Lista de verificación para distribuidores CRA: 5 pasos de verificación para cada producto

Los distribuidores tienen las obligaciones CRA más ligeras, pero "ligero" no significa "ninguno." Si vendes un producto obviamente no conforme, compartes la responsabilidad.

Esta lista de verificación cubre las cinco cosas que debes verificar antes de cada venta y qué hacer cuando algo parece incorrecto.

Qué significa "distribuidor" bajo el CRA

La Ley de Ciberresiliencia define un distribuidor como cualquier entidad en la cadena de suministro, distinta del fabricante o importador, que pone un producto a disposición en el mercado.

Eres un distribuidor si:

• Compras a importadores y vendes a minoristas o usuarios finales
• Operas como mayorista o revendedor
• Administras una plataforma de comercio electrónico que toma titularidad de los bienes
• Proporcionas productos a clientes empresariales

NO eres un distribuidor si:

• Solo proporcionas logística (transporte/almacenamiento sin ventas)
• Eres la primera entidad de la UE que coloca bienes de fuera de la UE en el mercado (eso es un importador)
• Fabricas o modificas sustancialmente productos (eso es un fabricante)

El rol del distribuidor en el cumplimiento del CRA

Los distribuidores actúan como el punto de control final antes de que los productos lleguen a los usuarios finales. Tu trabajo no es realizar evaluaciones técnicas profundas. Eso ya lo han hecho los fabricantes y verificado los importadores.

Tu rol es detectar problemas obvios y asegurar que la cadena de cumplimiento no se ha roto.

La verificación de 5 puntos del distribuidor

Antes de poner cualquier producto con elementos digitales a disposición en el mercado de la UE, verifica estos cinco puntos:

1. Marcado CE presente y correcto

Verifica que:

• El marcado CE es visible en el producto o embalaje
• El marcado es legible (no desvanecido, manchado u parcialmente oculto)
• El formato es correcto (las dos letras deben tener proporciones específicas)
• Altura mínima de 5mm (a menos que el tamaño del producto lo haga imposible)

Qué buscar:

MARCADO CE CORRECTO:
- Las letras "C" y "E" tienen igual altura
- Proporciones específicas (disponibles en la guía de la UE)
- Marcado claro y permanente

SEÑALES DE ALERTA:
- "CE" en una fuente o estilo diferente
- Marcado "China Export" (similar pero diferente)
- Marcado CE solo en caja de envio externa, no en embalaje minorista
- Etiqueta qué puede removerse facilmente

2. Identificación del fabricante visible

Los productos deben mostrar:

• Nombre del fabricante o nombre comercial registrado
• Dirección de contacto (postal, no solo sitio web)
• Para productos importados: nombre y dirección del importador también

Esta información debe estar en:

• El producto mismo (preferido)
• El embalaje (si el tamaño del producto lo prohibe)
• Documentación acompañante

Señal de alerta: Productos sin ninguna identificación del fabricante, o solo una URL de sitio web sin dirección física.

3. Documentación requerida acompaña al producto

Verifica que los productos vienen con:

• Instrucciones de usuario en idioma(s) apropiado(s)
• Información de seguridad relevante al producto
• Declaración de Conformidad UE o referencia a donde puede obtenerse

No necesitas leer y verificar el contenido técnico. Necesitas confirmar que estos documentos existen y acompañan al producto.

Señal de alerta: Productos enviados con documentación solo en chino, o sin Documentación.

4. Sin señales obvias de incumplimiento

Esta es la Decisión de juicio. "Obviamente no conforme" significa problemas visibles sin experiencia técnica:

Tu estándar: ¿Reconocería una persona de negocios razonable, sin conocimiento especializado de ciberseguridad, esto como no conforme?

5. Sin problemas conocidos de la cadena anterior

Verifica si:

• El fabricante ha comunicado alguna preocupación de cumplimiento
• El importador ha señalado alguna brecha de Documentación
• El producto está sujeto a retiro o retirada del mercado
• Las autoridades regulatorias han emitido advertencias sobre este producto

Esto significa mantener canales de comunicación con tus proveedores y monitorizar anuncios regulatorios relevantes.

