Gobierno de Colombia entregó datos biomédicos a Palantir en 2020

Documentos oficiales de la Presidencia de Colombia confirman que la empresa cofundada con capital de la CIA procesó datos de rastreo de contactos Bluetooth de ciudadanos colombianos en servidores de Amazon en Irlanda y sin licitación pública.

En América la ingerencia de tecnologías de vigilancia avanzan en medida que los gobiernos de derechas ganan elecciones. Hoy millones de migrantes son perseguidos y deportados de Estados Unidos con herramientas de Palantir. Durante la pandemia de la covid-19 la firma tecnólogica Palantir administró más de 40 millones de datos biómedicos de colombianos.

No hay contrato solo dos informes de ejecución

Los hechos están documentados en dos informes de ejecución del "Acuerdo de Tecnología N°11" firmados por Diego Fernandez Bohórquez Aldana, asesor de la Consejería Presidencial para las comunicaciones y obtenidos por Periodismosint.xyz.

Una licitación bajo la figura de "Acuerdo de tecnología" — sin regulación de la contratación pública de Colombia—, entregó el acceso a sus datos biomédicos para "la provisión de una plataforma de datos unificada para la respuesta al COVID-19".

En Colombia, el Departamento Administrativo de Presidencia DAPRE, suscribió en abril de 2020 un acuerdo con Palantir Technologies INC, mediante el cual entregó el acceso y administración de Visor COVID-19. La plataforma de datos unificados y rastreo de proximidad de contagios que se alimentaba de Coronapp, MinSalud y el Instituto Nacional de Salud entre otros.

No hubo licitación pública, no hubo operación de costos, tan solo un acuerdo firmado y dos informes de 10 meses de contrato que administro la plataforma VISOR Covid-19.

La poca transparencia de Coronapp

De acuerdo a la Fundación Karisma, una app de rastreo de contactos no es "una app" en el sentido del consumidor. Es una infraestructura de vigilancia poblacional, y como tal exige una serie de condiciones que la mayoría de gobierno no cumple. El gobierno Duque nunca fue claro con el creador ni fuente de código de Coronapp.

El gobierno de Iván Duque alimentó la plataforma de Palantir con datos provientes de MinSalud, INS y Coronapp. Según la Fundación Karisma, nunca hubo transparencia con quienes crearon estas herramientas. Para funcionar, este tipo de tecnología necesita capturar simultáneamente: estado de salud (síntomas, diagnóstico, positividad), ubicación en tiempo real (GPS), proximidad física con otras personas (Bluetooth/WiFi), y a menudo identidad verificada.

¿Pasaron por encima de la ley de privacidad?

La combinación genera un alto nivel de vulnerabilidad sobre la privacidad: cada dato por separado es sensible, pero cruzados permiten reconstruir con quién estuviste, dónde, cuándo y en qué estado de salud. Eso es un mapa de la vida íntima y los vínculos sociales de toda una población. En la categoría jurídica colombiana (Ley 1581 de 2012) los datos de salud son "datos sensibles" con protección reforzada, lo que eleva el estándar de todo lo demás. Cinco años después no hay conocimiento sobre el destino final de los datos sensibles.

El supervisor del acuerdo preguntó el 9 de julio de 2020 dónde estaban alojados los datos. La respuesta de Palantir, radicada el 14 de julio de 2020, fue que "los datos están siendo alojados y procesados en servidores AWS (Amazon) ubicados en Irlanda. Revisar informe 1.

La combinación procesada por Palantir fue especialmente sensible: información proveniente de una app de autodiagnósticos individuales, rastreo de contactos Bluetooh de Coronapp, indices de pobreza del DANE, movimiento poblacional de Google y casos epidemiológicos del INS. Construye un perfil de alta resolución sobre quiénes enfermaron, dónde vivían, con quién estuvieron en contacto y cuán vulnerables eran.

Instituciones colombianas que tuvieron acceso a Palantir:

Costo cero, controles cero

Todos los campos de valor en los informes figuran como N/A. La cláusula 2 del contrato es explicíta: el servicio era gratuito. Es gratuitidad no es un detalle menor, parecer se una estrategia para entrar en nuevos mercados gubernamentales. Una vez que el Estado integra sus datos en la plataforma de Palantir, implica la perdida de su soberanía y la capacidad de protegerlos.

En 2017, cuando el Departamento de Policía de New York (NYPD) quiso cancelar su contrato con Palantir para migrar a un sistema propio, la empresa se negó a entregar los análisis detallados que había generado.

Las vulnerabilidades
Según Palantir, en su blog de Medium, la compañía afirma que el Visor COVID-19 integra "datos abiertos" y "datos epidemiológicos despersonalizados", anclándose en la idea de que la información con la que trabajó estaba anonimizada. Pero esa afirmación choca con lo que documentó la veeduría técnica independiente. La Fundación Karisma demostró que el ecosistema de datos COVID del país —empezando por Coronapp— operaba bajo una arquitectura centralizada, en la que el servidor central conservaba la capacidad de "desanonimizar" los identificadores y, en última instancia, rastrear personas. Mientras Palantir sostiene que manejó datos despersonalizados, la evidencia técnica mostró que ese mismo ecosistema permitía la reidentificación. El "despersonalizado" es, hasta ahora, una afirmación de la empresa que ningún tercero ha verificado de forma independiente.

A la espera de una entrevista
Periodismosint.xyz buscó la versión de Palantir. El 30 de mayo, este medio contactó por mensaje a Palantir Technologies. Se le solicitó una entrevista para conocer la relación entre Palantir y Colombia. Al cierre de esta publicación no se había recibido respuesta. Este medio mantiene abierto el canal y actualizará la nota si hay pronunciamiento.