Διάχυτη η ανησυχία για τα στοιχεία που άντλησε η CIAγέννητη εταιρεία από τον γενικό πληθυσμό με πρόσχημα την πανδημία
Περισσότερο ανησυχία παρά εφησυχασμό προκάλεσε η δημοσιοποίηση της σύμβασης του υπουργείου Ψηφιακής Διακυβέρνησης με την Palantir. Πρόσβαση σε δεδομένα του γενικού πληθυσμού και οργανισμών του δημοσίου, επιτηδευμένη προχειρότητα, τραγελαφικό έλλειμμα ελέγχου και θολά σημεία είναι μερικά χαρακτηριστικά της σύμβασης που τροποποιήθηκε μόλις δύο μέρες μετά την υπογραφή της. Η παρασιτική εταιρεία, που γεννήθηκε από τη μήτρα της CIA και απομυζά πόρους και δεδομένα του δημοσίου κάνοντας μετάσταση σε κρατικές δομές και προκαλώντας σχέσεις εξάρτησης για να ικανοποιήσει οργουελικές ανάγκες αστυνόμευσης –ακόμη και προληπτικής– μέσω της επεξεργασίας μεγάλου όγκου προσωπικών δεδομένων, «εναγκαλίστηκε» για εννέα μήνες με την ελληνική πολιτεία με πρόσχημα την πανδημία.
Palantir λέγεται η κρυστάλλινη σφαίρα που χρησιμοποιούσε ο εξωνημένος μάγος της τριλογίας του «Αρχοντα των δαχτυλιδιών», ανασύροντας εικόνες από το παρελθόν ή το μέλλον. Μακριά και έξω από τη μυθική ιερουργία, ας ξετυλίξουμε το κουβάρι αυτής της σκοτεινής συνεργασίας μέσα από τις επισημάνσεις και τα ερωτήματα που θέτουν ο γραμματέας της οργάνωσης Homo Digitalis Λευτέρης Χελιουδάκης και ο γραμματέας της Ενωσης Πληροφορικών Ελλάδας (ΕΠΕ) Χάρης Γεωργίου.
Η ψευδωνυμοποίηση και ο κίνδυνος ταυτοποίησης
Η σύμβαση του υπουργείου με την εταιρεία που ειδικεύεται στην εξόρυξη δεδομένων υπογράφηκε στις 24 Μαρτίου. Δύο μέρες αργότερα αναθεωρήθηκε, απαλείφοντας τον κρίσιμο όρο της ψευδωνυμοποίησης. Κοντολογίς, ψευδωνυμοποίηση είναι η επικάλυψη κρίσιμων προσωπικών δεδομένων, λόγου χάρη με έναν αριθμό, διαδικασία που δεν προστατεύει πλήρως το υποκείμενο των δεδομένων από την ταυτοποίηση. Γι’ αυτό και πιο ασφαλής διαδικασία θεωρείται από τους ειδικούς η ανωνυμοποίηση των δεδομένων. Στην πρώτη σύμβαση λοιπόν προβλεπόταν ψευδωνυμοποίηση δεδομένων που αφορούσαν την ημερομηνία γέννησης ασθενών και το φύλο μελών του γενικού πληθυσμού. Με την τροποποίηση, που συντελέστηκε με αξιοπερίεργο τρόπο, η πρόβλεψη αυτή αντικαταστάθηκε από τις κατηγορίες προσωπικών δεδομένων: ηλικία, φύλο, νομός, δήμος και κατάσταση ασθενούς.
