La 29 aprilie 2026, Comisia Europeană a publicat proiectul de regulament de punere în aplicare privind registrul DPP și a deschis, în paralel, o perioadă de consultare de patru săptămâni. Până la 27 mai 2026, orice persoană și orice organizație din UE și din afara acesteia poate transmite observații prin intermediul portalului „Have Your Say”. Observațiile sunt publice, fiecare fiind semnată cu numele persoanei sau al organizației, și vor fi incluse oficial în versiunea finală a regulamentului.
Am discutat pe larg proiectul aici, pe blog. Acest articol este dedicat răspunsului pe care l-am transmis Comisiei.
De ce am depus patru contribuții separate
Portalul acceptă 4 000 de caractere per contribuție. Am fi putut înghesui toate punctele într-o singură contribuție lungă. Acest lucru ar fi fost mai greu de citit și mai dificil de citat pentru angajații Comisiei, care vor analiza zeci de contribuții în luna mai. Cele patru contribuții separate pot fi găsite fiecare în parte în lista publică, iar fiecare poate primi un răspuns - sau poate fi respinsă - în mod izolat, fără a influența celelalte puncte.
Am depus următoarele patru teme:
1. Definirea cerințelor minime pentru furnizorii de servicii DPP
Proiectul de regulament definește corect modelul descentralizat: Datele DPP sunt stocate la operatorul economic sau la furnizorul său de servicii DPP, registrul Comisiei stocând doar referințele. Pentru furnizorii de servicii DPP (art. 2 nr. 32 din ESPR) este prevăzută o listă oficială a furnizorilor autorizați.
Ceea ce lipsește este o precizare a ceea ce trebuie să îndeplinească de fapt un furnizor de servicii pentru a fi inclus în această listă și a rămâne pe ea. Probabil că obligațiile substanțiale vor fi prevăzute într-un act delegat în temeiul articolului 4 din regulamentul-cadru ESPR. Registrul va fi însă lansat înainte ca acest act să fie publicat.
Propunerea noastră: fie să se stabilească direct în acest regulament de punere în aplicare criteriile minime pentru furnizorii de servicii, fie să se menționeze un termen obligatoriu până la care va fi prezentat actul delegat. Printre cerințele minime propuse se numără:
- Disponibilitatea interfeței publice de citire a DPP de cel puțin 99,5% pe lună
- Un acord privind nivelul serviciilor (SLA) care să specifice cât de repede trebuie să ajungă o nouă versiune a DPP în copia de siguranță (propunere: 24 de ore sau în timp real, acolo unde este posibil din punct de vedere tehnic)
- Verificarea criptografică obligatorie a versiunilor primite de către furnizorul de servicii
- Publicarea cheilor publice ale operatorului economic pe o cale standardizată (RFC 8615, propunere
/.well-known/dpp-keys/) - Un proces definit de schimbare a furnizorului și de insolvență, astfel încât datele DPP să fie migrate în mod ordonat către un alt furnizor în cazul în care unul dintre aceștia își încetează activitatea
Aceste obligații nu implică costuri pentru un furnizor serios - acesta le îndeplinește oricum -, dar împiedică o „cursă spre jos” între furnizorii ieftini, care, în final, subminează lista.
2. Verificabilitatea pe termen lung a DPP-urilor înregistrate
Articolul 9 alineatul (4) limitează disponibilitatea certificatului de înregistrare la 90 de zile calendaristice. În acest termen, registrul regenerează certificatul la cerere. Acest lucru este acceptabil pentru funcționarea curentă, dar nu se potrivește cu ciclul de viață al obligației DPP care stă la baza sa: articolul 10 alineatul (3) stabilește perioada standard de păstrare la 10 ani de la înregistrare, iar legislația sectorială poate impune o perioadă mai lungă.
O autoritate de supraveghere a pieței, un funcționar vamal, o întreprindere de reciclare sau un cercetător din anul 2032 ar trebui să poată verifica dacă un DPP înregistrat în 2026 a fost într-adevăr înregistrat, fără a depinde de faptul că operatorul economic inițial mai există și poate solicita un certificat nou.
Cele două propuneri ale noastre sunt ușor de pus în aplicare:
- Să se precizeze în mod explicit că octeții de dovadă sigilați în mod calificat de către Comisie pot fi stocați temporar, arhivați și redistribuiți de către operatorul economic sau de către furnizorul de servicii. Sigiliul calificat prevăzut la articolul 35 alineatul (2) din Regulamentul eIDAS conferă prezumția de integritate și de origine, indiferent de locul în care se află octeții.
- Un punct final de verificare public, neautentificat, la nivelul registrului, care furnizează un răspuns semnat corespunzător unui ID de înregistrare. În prezent, orice verificare de către o terță parte presupune ca operatorul economic să intervină activ - aceasta este o formă inadecvată pentru un document probatoriu care trebuie să supraviețuiască emitentului.
