Υπόθεση Palantir και κυβερνητική αδιαφάνεια: Και με ανωνυμοποιημένα δεδομένα, είμαστε εκτεθειμένοι

Palantir to Debut on the NYSE: What to Know About the Surveillance Company

Ενώ έχουν περάσει αρκετά 24ωρα μετά την αποκάλυψη της απόκρυψης της συνεργασίας της ελληνικής κυβέρνησης με τον αμερικανικό κολοσσό εξόρυξης και επεξεργασίας δεδομένων Palantir, η κυβέρνηση δεν έχει δώσει στη δημοσιότητα την επίμαχη σύμβαση, παρά το σχετικό αίτημα στο παίσιο του κοινοβουλευτικού ελέγχου.

Υπόθεση Palantir και κυβερνητική αδιαφάνεια: Και με ανωνυμοποιημένα δεδομένα, είμαστε εκτεθειμένοι

Μιλώντας στο Tvxs.gr, η ερευνήτρια στο Δίκαιο της Πληροφορίας στο πανεπιστήμιο του Άμστερνταμ Αλεξάνδρα Γιαννοπούλου τονίζει πως η έλλειψη διαφάνειας τροφοδοτεί την άποψη πως δεν έχουν ληφθεί όλα τα απαραίτητα μέτρα για την προστασία των προσωπικών δεδομένων των πολιτών, ακόμα κι αυτά έχουν δοθεί στην εταιρία ανωνυμοποιημένα. Σημειώνει επίσης πως εταιρίες σαν την Palantir ενίοτε επιδιώκουν συνεργασίες με κράτη όπου οι νομικές αντιστάσεις είναι μικρές και οι κυβερνήσεις αρέσκονται στο «techno solutionism».

ΕΡ: Τί φήμη έχει η Palantir στους κύκλους των επιστημόνων που ασχολούνται με την προστασία δεδομένων;

ΑΠ: Η δραστηριότητά της Palantir είναι σίγουρα αμφιλεγόμενη. Παρέχει τεχνολογίες παρακολούθησης, παρεμβατικές τεχνολογίες που βασίζονται στην ανάλυση δεδομένων, προσωπικών και μη, αλλά κυρίως έως τώρα σε μη ευρωπαϊκό περιβάλλον. Στην Ευρώπη  υπάρχει ένα νομικό πλαίσιο προστασίας των προσωπικών δεδομένων πιο ισχυρό από άλλα σημεία του πλανήτη. Η εμπλοκή της Palantir στο σκάνδαλο Facebook – Cambridge Analytica, που φαίνεται να επηρέασε το αποτέλεσμα των αμερικανικών εκλογών του 2016, έχει αποδειχθεί έως τώρα η πιο προβληματική από τις περιπτώσεις παρουσίας της στην Ευρώπη.

ΕΡ: Στην Ευρώπη δεν υπάρχει ισχυρό νομικό πλαίσιο προστασίας των προσωπικών δεδομένων;

ΑΠ: Θεωρητικά ναι. Υπάρχει ο Ευρωπαϊκός Χάρτης Θεμελιωδών Δικαιωμάτων, που προστατεύει την ιδιωτικότητα και τα προσωπικά δεδομένα. Ειδικά για τα τελευταία, έχουμε δημιουργήσει και το GDPR. Από το GDPR προκύπτει ρητά η υποχρέωση οποιουδήποτε φορέα συλλέγει δεδομένα να ενημερώνει τους πολίτες των οποίων δεδομένα κατέχει, εφόσον αυτοί το ζητήσουν, για το ποια δεδομένα συλλέγει, ποιο χρονικό διάστημα τα κρατά, για ποιο λόγο τα συλλέγει και τί τύπο επεξεργασίας κάνει. Άρα το πλαίσιο υπάρχει. Το θέμα είναι αν εφαρμόζεται και στην περίπτωσή μας αν το τηρεί η ελληνική κυβέρνηση. Δεν το γνωρίζουμε επειδή δεν έχει δοθεί στη δημοσιότητα η σύμβαση.

