Στις 29 Απριλίου 2026, η Ευρωπαϊκή Επιτροπή δημοσίευσε το σχέδιο εκτελεστικού κανονισμού για το μητρώο DPP και παράλληλα άνοιξε μια περίοδο υποβολής σχολίων διάρκειας τεσσάρων εβδομάδων. Μέχρι τις 27 Μαΐου 2026, κάθε πρόσωπο και κάθε οργανισμός στην ΕΕ και εκτός αυτής μπορεί να υποβάλει τις απόψεις του μέσω της πύλης «Have Your Say». Οι απόψεις είναι δημόσιες, κάθε μία φέρει το όνομα του συντάκτη ή του οργανισμού, και ενσωματώνονται επίσημα στην τελική μορφή του κανονισμού.
Έχουμε συζητήσει αναλυτικά το σχέδιο εδώ στο blog. Αφιερώνουμε αυτό το άρθρο στο ερώτημα: τι απαντήσαμε στην Επιτροπή.
Γιατί υποβάλαμε τέσσερις ξεχωριστές παρατηρήσεις
Η πύλη δέχεται 4.000 χαρακτήρες ανά παρατήρηση. Θα μπορούσαμε να συμπιέσουμε όλα τα σημεία σε μία μακρά παρατήρηση. Αυτό θα ήταν πιο δυσάρεστο να διαβαστεί και πιο δύσκολο να παρατεθεί ως παραπομπή για τους υπαλλήλους της Επιτροπής, οι οποίοι τον Μάιο θα επεξεργάζονται δεκάδες παρατηρήσεις. Τέσσερις ξεχωριστές παρατηρήσεις είναι ευκολότερο να εντοπιστούν στη δημόσια λίστα, και η καθεμία μπορεί να απαντηθεί - ή να απορριφθεί - μεμονωμένα, χωρίς να επηρεάζονται τα άλλα σημεία.
Υποβάλαμε τα ακόλουθα τέσσερα θέματα:
1. Καθορισμός ελάχιστων απαιτήσεων για τους παρόχους υπηρεσιών DPP
Το σχέδιο κανονισμού ορίζει σωστά το αποκεντρωμένο μοντέλο: Τα δεδομένα DPP φυλάσσονται στον οικονομικό φορέα ή στον πάροχο υπηρεσιών DPP του, ενώ το μητρώο της Επιτροπής αποθηκεύει μόνο τις αναφορές. Για τους παρόχους υπηρεσιών DPP (άρθρο 2 αριθ. 32 του ESPR) προβλέπεται επίσημος κατάλογος εγκεκριμένων παρόχων.
Αυτό που λείπει είναι ο καθορισμός των απαιτήσεων που πρέπει να πληροί ένας πάροχος υπηρεσιών για να συμπεριληφθεί στον κατάλογο αυτό και να παραμείνει σε αυτόν. Πιθανώς, οι ουσιαστικές υποχρεώσεις θα καθοριστούν σε μια κατ’ εξουσιοδότηση πράξη σύμφωνα με το άρθρο 4 του βασικού κανονισμού ESPR. Ωστόσο, το μητρώο θα τεθεί σε λειτουργία πριν από τη δημοσίευση της εν λόγω πράξης.