În plus, am propus stabilirea deterministă a generării hash-ului: SHA-256 ca funcție hash, Schema de canonizare JSON (RFC 8785) ca serializare, în afara blocului de semnătură. În ecosistemul W3C, aceasta este suita criptografică eddsa-jcs-2022, cu care Transpareo semnează direct. Fără această specificare de pinning, doi furnizori de servicii ar serializa același DPP cu hash-uri diferite, iar câmpul hash din dovada de înregistrare nu ar fi reproductibil.
3. Articolul 17 nu trebuie să restricționeze accesul la datele DPP publice
Articolul 17 menționează „descărcarea masivă de date” ca o posibilă utilizare abuzivă a registrului. În ceea ce privește metadatele administrative stocate în registru (identități, jurnale, urme de audit), acest lucru este corect - acestea nu ar trebui să facă obiectul descărcărilor masive.
Datele DPP publice de la producător sau furnizorul de servicii reprezintă însă exact domeniul pe care ESPR dorește să îl facă accesibil pe scară largă. Reciclatorii care extrag date compoziționale despre flotele de produse; cercetarea care evaluează transversal declarațiile de sustenabilitate; supravegherea pieței, care efectuează analize comparative - toate acestea reprezintă forme de „descărcare masivă de date” din stratul public al DPP și sunt utilizări intenționate pentru care a fost elaborat regulamentul.
Propunerea noastră este introducerea unei fraze de clarificare în articolul 17, care să limiteze domeniul de aplicare la datele din registre și să facă trimitere, în ceea ce privește datele DPP, la actele delegate specifice fiecărui sector. În caz contrar, furnizorii de servicii se vor afla la început în fața unei alegeri: fie să limiteze agresiv accesul public din motive de siguranță - și să distrugă experiența consumatorului -, fie să îl lase deschis și să riște să fie calificați ulterior ca abuz în sensul articolului 17.
4. Publicarea specificației OpenAPI și a sandbox-ului înainte de lansare
Articolul 3 litera (b) impune existența unei API pentru înregistrări. Articolul 8 alineatul (5) o desemnează ca unul dintre cele două canale de înregistrare. Regulamentul nu precizează însă când trebuie publicată specificația API.
Cei care automatizează fluxurile de lucru pentru înregistrare - fiecare furnizor de servicii și fiecare actor economic cu un catalog mai extins - au nevoie de specificația API cu mult înainte de lansare, pentru a o implementa și a o testa pe un punct final real. Găsirea unei specificații în săptămâna dinaintea intrării în vigoare transferă riscul de integrare asupra tuturor furnizorilor din ecosistem.
Prin urmare, am propus:
- Publicarea unei specificații OpenAPI 3.1 cu cel puțin opt săptămâni înainte de intrarea în vigoare - adică, pentru o dată de lansare de 19 iulie 2026, până la 24 mai 2026
- Un mediu de testare (sandbox) în paralel, în care furnizorii de servicii și producătorii să poată integra și testa autoverificarea prevăzută la articolul 8 alineatul (6)
- O politică de versiuni conformă cu Semver, cu un termen de preaviz de cel puțin 18 luni
Sugestii suplimentare de proiectare: chei idempotente pentru apelurile de înregistrare, înregistrare în lot pentru cataloage mari, înregistrare asincronă cu callback prin webhook și coduri de eroare lizibile de mașini pentru cazurile de eroare din cadrul verificării automate.
De ce facem asta
O consultare nu este un joc de acumulare de puncte. Dacă fiecare contribuție reușește să facă o singură frază din versiunea finală mai precisă, și-a îndeplinit scopul. Comisia citește efectiv aceste contribuții - experiența din cadrul procesului ESPR însuși arată că observațiile fundamentate din punct de vedere tehnic își lasă adesea amprenta asupra textelor finale.
Oricum, vom depune o cerere de includere pe lista furnizorilor de servicii DPP imediat ce procedura de admitere va fi publicată. Prin urmare, este în interesul nostru direct ca regulile în baza cărora participăm să fie precise și să definească un teren de joc echitabil. Cele patru contribuții reprezintă modalitatea noastră concretă de a ne asigura că lista nu se degradează la simpla etichetă de marketing.
Cine dorește să participe
Perioada de feedback se încheie pe 27 mai 2026. Contribuțiile pot fi redactate în orice limbă oficială a UE, necesită înregistrarea pe portal și vor fi vizibile public. Cei care vor emite sau verifica DPP-urile - producători, furnizori de servicii, firme de reciclare, autorități - ar trebui să citească cel puțin o dată despre inițiativă pe Have Your Say. Chiar și o contribuție scurtă, dar precisă din punct de vedere tehnic, contează.
Instrumentul nostru de verificare Transpareo Time Machine rezolvă, de altfel, necesitatea de verificare menționată la punctul 2 chiar în practica open source: cine dorește să verifice independent un DPP Transpareo poate face acest lucru chiar astăzi cu ajutorul instrumentului, fără a mai aștepta un punct final de verificare stabilit oficial în registrul Comisiei.