Τρίτη 26 Ιανουαρίου 2021

To Υπουργείο Ψηφιακής Διακυβέρνησης απαντά για το σύμφωνο με την Palantir

Η επίσημη απάντηση του Υπουργείου στην αίτηση κατάθεσης εγγράφων των κομμάτων της αντιπολίτευσης, τα συνοδευτικά έγγραφα και τα ερωτήματα που προκύπτουν.

Μετά την ανάδειξη του θέματος της μυστικής συνεργασίας της Ελληνικής Κυβέρνησης με την πολυεθνική Palantir -που έχει μαύρο μητρώο σε θέματα διαχείρισης προσωπικών δεδομένων- από την πρωτοβουλία μας και το Inside Story και τη μεγάλη δημοσιότητα που έλαβε, αντέδρασαν έντονα και τα κόμματα της αντιπολίτευσης. Το Υπουργείο Ψηφιακής Διακυβέρνησης τους απαντά, ωστόσο η απάντησή του δημιουργεί εύλογα ερωτήματα. 

Χθες, 19 Ιανουαρίου 2021, το Υπουργείο Ψηφιακής Διακυβέρνησης απάντησε στο αίτημα κατάθεσης εγγράφων που είχαν υποβάλει οι Κ.Ο. του ΣΥΡΙΖΑ με πρωτοϋπογράφοντα τον Βουλευτή και Υπεύθυνο Τομέα Ψηφιακής Πολιτικής, κ. Μάριο Κάτση καθώς και οι Κ.Ο. των ΚΙΝΑΛ και Μέρα25.

1. Στην απάντηση του Υπουργείου αναφέρεται η ανάγκη χρήσης τέτοιων λογισμικών, ειδικά σε μια κατάσταση έκτακτης ανάγκης όπως η διαχείριση της πανδημίας καθώς και τα κριτήρια επιλογής και αξιοποίησης του λογισμικού της Palantir και ειδικότερα: 

Σχόλιο Vouliwatch: Το σκάνδαλο με το ΕΣΥ της Μ. Βρετανίας

Η αναφορά του Υπουργού, στο «επιτυχημένο παράδειγμα» συνεργασίας της Palantir με το NHS (ΕΣΥ Μ. Βρετανίας), δεν είναι πολύ εύστοχη καθώς πρόκειται για το πιο ανησυχητικό πρόσφατο παράδειγμα του σκοτεινού ιστορικού της αμφιλεγόμενης εταιρίας - κολοσσού: 

Όπως έχουμε ήδη αναφέρει στο πρώτο ρεπορτάζ του οργανισμού για την ανάδειξη της προβληματικής και μυστικής συμφωνίας του Υπουργείου με την Palantir, η Βρετανική Κυβέρνηση και το ΕΣΥ (NHS) υπέγραψαν σύμβαση με την Palantir για τη χρήση των λογισμικών της στην αντιμετώπιση της πανδημίας. Τα δεδομένα που συλλέγονταν από τη Palantir για το NHS αποθηκεύονταν και επεξεργάζονταν από το start-up τεχνητής νοημοσύνης Faculty. Ο ιδρυτής του Faculty είναι ο αδερφός του Ben Warner που «έτρεξε» την επιχείρηση δεδομένων για την καμπάνια υπέρ του Brexit. H Faculty έχει καταγραφεί ότι έχει υπογράψει δημόσιες συμβάσεις αξίας 1 εκατομ. λίρες μέσα σε 18 μήνες.

Η σύμβαση του NHS και της Palantir δεν είχε δημοσιοποιηθεί από τη Βρετανική Κυβέρνηση, ωστόσο, μετά από μια μεγάλη εκστρατεία ενημέρωσης και άσκησης πολιτικής πίεσης και πολλαπλά αιτήματα κατάθεσης εγγράφων που υπέβαλαν η δικηγορική εταιρία τεχνολογικής δικαιοσύνης Foxglove και η πρωτοβουλία Οpendemocracy, το NHS έδωσε στη δημοσιότητα τη σύμβαση με την Palantir και προέκυψε ότι συλλέγουν τεράστιο όγκο ευαίσθητων προσωπικών δεδομένων που αφορούν στην υγεία των πολιτών / ασθενών για την αντιμετώπιση της πανδημίας. 

