Pada tanggal 29 April 2026, Komisi Eropa telah menerbitkan Rancangan Peraturan Pelaksanaan mengenai Daftar DPP dan secara bersamaan membuka periode masukan selama empat minggu. Hingga 27 Mei 2026, setiap individu dan organisasi di Uni Eropa maupun di luarnya dapat memberikan masukan melalui portal “Have Your Say”. Masukan-masukan tersebut bersifat terbuka untuk umum, masing-masing ditandatangani dengan nama atau nama organisasi, dan akan secara resmi dimasukkan ke dalam versi akhir peraturan tersebut.
Kami telah membahas rancangan tersebut secara mendetail di blog ini. Tulisan ini kami dedikasikan untuk menjelaskan tanggapan yang telah kami sampaikan kepada Komisi.
Mengapa kami mengajukan empat masukan terpisah
Portal tersebut membatasi setiap masukan hingga 4.000 karakter. Kami sebenarnya bisa memadatkan semua poin ke dalam satu masukan yang panjang. Hal itu akan lebih merepotkan bagi staf Komisi yang harus menelaah puluhan masukan pada bulan Mei, baik dalam hal pembacaan maupun pengutipan. Empat masukan terpisah dapat ditemukan secara terpisah dalam daftar publik, dan masing-masing dapat ditanggapi - atau ditolak - secara terpisah tanpa memengaruhi poin-poin lainnya.
Empat topik berikut telah kami ajukan:
1. Menetapkan persyaratan minimum bagi penyedia layanan DPP
Rancangan peraturan tersebut secara tepat menetapkan model desentralisasi: Data DPP disimpan oleh pelaku usaha atau penyedia layanan DPP-nya, sedangkan register Komisi hanya menyimpan referensi. Untuk penyedia layanan DPP (Pasal 2 Nomor 32 ESPR), telah disediakan daftar resmi penyedia yang disetujui.
Yang masih kurang adalah ketentuan mengenai apa yang sebenarnya harus dipenuhi oleh penyedia layanan agar dapat masuk dan tetap berada dalam daftar tersebut. Kemungkinan besar, kewajiban substantif tersebut akan diatur dalam tindakan hukum yang didelegasikan sesuai dengan Pasal 4 Peraturan Utama ESPR. Namun, pendaftaran akan dimulai sebelum tindakan hukum tersebut diterbitkan.
Usulan kami: Baik menetapkan kriteria minimum bagi penyedia layanan secara langsung dalam peraturan pelaksana ini, maupun menetapkan batas waktu yang mengikat hingga kapan peraturan delegasi tersebut harus diserahkan. Persyaratan minimum yang diusulkan meliputi:
- Ketersediaan antarmuka baca DPP publik minimal 99,5 persen per bulan
- Perjanjian Tingkat Layanan (SLA) mengenai seberapa cepat versi DPP baru harus tiba di salinan cadangan (usulan: 24 jam atau secara real-time, jika memungkinkan secara teknis)
- Verifikasi kriptografis wajib terhadap versi yang masuk oleh penyedia layanan
- Publikasi kunci publik pelaku ekonomi di bawah jalur yang terstandarisasi (RFC 8615, usulan
/.well-known/dpp-keys/) - Proses peralihan dan kebangkrutan yang terdefinisi dengan jelas, agar data DPP dapat dimigrasikan secara teratur ke penyedia lain jika terjadi kegagalan penyedia
Kewajiban-kewajiban ini tidak menimbulkan biaya bagi penyedia layanan yang kredibel - karena mereka memang sudah memenuhinya - namun mencegah terjadinya persaingan harga yang merugikan di antara penyedia layanan murah, yang pada akhirnya akan merusak daftar tersebut.
2. Verifikasi Jangka Panjang DPP yang Terdaftar
Pasal 9(4) membatasi ketersediaan bukti pendaftaran hingga 90 hari kalender. Dalam jangka waktu tersebut, pendaftaran akan menerbitkan ulang bukti tersebut atas permintaan. Hal ini memang tidak menjadi masalah untuk operasional sehari-hari, namun tidak sesuai dengan siklus hidup kewajiban DPP yang mendasarinya: Pasal 10(3) menetapkan masa penyimpanan standar selama 10 tahun sejak pendaftaran, sementara peraturan sektoral dapat mensyaratkan jangka waktu yang lebih lama.
Otoritas pengawasan pasar, petugas bea cukai, pihak daur ulang, atau peneliti pada tahun 2032 seharusnya dapat memverifikasi bahwa DPP yang terdaftar pada tahun 2026 benar-benar pernah terdaftar, tanpa harus bergantung pada keberadaan pelaku usaha asli yang masih ada dan dapat meminta bukti baru.
Dua usulan kami mudah diterapkan:
- Menjelaskan secara eksplisit bahwa byte bukti yang disegel secara resmi oleh Komisi boleh disimpan sementara, diarsipkan, dan didistribusikan kembali oleh pelaku ekonomi atau penyedia layanan. Segel yang memenuhi syarat sesuai Pasal 35(2) Peraturan eIDAS menjamin asumsi integritas dan asal-usul, terlepas dari lokasi byte tersebut.
- Menyediakan titik akhir verifikasi publik yang tidak diautentikasi di registri, yang memberikan respons yang ditandatangani terkait ID pendaftaran. Saat ini, setiap pemeriksaan pihak ketiga mengharuskan pelaku ekonomi untuk bertindak - ini bukanlah bentuk yang tepat untuk dokumen bukti yang harus bertahan lebih lama dari penerbitnya.
