Skip to content
InfoDPP Logo
InfoDPP
ESPR knowledge hub
technology

¿Quién puede operar un DPP? Normas de la UE para proveedores

Qué prepara la UE para los proveedores de servicios DPP: certificación, interoperabilidad, reglas de respaldo y gobernanza de plataformas.

· 9 min de lectura · InfoDPP

Por qué este tema importa ahora

La Comisión Europea ya no habla del Pasaporte Digital de Productos únicamente como herramienta de cumplimiento a nivel de producto. También está preparando normas para las empresas que operarán la infraestructura en torno al DPP.

Esto es significativo porque un proveedor de servicios DPP no es un simple proveedor de software. En la práctica, dicho proveedor puede alojar registros de productos, gestionar derechos de acceso, mantener copias de respaldo, facilitar la interoperabilidad, exponer APIs y garantizar que los datos del pasaporte sigan disponibles cuando los productos circulen por el mercado.

Para las empresas que eligen una plataforma DPP, la pregunta pasa de «¿Puede este proveedor generar un código QR?» a «¿Es probable que esta arquitectura siga siendo funcional cuando las normas de gobernanza de la UE se concreten más?»

Qué está preparando la Comisión

La Comisión Europea ha abierto una iniciativa específica sobre normas para proveedores de servicios DPP en el marco del Reglamento ESPR. La iniciativa indica claramente que la Comisión pretende adoptar un acto delegado que establezca las normas de funcionamiento de los proveedores como parte esencial de la gobernanza ampliada del DPP.

El proceso ya tiene un calendario visible:

  • convocatoria de observaciones: 12 de noviembre – 10 de diciembre de 2024
  • consulta pública: 8 de abril – 1 de julio de 2025
  • proyecto de acto: en preparación
  • adopción por la Comisión: prevista para el T4 de 2026

El marco jurídico final aún no se ha publicado, pero la dirección ya no es abstracta. La Comisión ha planteado al mercado preguntas específicas sobre almacenamiento de datos, gestión de datos y la posible necesidad de un sistema de certificación para proveedores.

Qué está claro hoy

Incluso antes de la publicación del acto delegado final, varios puntos son ya lo bastante claros.

1. Los proveedores DPP serán tratados como un rol de gobernanza diferenciado

La Comisión no trata la infraestructura DPP como un detalle técnico invisible. La considera una función que puede requerir normas específicas, ya que los proveedores se sitúan en la intersección de operadores económicos, reguladores, consumidores, sistemas aduaneros y autoridades de vigilancia del mercado.

2. El debate no es si hacen falta normas de gobernanza

El debate gira en torno a cómo deben ser esas normas. Es una distinción importante. La capa básica de gobernanza ya está sobre la mesa. Las cuestiones abiertas se refieren a certificación, separación de roles, propiedad de datos y requisitos técnicos.

3. La interoperabilidad es central, no opcional

A lo largo de las contribuciones de la consulta, un tema se repite constantemente: los proveedores DPP no deben encerrar a las empresas en sistemas propietarios. Estándares abiertos, identificadores portables y transferibilidad entre proveedores figuran entre las demandas más recurrentes.

4. Respaldo y continuidad serán importantes

El marco ESPR ya incluye el principio de que los datos DPP deben seguir disponibles incluso si el operador original o el actor económico desaparece. El debate sobre proveedores lo hace operativo: quién almacena las copias de respaldo, cuándo se liberan y si el respaldo debe ser un rol independiente.

Qué muestra el registro de contribuciones

La convocatoria de observaciones atrajo 178 respuestas — de proveedores de plataformas, fabricantes, actores de normalización, asociaciones sectoriales, iniciativas de espacios de datos y organismos de evaluación de la conformidad. El registro de consultas no da la respuesta jurídica final, pero sí muestra dónde reside el consenso más fuerte.

La interoperabilidad y la protección contra el bloqueo son el denominador común más fuerte

Esta es la conclusión más clara de todo el conjunto de comentarios. Los encuestados de sectores muy diversos argumentan que los proveedores DPP deben basarse en estándares abiertos e internacionalmente reconocidos y evitar arquitecturas que dificulten innecesariamente el cambio de proveedor.

Por qué importa esto en la práctica:

  • las empresas deben poder exportar sus datos de producto en forma utilizable
  • los identificadores y enlaces no deben romperse al cambiar de proveedor
  • los proveedores no deben depender de protocolos cerrados que creen barreras de salida
  • un DPP debe ser portable entre plataformas y sistemas

El mensaje práctico es simple: un proveedor que depende del bloqueo va en contra de la dirección que ya se percibe en el registro de la consulta.

La gobernanza descentralizada cuenta con amplio respaldo

Otro punto recurrente: los datos DPP no deben concentrarse automáticamente en un repositorio central propietario controlado por un operador externo. Un amplio grupo de encuestados abogó por un modelo más descentralizado en el que el operador económico mantiene el control de sus datos y el proveedor de servicios da soporte al alojamiento, intercambio y continuidad en lugar de apropiarse de todo el sistema.

Esto no significa que todas las empresas vayan a alojar sus propios sistemas. Significa que el modelo de gobernanza debe dar cabida a:

  • una clara propiedad de los datos por parte del operador económico
  • alojamiento en plataformas sin transferencia implícita de control
  • registros portátiles y estructuras exportables
  • funciones de copia de seguridad limitadas y claramente definidas

La certificación está sobre la mesa, pero sin resolver

La consulta muestra que algunos actores quieren un modelo de certificación ex ante formal, mientras que otros prefieren supervisión más flexible. Se mencionan referencias a la madurez en seguridad de la información (tipo ISO 27001) como expectativa práctica mínima.

