Ερωτήματα γιατί έπειτα από 9 μήνες και σε αυτή τη συγκυρία η Αρχή Προστασίας Δεδομένων δημοσίευσε την απόφασή της ότι δεν συντρέχει λόγος επέμβασής της, παρότι αφήνει ανοιχτό το παράθυρο να υπάρχει παραβίαση δεδομένων ● Η σύμβαση με την εταιρεία τεχνολογίας δεν υποβλήθηκε σε διαγωνισμό και δεν ελέγχθηκε βάσει του νόμου περί προστασίας δεδομένων ● Αγνωστος ο όγκος και το είδος των πληροφοριών που συνέλεξε.
Μια άκρως αμφιλεγόμενη εταιρεία τεχνολογίας με βεβαρημένο «μητρώο» και υπόγειες διαδρομές στον χώρο της πληροφορικής, της αστυνόμευσης και των μυστικών υπηρεσιών, η Palantir Technologies, ήρθε στην Ελλάδα μεσούσης της πανδημίας, υπέγραψε στα κρυφά (εκτός Διαύγειας και δημοσιότητας) και με ρήτρα εμπιστευτικότητας σύμβαση με την ελληνική κυβέρνηση, επεξεργάστηκε προσωπικά δεδομένων εκατομμυρίων χρηστών, προσέφερε τις υπηρεσίες της αφιλοκερδώς για 9 μήνες και στη συνέχεια αποχώρησε, χωρίς να τεθεί κανένα θέμα παραβίασης προσωπικών δεδομένων.
Αυτό είναι το συμπέρασμα που προκύπτει από τη χθεσινή δημοσιοποίηση -με μεγάλη καθυστέρηση- της απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία, αφού εξέτασε αυτεπάγγελτα την υπόθεση, δέχθηκε τις εξηγήσεις του υπουργείου Ψηφιακής Διακυβέρνησης (και της ίδιας της Palantir) και έκρινε «ότι δεν συντρέχει περίπτωση άσκησης των διορθωτικών εξουσιών της, εκτός εάν προκύψουν νέα στοιχεία». Η απόφαση δημοσιεύτηκε -άγνωστο γιατί- εννιά μήνες μετά τη λήψη της, σε μια χρονική περίοδο που η κυβέρνηση βρίσκεται στα σκοινιά λόγω του σκανδάλου των υποκλοπών, ενώ η ανάρτηση συμπίπτει χρονικά με τη λήξη της θητείας του προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου.
Τον Δεκέμβριο του 2020 αποκαλύφθηκε (InsideStory, Vouliwatch) πως η ελληνική κυβέρνηση είχε υπογράψει από τον Απρίλιο του ίδιου έτους νομική συμφωνία με τον τεχνολογικό κολοσσό, γνωστό για τις στενές σχέσεις του με τις αμερικανικές μυστικές υπηρεσίες και διάφορες αρχές επιβολής του νόμου διεθνώς, με ρήτρα εμπιστευτικότητας. Η Palantir ανέπτυξε -και μάλιστα δωρεάν- ένα κέντρο ελέγχου κρίσεων για τον πρωθυπουργό, το οποίο εμφάνιζε μια ολιστική επισκόπηση της κατάστασης της πανδημίας στην Ελλάδα σε πραγματικό χρόνο. Ελάχιστοι στη χώρα γνώριζαν κάτι σχετικά με αυτήν τη συνεργασία. Η σύμβαση δεν υποβλήθηκε σε διαγωνισμό και δεν ελέγχθηκε βάσει του νόμου περί προστασίας δεδομένων.
Πηγές του υπουργείου Ψηφιακής Διακυβέρνησης έλεγαν στην αρχή πως τα δεδομένα που συλλέγονται είναι «πλήρως ανώνυμα» και όχι ανωνυμοποιημένα και αφορούσαν κυρίως στοιχεία της κίνησης του πληθυσμού (διόδια, λιμάνια, κατανάλωση βενζίνης κτλ). Τελικά συγκεντρώθηκαν πολλά παραπάνω: στοιχεία νοσοκομείων, αριθμός συνολικών κλινών εντατικής κ.ά., στοιχεία κρουσμάτων Covid-19, αριθμός ασθενών, στοιχεία ασθενών και κρουσμάτων.