Selain itu, kami mengusulkan agar pembentukan hash ditetapkan secara deterministik: SHA-256 sebagai fungsi hash, JSON Canonicalization Scheme (RFC 8785) sebagai serialisasi, di luar blok tanda tangan. Dalam ekosistem W3C, ini adalah cryptosuite eddsa-jcs-2022, yang digunakan Transpareo untuk menandatangani secara langsung. Tanpa penetapan pinning ini, dua penyedia layanan akan menserialisasikan DPP yang sama ke hash yang berbeda, dan bidang hash dalam bukti pendaftaran tidak akan dapat direproduksi.
3. Pasal 17 tidak boleh membatasi akses ke data DPP publik
Pasal 17 menyebutkan “pengunduhan data massal” sebagai potensi penyalahgunaan pendaftaran. Hal ini benar untuk metadata administratif yang terdapat di dalam pendaftaran itu sendiri (identitas, log, jejak audit) - data tersebut tidak boleh menjadi bagian dari pengunduhan massal.
Namun, data DPP publik yang ada pada produsen atau penyedia layanan justru merupakan bidang yang ingin dibuat dapat diakses secara luas oleh ESPR. Perusahaan daur ulang yang mengumpulkan data komposisi mengenai armada produk; penelitian yang menganalisis pernyataan keberlanjutan secara lintas sektor; pengawasan pasar yang melakukan analisis perbandingan - semua itu merupakan bentuk-bentuk “pengunduhan data massal” terhadap lapisan DPP publik dan semuanya merupakan penggunaan yang dimaksudkan, yang menjadi tujuan disusunnya peraturan tersebut.
Usulan kami adalah penambahan kalimat klarifikasi dalam Pasal 17 yang membatasi ruang lingkup penerapan pada data register dan merujuk pada peraturan delegasi sektoral masing-masing untuk data DPP. Jika tidak, penyedia layanan akan dihadapkan pada pilihan saat peluncuran: baik membatasi kuota akses publik secara ketat demi keamanan - yang akan merusak pengalaman konsumen - atau membiarkannya terbuka dan berisiko diklasifikasikan sebagai penyalahgunaan sesuai dengan Pasal 17 di kemudian hari.
4. Publikasikan Spesifikasi OpenAPI dan Sandbox sebelum peluncuran
Pasal 3(b) mensyaratkan adanya API untuk pendaftaran. Pasal 8(5) menetapkan API sebagai salah satu dari dua saluran untuk pendaftaran. Namun, peraturan tersebut tidak menyebutkan kapan kontrak API harus dipublikasikan.
Siapa pun yang mengotomatiskan alur kerja pendaftaran - setiap penyedia layanan dan setiap pelaku usaha dengan katalog yang cukup besar - membutuhkan spesifikasi API jauh sebelum peluncuran agar dapat mengimplementasikannya dan mengujinya terhadap titik akhir yang sebenarnya. Menemukan spesifikasi pada minggu sebelum peraturan tersebut berlaku akan mengalihkan risiko integrasi kepada semua penyedia layanan dalam ekosistem.
Oleh karena itu, kami mengusulkan:
- Mempublikasikan spesifikasi OpenAPI 3.1 setidaknya delapan minggu sebelum berlakunya peraturan - untuk peluncuran pada 19 Juli 2026, berarti paling lambat 24 Mei 2026
- Menyediakan lingkungan sandbox secara paralel, di mana penyedia layanan dan produsen dapat melakukan integrasi serta menguji verifikasi otomatis sesuai Pasal 8(6)
- Kebijakan versi menggunakan Semver, dengan masa pemberitahuan penghentian layanan minimal 18 bulan
Saran desain tambahan: Kunci idempotensi pada panggilan pendaftaran, pendaftaran batch untuk katalog besar, pendaftaran asinkron dengan callback webhook, dan kode kesalahan yang dapat dibaca mesin untuk kasus-kasus kegagalan verifikasi otomatis.
Mengapa kami melakukan ini
Konsultasi bukanlah permainan untuk mengumpulkan poin. Jika setiap masukan berhasil membuat satu kalimat dalam versi akhir menjadi lebih tepat, maka masukan tersebut telah memenuhi tujuannya. Komisi benar-benar membaca masukan-masukan ini - pengalaman dari proses ESPR sendiri menunjukkan bahwa masukan yang didasarkan pada pengetahuan teknis sering kali meninggalkan jejak dalam teks akhir.
Kami akan mengajukan permohonan untuk dimasukkan ke dalam daftar penyedia layanan DPP segera setelah prosedur pendaftaran dipublikasikan. Oleh karena itu, merupakan kepentingan langsung kami agar aturan yang kami ikuti bersifat tepat dan menetapkan lapangan permainan yang adil. Keempat masukan ini merupakan langkah konkret kami untuk memastikan bahwa daftar tersebut tidak sekadar menjadi label pemasaran belaka.
Bagi yang ingin berpartisipasi
Jendela umpan balik dibuka hingga 27 Mei 2026. Masukan dapat disampaikan dalam bahasa resmi Uni Eropa mana pun, memerlukan pendaftaran di portal, dan akan ditampilkan secara publik. Siapa pun yang akan menerbitkan atau memverifikasi DPP - baik produsen, penyedia layanan, perusahaan daur ulang, maupun otoritas - sebaiknya membaca setidaknya sekali tentang inisiatif ini di Have Your Say. Masukan singkat namun akurat secara teknis pun sangat berarti.
Alat verifikasi kami Transpareo Time Machine sebenarnya sudah memenuhi kebutuhan verifikasi yang disinggung pada poin 2 dalam praktik sumber terbuka: Siapa pun yang ingin memeriksa Transpareo-DPP secara independen, dapat melakukannya dengan alat ini hari ini juga, tanpa harus menunggu titik akhir verifikasi yang ditetapkan secara resmi dalam daftar Komisi.