ΕΡ: Αν ισχύει αυτό που δηλώνουν κυβερνητικές πηγές ότι τα δεδομένα είναι ανώνυμα, ποιό κίνδυνο διατρέχουν τα προσωπικά μας δεδομένα από αυτή τη συνεργασία με την Palantir;

ΑΠ: Ακόμα κι αν τα δεδομένα είναι ανώνυμα ή ανωνυμοποιημένα, αυτό δε σημαίνει ότι δεν υπάρχει κίνδυνος διαρροής προσωπικών δεδομένων. Κατά την ανάλυση έστω και ανωνυμοποιημένων δεδομένων δημιουργούνται προφίλ τα οποία πιθανότατα ταυτίζονται με συγκεκριμένους ανθρώπους και υπό αυτή την έννοια τα αποτελέσματα της ανάλυσης συνιστούν προσωπικά δεδομένα. Οπότε και σε αυτή την περίπτωση αγγίζεται το θεμελιώδες δικαίωμα της ιδιωτικότητας.

Επίσης το γεγονός ότι για την κυβέρνηση ένα δεδομένο είναι ανώνυμο ή ανωνυμοποιημένο δε σημαίνει ότι ισχύει το ίδιο για μια εταιρία που έχει στη διάθεσή της πιο προηγμένες τεχνικές επεξεργασίας. Είναι τεχνολογικά εφικτό για εταιρίες σαν την Palantir να μπορούν να κάνουν ταυτοποίηση ή επαναταυτοποίηση δεδομένων με συγκεκριμένα άτομα.

Εξάλλου είναι κοινώς αποδεκτό στην επιστημονική κοινότητα πως ο ισχυρισμός ότι κάποια δεδομένα είναι ανώνυμα είναι σχετικός. Κι αυτό γιατί η ανωνυμότητα των δεδομένων είναι σε συνάρτηση με το ποιός προσπαθεί να τα αποανωνυμοποιήσει. Για παράδειγμα, το επώνυμο Παπαδόπουλος είναι ένα δεδομένο που δύσκολα μπορεί να ταυτιστεί με ένα άτομο στην Ελλάδα. Δεν είναι καθόλου δύσκολο όμως αυτό να γίνει στην Ολλανδία. Άρα ο ισχυρισμός ότι ένα δεδομένο είναι ανώνυμο πρέπει να συμπληρώνεται από έναν προσδιορισμό «σχετικά με ποιον».

Σε κάθε περίπτωση η κυβέρνηση συλλέγει για νόμιμους σκοπούς προσωπικά δεδομένα πριν γίνουν ανώνυμα. Έστω ότι τα παρέχει ανωνυμοποιημένα σε μια εταιρία για επεξεργασία κι εκείνη της παραδίδει αποτελέσματα-προφίλ. Ύστερα η κυβέρνηση θα μπορούσε να επανασυνδέσει τα προφίλ με τα πραγματικά πρόσωπα και να χρησιμοποιήσει τα προφίλ αυτά, που πλέον έχουν όνομα και επώνυμο, προκειμένου να στοχοποιήσει πολίτες ή ομάδες πολιτών. Ως εκ τούτου, οι τελευταίοι έχουν έννομο συμφέρον να γνωρίζουν για την επεξεργασία των δεδομένων τους.

ΕΡ: Κι αν κανένας πολίτης δεν ζητήσει να ενημερωθεί για τα δεδομένα του, η κοινωνία στο σύνολό της δε θα μάθει ποτέ τί συνέβη με τα δεδομένα;

ΑΠ: Οι κυβερνήσεις έχουν μεγάλη ευθύνη απέναντι στους πολίτες κι από αυτή την ευθύνη προκύπτει η υποχρέωσή τους να επικοινωνούν από μόνες τους και με μεγάλη σαφήνεια πώς διαχειρίζονται τα δεδομένα των πολιτών.