Επιπλέον, στο σύμφωνο συνεργασίας με την Palantir αναγράφονται ως «ψευδωνυμοποιημένες προσωπικές λεπτομέρειες» (pseudonysmized personal details) οι οποίες διακρίνονται από τις «ανωνυμοποιημένες» (anonymized personal data) κατά το ότι είναι δυνατή –έως έναν βαθμό– η αποκρυπτογράφησή τους και η ταυτοποίηση φυσικού προσώπου. Είναι δεδομένο πως η ψευδοανωνυμοποίηση δεν προσφέρει απόλυτη ασφάλεια και με το κατάλληλο «κλειδί» είναι δυνατό να ταυτοποιηθούν τα πρόσωπα.
Σύμφωνα, πάντως, με την απόφαση της Αρχής, «διαπιστώθηκε πως τα δεδομένα τα οποία διαβιβάζονταν στην εταιρεία Palantir δεν μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων (εκτός ακραίων υποθετικών περιπτώσεων)». Η Αρχή αφήνει ανοιχτό το παράθυρο να υπάρχει παραβίαση δεδομένων, αλλά βάσει των απαντήσεων του υπουργείου το θεωρεί σχετικά απίθανο: «Το επίπεδο προστασίας των δεδομένων κρίνεται ικανοποιητικό και οι πιθανοί κίνδυνοι για τα υποκείμενα των δεδομένων εξαιρετικά μικροί».
Ενδιαφέρον παρουσιάζει και το γεγονός ότι η Αρχή αναφέρει πως «δεν συντρέχει περίπτωση άσκησης των διορθωτικών της εξουσιών» βασιζόμενη στη συμφωνία της «Palantir Technologies UK LtD» με το υπουργείο Ψηφιακής Διακυβέρνησης, βάσει της οποίας η εταιρεία έχει... «οριστικά διαγράψει και καταστρέψει όλα τα δεδομένα». «Το λογισμικό της εταιρείας ουδέποτε είχε πρόσβαση σε πληροφοριακά συστήματα του Δημοσίου, τα δε δεδομένα μεταφορτώνονταν σε κάθε περίπτωση από τους ως άνω φορείς στην πλατφόρμα συγκεντρωτικά, ανώνυμα, με ασφαλή κρυπτογράφηση και η μεταφορά της πληροφορίας πραγματοποιούνταν με απολύτως ασφαλή τρόπο» ήταν το κεντρικό επιχείρημα του υπουργείου προς την Ανεξάρτητη Αρχή.
Στο μεταξύ, σύμφωνα με χθεσινό δημοσίευμα του insidestory, η Γενική Γραμματεία Πολιτικής Προστασίας, ενώ στα δεδομένα που μεταφόρτωνε στην Palantir συγκαταλέγονταν στοιχεία κρουσμάτων Covid-19, όπως περιφερειακή ενότητα, δήμος, ηλικία, φύλο, τύπος νοσηλείας (δομή/νοσοκομείο), κατάσταση (καραντίνα, νοσοκομείο, έξοδος, ΜΕΘ, θάνατος), δεν απάντησε ποτέ στην Αρχή στο αίτημα για αναλυτική περιγραφή της μεθόδου ψευδωνυμοποίησης ή ανωνυμοποίησης που εφαρμόστηκε.
Τον Απρίλιο του 2021 ρεπορτάζ του Der Spiegel ανέφερε πως «ως αντάλλαγμα για την υπόσχεση περιορισμού της πανδημίας με τη βοήθεια λογισμικού, η εταιρεία (Palantir) έλαβε, όπως φαίνεται, εκτεταμένη πρόσβαση σε ευαίσθητα δεδομένα από την ελληνική κυβέρνηση». Εσωτερικά έγγραφα που δημοσίευσε το γερμανικό περιοδικό αποκαλύπτουν ότι η Palantir (που στην αρχική της φάση είχε συγχρηματοδοτηθεί από τη CIA) προσπαθεί να εισχωρήσει και στην Ε.Ε. χρησιμοποιώντας ως όχημα τη διαχείριση της πανδημίας.
Με... παρελθόν
Η εταιρεία έχει εμπλακεί στο σκάνδαλο της Cambridge Analytica και τις αμερικανικές εκλογές που ανέδειξαν νικητή τον Ντ. Τραμπ και έχει κατηγορηθεί από τη συλλογικότητα Anonymous ότι υποστήριξε την ανάπτυξη εκστρατείας εναντίον των WikiLeaks. Στην Αμερική τα λογισμικά της έχουν χρησιμοποιηθεί για προληπτική αστυνόμευση και αναγνώριση πιθανών μελλοντικών υπόπτων με βάση τη συλλογή προσωπικών δεδομένων (φυλή, κατοικία, ηλικία, αναγνώριση προσώπου κτλ).
