Pada tanggal 29 April 2026, Komisi Eropa telah menerbitkan rancangan Peraturan Pelaksanaan mengenai Daftar Paspor Produk Digital (Ares(2026)4424976). Rancangan tersebut merinci Pasal 13(5) ESPR (Peraturan 2024/1781) dan menetapkan bagaimana pendaftaran yang dikelola oleh Komisi tersebut akan beroperasi secara teknis dan organisasional.
Teks tersebut masih berstatus rancangan dan belum disahkan. Namun, mekanisme utamanya sudah ## dapatdikenali dengan jelas - dan hal ini memiliki konsekuensi langsung bagi setiap produsen yang wajib menerbitkan DPP mulai tahun 2027.
Apa itu Daftar - dan apa yang bukan
Sebuah klarifikasi di awal: Daftar UE tidak menyimpan data DPP itu sendiri. Daftar ini merupakan layanan direktori terpusat yang menyimpan ID unik untuk setiap pendaftaran, kode barang, identitas pelaku usaha, hash versi DPP, serta tautan ke salinan cadangan di penyedia layanan DPP.
Pertimbangan 3 menyebutnya sebagai “model terdesentralisasi”: Data produk tetap disimpan oleh produsen atau platform DPP-nya. Daftar ini merupakan daftar alamat kanonik, bukan silo data.
Secara fungsional, daftar tersebut terdiri dari:
- antarmuka web dan API untuk pendaftaran
- platform verifikasi bagi pelaku usaha
- daftar penyedia layanan DPP yang terakreditasi
- repositori semantik (multibahasa, terstruktur sesuai DCAT-AP) sebagai referensi untuk atribut data, struktur model, dan peran
- sistem log dengan jangka waktu penyimpanan yang berjenjang
Verifikasi sebelum pendaftaran
Tidak ada DPP yang akan dimasukkan ke dalam register sebelum pelaku usaha yang mengajukan permohonan terdaftar sebagai pelaku usaha terverifikasi (Pasal 4). Verifikasi dilakukan langsung oleh Daftar dan menggunakan sarana eIDAS dari Peraturan (UE) No. 910/2014:
- Badan hukum di UE: segel elektronik yang memenuhi syarat atau sertifikat atribut elektronik
- Orang perseorangan sebagai pengusaha perorangan di UE: tanda tangan elektronik yang memenuhi syarat, tingkat eID “tinggi”, atau sertifikat atribut
- Pelaku di luar UE: tanda tangan atau segel elektronik yang memenuhi syarat, atau sertifikat atribut
Verifikasi berlaku maksimal tiga tahun. Barang siapa yang tidak memperbarui statusnya akan ditetapkan sebagai “belum terverifikasi” dan kehilangan hak untuk mendaftarkan DPP baru atau mengubah DPP yang sudah ada (Pasal 4(4)).
Verifikasi ini merupakan persyaratan hukum. Proses ini berlangsung antara produsen dan Komisi - dan tidak dapat didelegasikan, bahkan jika penyedia layanan seperti Transpareo yang menangani pendaftaran operasional.
Tingkat granularitas: model, batch, atau artikel
Pasal 8 mensyaratkan agar DPP didaftarkan pada tingkat granularitas yang ditetapkan oleh peraturan sektoral yang berlaku - yaitu model, batch, atau artikel. Jika DPP artikel dibuat dan ID batch atau model sudah ada, maka ID tersebut harus disertakan. Untuk DPP batch, hal yang sama berlaku untuk ID model.
Bagi produsen, hal ini berarti: Data induk internal memerlukan hierarki yang jelas antara model, batch, dan produk individual. Tanpa hubungan ini, validasi otomatis pendaftaran akan gagal.
Versi, Hash, dan Penyimpanan
Setiap versi DPP dihubungkan dengan ID pendaftaran asli. Setiap kali terjadi perubahan, Register mewajibkan adanya hash dari versi DPP terkini - yang dapat diverifikasi secara kriptografis, bukan yang dihasilkan secara manual.
Bukti pendaftaran (Pasal 9) adalah dokumen elektronik yang disegel secara terverifikasi oleh Komisi dan dilengkapi dengan cap waktu. Isi minimalnya meliputi: ID pendaftaran, kode barang, identitas pihak terkait, tanggal, dan hash versi terakhir. Berlaku selama 90 hari, dapat dibuat ulang sesuka hati.
Penyimpanan standar: 10 tahun sejak pendaftaran, kecuali jika hukum Uni Eropa atau hukum sektor tertentu menetapkan jangka waktu lain (Pasal 10(3) Peraturan Pelaksanaan Daftar DPP). Bahkan kebangkrutan atau likuidasi produsen tidak membebaskan dari kewajiban ketersediaan (ESPR Pasal 11(e)).
Sistem pencatatan
Daftar tersebut mencatat dalam tiga tingkatan (Pasal 14):
- Akses dan otentikasi: 6 bulan
- Perubahan data: Selama masa pendaftaran
- Tindakan administratif dan pertukaran data: 5 tahun
Otoritas nasional diberikan akses dalam kasus insiden, audit, atau pemeriksaan acak.
