Londres, Reino Unido – A confiança, uma vez perdida, é difícil de recuperar. Para a Palantir Technologies, uma empresa líder de software de defesa e inteligência nos Estados Unidos, a confiança que a empresa estabeleceu no Reino Unido num contrato de uma libra esterlina (1,37 dólares) do Serviço Nacional de Saúde (NHS) durante a pandemia de COVID-19 em Março de 2020 – que se traduziu numa relação de seis anos no valor de quase 400 milhões de libras (546 milhões de dólares) – desgastou-se recentemente.
Isto foi acelerado em parte pela própria conduta da Palantir.
Histórias recomendadas
lista de 4 itensfim da lista
A conta X da empresa publicou recentemente um manifesto de 22 pontos que alertou os críticos e suscitou novas questões sobre se uma empresa com valores tão abertamente militaristas é um administrador adequado dos dados mais sensíveis de um paciente de saúde.
Entre os pontos estavam os apelos ao serviço militar nacional universal e ao avanço das “armas de IA”.
“A Palantir é vista como uma empresa de defesa”, disse Duncan McCann, líder de tecnologia e dados do grupo de campanha jurídica Good Law Project. “Se eles tivessem permanecido nessa linha, acho que as pessoas poderiam aceitar isso. Mas uma empresa de defesa tem valores inerentemente diferentes de (uma organização de saúde como) o NHS, e é aí que acho que essa (preocupação) foi criada.”
O que parecia improvável há quatro ou cinco meses agora parece ao alcance de McCann.
A oposição ao principal programa de dados da Palantir, no valor de 330 milhões de libras (450 milhões de dólares), denominado Federated Data Platform (FDP), que é utilizado pelo NHS, passou de uma preocupação marginal de activistas para um sério dilema de governação para o NHS de Inglaterra e para o governo do Reino Unido de forma mais ampla.
As autoridades agora estão considerando abertamente um ponto de ruptura do contrato em 2027.
Na segunda-feira, Palantir foi submetido a um exame mais minucioso. O Financial Times informou que o NHS England permitiu aos funcionários da Palantir acesso “ilimitado” aos dados dos pacientes, citando uma nota informativa interna.
As origens da Palantir estão enraizadas na defesa.
Sua plataforma Gotham é usada por comunidades de inteligência, militares e policiais em todo o mundo. A fundição, a solução civil da empresa, é o que sustenta o FDP do NHS. Embora pareçam produtos diferentes, uma análise de 2020 da Privacy International e No Tech For Tyrants descobriu que os dois sistemas compartilham o mesmo DNA Palantir.
Essa arquitectura partilhada está no cerne de um problema de governação que os críticos argumentam que nunca foi abordado de forma adequada.
De acordo com o NHS England, a Palantir “só operará sob as instruções do NHS ao processar dados na plataforma” e “não controlará os dados na plataforma, nem terá permissão para acessá-los, usá-los ou compartilhá-los para seus próprios fins”.
A Palantir respondeu, afirmando que a empresa “de forma alguma utiliza dados de pacientes, ou quaisquer dados do NHS, para seus próprios fins. A Palantir atua exclusivamente como processadora de dados sob as instruções do NHS”.
Charles Carlson, da Palantir UK, disse à Al Jazeera. “Na verificação, os auditores analisam nossos controles e nossa conformidade com eles, e passamos por diversas auditorias.”
Ele observou que “os próprios clientes, auxiliados pelo NCSC (National Cyber Security Centre), fazem a sua própria validação”.
Embora as auditorias possam mostrar que a Palantir segue os padrões da indústria para proteger os dados contra acesso não autorizado e violação, os observadores duvidam até que ponto as empresas de tecnologia cumprem as regras.
“Realmente não saberíamos se a Palantir estava fazendo algo nefasto (com os dados do NHS)”, disse Eerke Boiten, professor de segurança cibernética e chefe da Escola de Ciência da Computação e Informática da Universidade De Montfort, em Leicester. “Mas o mesmo acontece com a Microsoft, o Google e outras empresas de tecnologia americanas envolvidas no fornecimento de soluções de TI ao NHS ou a qualquer outra pessoa.”
Boiten prega o “realismo técnico” e diz que estas empresas são tão grandes, os seus produtos tão complexos e proprietários, que os seus clientes devem confiar que não irão explorar a situação.
Como medida de salvaguarda, é necessária uma avaliação de impacto na proteção de dados (AIPD) antes de processar dados pessoais sensíveis a esta escala.
“É preciso investigar a DPIA e ver se eles são sérios”, disse Boiten. “O governo deveria publicá-los para ganhar a confiança do público.”
‘Um potencial risco de segurança’
Após pressão legal do Good Law Project, o NHS England divulgou uma versão menos editada do contrato do FDP – mas cerca de 100 páginas permanecem retidas, de acordo com McCann.
Essas páginas referem-se especificamente à metodologia pela qual os dados dos pacientes são pseudonimizados antes de entrarem na plataforma. Este é o único elemento do quadro de protecção de dados do contrato que o público, o parlamento e os peritos independentes não podem examinar.
Todos os entrevistados para este artigo concordaram que o FDP é, em geral, uma coisa boa – e que existem alternativas.
Os líderes do conselho de cuidados integrados do NHS Greater Manchester, que gerencia o comissionamento e o financiamento de serviços de saúde naquela região, passaram seis anos construindo sua própria plataforma analítica sem Palantir.
Os analistas dizem que a questão não é se o NHS consegue gerir os seus dados de forma eficaz, mas se precisa da Palantir para o fazer.
“As tendências políticas de Palantir, expressas na sua retórica, fazem deles um risco potencial para a segurança”, disse Boiten.
Um risco menos comentado é a possível agregação de dados.
A plataforma Foundry da Palantir sustenta contratos em pelo menos 10 departamentos governamentais do Reino Unido, mas a empresa rejeita qualquer afirmação de que possa agregar esses conjuntos de dados.
“Cada envolvimento do cliente com a Palantir é contratualmente, operacional e tecnicamente distinto e isolado”, disse Carlson da Palantir. Acrescentou que a empresa “não transfere dados entre os nossos clientes para os nossos próprios fins”.
“Além disso”, disse ele, “seria ilegal para o governo partilhar dados desta forma, a menos que existam acordos específicos de partilha de dados em vigor entre os diferentes departamentos governamentais em questão”.
Dois engenheiros de sistemas seniores do Ministério da Defesa alertaram o The Nerve em março que, ao agregar dados de diferentes conjuntos de dados governamentais, a Palantir poderia gerar informações ultrassecretas de fontes totalmente não classificadas.
Para Sarah Simms, diretora sênior de políticas da Privacy International, tal risco e precedente já foram estabelecidos pelas ações da empresa no exterior.
“A confiança é essencial para a prestação de cuidados de saúde e para o NHS”, disse ela. “As pessoas devem poder confiar que os seus dados estão a ser tratados de forma segura e ética. E se não estiver, bem, isso poderá ter um impacto devastador nos cuidados de saúde para todos.”