Η έτερη εταιρεία του συνιδρυτή της Palantir, Peter Thiel (ClearView AI), πριν από ενάμιση μήνα τιμωρήθηκε από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) με πρόστιμο 30 εκατ. ευρώ για τις πρακτικές της («Πρόστιμο για «φακέλωμα» προσώπων στην Ελλάδα», 15.7.2022, «Εφ.Συν.»).
Κώστας Ζαφειρόπουλος
Πηγή: efsyn.gr
Αυτό είναι το συμπέρασμα που προκύπτει από τη χθεσινή δημοσιοποίηση -με μεγάλη καθυστέρηση- της απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία, αφού εξέτασε αυτεπάγγελτα την υπόθεση, δέχθηκε τις εξηγήσεις του υπουργείου Ψηφιακής Διακυβέρνησης (και της ίδιας της Palantir) και έκρινε «ότι δεν συντρέχει περίπτωση άσκησης των διορθωτικών εξουσιών της, εκτός εάν προκύψουν νέα στοιχεία». Η απόφαση δημοσιεύτηκε -άγνωστο γιατί- εννιά μήνες μετά τη λήψη της, σε μια χρονική περίοδο που η κυβέρνηση βρίσκεται στα σκοινιά λόγω του σκανδάλου των υποκλοπών, ενώ η ανάρτηση συμπίπτει χρονικά με τη λήξη της θητείας του προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου.
Τον Δεκέμβριο του 2020 αποκαλύφθηκε (InsideStory, Vouliwatch) πως η ελληνική κυβέρνηση είχε υπογράψει από τον Απρίλιο του ίδιου έτους νομική συμφωνία με τον τεχνολογικό κολοσσό, γνωστό για τις στενές σχέσεις του με τις αμερικανικές μυστικές υπηρεσίες και διάφορες αρχές επιβολής του νόμου διεθνώς, με ρήτρα εμπιστευτικότητας. Η Palantir ανέπτυξε -και μάλιστα δωρεάν- ένα κέντρο ελέγχου κρίσεων για τον πρωθυπουργό, το οποίο εμφάνιζε μια ολιστική επισκόπηση της κατάστασης της πανδημίας στην Ελλάδα σε πραγματικό χρόνο. Ελάχιστοι στη χώρα γνώριζαν κάτι σχετικά με αυτήν τη συνεργασία. Η σύμβαση δεν υποβλήθηκε σε διαγωνισμό και δεν ελέγχθηκε βάσει του νόμου περί προστασίας δεδομένων.
Πηγές του υπουργείου Ψηφιακής Διακυβέρνησης έλεγαν στην αρχή πως τα δεδομένα που συλλέγονται είναι «πλήρως ανώνυμα» και όχι ανωνυμοποιημένα και αφορούσαν κυρίως στοιχεία της κίνησης του πληθυσμού (διόδια, λιμάνια, κατανάλωση βενζίνης κτλ). Τελικά συγκεντρώθηκαν πολλά παραπάνω: στοιχεία νοσοκομείων, αριθμός συνολικών κλινών εντατικής κ.ά., στοιχεία κρουσμάτων Covid-19, αριθμός ασθενών, στοιχεία ασθενών και κρουσμάτων.
Επιπλέον, στο σύμφωνο συνεργασίας με την Palantir αναγράφονται ως «ψευδωνυμοποιημένες προσωπικές λεπτομέρειες» (pseudonysmized personal details) οι οποίες διακρίνονται από τις «ανωνυμοποιημένες» (anonymized personal data) κατά το ότι είναι δυνατή –έως έναν βαθμό– η αποκρυπτογράφησή τους και η ταυτοποίηση φυσικού προσώπου. Είναι δεδομένο πως η ψευδοανωνυμοποίηση δεν προσφέρει απόλυτη ασφάλεια και με το κατάλληλο «κλειδί» είναι δυνατό να ταυτοποιηθούν τα πρόσωπα.
