Londra, Regno Unito – La fiducia, una volta persa, è difficile da recuperare. Per Palantir Technologies, una delle principali società di software per la difesa e l’intelligence negli Stati Uniti, la fiducia che la società ha stabilito nel Regno Unito con un contratto del Servizio Sanitario Nazionale (NHS) da una sterlina britannica (1,37 dollari) durante la pandemia di COVID-19 nel marzo 2020 – che si è tradotto in un rapporto di sei anni del valore di quasi 400 milioni di sterline (546 milioni di dollari) – si è recentemente erosa.
Ciò è stato in parte accelerato dalla condotta stessa di Palantir.
Storie consigliate
elenco di 4 elementifine dell’elenco
Il conto X dell’azienda ha pubblicato un manifesto in 22 punti recentemente ciò ha allarmato i critici e ha suscitato rinnovate domande sul fatto se un’azienda con valori così apertamente militaristici sia un amministratore appropriato dei dati più sensibili di un paziente.
Tra i punti c’erano le richieste per il servizio militare nazionale universale e il progresso delle “armi AI”.
“Palantir è percepito come un appaltatore della difesa”, ha affermato Duncan McCann, responsabile della tecnologia e dei dati presso il gruppo di campagna legale Good Law Project. “Se fossero rimasti su quella strada, penso che la gente potrebbe accettarlo. Ma un’azienda di difesa ha valori intrinsecamente diversi rispetto a (un’organizzazione sanitaria come) il servizio sanitario nazionale, ed è lì che penso che questa (preoccupazione) sia nata.”
Quello che sembrava un azzardo quattro o cinque mesi fa ora sembra alla portata di McCann.
L’opposizione al programma dati di punta di Palantir da 330 milioni di sterline (450 milioni di dollari), denominato Federated Data Platform (FDP), utilizzato dal servizio sanitario nazionale, si è spostata da una preoccupazione marginale di attivisti a un serio dilemma di governance per il servizio sanitario nazionale inglese e il governo del Regno Unito più in generale.
I funzionari stanno ora apertamente considerando una scadenza del contratto nel 2027.
Lunedì Palantir è stata sottoposta a ulteriori controlli. Il Financial Times ha riferito che NHS England aveva consentito ai dipendenti Palantir un accesso “illimitato” ai dati dei pazienti, citando una nota informativa interna.
Le origini di Palantir sono radicate nella difesa.
La sua piattaforma Gotham è utilizzata dalle comunità di intelligence, militari e di polizia di tutto il mondo. Foundry, la soluzione civile dell’azienda, è ciò che sostiene il periodo di servizio di volo del NHS. Sebbene sembrino prodotti diversi, una revisione del 2020 condotta da Privacy International e No Tech For Tyrants ha rilevato che i due sistemi condividono lo stesso DNA Palantir.
Questa architettura condivisa è al centro di un problema di governance che i critici sostengono non sia mai stato adeguatamente affrontato.
Secondo NHS England, Palantir “opera solo sotto le istruzioni del NHS durante l’elaborazione dei dati sulla piattaforma” e “non controlleranno i dati nella piattaforma, né gli sarà consentito accedervi, utilizzarli o condividerli per i propri scopi”.
Palantir ha risposto affermando che la società “non utilizza in alcun modo i dati dei pazienti, o qualsiasi dato del Servizio Sanitario Nazionale, per i propri scopi. Palantir agisce esclusivamente come responsabile del trattamento dei dati su istruzione del Servizio Sanitario Nazionale”.
Charles Carlson di Palantir UK ha detto ad Al Jazeera. “Durante la verifica, i revisori esaminano i nostri controlli e la nostra conformità con essi e siamo sottoposti a molteplici audit.”
Ha osservato che “i clienti stessi, aiutati dal NCSC (Centro nazionale per la sicurezza informatica), effettuano la propria convalida”.
