Registro de la UE sobre la protección de datos: lo que prevé el proyecto de la Comisión del 29 de abril
BlogRegulación30/04/2026

Registro de la UE sobre la protección de datos: lo que prevé el proyecto de la Comisión del 29 de abril

La Comisión ha publicado el proyecto de reglamento de aplicación relativo al registro DPP. Qué contiene, qué supone para los fabricantes y cómo Transpareo implementa las funciones exigidas.

El 29 de abril de 2026, la Comisión Europea publicó el proyecto de Reglamento de aplicación relativo al Registro del Pasaporte Digital del Producto (Ares(2026)4424976). Este documento desarrolla el artículo 13, apartado 5, del ESPR (Reglamento 2024/1781) y establece cómo funcionará, desde el punto de vista técnico y organizativo, el registro gestionado por la Comisión.

El texto figura como proyecto y aún no ha sido adoptado. Sin embargo, los mecanismos esenciales ya se perciben claramente, y tienen consecuencias inmediatas para cualquier fabricante que deba emitir un DPP a partir de 2027.

Qué es el registro - y qué no es -

Una aclaración previa: el registro de la UE no almacena los datos del DPP en sí. Se trata de un servicio de directorio centralizado que, para cada registro, almacena un identificador único, el código de la mercancía, la identidad del agente económico, un hash de la versión del DPP y una referencia a la copia de seguridad que se encuentra en el proveedor de servicios del DPP.

El considerando 3 lo denomina un «modelo descentralizado»: los datos del producto siguen estando en poder del fabricante o de su plataforma DPP. El registro es la lista de direcciones canónica, no un silo de datos.

Desde el punto de vista funcional, el registro consta de:

  • una interfaz web y una API para los registros
  • una plataforma de verificación para los agentes económicos
  • una lista de proveedores de servicios DPP autorizados
  • un repositorio semántico (multilingüe, estructurado según DCAT-AP) como referencia para atributos de datos, estructuras de modelos y roles
  • un sistema de registro con plazos de conservación escalonados

Verificación previa al registro

No se creará ningún DPP en el registro hasta que el agente económico solicitante figure como «operador económico verificado» (art. 4). La verificación se lleva a cabo directamente en el registro y utiliza los medios previstos en el Reglamento eIDAS Reglamento (UE) n.º 910/2014:

  • Persona jurídica en la UE: sello electrónico cualificado o certificado de atributos electrónicos
  • Persona física como empresario individual en la UE: firma electrónica cualificada, eID de nivel «alto» o certificado de atributos
  • Operadores fuera de la UE: firma o sello electrónico cualificado o certificado de atributos

La verificación tiene una validez máxima de tres años. Quien no renueve su verificación pasará a tener la categoría de «no verificado» y perderá el derecho a registrar nuevos DPP o a modificar los existentes (art. 4, apartado 4).

Esta verificación es el requisito legal. Se establece entre el fabricante y la Comisión, y no se delega ni siquiera cuando un proveedor de servicios como Transpareo se encarga del registro operativo.

Granularidad: modelo, lote o artículo

El artículo 8 exige que los DPP se registren en el nivel de granularidad que prevea el acto jurídico sectorial correspondiente: modelo, lote o artículo. Si se crea un DPP de artículo y existen identificadores de lote o de modelo, estos deben incluirse. En el caso de los DPP de lote, se aplica lo mismo a los identificadores de modelo.

Para los fabricantes, esto significa que los datos maestros internos deben presentar una jerarquía clara entre modelo, lote y producto individual. Sin esta vinculación, la validación automática del registro fracasará.

Control de versiones, hash y conservación

Cada versión del DPP se vincula al identificador de registro original. Ante cada modificación, el registro exige un hash de la versión actual del DPP - verificable criptográficamente, no generable manualmente - .

El certificado de registro (art. 9) es un documento electrónico que la Comisión sella de forma cualificada y al que añade un sello de tiempo. Contenido mínimo: ID de registro, código de mercancía, identidad del agente, fecha y hash de la última versión. Válido durante 90 días, regenerable tantas veces como se desee.

Plazo de conservación estándar: 10 años a partir del registro, salvo que el Derecho de la Unión o la legislación sectorial establezcan otro plazo (art. 10, apartado 3, del Reglamento de aplicación del Registro DPP). Ni siquiera la insolvencia o la liquidación del fabricante eximen de la obligación de disponibilidad (art. 11, letra e), del ESPR).

Sistema de registro

El registro lleva un registro en tres niveles (art. 14):

  • Accesos y autenticaciones: 6 meses
  • Modificaciones de datos: durante la vigencia del registro
  • Acciones administrativas e intercambio de datos: 5 años

Las autoridades nacionales tienen acceso en caso de incidentes, auditorías o controles aleatorios.