Requisitos de almacenamiento y transporte

Tus obligaciones no terminan en la Verificación. Cómo gestionas los productos importa:

Condiciones de almacenamiento

• Los productos no deben modificarse durante el almacenamiento
• Las condiciones ambientales no deben comprometer las características de seguridad
• Los embalajes con evidencia de manipulación deben permanecer intactos
• El firmware no debe alterarse

Gestión de transporte

• Los productos deben llegar a los clientes en el mismo estado de conformidad que se recibieron
• Sin modificaciones durante el transporte
• Integridad del embalaje mantenida

Ejemplo práctico: Si almacenas dispositivos IoT en un almacén, no puedes "ayudadamente" actualizar su firmware antes del envío. Eso podría constituir una modificación que te convierte en fabricante.

Qué hacer cuando sospechas incumplimiento

Si cualquier punto de verificación falla, tienes obligaciones específicas:

Paso 1: Detener

No pongas el producto a disposición hasta que el problema se resuelva. Puedes mantenerlo en inventario, pero no puedes venderlo.

Paso 2: Documentar

Registra tus preocupaciones:

• Qué punto de verificación falló
• Qué observaste
• Fecha y hora del descubrimiento
• Identificadores del producto (modelo, lote, números de serie si son visibles)

Paso 3: Notificar a la cadena anterior

Informa al fabricante y/o importador inmediatamente:

• Preocupaciones específicas identificadas
• Solicitud de aclaración o resolución
• Plazo para respuesta

Paso 4: Cooperar con acciones correctivas

Si el producto ya está en el mercado y se encuentra no conforme:

• Apoyar cualquier retiro o retirada
• Asistir con notificaciones a clientes
• Proporcionar registros de ventas a las autoridades si se solicita

Paso 5: Notificar riesgos de seguridad

Si el producto representa un riesgo de ciberseguridad inmediato (no solo brechas de Documentación):

• Notificar a la autoridad de vigilancia del mercado
• Proporcionar toda la documentación disponible
• Cooperar con cualquier investigación

Cuando los distribuidores se convierten en fabricantes

Bajo el Artículo 22, te conviertes en fabricante con todas las obligaciones del CRA si:

Colocas productos bajo tu propio nombre

• Cambiar marca de productos con el nombre de tu empresa
• Etiquetado blanco donde te presentas como la fuente
• Tu marca registrada en el producto o embalaje

Haces modificaciones sustanciales

Cualquier cambio que afecte:

• El propósito previsto del producto
• El cumplimiento con los requisitos del CRA

Ejemplos de modificaciones sustanciales:

• Instalar firmware personalizado
• Añadir características de conectividad
• Modificaciones de hardware que afectan la seguridad
• Integrar productos de maneras que cambian la funcionalidad

NO son modificaciones sustanciales:

• Aplicar parches de seguridad (explícitamente exento)
• Cambiar embalaje sin cambios al producto
• Añadir accesorios que no se integran con el producto
• Localización de idioma de documentación existente

Si activas el estatus de fabricante, heredas el conjunto completo de obligaciones del CRA: evaluación de riesgos, documentación técnica, evaluación de conformidad, gestión de vulnerabilidades y más.

Penalizaciones por incumplimiento

Los distribuidores se enfrentan a sanciones más bajas que los fabricantes, pero siguen siendo significativas. El artículo 64 del CRA establece tres tramos; las obligaciones del distribuidor en virtud del artículo 20 quedan en el tramo intermedio.

A modo de comparación, los fabricantes se enfrentan a hasta 15 000 000 EUR o el 2,5 % del volumen de negocio por incumplimiento de los requisitos esenciales de ciberseguridad (anexo I) o de las obligaciones del fabricante de los artículos 13 y 14, conforme al artículo 64, apartado 2.

Errores comunes

"Solo lo vendo, el cumplimiento no es mi problema"

Incorrecto. Los distribuidores comparten responsabilidad por productos obviamente no conformes. Si vendes un dispositivo sin marcado CE y causa daño, estás en la cadena de aplicación.

"El importador dijo que está bien"

Las garantías verbales no constituyen Verificación. Necesitas ver el marcado CE y la documentación tú mismo. La palabra de un importador no transfiere responsabilidad.

"Hemos vendido este producto durante años sin problemas"

Las ventas pasadas no garantizan cumplimiento del CRA. El CRA es nuevo, con requisitos entrando en vigor por etapas. Productos que estaban bien antes pueden necesitar actualizaciones.

