A 29 de abril de 2026, a Comissão Europeia publicou o projeto de regulamento de execução relativo ao registo DPP e, em paralelo, abriu um período de consulta de quatro semanas. Até 27 de maio de 2026, qualquer pessoa ou organização na UE e fora dela pode apresentar comentários através do portal «Have Your Say». Os comentários são públicos, cada um é assinado com o nome da pessoa ou da organização, e serão oficialmente incorporados na versão final do regulamento.
Discutimos o projeto em pormenor aqui no blogue. Dedicamos este artigo à questão do que respondemos à Comissão.
Por que razão apresentámos quatro contribuições separadas
O portal aceita 4 000 caracteres por contribuição. Poderíamos ter condensado todos os pontos numa única contribuição longa. Isso teria sido mais incómodo de ler e mais difícil de citar para os funcionários da Comissão, que, em maio, terão de analisar dezenas de contribuições. Quatro contribuições individuais são facilmente localizáveis na lista pública e cada uma pode ser respondida - ou rejeitada - isoladamente, sem afetar os outros pontos.
Apresentámos os seguintes quatro temas:
1. Definir requisitos mínimos para os prestadores de serviços DPP
O projeto de regulamento define corretamente o modelo descentralizado: Os dados DPP residem junto do operador económico ou do seu prestador de serviços DPP; o registo da Comissão armazena apenas as referências. Para os prestadores de serviços DPP (art. 2.º, n.º 32, do ESPR), está prevista uma lista oficial de prestadores autorizados.
O que falta é uma definição do que um prestador de serviços tem, de facto, de cumprir para ser incluído nessa lista e nela permanecer. Presumivelmente, as obrigações substantivas serão estabelecidas num ato delegado nos termos do artigo 4.º do regulamento-mãe do ESPR. No entanto, o registo entrará em funcionamento antes da publicação desse ato.
A nossa proposta: ou estabelecer diretamente neste regulamento de execução critérios mínimos para os prestadores de serviços, ou indicar um prazo vinculativo até ao qual o ato delegado deverá ser apresentado. Entre os requisitos mínimos propostos incluem-se:
- Disponibilidade da interface pública de leitura do DPP de, pelo menos, 99,5% por mês
- Um acordo de nível de serviço que defina a rapidez com que uma nova versão do DPP deve chegar à cópia de segurança (proposta: 24 horas ou em tempo real, quando tecnicamente possível)
- Verificação criptográfica obrigatória das versões recebidas pelo prestador de serviços
- Publicação das chaves públicas do agente económico num caminho padronizado (RFC 8615, proposta
/.well-known/dpp-keys/) - Processo definido de mudança e insolvência, para que os dados DPP sejam migrados de forma ordenada para outro prestador em caso de falha de um prestador
Estas obrigações não representam qualquer custo para um prestador de serviços sério - que, de qualquer forma, já as cumpre - , mas impedem uma corrida para o mais baixo entre prestadores de baixo custo, o que acabaria por comprometer a lista.
2. Verificabilidade a longo prazo dos DPP registados
O artigo 9.º, n.º 4, limita a disponibilidade do comprovativo de registo a 90 dias de calendário. Dentro deste prazo, o registo regenera o comprovativo mediante pedido. Isto é adequado para o funcionamento corrente, mas não se coaduna com o ciclo de vida da obrigação relativa aos DPP subjacente: o artigo 10.º, n.º 3, estabelece o período de conservação padrão em 10 anos a contar do registo, podendo a legislação setorial exigir um período mais longo.
Uma autoridade de fiscalização do mercado, um funcionário aduaneiro, uma empresa de reciclagem ou um investigador, em 2032, deverá poder verificar se um DPP registado em 2026 estava efetivamente registado, sem depender da existência do operador económico original nem da possibilidade de este solicitar um novo comprovativo.
As nossas duas propostas são fáceis de implementar:
- Esclarecer explicitamente que os bytes de prova selados de forma qualificada pela Comissão podem ser armazenados temporariamente, arquivados e redistribuídos pelo operador económico ou pelo prestador de serviços. O selo qualificado, nos termos do artigo 35.º, n.º 2, do Regulamento eIDAS, confere a presunção de integridade e de origem, independentemente da localização dos bytes.
- Criar um ponto final de verificação público e não autenticado no registo, que forneça uma resposta assinada associada a um ID de registo. Atualmente, qualquer verificação por terceiros pressupõe que o agente económico tome a iniciativa - esta é a forma errada para um documento probatório que deve sobreviver ao emitente.