Η πρότασή μας: Είτε να καθοριστούν απευθείας στον παρόντα εκτελεστικό κανονισμό ελάχιστα κριτήρια για τους παρόχους υπηρεσιών, είτε να οριστεί δεσμευτική προθεσμία μέχρι την οποία θα υποβληθεί η κατ’ εξουσιοδότηση πράξη. Μεταξύ των προτεινόμενων ελάχιστων απαιτήσεων περιλαμβάνονται:
- Διαθεσιμότητα της δημόσιας διεπαφής ανάγνωσης DPP τουλάχιστον 99,5 τοις εκατό ανά μήνα
- Μια συμφωνία επιπέδου υπηρεσιών (SLA) σχετικά με το πόσο γρήγορα πρέπει να καταχωρίζεται μια νέα έκδοση DPP στο αντίγραφο ασφαλείας (πρόταση: 24 ώρες ή σε πραγματικό χρόνο, όπου είναι τεχνικά εφικτό)
- Υποχρεωτική κρυπτογραφική επαλήθευση των εισερχόμενων εκδόσεων από τον πάροχο υπηρεσιών
- Δημοσίευση των δημόσιων κλειδιών του οικονομικού φορέα σε μια τυποποιημένη διαδρομή (RFC 8615, πρόταση
/.well-known/dpp-keys/) - Καθορισμένη διαδικασία αλλαγής και πτώχευσης, ώστε τα δεδομένα DPP να μεταφέρονται με τάξη σε άλλον πάροχο σε περίπτωση αδυναμίας ενός παρόχου
Αυτές οι υποχρεώσεις δεν κοστίζουν τίποτα σε έναν σοβαρό πάροχο - τις εκπληρώνει ούτως ή άλλως - , αλλά αποτρέπουν έναν «αγώνα προς τα κάτω» μεταξύ των φθηνών παρόχων, ο οποίος τελικά υπονομεύει τον κατάλογο.
2. Μακροπρόθεσμη δυνατότητα επαλήθευσης των καταχωρισμένων DPP
Το άρθρο 9(4) περιορίζει τη διαθεσιμότητα του αποδεικτικού καταχώρισης σε 90 ημερολογιακές ημέρες. Εντός αυτής της προθεσμίας, το μητρώο ανανεώνει το αποδεικτικό κατόπιν αιτήματος. Αυτό είναι εντάξει για την τρέχουσα λειτουργία, αλλά δεν ταιριάζει με τον κύκλο ζωής της υποκείμενης υποχρέωσης DPP: το άρθρο 10 παράγραφος 3 ορίζει την τυπική περίοδο διατήρησης σε 10 έτη από την εγγραφή, ενώ η τομεακή νομοθεσία μπορεί να απαιτεί μεγαλύτερο χρονικό διάστημα.
Μια αρχή εποπτείας της αγοράς, ένας τελωνειακός υπάλληλος, ένας φορέας ανακύκλωσης ή ένας ερευνητής το έτος 2032 θα πρέπει να μπορεί να επαληθεύσει ότι ένα DPP που καταχωρίστηκε το 2026 ήταν πράγματι καταχωρισμένο, χωρίς να εξαρτάται από το αν ο αρχικός οικονομικός φορέας εξακολουθεί να υφίσταται και να μπορεί να ζητήσει νέο πιστοποιητικό.
Οι δύο προτάσεις μας είναι εύκολες στην εφαρμογή:
- Να διευκρινιστεί ρητά ότι τα byte αποδεικτικών στοιχείων που φέρουν την πιστοποιημένη σφραγίδα της Επιτροπής επιτρέπεται να αποθηκεύονται προσωρινά, να αρχειοθετούνται και να διανέμονται περαιτέρω από τον οικονομικό φορέα ή τον πάροχο υπηρεσιών. Η πιστοποιημένη σφραγίδα σύμφωνα με το άρθρο 35(2) του κανονισμού eIDAS φέρει την τεκμήριο ακεραιότητας και προέλευσης, ανεξάρτητα από το πού βρίσκονται τα bytes.
- Να δημιουργηθεί ένα δημόσιο, μη πιστοποιημένο σημείο επαλήθευσης στο μητρώο, το οποίο παρέχει μια υπογεγραμμένη απάντηση για κάθε αναγνωριστικό εγγραφής. Σήμερα, κάθε έλεγχος από τρίτους προϋποθέτει την ενεργή παρέμβαση του οικονομικού φορέα - αυτό δεν αποτελεί τη σωστή μορφή για ένα αποδεικτικό έγγραφο που πρέπει να επιβιώσει του εκδότη του.
Επιπλέον, προτείναμε να καθοριστεί η δημιουργία του hash με ντετερμινιστικό τρόπο: SHA-256 ως συνάρτηση κατακερματισμού, JSON Canonicalization Scheme (RFC 8785) ως σειριοποίηση, εκτός του μπλοκ υπογραφής. Στο οικοσύστημα του W3C, πρόκειται για την κρυπτοσουίτα eddsa-jcs-2022, με την οποία το Transpareo υπογράφει απευθείας. Χωρίς αυτόν τον καθορισμό «pinning», δύο πάροχοι υπηρεσιών θα σειριοποιούσαν το ίδιο DPP σε διαφορετικούς κατακερματισμούς, και το πεδίο κατακερματισμού στην απόδειξη εγγραφής δεν θα ήταν αναπαραγώγιμο.
3. Το άρθρο 17 δεν πρέπει να περιορίζει την πρόσβαση σε δημόσια δεδομένα DPP
Το άρθρο 17 αναφέρει τη «μαζική λήψη δεδομένων» ως πιθανή κατάχρηση του μητρώου. Αυτό ισχύει για τα διοικητικά μεταδεδομένα που βρίσκονται στο ίδιο το μητρώο (ταυτότητες, αρχεία καταγραφής, ίχνη ελέγχου) - αυτά δεν πρέπει να αποτελούν αντικείμενο μαζικών λήψεων.
Τα δημόσια δεδομένα DPP που βρίσκονται στον κατασκευαστή ή στον πάροχο υπηρεσιών είναι όμως ακριβώς ο τομέας που το ESPR επιθυμεί να καταστήσει ευρέως προσβάσιμο. Οι εταιρείες ανακύκλωσης που συλλέγουν δεδομένα σύνθεσης σχετικά με στόλους προϊόντων· η έρευνα που αξιολογεί διασταυρωτικά τις δηλώσεις βιωσιμότητας· η εποπτεία της αγοράς, η οποία διεξάγει συγκριτικές αναλύσεις - όλα αυτά αποτελούν μορφές «μαζικής λήψης δεδομένων» από το δημόσιο επίπεδο DPP και όλες είναι χρήσεις για τις οποίες συντάχθηκε ο κανονισμός.
Η πρότασή μας είναι η προσθήκη μιας διευκρινιστικής φράσης στο άρθρο 17, η οποία θα περιορίζει το πεδίο εφαρμογής στα δεδομένα μητρώων και θα παραπέμπει, όσον αφορά τα δεδομένα DPP, στις αντίστοιχες τομεακές κατ’ εξουσιοδότηση πράξεις. Διαφορετικά, οι πάροχοι υπηρεσιών θα βρεθούν μπροστά σε μια επιλογή κατά την έναρξη λειτουργίας: είτε να περιορίσουν δραστικά το όριο αιτημάτων της δημόσιας πρόσβασης για λόγους ασφαλείας - καταστρέφοντας έτσι την εμπειρία του καταναλωτή - είτε να την αφήσουν ανοιχτή και να διακινδυνεύσουν να χαρακτηριστούν αργότερα ως κατάχρηση κατά την έννοια του άρθρου 17.
4. Δημοσίευση της προδιαγραφής OpenAPI και του Sandbox πριν από την έναρξη λειτουργίας
Το άρθρο 3(β) απαιτεί ένα API για τις εγγραφές. Το άρθρο 8(5) το καθιστά ένα από τα δύο κανάλια για την εγγραφή. Ωστόσο, ο κανονισμός δεν αναφέρει τίποτα σχετικά με το πότε θα δημοσιευθεί η προδιαγραφή του API.
Όποιος αυτοματοποιεί τις ροές εργασιών εγγραφής - κάθε πάροχος υπηρεσιών και κάθε οικονομικός φορέας με μεγάλο κατάλογο - χρειάζεται την προδιαγραφή API αρκετά πριν από την έναρξη, προκειμένου να την υλοποιήσει και να τη δοκιμάσει σε ένα πραγματικό τελικό σημείο. Η εύρεση μιας προδιαγραφής την εβδομάδα πριν από την έναρξη ισχύος μεταφέρει τον κίνδυνο ενσωμάτωσης σε όλους τους παρόχους του οικοσυστήματος.