Σύμφωνα, πάντως, με την απόφαση της Αρχής, «διαπιστώθηκε πως τα δεδομένα τα οποία διαβιβάζονταν στην εταιρεία Palantir δεν μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων (εκτός ακραίων υποθετικών περιπτώσεων)». Η Αρχή αφήνει ανοιχτό το παράθυρο να υπάρχει παραβίαση δεδομένων, αλλά βάσει των απαντήσεων του υπουργείου το θεωρεί σχετικά απίθανο: «Το επίπεδο προστασίας των δεδομένων κρίνεται ικανοποιητικό και οι πιθανοί κίνδυνοι για τα υποκείμενα των δεδομένων εξαιρετικά μικροί».
Ενδιαφέρον παρουσιάζει και το γεγονός ότι η Αρχή αναφέρει πως «δεν συντρέχει περίπτωση άσκησης των διορθωτικών της εξουσιών» βασιζόμενη στη συμφωνία της «Palantir Technologies UK LtD» με το υπουργείο Ψηφιακής Διακυβέρνησης, βάσει της οποίας η εταιρεία έχει... «οριστικά διαγράψει και καταστρέψει όλα τα δεδομένα». «Το λογισμικό της εταιρείας ουδέποτε είχε πρόσβαση σε πληροφοριακά συστήματα του Δημοσίου, τα δε δεδομένα μεταφορτώνονταν σε κάθε περίπτωση από τους ως άνω φορείς στην πλατφόρμα συγκεντρωτικά, ανώνυμα, με ασφαλή κρυπτογράφηση και η μεταφορά της πληροφορίας πραγματοποιούνταν με απολύτως ασφαλή τρόπο» ήταν το κεντρικό επιχείρημα του υπουργείου προς την Ανεξάρτητη Αρχή.
Στο μεταξύ, σύμφωνα με χθεσινό δημοσίευμα του insidestory, η Γενική Γραμματεία Πολιτικής Προστασίας, ενώ στα δεδομένα που μεταφόρτωνε στην Palantir συγκαταλέγονταν στοιχεία κρουσμάτων Covid-19, όπως περιφερειακή ενότητα, δήμος, ηλικία, φύλο, τύπος νοσηλείας (δομή/νοσοκομείο), κατάσταση (καραντίνα, νοσοκομείο, έξοδος, ΜΕΘ, θάνατος), δεν απάντησε ποτέ στην Αρχή στο αίτημα για αναλυτική περιγραφή της μεθόδου ψευδωνυμοποίησης ή ανωνυμοποίησης που εφαρμόστηκε.
Τον Απρίλιο του 2021 ρεπορτάζ του Der Spiegel ανέφερε πως «ως αντάλλαγμα για την υπόσχεση περιορισμού της πανδημίας με τη βοήθεια λογισμικού, η εταιρεία (Palantir) έλαβε, όπως φαίνεται, εκτεταμένη πρόσβαση σε ευαίσθητα δεδομένα από την ελληνική κυβέρνηση». Εσωτερικά έγγραφα που δημοσίευσε το γερμανικό περιοδικό αποκαλύπτουν ότι η Palantir (που στην αρχική της φάση είχε συγχρηματοδοτηθεί από τη CIA) προσπαθεί να εισχωρήσει και στην Ε.Ε. χρησιμοποιώντας ως όχημα τη διαχείριση της πανδημίας.
Με... παρελθόν
Η εταιρεία έχει εμπλακεί στο σκάνδαλο της Cambridge Analytica και τις αμερικανικές εκλογές που ανέδειξαν νικητή τον Ντ. Τραμπ και έχει κατηγορηθεί από τη συλλογικότητα Anonymous ότι υποστήριξε την ανάπτυξη εκστρατείας εναντίον των WikiLeaks. Στην Αμερική τα λογισμικά της έχουν χρησιμοποιηθεί για προληπτική αστυνόμευση και αναγνώριση πιθανών μελλοντικών υπόπτων με βάση τη συλλογή προσωπικών δεδομένων (φυλή, κατοικία, ηλικία, αναγνώριση προσώπου κτλ).
Η έτερη εταιρεία του συνιδρυτή της Palantir, Peter Thiel (ClearView AI), πριν από ενάμιση μήνα τιμωρήθηκε από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) με πρόστιμο 30 εκατ. ευρώ για τις πρακτικές της («Πρόστιμο για «φακέλωμα» προσώπων στην Ελλάδα», 15.7.2022, «Εφ.Συν.»).
Κώστας Ζαφειρόπουλος
Πηγή: efsyn.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου