NHS England ha brindado al personal externo de empresas, incluida Palantir, acceso ilimitado a datos identificables de pacientes mientras trabaja en algunos módulos de su plataforma de datos insignia. Un informe interno mostró que se trataba del National Data Integration Tenant (NDIT), un módulo definido como un "refugio de datos" para los datos antes de que sean "seudonimizados" y transferidos a otros sistemas.

NDIT es parte de la Plataforma de datos federados (FDP). FDP tiene como objetivo integrar los datos dispersos del NHS en un sistema unificado; En 2023, Palantir ganó un contrato por valor de 330 millones de libras para construir la plataforma.

Según el plan, el NHS de Inglaterra acordó crear una función de "administrador". El escrito reconoce que esta función "permite al personal ajeno al NHS de Inglaterra tener acceso ilimitado al NDIT y a la información identificable del paciente que almacena".

Además de los empleados de Palantir, también pueden recibir dicho acceso los empleados de empresas consultoras involucradas en proyectos de FDP.

La medida supone un cambio significativo con respecto a la práctica actual: anteriormente, cualquiera que necesitara acceso al NDIT tenía que solicitar permisos explícitos de acceso a datos para conjuntos de datos específicos.

La nota informativa, escrita por altos funcionarios de datos del NHS en abril, reconocía que otorgar mayores permisos podría llevar a una pérdida de confianza pública en la "protección de los datos de los pacientes, el uso apropiado de los datos y los controles de acceso".

Inicialmente, el acceso completo solo estará disponible para el personal interno del NHS England que haya pasado la autorización de seguridad. Pero el escrito señaló que los empleados externos también solicitaron los mismos permisos porque "sería demasiado engorroso solicitar cada una de las autorizaciones independientes de acceso a datos (CDA) necesarias una por una".

El informe añade: "Este problema no sólo involucra a Palantir, por lo que nos referimos a él como 'personal ajeno al NHS de Inglaterra'. Sin embargo, actualmente existe una mayor preocupación pública y preocupación sobre el alcance del acceso a los datos de los pacientes por parte de Palantir y sus empleados".

El informe sugiere que se debe establecer un límite en la cantidad de administradores externos que pueden acceder al NDIT, y que los permisos deben ser válidos por un tiempo limitado y revisarse periódicamente.

Los funcionarios confirmaron que la propuesta había sido aprobada recientemente, pero enfatizaron que dichos permisos solo se abrirían a un número muy pequeño de empleados que no pertenecen al NHS.

Martin Wrigley, miembro del Partido Liberal Demócrata del Comité de Tecnología de la Cámara de los Comunes, dijo: "Esta actitud descuidada hacia la seguridad de los datos muestra que todo el proyecto FDP no ha sido diseñado teniendo en cuenta la seguridad como núcleo. El público tiene motivos para preocuparse de que la privacidad de los datos no se considere una consideración primordial".

NHS England ha prometido cumplir cinco "compromisos de datos", incluida la divulgación de las identidades de los visitantes de datos y el contenido de sus visitas.

"Saber exactamente quién ha accedido a qué datos identificables del paciente en cualquier momento es una prioridad fundamental", advierte la nota informativa sobre ese compromiso. "Cuanto más abierto sea el acceso, más difícil será lograr este objetivo".

Un portavoz de NHS England respondió: "NHS ha establecido políticas estrictas de gestión de acceso a datos de pacientes y lleva a cabo auditorías periódicas para garantizar el cumplimiento, incluida la supervisión del trabajo de los ingenieros que ayudan a construir una plataforma central de recopilación de datos. Esta plataforma se utiliza para rastrear el desempeño operativo de NHS y optimizar los servicios de diagnóstico y tratamiento de pacientes. Todo el personal de acceso externo debe pasar las revisiones de seguridad del gobierno y ser aprobado por los directores de NHS England y superiores".

La participación de Palantir en la construcción de FDP se ha vuelto cada vez más controvertida debido al largo servicio de la compañía en los campos de defensa y aplicación de la ley de inmigración de Estados Unidos.

Su cofundador y director ejecutivo, Alex Karp, apoya públicamente a Donald Trump; Algunos miembros del personal del NHS se han negado a participar en el proyecto FDP debido a preocupaciones éticas sobre la empresa.

Los partidarios de FDP elogian su capacidad para integrar datos operativos, como listas de espera y horarios de quirófano, para ayudar a mejorar el diagnóstico y el tratamiento de los pacientes.

Un portavoz de Palantir dijo: "Según las disposiciones legales, somos sólo un 'procesador de datos' para el NHS y todos los clientes, y los clientes son 'controladores de datos'. Esto significa que el software de Palantir sólo puede procesar datos estrictamente de acuerdo con las instrucciones del cliente. El uso no autorizado de datos no sólo es ilegal, sino también técnicamente imposible, porque el NHS ha implementado un control de acceso refinado".