Γι’ αυτό προτείναμε:
- Να δημοσιευθεί μια προδιαγραφή OpenAPI 3.1 τουλάχιστον οκτώ εβδομάδες πριν από την έναρξη ισχύος - για έναρξη στις 19 Ιουλίου 2026, δηλαδή έως τις 24 Μαΐου 2026
- Να δημιουργηθεί παράλληλα ένα περιβάλλον «sandbox», στο οποίο οι πάροχοι υπηρεσιών και οι κατασκευαστές θα μπορούν να πραγματοποιήσουν ενσωμάτωση και να δοκιμάσουν την αυτόματη επαλήθευση σύμφωνα με το άρθρο 8 παράγραφος 6
- Να εφαρμοστεί μια πολιτική έκδοσης με Semver και προθεσμία κατάργησης τουλάχιστον 18 μηνών
Πρόσθετες προτάσεις σχεδιασμού: κλειδιά ιδεμποτείας (idempotency) στις κλήσεις εγγραφής, μαζική εγγραφή για μεγάλους καταλόγους, ασύγχρονη εγγραφή με callback μέσω webhook και κωδικοί σφαλμάτων αναγνώσιμοι από μηχανές για τις περιπτώσεις σφαλμάτων της αυτόματης επαλήθευσης.
Γιατί το κάνουμε αυτό
Μια διαβούλευση δεν είναι παιχνίδι συλλογής πόντων. Εάν κάθε εισήγηση καταφέρει να κάνει μια μεμονωμένη πρόταση στην τελική έκδοση πιο ακριβή, έχει εκπληρώσει τον σκοπό της. Η Επιτροπή διαβάζει πράγματι αυτές τις συνεισφορές - η εμπειρία από την ίδια τη διαδικασία ESPR δείχνει ότι οι τεχνικά τεκμηριωμένες συνεισφορές συχνά αφήνουν το στίγμα τους στα τελικά κείμενα.
Εξάλλου, θα υποβάλουμε αίτηση για ένταξη στον κατάλογο των παρόχων υπηρεσιών DPP, μόλις δημοσιευθεί η διαδικασία ένταξης. Είναι λοιπόν προς το άμεσο συμφέρον μας οι κανόνες υπό τους οποίους συμμετέχουμε να είναι ακριβείς και να ορίζουν ισότιμους όρους ανταγωνισμού. Οι τέσσερις συνεισφορές αποτελούν τον συγκεκριμένο τρόπο με τον οποίο διασφαλίζουμε ότι ο κατάλογος δεν θα εκφυλιστεί σε μια απλή ετικέτα μάρκετινγκ.
Ποιος μπορεί να συμμετάσχει
Η περίοδος υποβολής σχολίων διαρκεί έως τις 27 Μαΐου 2026. Οι συνεισφορές μπορούν να υποβληθούν σε οποιαδήποτε επίσημη γλώσσα της ΕΕ, απαιτούν εγγραφή στο portal και θα είναι δημόσια ορατές. Όσοι πρόκειται να εκδίδουν ή να επαληθεύουν DPP - κατασκευαστές, πάροχοι υπηρεσιών, εταιρείες ανακύκλωσης, αρχές - θα πρέπει να διαβάσουν τουλάχιστον μία φορά σχετικά με την πρωτοβουλία στο Have Your Say. Ακόμη και μια σύντομη, τεχνικά ακριβής συμβολή έχει σημασία.
Το εργαλείο επαλήθευσης μας Transpareo Time Machine , παρεμπιπτόντως, καλύπτει ήδη την ανάγκη επαλήθευσης που αναφέρθηκε στο σημείο 2 στην πράξη του ανοιχτού κώδικα: Όποιος επιθυμεί να ελέγξει ανεξάρτητα ένα Transpareo-DPP, μπορεί να το κάνει ήδη σήμερα με το εργαλείο αυτό, χωρίς να περιμένει ένα επίσημα καθιερωμένο σημείο επαλήθευσης στο μητρώο της Επιτροπής.