Κατά τη γνώμη μου πριν από μία παραχώρηση δεδομένων σαν κι αυτή που φαίνεται να έκανε η ελληνική κυβέρνηση στην Palantir, έπρεπε να έχει προηγηθεί έκθεση αντικτύπου. Να γίνει δηλαδή ένα σχέδιο ανάλυσης που θα περιέχει τί ενέργειες έγιναν για να ανωνυμοποιηθούν τα δεδομένα, ποιες ενέργειες έχουν γίνει για να προστατευθούν τα προσωπικά δεδομένα και ποιες ενέργειες έγιναν για να επαληθευτεί ότι τα προς παράδοση στην εταιρία δεδομένα δεν είναι προσωπικά. Για τα δεδομένα που συλλέγονται με τα μηνύματα στο 13033 η κυβέρνηση είχε κάνει μια τέτοια έκθεση, έστω κι αν δεν ήταν πλήρης.

ΕΡ: Τελικά τί φοβόμαστε από αυτή την ιστορία;

ΑΠ: Οποιαδήποτε συνεργασία κυβέρνησης με την Palantir προκαλεί ανησυχία, ειδικά όταν μιλάμε για ευαίσθητα προσωπικά δεδομένα όπως έχουμε στον κλάδο της υγείας. Αν θέλουμε να σκεφτούμε ένα σενάριο κακής εξέλιξης αυτής της ιστορίας θα μπορούσαμε να σκεφτούμε ότι δεδομένα κίνησης που δίδονται τώρα στο πλαίσιο του «free trial» μπορούν να χρησιμοποιηθούν από την Palantir στο μέλλον για να χτιστεί ένα εργαλείο που στη συνέχεια μπορεί να πουληθεί στην Ελληνική Αστυνομία, παρέχοντας δυνατότητα πιο ενδελεχούς παρακολούθησης των πολιτών.

Αυτά προς το παρόν είναι εικασίες. Όμως η έλλειψη πληροφόρησης και διαφάνειας είναι γεγονός. Για την συγκεκριμένη σύμβαση της ελληνικής κυβέρνησης με την Palantir δε γνωρίζουμε ποιο νομικό πλαίσιο την καλύπτει. Υπάρχει τρομερή έλλειψη πληροφόρησης, ακόμα και σε επίπεδο δημοσίου δικαίου που αφορά στη δημοσιοποίηση της ίδιας της σύμβασης.

ΕΡ: Τί κερδίζει μια εταιρία σαν την Palantir εφόσον δε χρεώνει το ελληνικό κράτος για τις υπηρεσίες της;

AΠ: Το μοντέλο «free trial» καθιστά την εμπλοκή της Palantir ακόμα πιο ανησυχητική γιατί ξέρουμε καλά ότι αυτές οι εταιρίες δεν προσφέρουν καμία υπηρεσία δωρεάν. Άρα είτε θα αξιώσουν υπερβολικά αντίτιμα σε μια επόμενη σύμβαση είτε αντιλαμβάνονται ως αμοιβή την ίδια την κατοχή των δεδομένων με σκοπό τη μελλοντική τους επεξεργασία. Γι’ αυτό είναι απαραίτητος ο ορισμός ενός αυστηρού νομικού πλαισίου που θα διέπει κάθε τέτοια σύμβαση. Γι’ αυτό είναι υποχρέωση του νόμιμου κατόχου των δεδομένων, εν προκειμένω της κυβέρνησης, να θέτει νομικό πλαίσιο σε κάθε αντίστοιχη σύμβαση, που να υποχρεώνει την εταιρία να χρησιμοποιήσει τα δεδομένα μόνο για συγκεκριμένους σκοπούς, για συγκεκριμένο χρονικό διάστημα και να σβήσει τα δεδομένα όταν ολοκληρωθεί το έργο.

ΕΡ: Αν δεχθούμε ότι ένα τέτοιο έργο ήταν απαραίτητο για την αντιμετώπιση της πανδημίας, θα μπορούσε να εκτελεστεί με τρόπο που να δημιουργεί μικρότερη ανησυχία;

ΑΠ:Θεωρητικά οι τεχνολογίες υπάρχουν ή μπορεί να χτιστούν κιόλας, ώστε να γίνει το έργο με το μοντέλο inhouse, από την ίδια την ελληνική κυβέρνηση. Έτσι θα ελαχιστοποιούνταν τα ρίσκα διαρροής προσωπικών δεδομένων. Το ρίσκο θα ήταν επίσης μικρότερο από τώρα στην περίπτωση που η σύμβαση γινόταν με μια ευρωπαϊκή εταιρία, καθώς αυτή θα υπόκειντο στο GDPR. Η Palantir είναι μια αμερικάνικη εταιρία και γνωρίζοντας ότι στις ΗΠΑ δεν υπάρχει πλαίσιο προστασίας προσωπικών δεδομένων, το νομικό πλαίσιο που διέπει τη σύμβαση θα έπρεπε να είναι πολύ σαφές.