«Στην πρώτη σύμβαση σημειωνόταν ότι όλα τα προσωπικά δεδομένα θα χρησιμοποιηθούν με ψευδωνυμοποίηση. Πρόκειται για σημαντική διαδικασία σχετικά με την ασφάλεια των δεδομένων επειδή προστατεύει σε κάποιο βαθμό την πραγματική πληροφορία. Βέβαια, αυτό άλλαξε στην τροποποίηση της σύμβασης. Θεωρώ ότι αυτό έγινε από προχειρότητα και όχι επίτηδες» λέει ο νομικός στην ιδιότητα και γραμματέας της Homo Digitalis Λευτ. Χελιουδάκης, προσθέτοντας ότι «η ανωνυμοποίηση είναι η πιο ασφαλής πρακτική, αλλά η σύμβαση δεν μιλάει καθόλου για ανωνυμοποίηση. Ούτε στην πρώτη εκδοχή ούτε στη δεύτερη. Αυτό σημαίνει ότι έχουμε να κάνουμε με προσωπικά δεδομένα».
Στο ίδιο μήκος κύματος και ο Χ. Γεωργίου. Συγκεκριμένα, επισημαίνει: «Ετσι όπως είναι διατυπωμένη η τροποποίηση της σύμβασης φαίνεται πως αφαιρούνται κάποια δεδομένα, όπως η ημερομηνία γέννησης. Ωστόσο αν υπάρχουν δεδομένα που αφορούν μέχρι και τον δήμο που κατοικεί κάποιος ασθενής, προφανώς και μπορεί να γίνει ταυτοποίηση. Σωστά επισημαίνει ο Λευτ. Χελιουδάκης ότι υπάρχει πρόβλημα».
Υποστηρίζει δε πως πρόκειται για ευαίσθητα προσωπικά δεδομένα, τα οποία υπό κανονικές συνθήκες παρέχονται σε μορφή άθροισης. Κατά τα λεγόμενά του, όσο τα δεδομένα γίνονται πιο εστιασμένα τόσο πιο επικίνδυνα είναι. «Στη συγκεκριμένη περίπτωση φαίνεται ότι δεν είναι πλήρως διασφαλισμένη η κατάσταση επειδή έχει να κάνει με πολύ συγκεκριμένη κοινωνική ομάδα, τους ασθενείς Covid-19, και μπορεί να οδηγήσει σε παραβίαση της ανωνυμοποίησης των δεδομένων» όπως εκτιμά.
Τα δικαιώματα των «υποκειμένων»
Σε σχέση με τον τρόπο που μπορεί να γίνει ταυτοποίηση ο Χ. Γεωργίου εξηγεί ότι αν για παράδειγμα κάποιος κατοικεί σε ένα χωριό με λίγους κατοίκους κι εκεί εντοπιστούν λίγα κρούσματα, μπορεί να βρεθεί η ταυτότητα καθενός ακόμη κι ας μην είναι γνωστό το όνομά τους. Επιπλέον, καθιστά σαφές ότι οι πολίτες των οποίων τα δεδομένα έχουν τύχει επεξεργασίας έχουν το δικαίωμα να ζητήσουν και να μάθουν από την εταιρεία με πλήρη λεπτομέρεια ποιος χειρίζεται τα δεδομένα τους και τι κάνει με αυτά.
«Ολοι όσοι βρίσκονται στο σύστημα μπορούν ανά πάσα στιγμή να μάθουν τι δεδομένα έχει η εταιρεία, πού τα αποθηκεύει, τι τα κάνει, ποιος τα χειρίζεται κι αν θέλουν μπορεί να ζητήσουν και την απόσυρσή τους. Βάσει της κοινοτικής νομοθεσίας για το GDPR μπορεί ένας δικηγόρος να καταθέσει αίτημα στην εταιρεία για να πληροφορηθεί όσα προανέφερα. Αν δεν του απαντήσει, είναι παράνομο. Σε αυτή την περίπτωση μπορεί να προσφύγει στην Αρχή Προστασίας Προσωπικών Δεδομένων και να καταγγείλει παραβίαση του GDPR» τονίζει.