  • algunos actores defienden una certificación formal e independiente antes de que un proveedor pueda operar
  • otros apoyan una certificación voluntaria o criterios básicos de seguridad en lugar de un sistema de acceso demasiado rígido
  • varias respuestas señalan la gestión de la seguridad de la información, en un nivel similar a ISO 27001, como referencia práctica de base

Es probable alguna forma de fiabilidad y gobernanza demostrable, pero el mecanismo jurídico exacto aún no se ha finalizado.

Las copias de respaldo no son una cuestión trivial de almacenamiento

El debate sobre las copias de seguridad es más específico de lo que parece. Las partes interesadas no se limitan a preguntar si los proveedores deben conservar una segunda copia de los datos. Están preguntando:

  • si el respaldo debe ser operado por el mismo proveedor o por un tercero independiente
  • si debe contener un espejo en tiempo real o solo el último estado válido
  • quién puede acceder y bajo qué condiciones
  • cómo funciona la continuidad si el operador económico o el proveedor deja de existir

Esto importa porque un proveedor diseñado solo para la presentación en el front-end podría tener dificultades más adelante si las normas de la UE exigen una lógica más estructurada de continuidad y liberación de datos.

Qué sigue abierto

Aquí es donde conviene ser prudentes. Varias cuestiones importantes siguen sin resolverse y el artículo no debería fingir lo contrario.

1. El modelo final de certificación no se ha publicado

No se sabe aún si el acto delegado requerirá una certificación ex ante completa, una evaluación de conformidad más ligera, una certificación voluntaria o un modelo híbrido.

2. La frontera entre alojamiento primario y respaldo es difusa

La distinción jurídica y operativa entre una plataforma que sirve activamente un DPP y un proveedor que solo conserva una copia de continuidad sigue en discusión.

3. Los requisitos técnicos finales no están codificados

La dirección política es claramente pro-interoperabilidad, pero el acto delegado no ha definido aún la pila de estándares exacta, las obligaciones sistémicas ni los mecanismos de verificación para proveedores.

4. Las barreras financieras y organizativas no están resueltas

Algunos encuestados advirtieron que requisitos excesivamente estrictos podrían excluir a empresas de software europeas más pequeñas. Esa preocupación es visible en los comentarios, pero el equilibrio final de la Comisión aún no se conoce.

Qué pueden hacer las empresas de forma segura ahora

Que el acto delegado final aún no se haya publicado no significa que las empresas deban esperar pasivamente. Significa que deberían centrarse en decisiones que probablemente no se desperdicien aunque cambien algunos detalles.

1. Priorizar datos de producto abiertos y portables

No construya su flujo de trabajo en torno a una plataforma que dificulte las exportaciones, oculte identificadores o complique la migración. La portabilidad es una de las suposiciones más seguras.

2. Preguntar a los proveedores sobre propiedad y lógica de salida

Un proveedor DPP serio ya debería poder responder a preguntas como:

  • ¿a quién pertenecen los datos de producto?
  • ¿cómo se exportan?
  • ¿qué ocurre si el servicio finaliza?
  • ¿cómo se gestionan el respaldo y la continuidad?

Si esas respuestas son vagas hoy, es poco probable que se vuelvan más fáciles después de que se adopte el acto delegado.

3. Tratar la gobernanza como parte de la selección del proveedor

No evalúe a los proveedores solo por funcionalidades de interfaz. Evalúe su enfoque sobre derechos de acceso, auditabilidad, separación de roles, datos estructurados y mantenibilidad a largo plazo.

4. Evitar arquitecturas difíciles de adaptar después

La preparación más segura no consiste en adivinar la regla final exacta. Consiste en no construir sobre supuestos que ya están siendo cuestionados en las consultas — especialmente el bloqueo propietario y la portabilidad débil.

Por qué esto es relevante para los compradores de OriginPass

Para fabricantes, importadores y propietarios de marcas, la conclusión clave no es que deban convertirse en expertos en redacción de actos delegados. La conclusión clave es que la elección del proveedor se convierte en una decisión de arquitectura relevante para el cumplimiento.

La señal más fuerte del proceso actual indica que el modelo DPP ganador probablemente no será:

  • cerrado
  • opaco
  • difícil de exportar
  • poco riguroso con respaldos y lógica de acceso

La dirección más probable es un modelo construido sobre:

  • registros estructurados
  • identificadores portátiles
  • fronteras de propiedad claras
  • interoperabilidad
  • gobernanza que pueda explicarse y auditarse

Leer a continuación

Fuentes oficiales

Elegir una plataforma DPP ya no es solo una decisión de software. Conviene trabajar con un operador que ya sigue de cerca las cuestiones de proveedores, interoperabilidad y gobernanza mientras se concretan las normas de la UE. Así aborda OriginPass los registros de producto estructurados y los flujos DPP portables.

← Volver al Blog
OriginPass

Prepare sus datos de producto para el ESPR

Empiece a construir su Pasaporte Digital de Producto — estructure datos, mapee identificadores y esté listo antes de que lleguen los actos delegados. Plan gratuito disponible.

Empiece gratis en OriginPass →
Configuración rápida

Sin tarjeta de crédito · Plan gratuito disponible · Empiece a su propio ritmo