A 29 de abril de 2026, a Comissão Europeia publicou o projeto de regulamento de execução relativo ao registo do Passaporte Digital do Produto (Ares(2026)4424976). Este regulamento concretiza o artigo 13.º, n.º 5, do ESPR (Regulamento (UE) 2024/1781) e define como o registo, gerido pela Comissão, irá funcionar do ponto de vista técnico e organizacional.
O texto está identificado como projeto e ainda não foi adotado. No entanto, os mecanismos essenciais já são claramente identificáveis - e têm consequências imediatas para todos os fabricantes que, a partir de 2027, tenham de emitir um DPP.
O que é o registo - e o que não é
Uma clarificação inicial: o registo da UE não armazena os dados do DPP propriamente ditos. Trata-se de um serviço de diretório central que mantém, para cada registo, um identificador único, o código da mercadoria, a identidade do operador económico, um hash da versão do DPP e uma referência à cópia de segurança junto do prestador de serviços do DPP.
O considerando 3 refere-se a isto como um «modelo descentralizado»: os dados do produto continuam a estar alojados junto do fabricante ou na sua plataforma DPP. O registo é a lista de endereços canónica, não um silo de dados.
Do ponto de vista funcional, o registo é composto por:
- uma interface web e uma API para registos
- uma plataforma de verificação para os operadores económicos
- uma lista dos prestadores de serviços DPP autorizados
- um repositório semântico (multilíngue, estruturado segundo o DCAT-AP) como referência para atributos de dados, estruturas de modelos e funções
- um sistema de registo com prazos de conservação escalonados
Verificação antes do registo
Nenhum DPP é criado no registo antes de o operador económico requerente ser considerado um operador económico verificado (art. 4.º). A verificação é efetuada diretamente pelo registo e recorre aos meios previstos no eIDAS Regulamento (UE) n.º 910/2014:
- Pessoa coletiva na UE: selo eletrónico qualificado ou certificado de atributos eletrónicos
- Pessoa singular como empresário individual na UE: assinatura eletrónica qualificada, eID de nível «elevado» ou certificado de atributos
- Operadores fora da UE: assinatura ou selo qualificado ou certificado de atributos
A verificação tem uma validade máxima de três anos. Quem não renovar será classificado como «não verificado» e perderá o direito de registar novos DPP ou de alterar os existentes (art. 4.º, n.º 4).
Esta verificação constitui o requisito legal. É da responsabilidade do fabricante perante a Comissão - e não é delegada, mesmo que um prestador de serviços como a Transpareo se encarregue do registo operacional.
Granularidade: modelo, lote ou artigo
O artigo 8.º exige que os DPPs sejam registados no nível de granularidade previsto pelo ato legislativo setorial em causa - modelo, lote ou artigo. Quando é criado um DPP de artigo e existem identificadores de lote ou de modelo, estes devem ser incluídos. No caso dos DPPs de lote, aplica-se o mesmo princípio aos IDs de modelo.
Para os fabricantes, isto significa que os dados mestre internos necessitam de uma hierarquia clara entre modelo, lote e produto individual. Sem esta ligação, a validação automática do registo falha.
Versões, hash e conservação
Cada versão do DPP é associada ao ID de registo original. Em cada alteração, o registo exige um hash da versão atual do DPP - verificável criptograficamente, não gerável manualmente.
O comprovativo de registo (art. 9.º) é um documento eletrónico que a Comissão sela de forma qualificada e ao qual atribui um carimbo temporal. Conteúdo mínimo: ID de registo, código da mercadoria, identidade do interveniente, data e hash da última versão. Válido por 90 dias, podendo ser regenerado quantas vezes for necessário.
Período de conservação padrão: 10 anos a contar do registo, salvo se o direito da União ou o direito setorial previr outro prazo (art. 10.º, n.º 3, do Regulamento de Execução do Registo DPP). Mesmo a insolvência ou a liquidação do fabricante não isenta da obrigação de disponibilização (ESPR, art. 11.º, alínea e)).
Sistema de registo
O registo mantém um registo em três níveis (art. 14.º):
- Acessos e autenticações: 6 meses
- Alterações de dados: duração do registo
- Ações administrativas e troca de dados: 5 anos
As autoridades nacionais têm acesso em caso de incidentes, auditorias ou amostragens.