Data Pribadi - apa yang disimpan oleh Komisi
Pasal 18 mencantumkan data apa saja yang disimpan secara eksklusif di dalam register: nama depan dan belakang setiap pengguna, kredensial login, token otentikasi, alamat pos, dan alamat email. Untuk orang perseorangan, ditambah nomor paspor atau kartu identitas, eID, serta nomor identitas pajak. Data ini tidak menjadi urusan penyedia layanan DPP. Komisi bertindak sebagai pengendali data akun ini, sedangkan pelaku usaha tetap bertindak sebagai pengendali data DPP-nya.
Bagaimana Transpareo Memenuhi Persyaratan
Sebagian besar persyaratan berkaitan dengan keputusan arsitektur, yang telah diterapkan oleh Transpareo dalam bentuk ini. Secara rinci:
Model terdesentralisasi. Transpareo adalah platform multi-tenant dengan basis data terisolasi untuk setiap pelanggan. Data DPP disimpan dalam basis data pelaku usaha, bukan dalam kumpulan data terpusat - tepatnya arsitektur yang disyaratkan dalam Pertimbangan 3.
Peran pengolah data dibedakan dengan jelas. Pasal 19(5) dan 20(3) menetapkan bahwa pelaku usaha tetap menjadi pengendali, meskipun ia menugaskan pihak ketiga untuk melakukan pendaftaran. Transpareo saat ini sudah beroperasi sebagai pengolah data berdasarkan Perjanjian Pengolahan Data (AVV) - perannya jelas.
URL cadangan yang stabil untuk setiap DPP. Setiap DPP Transpareo dapat diakses melalui URL permanen yang tidak berubah meskipun terjadi perubahan versi. Hal inilah yang disyaratkan oleh Pasal 8(6)(d) sebagai “tautan ke cadangan yang dihosting oleh DPP-SP”.
Granularitas. Model data Transpareo membedakan antara model produk, batch, dan produk tunggal, serta memungkinkan hubungan hierarkis - suatu prasyarat untuk memenuhi Pasal 8(3)/(4).
Pemetaan semantik multibahasa. Repositori Komisi bersifat multibahasa sesuai dengan DCAT-AP. Transpareo menyediakan setiap titik data dalam 39 bahasa, termasuk seluruh 24 bahasa resmi UE, dengan terjemahan sebagai bagian dari paket layanan.
Hash versi. Serialisasi deterministik sesuai dengan JSON Canonicalization Scheme (RFC 8785) dan hash SHA-256 per versi DPP telah disediakan. Hanya format hash-pinning yang tepat dari Daftar Uni Eropa yang masih belum ditentukan; segera setelah Komisi menerbitkannya, kami akan mengintegrasikannya.
Pendaftaran sebagai Penyedia Layanan DPP. Transpareo akan mengajukan permohonan untuk masuk ke dalam daftar resmi penyedia layanan DPP (Pasal 2 Nomor 32 ESPR) segera setelah prosedur pendaftaran dipublikasikan.
Pendaftaran atas nama klien. Kami sedang mempersiapkan layanan untuk menangani pendaftaran atas nama klien yang telah memberikan kuasa - tanggung jawab hukum klien tetap tidak terpengaruh sesuai Pasal 19(4).
Jadwal
Pasal 23 mengatur tanggal berlakunya: 20 hari setelah diterbitkan dalam Lembaran Negara. Tanggal pastinya bergantung pada kapan Komisi menyetujui versi finalnya. Mandat induk berdasarkan Pasal 13(5) ESPR berlaku mulai 19 Juli 2026 - hingga saat itu, pendaftaran harus sudah beroperasi.
Pendaftaran diperkirakan baru akan beroperasi secara penuh mulai 18 Februari 2027: Pada hari itu, Pasal 77 dari Peraturan Uni Eropa tentang Baterai 2023/1542 mulai berlaku, dan DPP menjadi wajib untuk baterai industri, EV, dan LMT dengan kapasitas di atas 2 kWh. Rincian serta pertanyaan-pertanyaan yang masih terbuka terkait Undang-Undang Pelaksanaan telah kami cantumkan dalam Jadwal ESPR 2027. Hingga saat itu, masih tersisa sekitar sembilan bulan. Bagi yang merencanakan kontrak pemasok, migrasi data master, dan persetujuan internal, pasti tahu: waktu yang tersedia sangat ketat, bukan melimpah.
Apa yang Masih Belum Jelas
Peraturan itu sendiri menjelaskan kerangka kerja organisasionalnya. Yang masih kurang adalah spesifikasi teknis API - format antarmuka yang tepat, skema, serta aturan validasi. Hal ini diperkirakan akan menyusul sebagai pedoman terpisah dari Komisi sesuai Pasal 15(1), kemungkinan besar masih dalam tahun 2026.
Namun, hingga saat itu, arah yang harus ditempuh sudah jelas: arsitektur terdesentralisasi, pelaku yang terverifikasi, tanda tangan yang memenuhi syarat, ID pendaftaran yang unik, rantai versi, serta interoperabilitas semantik. Semua konsep ini tidak akan hilang lagi.
Inisiatif konsultasi resmi Komisi dapat diakses di Have Your Say.