Ανησυχία για επεξεργασία προσωπικών δεδομένων
Τόσο ο γραμματέας της Homo Digitalis όσο και ο γραμματέας της ΕΠΕ ανησυχούν για ενδεχόμενη επεξεργασία των προσωπικών δεδομένων. «Σίγουρα ανησυχώ για το κατά πόσο προστατεύονται τα προσωπικά δεδομένα. Η σύμβαση είναι πολύ σύντομη. Τα αντίστοιχα συμφωνητικά στον ιδιωτικό τομέα είναι πολυσέλιδα γιατί αποσαφηνίζονται όλα τα ζητήματα με μεγάλη λεπτομέρεια. Γι’ αυτό η ολιγοσέλιδη σύμβαση που υπογράφτηκε με την Palantir μας γεννά απορίες» σημειώνει και συνεχίζει λέγοντας: «Στο πρώτο συμφωνητικό υπάρχει η ημερομηνία γέννησης, η οποία είναι ευαίσθητο προσωπικό δεδομένο επειδή μπορεί να οδηγήσει στην απόλυτη ταυτοποίηση. Μάλλον δεν έδωσαν την απαραίτητη προσοχή και γι’ αυτό προχώρησαν στις αλλαγές. Και με την ευκαιρία, ενώ ο τίτλος του σχετικού εδαφίου της σύμβασης κάνει λόγο για προσωπικά δεδομένα, πώς μπορεί ένας κρατικός λειτουργός (σ.σ.: ο υπουργός) να λέει επίσημα πως δεν μοιράζονται προσωπικά δεδομένα;».
Γενικός πληθυσμός και φορείς του δημοσίου
Η πρόβλεψη της σύμβασης για άντληση δεδομένων από τον γενικό πληθυσμό, εργαζόμενους αλλά και φορείς που άπτονται του δημοσίου αποτελεί ακόμη έναν ανησυχητικό παράγοντα της πολύμηνης συνεργασίας Palantir – υπουργείου Ψηφιακής Διακυβέρνησης. Αν θεωρηθεί ότι οι οργανισμοί του δημοσίου μπορεί να είναι η ΗΔΙΚΑ και ο ΕΟΔΥ, τότε ο όγκος των δεδομένων και ο κίνδυνος εξάρτησης από τις υπηρεσίες της εταιρείας είναι μεγάλος.
Στο σχετικό ερώτημα ο Λευτ. Χελιουδάκης απάντησε: «Από τη στιγμή που το συγκεκριμένο νομικό έγγραφο δεν είναι ξεκάθαρο και σαφές, δημιουργεί δυσπιστία. Δηλαδή αν είχαμε να κάνουμε με επεξεργασία γενικών στατιστικών στοιχείων, τότε δεν θα χρειαζόταν καν να υπάρχει η πρόβλεψη για τον γενικό πληθυσμό». Επ’ αυτού παρέθεσε σε αδρές γραμμές το περιεχόμενο της σύμβασης της Palantir με το βρετανικό ΕΣΥ (NHS) για να γίνει η αντιπαραβολή: «Στην αγγλική σύμβαση υπήρχαν δύο κατηγορίες επεξεργασίας δεδομένων. Η πρώτη αφορούσε την εξέλιξη της πανδημίας. Εκεί επεξεργάζονταν δεδομένα ασθενών. Η δεύτερη κατηγορία αφορούσε την αξιολόγηση του προσωπικού του NHS, του αντίστοιχου ΕΣΥ. Οπότε συνέλεγαν πολλές πληροφορίες για τους υπαλλήλους, κάτι που υπό αυτές τις συνθήκες μπορούσε να θεωρηθεί λογικό».
Με βάση τα προαναφερθέντα, ο γραμματέας της Homo Digitalis εικάζει πως η σύμβαση που υπέγραψε ο Κυριάκος Πιερρακάκης αποτελεί ένα συμφωνητικό «φασόν» που χρησιμοποιεί η σκοτεινή εταιρεία για να εκκινήσει συνεργασία με κάποιον πελάτη.