Η εντυπωσιακή και ύποπτη επιπλέον αποκάλυψη που προέκυψε από τη σύμβαση ήταν ότι το αντίτιμο δεν ξεπερνούσε τη 1 λίρα! καθώς και ότι εκατομμύρια προσωπικά δεδομένα ασθενών συλλέγονταν από μια αμφιλεγόμενης πορείας ιδιωτική εταιρία, ανάμεσά τους το ονοματεπώνυμο, η ηλικία, η κατοικία, οι αριθμοί των τηλεφώνων τους, τα επαγγέλματά τους και οι θέσεις εργασίας τους αλλά και η καταγωγή τους και η φυλή τους, οι θρησκευτικές και πολιτικές τους πεποιθήσεις, τα ποινικά μητρώα τους και η κατάσταση της ψυχικής και πνευματικής τους υγείας! Το θέμα παραμένει καυτό στη Μ. Βρετανία καθώς στη συνέχεια το NHS υπέγραψε σύμβαση συνεργασίας για δύο χρόνια, αξίας 23 εκατομ. λιρών και από τη δημοσιοποίηση της οποίας είχε διαγραφεί το τμήμα που αναφέρεται στις κατηγορίες των δεδομένων προς επεξεργασία! 

2.  Στην απάντησή του αναφέρει ο Υπουργός Ψηφιακής Διακυβέρνησης: 

Ερώτημα Vouliwatch:

Γιατί αναφέρεται ότι δεν υπήρξε οικονομική επιβάρυνση και δαπάνη για το Δημόσιο και ότι συνεπακόλουθα δεν υπήρξε υποχρέωση δημοσίευσης του συμφώνου, ενώ η νομοθεσία για τη ΔΙΑΥΓΕΙΑ προβλέπει ότι δημοσιεύονται και οι δωρεές προς το Δημόσιο; 

3. Αναφέρεται ότι στο λογισμικό μεταφορτώθηκαν i) είτε ανοικτά δεδομένα των αρμοδίων φορέων, όπως Κυκλοφορία του διαδικτύου, κατανάλωση ρεύματος στην Ελλάδα είτε ii) ανώνυμα, στατιστικά και δημογραφικά δεδομένα, από τη ΓΓ Πολιτικής Προστασίας και τον ΕΟΔΥ, τα οποία δεν παρείχαν και δεν περιείχαν πληροφορίες από τις οποίες ήταν δυνατή η άμεση ή έμμεση ταυτοποίηση φυσικών προσώπων. 

Ερωτήματα Vouliwatch: 

α. Γιατί δεν αναφέρονται πουθενά στο Σύμφωνο Τεχνολογικής Υποστήριξης με την Palantir: α) ακριβώς το λογισμικό που θα χρησιμοποιούσαν για την επεξεργασία και οπτικοποίηση των δεδομένων, β) αναλυτικά οι πηγές άντλησης και ανάρτησης των δεδομένων από τους δημόσιους φορείς (όπως αναφέρει στην απάντησή του ο Υπουργός Επικρατείας) καθώς και γ) τα συγκεκριμένα είδη των δεδομένων προς επεξεργασία και οπτικοποίηση; 

Το μόνο που αναφέρεται στον πίνακα είναι ότι θα επεξεργάζονται προσωπικά δεδομένα ψευδωνυμοποιημένα που θα περιλαμβάνουν την ημερομηνία γέννησης και το φύλο μελών του γενικού πληθυσμού.

Στη συνέχεια, με την από 26.03.2020 τροποποίηση του Συμφώνου συμπληρώθηκαν οι κατηγορίες προσωπικών δεδομένων περιλαμβάνοντας επιπλέον της ηλικίας και του φύλου, την περιφέρεια, τον δήμο κατοικίας και την κατάσταση του/-της ασθενούς. 