Datos personales: lo que almacena la Comisión

El artículo 18 enumera los datos que se conservan exclusivamente en el registro: nombre y apellidos de cada usuario, credenciales de inicio de sesión, tokens de autenticación, dirección postal y correo electrónico. En el caso de las personas físicas, además, el número de pasaporte o de documento de identidad, la identificación electrónica (eID) y el número de identificación fiscal. Estos datos no son competencia del proveedor de servicios de DPP. La Comisión es la responsable del tratamiento de estos datos de cuenta, mientras que el agente económico sigue siendo el responsable del tratamiento de sus datos de DPP.

Cómo cumple Transpareo los requisitos

La mayoría de los requisitos se refieren a decisiones de arquitectura que Transpareo ya ha adoptado en esta forma. En concreto:

Modelo descentralizado. Transpareo es una plataforma multitenant con una base de datos aislada para cada cliente. Los datos de DPP se almacenan en la base de datos del agente económico, no en un repositorio central: precisamente la arquitectura que exige el considerando 3.

Función de encargado del tratamiento claramente delimitada. Los artículos 19, apartado 5, y 20, apartado 3, establecen que el agente económico sigue siendo el responsable del tratamiento, incluso si encarga el registro a un tercero. Transpareo ya opera actualmente como encargado del tratamiento con un acuerdo de tratamiento de datos (AVV); las funciones están claramente definidas.

URL de copia de seguridad estable por cada DPP. Se puede acceder a cada DPP de Transpareo a través de una URL permanente que no cambia ni siquiera con los cambios de versión. Esto es precisamente lo que exige el artículo 8, apartado 6, letra d), como «enlace a la copia de seguridad alojada por un DPP-SP».

Granularidad. El modelo de datos de Transpareo distingue entre modelo de producto, lote y producto individual, y permite establecer vínculos a lo largo de la jerarquía, lo cual es un requisito imprescindible para cumplir con el artículo 8, apartados 3 y 4.

Mapeo semántico multilingüe. El repositorio de la Comisión es multilingüe según DCAT-AP. Transpareo mantiene cada punto de datos en 39 idiomas, incluidas las 24 lenguas oficiales de la UE, y la traducción está incluida en la tarifa.

Hash de versión. Ya se han implementado la serialización determinista según el Esquema de Canonicalización JSON (RFC 8785) y un hash SHA-256 por cada versión del DPP. Lo único que queda pendiente es el formato exacto de fijación de hash del registro de la UE; tan pronto como la Comisión lo publique, lo incorporaremos también.

Inclusión en la lista de proveedores de servicios DPP. Transpareo solicitará su inclusión en la lista oficial de proveedores de servicios DPP (art. 2, n.º 32 del ESPR) tan pronto como se publique el procedimiento de admisión.

Registro por cuenta ajena. Estamos preparando el servicio para encargarnos del registro en nombre de clientes autorizados; la responsabilidad jurídica del cliente no se ve afectada por ello, de conformidad con el artículo 19, apartado 4.

Calendario

La entrada en vigor se regula en el artículo 23: 20 días después de su publicación en el Diario Oficial. La fecha concreta dependerá de cuándo apruebe la Comisión la versión definitiva. El mandato principal del artículo 13, apartado 5, del ESPR tiene fecha del 19 de julio de 2026; para entonces, el registro deberá estar operativo.

No se prevé que el registro entre en pleno funcionamiento hasta el 18 de febrero de 2027: ese día entrará en vigor el artículo 77 del Reglamento de la UE sobre baterías 2023/1542, y el DPP pasará a ser obligatorio para las baterías industriales, de vehículos eléctricos y de gestión de energía local (LMT) de más de 2 kWh. Hemos recogido los detalles y las cuestiones pendientes sobre el acto de ejecución en el calendario ESPR 2027. Quedan unos nueve meses hasta entonces. Quien esté planificando contratos con proveedores, la migración de datos maestros y las autorizaciones internas sabe que el plazo es ajustado, no holgado.

Lo que queda pendiente

El propio Reglamento describe el marco organizativo. Lo que falta es la especificación técnica de la API: el formato exacto de la interfaz, los esquemas y las reglas de validación. Se prevé que esta se publique como una directriz separada de la Comisión, de conformidad con el artículo 15, apartado 1, probablemente a lo largo de 2026.

Hasta entonces, sin embargo, el rumbo a seguir es claro: arquitectura descentralizada, agentes verificados, firmas cualificadas, identificadores de registro únicos, encadenamiento de versiones e interoperabilidad semántica. Todos ellos son conceptos que han llegado para quedarse.

La iniciativa de consulta oficial de la Comisión está disponible en Have Your Say.

Novedades sobre el Reglamento del Registro de la DPP

Estamos al tanto de la versión definitiva del reglamento de aplicación y le enviamos mensualmente a su bandeja de entrada los cambios más importantes.