ΕΡ: Κάποιοι συνδέουν την πρόσφατη εισαγωγή της Palantir στο Χρηματιστήριο, κι άρα την απεύθυνσή της στη μεγάλη μάζα των επενδυτών, με το άνοιγμά της στον κλάδο της δημόσιας υγείας, βλέποντας μια προσπάθεια βελτίωσης της αμφιλεγόμενης φήμης της. Πώς ακούτε αυτή την άποψη;

ΑΠ: Δεν το πιστεύω αυτό. Η δημόσια υγεία είναι απλά ένας νέος τομέας επέκτασης της Palantir, που συνεχίζει να δραστηριοποιείται σε κλάδους όπως η καταπολέμηση της τρομοκρατίας και οι πληροφορίες σε επίπεδο ανταγωνισμού κρατών. Με την πανδημία συγκεντρώνονται μεγάλοι όγκοι δεδομένων μετακίνησης και υγείας από τα κράτη κι αυτό η εταιρία μάλλον το είδε ως ευκαιρία για ένα νέο πεδίο δραστηριοτήτων. Άρα έχουμε επέκταση του υπάρχοντος και όχι αλλαγή επιχειρηματικού μοντέλου.

Πρέπει να έχουμε υπόψη ότι τέτοιες εταιρείες, παράλληλα με τις συμβάσεις που κάνουν με μεγάλα κράτη, επιδιώκουν να συνάπτουν συμβάσεις και με μικρότερες χώρες όπου οι αντιστάσεις προς τις πρακτικές τους είναι ασθενέστερες. Σε τέτοιες χώρες, συχνά οι κυβερνήσεις προσπαθούν να επικοινωνούν συνεργασίες με εταιρίες τεχνολογίας από το εξωτερικό και δη από τις ΗΠΑ, στο πλαίσιο μιας προσέγγισης που συνήθως ονομάζουμε «techno solutionism». Έτσι εταιρίες σαν την Palantir αποκτούν πρόσβαση σε δεδομένα χωρίς να αντιμετωπίζουν ισχυρές νομικές αντιστάσεις, σαν κι αυτές που υπάρχουν στα ανεπτυγμένα κράτη της δυτικής Ευρώπης. Για παράδειγμα στην Ολλανδία, για το έργο της ιχνηλάτησης των κρουσμάτων Covid-19 δεν προσελήφθησαν μόνο μηχανικοί πληροφορίας αλλά και νομικοί, προκειμένου να διασφαλιστεί η νομιμότητα όλων των πρακτικών που θα ακολουθούνταν.

ΕΡ: Πώς τοποθετείστε εσείς ως επιστημονική κοινότητα απέναντι στην ελληνική περίπτωση;

ΑΠ:Η ευρωπαϊκή επιστημονική κοινότητα προσπαθεί να φέρει τις κυβερνήσεις και τις εταιρίες αντιμέτωπες με τις νόμιμες υποχρεώσεις τους σχετικά με την προστασία των προσωπικών δεδομένων των Ευρωπαίων πολιτών. Πρόσφατα η ελληνική MKO Homo Digitalis κάλεσε την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να διεξάγει επίσημη έρευνα επί της σύμβασης. Η ελληνική κυβέρνηση πρέπει να δώσει στη δημοσιότητα τη σύμβαση αλλά και να δείξει τί έχει κάνει για να εξασφαλίσει πώς θα δε θα υπάρξουν διαρροές προσωπικών δεδομένων μέσα από αυτή την συνεργασία με την Palantir.

Γιάννης Παναγιωτόπουλος

 

Leave a Reply

Your email address will not be published. Required fields are marked *

*