"Nuestra plataforma solo conecta compradores y vendedores"

Si tu plataforma de comercio electrónico toma titularidad de los bienes (compras inventario y revendes), eres un distribuidor. Si eres puramente un mercado facilitando ventas de terceros, pueden aplicar diferentes reglas, pero esta es un área compleja que requiere asesoría legal.

"Solo actualizaré el firmware para clientes como servicio"

No lo hagas. Modificar firmware, incluso con buenas intenciones, puede constituir una modificación sustancial que te convierte en fabricante. Deja que los clientes actualicen sus propios dispositivos, o asegura que cualquier actualización venga del fabricante original.

Lista de verificación de recepción para distribuidores

Usa esta lista de verificación al recibir productos de proveedores:

LISTA DE verificación DE RECEPCION DEL DISTRIBUIDOR

Producto: _______________________________________
Proveedor: ______________________________________
Fecha de Recepcion: _____________________________
Cantidad: _______________________________________

Verificación VISUAL:
[ ] Marcado CE presente en producto o embalaje
[ ] Marcado CE correctamente formateado (proporciones, tamano)
[ ] Nombre y direccion del fabricante visible
[ ] Nombre y direccion del importador visible (si origen no UE)
[ ] Embalaje del producto intacto (sin evidencia de manipulación)

Verificación DE Documentación:
[ ] Instrucciones de usuario presentes
[ ] Instrucciones en idioma(s) requerido(s)
[ ] información de seguridad incluida
[ ] Referencia o documento de DoC presente

Verificación DE ESTADO DE CUMPLIMIENTO:
[ ] Sin avisos de retiro activos para este producto
[ ] Sin comunicaciones del fabricante sobre problemas
[ ] Sin advertencias regulatorias sobre este producto
[ ] Proveedor no ha senalado ninguna preocupacion

REQUISITOS DE ALMACENAMIENTO:
[ ] Condiciones de almacenamiento apropiadas para el tipo de producto
[ ] Sellos de evidencia de manipulación intactos
[ ] Sin modificaciones requeridas antes de la venta

Decisión:
[ ] ACEPTAR - Todas las verificaciones pasadas
[ ] RETENER - Problemas identificados (especificar abajo)
[ ] RECHAZAR - No conforme (documentar y notificar proveedor)

Problemas Identificados:
________________________________________________
________________________________________________

Verificado por: ___________________________________
Fecha: __________________________________________

Tarjeta de referencia rápida

Imprime esto y mantenlo en tu mesa de recepción:

┌─────────────────────────────────────────────────┐
│      verificación RAPIDA CRA DISTRIBUIDOR       │
├─────────────────────────────────────────────────┤
│                                                 │
│  ✓ ¿Marcado CE visible y correcto?              │
│  ✓ ¿Nombre/direccion del fabricante en producto?│
│  ✓ ¿Instrucciones en idioma correcto?           │
│  ✓ ¿Sin defectos obvios o manipulación?         │
│  ✓ ¿Sin avisos de retiro para este producto?    │
│                                                 │
│  TODO SI → OK para vender                       │
│  CUALQUIER NO → DETENER, documentar, notificar  │
│                 proveedor                       │
│                                                 │
│  NUNCA: Modificar firmware, cambiar marca, o    │
│         ignorar problemas obvios                │
│                                                 │
└─────────────────────────────────────────────────┘

CRA Evidence para distribuidores

Aunque CRA Evidence está diseñado principalmente para fabricantes, los distribuidores se benefician de:

• Registros de verificación de proveedores: Rastrea qué proveedores han proporcionado productos conformes
• Monitorización de estado del producto: Recibe alertas cuando productos que distribuyes tienen vulnerabilidades notificadas
• Almacenamiento de Documentación: Mantiene registros de verificación durante el período de retención de 10 años

Asegura que tus proveedores de la cadena anterior usen herramientas de cumplimiento adecuadas, y pasarás menos tiempo en verificación.

Guías relacionadas

• Obligaciones del Importador CRA: Que Verificar Antes de Colocar Productos en el Mercado UE
• Sanciones CRA en la Practica: Como Funciona Realmente la Vigilancia del Mercado
• Clasificación de Productos CRA: Es tu producto Default, Importante o Crítico?

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.