Além disso, propusemos definir a geração do hash de forma determinística: SHA-256 como função hash, Esquema de Canonicalização JSON (RFC 8785) como serialização, fora do bloco de assinatura. No ecossistema do W3C, trata-se da cryptosuite eddsa-jcs-2022, com a qual o Transpareo assina diretamente. Sem esta definição de pinning, dois prestadores de serviços serializariam o mesmo DPP para hashes diferentes, e o campo de hash no comprovativo de registo não seria reproduzível.
3. O artigo 17.º não pode restringir o acesso aos dados públicos do DPP
O artigo 17.º refere o «download massivo de dados» como um possível abuso do registo. No que diz respeito aos metadados administrativos que se encontram no próprio registo (identidades, registos, pistas de auditoria), isso está correto - estes não devem ser objeto de downloads em massa.
No entanto, os dados públicos do DPP junto do fabricante ou do prestador de serviços são precisamente a área que o ESPR pretende tornar amplamente acessível. Recicladores que recolhem dados sobre a composição de frotas de produtos; investigação que avalia transversalmente declarações de sustentabilidade; a vigilância do mercado, que realiza análises comparativas - todas estas são formas de «transferência massiva de dados» em relação à camada pública de DPP e todas constituem utilizações pretendidas, para as quais o regulamento foi elaborado.
A nossa proposta consiste numa frase de esclarecimento no artigo 17.º, que limite o âmbito de aplicação aos dados dos registos e remeta, no que diz respeito aos dados DPP, para os respetivos atos delegados setoriais. Caso contrário, os prestadores de serviços deparam-se com uma escolha no momento do arranque: ou limitam agressivamente o acesso público por uma questão de segurança - prejudicando assim a experiência do consumidor - ou mantêm-no aberto e arriscam-se a ser posteriormente classificados como abuso, na aceção do artigo 17.º.
4. Publicar a especificação OpenAPI e a sandbox antes do lançamento
O artigo 3.º, alínea b), exige uma API para os registos. O artigo 8.º, n.º 5, torna-a um dos dois canais para o registo. No entanto, o regulamento não se pronuncia sobre quando a especificação da API deve ser publicada.
Quem automatiza os fluxos de trabalho de registo - qualquer prestador de serviços e qualquer agente económico com um catálogo mais vasto - precisa da especificação da API com bastante antecedência em relação ao lançamento, para a implementar e testar contra um ponto final real. Encontrar uma especificação na semana anterior à entrada em vigor transfere o risco de integração para todos os prestadores de serviços do ecossistema.
Por isso, propusemos:
- Publicar uma especificação OpenAPI 3.1 pelo menos oito semanas antes da entrada em vigor - ou seja, para um início a 19 de julho de 2026, até 24 de maio de 2026
- Um ambiente sandbox paralelo, no qual os prestadores de serviços e os fabricantes possam integrar-se e testar a autoverificação prevista no artigo 8.º, n.º 6
- Uma política de versionamento com Semver, com um prazo de pré-aviso de, pelo menos, 18 meses
Sugestões adicionais de conceção: chaves idempotentes nas chamadas de registo, registo em lote para catálogos de grande dimensão, registo assíncrono com callback via webhook e códigos de erro legíveis por máquina para os casos de erro na verificação automática.
Por que fazemos isto
Uma consulta não é um jogo para acumular pontos. Se cada contribuição conseguir tornar uma única frase da versão final mais precisa, terá cumprido o seu objetivo. A Comissão lê efetivamente estas contribuições - a própria experiência do processo ESPR demonstra que as contribuições com fundamentação técnica deixam frequentemente a sua marca nos textos finais.
De qualquer forma, iremos candidatar-nos à inclusão na lista de prestadores de serviços DPP assim que o processo de admissão for publicado. É, portanto, do nosso interesse direto que as regras sob as quais concorremos sejam precisas e definam condições equitativas. As quatro contribuições são a nossa forma concreta de garantir que a lista não se degrade a um mero rótulo de marketing.
Quem quiser participar
O período de comentários decorre até 27 de maio de 2026. As contribuições podem ser apresentadas em qualquer língua oficial da UE, requerem o registo no portal e serão tornadas públicas. Quem vier a emitir ou verificar DPPs - fabricantes, prestadores de serviços, empresas de reciclagem, autoridades - deve, pelo menos uma vez, informar-se sobre a iniciativa em Have Your Say. Mesmo uma contribuição breve, mas tecnicamente precisa, é importante.
A nossa ferramenta de verificação Transpareo Time Machine resolve, aliás, a necessidade de verificação referida no ponto 2 já na prática de código aberto: quem quiser verificar de forma independente um Transpareo-DPP pode fazê-lo já hoje com esta ferramenta, sem ter de esperar por um ponto de verificação formalmente estabelecido no registo da Comissão.