Η εκτίμηση αντίκτυπου και η ύποπτη ανανέωση
Προβληματικό χαρακτηρίζει ο Λευτ. Χελιουδάκης το γεγονός ότι το υπουργείο δεν προχώρησε σε εκτίμηση αντίκτυπου πριν από την υπογραφή της σύμβασης, συμπεραίνοντας πως με αυτό τον τρόπο θα μπορούσε να αποφευχθεί η τροποποίησή της. «Είναι υποχρεωτική η εκτίμηση αντίκτυπου όταν έχουμε να κάνουμε με ευαίσθητα δεδομένα που αφορούν την υγεία σε μεγάλη κλίμακα. Τουλάχιστον στα μάτια της κοινής γνώμης η εκτίμηση αυτή θα προκαλούσε εμπιστοσύνη για την ασφάλεια του εγχειρήματος. Το γεγονός ότι δεν έγινε καν, δεν χωρά αμφιβολία ότι είναι προβληματικό. Μην ξεχνάμε πως η γνώμη του υπεύθυνου Προστασίας Δεδομένων του υπουργείου ζητήθηκε μετά την υπογραφή της σύμβασης. Αυτό είναι έξω από κάθε σενάριο. Για να καταλάβετε, ο ρόλος του είναι εντελώς ανεξάρτητος. Μπορεί να επηρεάσει αποφάσεις και όχι να έρχεται μετά ως συμπληρωματικό όργανο που απλώς γνωμοδοτεί» ξεκαθαρίζει.
Οσον αφορά το γεγονός ότι η τροποποίηση της σύμβασης πραγματοποιείται με μία κόλα Α4 με τρεις παραγράφους, αποδίδει και αυτό την προχειρότητα που χαρακτηρίζει όλο το εγχείρημα. Ειδικότερα, αναφέρει ότι στον ιδιωτικό τομέα μια αντίστοιχη σύμβαση περνά από χίλια κύματα και εξετάζεται ενδελεχώς. Ως προς την επέκταση του συμφωνητικού με την Palantir επί τη βάσει της πρώτης σύμβασης και όχι της αναθεωρημένης, διαπιστώνει πως αυτό δημιουργεί νομικά προβλήματα και πρέπει να εξεταστεί. Μάλιστα, πηγές της αξιωματικής αντιπολίτευσης αναρωτιούνται μήπως η τροποποίηση αποτελεί μεταγενέστερη πράξη συγκάλυψης ευθυνών.
Κενά και στη σύμβαση με την PwC
Παρά το γεγονός ότι στο δελτίο Τύπου που εξέδωσε η Palantir στις 7.12.2020 στο businesswire. com ο διευθύνων σύμβουλος Αλεξ Καρπ δήλωνε ενθουσιασμένος για την επέκταση της συνεργασίας με την ελληνική κυβέρνηση μετά τη σχετική τηλεδιάσκεψη με τον πρωθυπουργό, η συνεργασία ολοκληρώθηκε στις 23 Δεκεμβρίου. Επιπλέον, την 1η Δεκεμβρίου γνωστοποιήθηκε η απόφαση για απευθείας ανάθεση του ίδιου έργου στην εταιρεία παροχής λογιστικών και άλλων υπηρεσιών PwC. Κατά τον Λευτ. Χελιουδάκη και σε αυτήν τη σύμβαση υπάρχουν θολά σημεία. «Και στην περίπτωση της σύμβασης με την PWC πρέπει να δούμε το ακριβές πλαίσιο για την επεξεργασία των προσωπικών δεδομένων. Γιατί η μόνη σχετική αναφορά στη συγκεκριμένη σύμβαση είναι ότι θα ακολουθήσει κάποιο συμφωνητικό μεταξύ των δύο μερών. Δεν πάει να πει ότι δεν μας ανησυχεί η πρακτική που θα ακολουθήσει η PwC επειδή ολοκληρώθηκε η συνεργασία με τη “στιγματισμένη” Palantir» αποσαφηνίζει.