectă standardele industriei pentru protejarea datelor împotriva accesului neautorizat și a breșelor, observatorii s-au îndoit de măsura în care companiile tech respectă regulile. „Nu am ști cu adevărat dacă Palantir face ceva nefast cu datele NHS”, a spus Eerke Boiten, profesor de securitate cibernetică și șef al Școlii de Informatică și Informatică de la Universitatea De Montfort din Leicester. „Dar același lucru este valabil și pentru Microsoft, Google și alte companii tech americane implicate în furnizarea de soluții IT pentru NHS sau oricine altcineva.” Boiten predică „realismul tehnic” și spune că aceste companii sunt atât de mari, produsele lor atât de complexe și proprietare, încât clienții trebuie să aibă încredere că nu vor exploata situația.
Ca măsură de siguranță, o evaluare a impactului asupra protecției datelor (DPIA) este necesară înainte de procesarea datelor personale sensibile la această scară. „Trebuie să te uiți în DPIA și să vezi că sunt serioși”, a spus Boiten. „Guvernul ar trebui să le publice pentru a câștiga încrederea publicului.” În urma presiunilor legale din partea Good Law Project, NHS England a lansat o versiune mai puțin cenzurată a contractului FDP – dar aproximativ 100 de pagini rămân ascunse, potrivit lui McCann. Aceste pagini se referă în mod specific la metodologia prin care datele pacienților sunt pseudonimizate înainte de a intra pe platformă. Acesta este singurul element al cadrului de protecție a datelor din contract pe care publicul, parlamentul și experții independenți nu îl pot examina.
Toți cei intervievați pentru acest articol au fost de acord că FDP este, în linii mari, un lucru bun – și că există alternative. Liderii de la NHS Greater Manchester integrated care board, care gestionează comisionarea și finanțarea serviciilor de sănătate în acea regiune, au petrecut șase ani construindu-și propria platformă de analiză fără Palantir. Analiștii spun că întrebarea nu este dacă NHS își poate gestiona eficient datele, ci dacă are nevoie de Palantir pentru a face acest lucru.
„Înclinațiile politice ale Palantir, exprimate în retorica lor, îi fac un risc potențial de securitate”, a spus Boiten. Platforma Foundry a Palantir susține contracte în cel puțin 10 departamente guvernamentale britanice, dar compania respinge orice afirmație că ar putea agrega aceste seturi de date. „Fiecare angajament al clientului cu Palantir este contractual, operațional și tehnic distinct și izolat”, a spus Carlson de la Palantir. El a adăugat că compania „nu transferă date între clienții noștri în propriile scopuri”. „Mai mult”, a spus el, „ar fi ilegal ca guvernul să partajeze date în acest fel, cu excepția cazului în care există acorduri specifice de partajare a datelor între diferitele departamente guvernamentale în cauză.”
Doi ingineri de sisteme seniori de la Ministerul Apărării au avertizat în martie, într-un articol publicat de The Nerve, că prin agregarea datelor din diferite seturi de date guvernamentale, Palantir ar putea genera informații de top secret din surse complet neclasificate. Pentru Sarah Simms, ofițer principal de politici la Privacy International, un astfel de risc și precedent au fost deja stabilite de acțiunile companiei în străinătate. „Încrederea este esențială pentru furnizarea de asistență medicală și pentru NHS”, a spus ea. „Oamenii ar trebui să poată avea încredere că datele lor sunt gestionate în siguranță și etic. Și dacă nu, ei bine, asta ar putea avea un impact devastator asupra asistenței medicale pentru toată lumea.”
De ce este important:
Acest caz evidențiază tensiunea dintre eficiența tehnologică și valorile democratice atunci când datele sensibile ale cetățenilor sunt gestionate de companii private cu agende militariste. Pe măsură ce guvernele externalizează tot mai mult infrastructura digitală, întrebarea cine deține și controlează datele devine crucială pentru securitatea națională și drepturile individuale. Transparența contractuală și auditurile independente nu sunt doar formalități, ci garanții ale încrederii publice. Fără ele, riscul de abuz – fie el real sau perceput – poate submina însăși fundația serviciilor publice esențiale, cum ar fi sănătatea.