Dados pessoais - o que a Comissão armazena
O artigo 18.º enumera os dados que se encontram exclusivamente no registo: nome e apelido de cada utilizador, credenciais de início de sessão, tokens de autenticação, endereço postal, e-mail. No caso de pessoas singulares, adicionalmente, o número do passaporte ou do cartão de identidade, eID e número de identificação fiscal. Estes dados não são do domínio do prestador de serviços DPP. A Comissão é a responsável pelo tratamento destes dados de conta, enquanto o agente económico continua a ser o responsável pelo tratamento dos seus dados DPP.
Como a Transpareo cumpre os requisitos
A maioria dos requisitos diz respeito a decisões de arquitetura que a Transpareo já toma nesta forma. Mais especificamente:
Modelo descentralizado. A Transpareo é uma plataforma multi-tenant com uma base de dados isolada por cliente. Os dados DPP residem na base de dados do operador económico, não num conjunto centralizado - exatamente a arquitetura que o Considerando 3 pressupõe.
Função de subcontratante claramente delimitada. Os artigos 19.º, n.º 5, e 20.º, n.º 3, prevêem que o agente económico continua a ser o responsável pelo tratamento, mesmo que encarregue um terceiro do registo. A Transpareo já opera atualmente como subcontratante ao abrigo do AVV - as funções estão claramente definidas.
URL de backup estável por DPP. Cada DPP da Transpareo é acessível através de uma URL permanente, que não se altera mesmo com mudanças de versão. É exatamente isso que o artigo 8.º, n.º 6, alínea d), exige como «ligação para o backup alojado por um DPP-SP».
Granularidade. O modelo de dados da Transpareo distingue entre modelo de produto, lote e produto individual e permite estabelecer ligações ao longo da hierarquia - o requisito necessário para cumprir o artigo 8.º, n.ºs 3 e 4.
Mapeamento semântico multilingue. O repositório da Comissão é multilingue, em conformidade com o DCAT-AP. O Transpareo mantém cada ponto de dados em 39 línguas, incluindo todas as 24 línguas oficiais da UE, com a tradução incluída no preço.
Hash de versão. A serialização determinística de acordo com o JSON Canonicalization Scheme (RFC 8785) e um hash SHA-256 por versão do DPP já estão disponíveis. A única questão em aberto é o formato exato de fixação do hash do registo da UE; assim que a Comissão o publicar, iremos também incorporá-lo.
Inclusão na lista de prestadores de serviços DPP. A Transpareo irá candidatar-se à lista oficial de prestadores de serviços DPP (art. 2.º, n.º 32, do ESPR) assim que o processo de admissão for publicado.
Registo por conta de terceiros. Estamos a preparar o serviço para efetuar o registo por conta de clientes autorizados - a responsabilidade jurídica do cliente permanece inalterada, nos termos do Art. 19.º, n.º 4.
Calendário
A entrada em vigor é regulada pelo artigo 23.º: 20 dias após a publicação no Jornal Oficial. A data exata dependerá do momento em que a Comissão aprovar a versão final. O mandato principal previsto no artigo 13.º, n.º 5, do ESPR tem data de 19 de julho de 2026 - até essa data, o registo deve estar operacional.
Prevê-se que o registo só entre em pleno funcionamento a partir de 18 de fevereiro de 2027: Nessa data, entra em vigor o artigo 77.º do Regulamento da UE relativo às baterias 2023/1542, e o DPP passará a ser obrigatório para baterias industriais, de veículos elétricos e de LMT com capacidade superior a 2 kWh. Os detalhes e as questões pendentes relativas ao ato de execução foram registados no Calendário ESPR 2027. Faltam cerca de nove meses até lá. Quem estiver a planear contratos com fornecedores, a migração de dados mestre e aprovações internas sabe que o prazo é curto, não é abundante.
O que ainda está em aberto
O próprio regulamento descreve a estrutura organizacional. O que falta é a especificação técnica da API - o formato exato da interface, os esquemas e as regras de validação. Prevê-se que esta seja publicada como uma orientação separada da Comissão, nos termos do artigo 15.º, n.º 1, provavelmente ainda no decurso de 2026.
Até lá, porém, o rumo a seguir é claro: arquitetura descentralizada, intervenientes verificados, assinaturas qualificadas, identificadores de registo únicos, encadeamento de versões, interoperabilidade semântica. Todos conceitos que vieram para ficar.
A iniciativa oficial de consulta da Comissão está disponível em Have Your Say.