Παρ'όλα αυτά, στην απάντησή του το Υπουργείο αναφέρεται σε μια σειρά επιπλέον δεδομένων που αναρτήθηκαν και επεξεργάστηκαν μέσω του λογισμικού της Palantir, τα οποία δεν καταλαβαίνουμε για ποιο λόγο δεν απαριθμούνται, έστω ενδεικτικά, στο Σύμφωνο Τεχνολογικής Υποστήριξης.

β. Ο Υπουργός αναφέρει ότι παρείχαν προς επεξεργασία «ανώνυμα», στατιστικά και δημογραφικά δεδομένα, τα οποία δεν περιείχαν πληροφορίες από τις οποίες ήταν δυνατή η άμεση ή έμμεση ταυτοποίηση φυσικών προσώπων. Ωστόσο, στο σύμφωνο συνεργασίας με την Palantir που επισυνάπτει, όπως προκύπτει από τον ανωτέρω πίνακα 2, αναγράφονται ως «ψευδωνυμοποιημένες προσωπικές λεπτομέρειες» (pseudonysmized personal details) οι οποίες διακρίνονται από τις «ανωνυμοποιημένες» (anonymized personal data), κατά το ότι είναι δυνατή -έως έναν βαθμό - η αποκρυπτογράφησή τους και η ταυτοποίηση φυσικού προσώπου.

γ. Ακόμη, στο εν λόγω σύμφωνο Τεχνολογικής Υποστήριξης, στη σελίδα 3 και το παράρτημα Exhibit A: GDPR DATA PROTECTION AGREEMENT, στο σημείο h. προβλέπεται ότι η Palantir υποχρεούται: «να διαθέσει στον Πελάτη κάθε απαραίτητη πληροφορία προκειμένου να αποδείξει τη συμμόρφωση του Palantir Group με το άρθρο 28 του GDPR (π.χ. εύλογους ελέγχους, με δαπάνες του Πελάτη, το φάσμα και η διάρκεια των οποίων θα συμφωνηθούν αμοιβαία και εκ των προτέρων από τα μέρη». Μετά τη λήξη της εννιάμηνης δοκιμαστικής περιόδου της χρήσης του λογισμικού από το Υπουργείο και την ανάρτηση όλων των εν λόγω δεδομένων από τους φορείς του Δημοσίου, ενεργοποίησαν από το Υπουργείο αυτή την υποχρέωση της Palantir; Ζήτησαν, δηλαδή, αποδεικτικά στοιχεία για τη σύννομη επεξεργασία των δεδομένων που πέρασαν από το λογισμικό της καθώς και την οριστική διαγραφή αυτών μετά τη λήξη του συμφώνου συνεργασίας; 

4. Στην απάντηση του Υπουργείου αναφέρεται δεν ζητήθηκε εκ των προτέρων η γνωμοδότηση της Αρχής Προστασίας Προσωπικών Δεδομένων, καθώς ο «Υπεύθυνος Προστασίας Δεδομένων (DPO) του Υπουργείου, έκρινε στις 27.3.2020 ότι δεν είναι αναγκαία καθώς τα [...] δεδομένα που διαβιβάζονταν δεν αφορούσαν προσωπικά δεδομένα και διαβιβάζονταν με ασφαλή κρυπτογράφηση». Στο τέλος, ωστόσο της παραγράφου, αναφέρει ότι «σε κάθε περίπτωση, βρισκόμαστε σε στενή συνεργασία με την ΑΠΔΠΧ η οποία ενημερώθηκε σχετικά με το αντικείμενο του ως άνω Συμφώνου Τεχνολογικής Υποστήριξης με το από 12.01.2021 έγγραφο του Υπεύθυνου Προστασίας Δεδομένων του Υπουργείου». 