Sebbene gli audit possano dimostrare che Palantir segue gli standard di settore per la protezione dei dati da accessi non autorizzati e violazioni, gli osservatori hanno dubitato della misura in cui le aziende tecnologiche rispettano le regole.
“Non sapremmo davvero se Palantir stesse facendo qualcosa di nefasto (con i dati del servizio sanitario nazionale)”, ha affermato Eerke Boiten, professore di sicurezza informatica e capo della Scuola di informatica e informatica presso l’Università De Montfort di Leicester. “Ma lo stesso vale per Microsoft, Google e altre aziende tecnologiche americane coinvolte nella fornitura di soluzioni IT al servizio sanitario nazionale o a chiunque altro.”
Boiten predica il “realismo tecnico” e afferma che queste aziende sono così grandi, i loro prodotti così complessi e proprietari, che i loro clienti devono avere fiducia che non sfrutteranno la situazione.
A titolo di salvaguardia, è necessaria una valutazione d’impatto sulla protezione dei dati (DPIA) prima di trattare dati personali sensibili su questa scala.
“Bisogna esaminare la DPIA e vedere che sono seri”, ha detto Boiten. “Il governo dovrebbe pubblicarli per ottenere la fiducia del pubblico”.
“Un potenziale rischio per la sicurezza”
A seguito della pressione legale del Good Law Project, NHS England ha rilasciato una versione meno pesantemente redatta del contratto FDP – ma secondo McCann circa 100 pagine rimangono trattenute.
Tali pagine si riferiscono specificamente alla metodologia con cui i dati dei pazienti vengono pseudonimizzati prima che entrino nella piattaforma. Questo è l’unico elemento del quadro contrattuale sulla protezione dei dati che il pubblico, il parlamento e gli esperti indipendenti non possono controllare.
Tutti gli intervistati per questo articolo concordano che il FDP è sostanzialmente una buona cosa – e che esistono alternative.
I leader del comitato di assistenza integrata dell’NHS Greater Manchester, che gestisce la messa in servizio e il finanziamento dei servizi sanitari in quella regione, hanno trascorso sei anni a costruire la propria piattaforma di analisi senza Palantir.
Gli analisti affermano che la questione non è se il servizio sanitario nazionale possa gestire i propri dati in modo efficace, ma se abbia bisogno che Palantir lo faccia.
“Le inclinazioni politiche di Palantir, espresse nella loro retorica, li rendono un potenziale rischio per la sicurezza”, ha detto Boiten.
Un rischio di cui si parla meno è la possibile aggregazione dei dati.
La piattaforma Foundry di Palantir è alla base dei contratti di almeno 10 dipartimenti governativi del Regno Unito, ma la società rifiuta qualsiasi affermazione secondo cui può aggregare questi set di dati.
“Ogni impegno del cliente con Palantir è contrattualmente, operativamente e tecnicamente distinto e delimitato”, ha affermato Carlson di Palantir. Ha aggiunto che la società “non trasferisce dati tra i nostri clienti per i nostri scopi”.
“Inoltre”, ha affermato, “sarebbe illegale per il governo condividere i dati in questo modo a meno che non vi siano specifici accordi di condivisione dei dati in vigore tra i diversi dipartimenti governativi in questione”.
Due ingegneri di sistema del Ministero della Difesa avevano avvertito The Nerve a marzo che aggregando dati provenienti da diversi set di dati governativi, Palantir avrebbe potuto generare informazioni top-secret da fonti completamente non classificate.
Per Sarah Simms, responsabile delle politiche senior presso Privacy International, tale rischio e precedente sono già stati stabiliti dalle azioni della società all’estero.
“La fiducia è essenziale per fornire assistenza sanitaria e il servizio sanitario nazionale”, ha affermato. “Le persone dovrebbero poter avere fiducia che i loro dati vengano gestiti in modo sicuro ed etico. E se così non fosse, beh, ciò potrebbe avere un impatto devastante sull’assistenza sanitaria per tutti.”
