Documento di garanzie strutturali

Quadro di Sovranità e Fiducia

La Carta di Neutralità definisce ciò che non faremo. Il Quadro spiega perché strutturalmente non possiamo farlo.

1. Sovranità dei dati

1.1

Archiviazione giurisdizionale

I dati dei cittadini di ciascun paese vengono conservati su server situati nel territorio di quel paese, ove possibile. In nessun caso i dati dei cittadini lasciano l'UE.

1.2

Autonomia nazionale dei dati

I dati di ciascun paese esistono in infrastrutture indipendenti — non divisi logicamente in un sistema condiviso, ma distribuiti indipendentemente. Un incidente di sicurezza in un paese non compromette i dati di un altro paese.

1.3

Nessun database centrale di dati personali

Non esiste un database centrale contenente informazioni identificabili sui cittadini di più paesi. AGPT Ltd gestisce la Piattaforma ma non aggrega dati personali tra giurisdizioni.

1.4

Minimizzazione dei dati

La Piattaforma non raccoglie nomi, numeri di documenti, indirizzi o altri identificatori personali. L'unico collegamento tra un cittadino e il suo account è un hash crittografico unidirezionale (SHA-256 con salt stagionale rotante).

2. Restrizioni dell'operatore

2.1

L'operatore non può identificare i cittadini

AGPT Ltd non ha accesso al processo di verifica in modo da rivelare chi sia un cittadino. La conversione eID-in-impronta avviene al confine di autenticazione. L'impronta entra nel sistema, non la persona.

2.2

L'operatore non può modificare gli indici

Gli indici di legittimità vengono calcolati automaticamente dai giudizi civici aggregati secondo formule pubblicate. Non esiste alcuna interfaccia amministrativa per modificare manualmente un valore dell'indice. Applicato per architettura, non per politica.

2.3

L'operatore non ha accesso ai giudizi individuali

Il sistema conserva solo lo stato attuale del giudizio di ciascun account nei confronti di ciascun funzionario. Non esiste alcun meccanismo per rispondere alla domanda «Come ha valutato il cittadino X il funzionario Y?»

2.4

L'operatore non può sopprimere né amplificare selettivamente

Le regole di pubblicazione sono uniformi: ogni funzionario a ogni livello è soggetto alle stesse soglie, agli stessi calcoli degli intervalli di confidenza e agli stessi meccanismi di rilevamento delle anomalie.

3. Verificabilità algoritmica

3.1

Metodologia pubblicata

La metodologia completa di calcolo degli indici è pubblicata nel White Paper. Chiunque disponga dei dati di input aggregati può verificare indipendentemente gli output.

3.2

Audit indipendenti

AGPT Ltd si impegna a condurre audit indipendenti regolari da parte di organizzazioni esterne nei settori della sicurezza, della metodologia, della privacy e della conformità. I risultati degli audit vengono pubblicati.

3.3

Giornale della Piattaforma come registro delle modifiche

Qualsiasi modifica all'algoritmo, alle soglie di pubblicazione o ai parametri operativi viene documentata nel Giornale della Piattaforma prima di entrare in vigore. Nessun aggiornamento silenzioso.

4. Garanzie di indipendenza

4.1

Nessun finanziamento governativo

AGPT Ltd non riceve finanziamenti da governi, organizzazioni intergovernative o entità affiliate agli Stati in qualsiasi giurisdizione in cui la Piattaforma opera.

4.2

Nessun accesso governativo ai dati

Nessun governo ha accesso privilegiato ai dati della Piattaforma oltre a quanto disponibile pubblicamente. Le richieste delle forze dell'ordine vengono gestite nell'ambito delle procedure legali standard.

4.3

Nessun interruttore di spegnimento

L'architettura della Piattaforma non ha alcun meccanismo che permetta a un singolo attore di chiudere, sospendere o modificare sostanzialmente un deployment nazionale senza un processo documentato.

4.4

Indipendenza delle entrate

Le entrate provengono da abbonamenti fissi (€1,90–€19,90/mese per i funzionari; €49/mese per l'accesso ai dati), uniformi in tutti i 27 Stati membri e indipendenti dal valore dell'indice.