Ερώτημα Vouliwatch:

Γιατί, εφόσον, ο Υπεύθυνος Προστασίας Δεδομένων του Υπουργείου είχε κρίνει ήδη από την έναρξη ισχύος του Συμφώνου, τον Μάρτιο του 2020, ότι δεν χρειάζεται γνωμοδότηση της ανεξάρτητης Αρχής για την Προστασία των Προσωπικών Δεδομένων, τελικά κατέληξε να της αποστείλει έγγραφο στις 12.01.2021, έναν μήνα μετά τη λήξη και της παράτασης του Συμφώνου; Και γιατί ο κ. Κ. Πιερρακάκης, νιώθει την ανάγκη να τονίσει στο σημείο αυτό της απάντησής του ότι το Υπουργείο βρίσκεται, σε κάθε περίπτωση, σε στενή συνεργασία με την Αρχή; Στενή συνεργασία, ένα μήνα αφού ολοκληρώθηκε η εννιάμηνη δοκιμαστική περίοδος χρήσης του λογισμικού της Palantir, και ενώ ΔΕΝ χρειαζόταν κατά τα λεγόμενά του να της απευθυνθούν; 

5. Ο Υπουργός αναφέρει επίσης στην απάντησή του ότι προχώρησε στις 31.12.2020 σε σύναψη σύμβασης απευθείας ανάθεσης με την εταιρία PriceWaterhouseCooper για την ανάπτυξη για το έργο: «Παροχή συμβουλευτικών υπηρεσιών σε θέματα Αναλύσεων Δεδομένων στην ομάδα διαχείρισης PLFs για την Πανδημία Covid-19».

Ερώτημα Vouliwatch:

α. Εντοπίσαμε τη σύμβαση με την PWC όπως αναρτήθηκε στη ΔΙΑΥΓΕΙΑ  (δείτε την εδώ). Φαίνεται να υπογράφηκε την 1.12.2020 και στη συνέχεια αναρτήθηκε στις 24.12.2020. Γιατί το Υπουργείο Ψηφιακής Διακυβέρνησης δεν αναφέρει καθόλου τους λόγους που τελικά δεν προχώρησε σε συνεργασία με την Palantir μετά τη λήξη της 9μηνης δοκιμαστικής περιόδου του λογισμικού της και αντ' αυτού επέλεξε να συμβληθεί με την εταιρία PWC για την επεξεργασία και οπτικοποίηση των δεδομένων από τις εισροές πιθανών κρουσμάτων στη χώρα;  

Εύλογο είναι το ερώτημα που προκύπτει από το γεγονός ότι, ενώ το Υπουργείο Ψηφιακής Διακυβέρνησης είχε αποφανθεί να μην προχωρήσει σε εμπορική συνεργασία με την εταιρία Palantir μετά τη λήξη της δοκιμαστικής περιόδου, η οποία είχε παραταθεί μέχρι 23.12.2020, μόλις είκοσι (20) μέρες νωρίτερα, στις 3.12.2020 πραγματοποιήθηκε τηλεδιάσκεψη του Πρωθυπουργού και του Υπουργού Ψηφιακής Διακυβέρνησης με τον συνιδρυτή και διευθύνοντα σύμβουλο της αμερικανικής εταιρίας, Alex Karp και το στέλεχος της Palantir, Josh Harris. Όπως αναφέρει και στο σχετικό Δελτίο Τύπου που δημοσίευσε η Palantir, στις 7.12.2020 στο businesswire, ο CEO της, Alex Karp, δήλωνε ενθουσιασμένος για την επέκταση της συνεργασίας με την ελληνική κυβέρνηση στην αντιμετώπιση της πανδημίας. Ποιος έφυγε με λάθος εντυπώσεις από τη διαδικτυακή αυτή συνάντηση; 

Τα ερωτήματα παραμένουν. 

Δείτε αναλυτικά την απάντηση του Υπουργού Ψηφιακής Διακυβέρνησης και τα σχετικά συνημμένα έγγραφα (το 24.3.2020 Σύμφωνο Τεχνολογικής Υποστήριξης, η τροποποίηση αυτού και η επιστολή επέκτασης) που εξασφάλισε πρώτο το Vouliwatch: ΕΔΩ

πηγη: https://id-ont.org

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου