La Ley de Ciberresiliencia de la UE (Reglamento (UE) 2024/2847) trata al importador como el canal jurídico a través del cual un fabricante de fuera de la UE accede al mercado de la Unión. A partir del 11 de diciembre de 2027, el artículo 19 hace al importador personalmente responsable de verificar la conformidad CRA antes de introducir cualquier producto con elementos digitales en el mercado de la Unión. Esta página cubre las cuatro comprobaciones previas del artículo 19, apartado 2, las obligaciones posteriores a la comercialización de los apartados 3 a 8, la regla de retención y los límites del rol que deciden, según el artículo 3, puntos 13 y 16, si eres importador o no.
Resumen
- Cuatro comprobaciones previas (artículo 19, apartado 2): evaluación de conformidad realizada, documentación técnica elaborada, marcado CE + DoC UE + lengua del Anexo II presentes, y cumplimiento del artículo 13, apartados 15, 16 y 19.
- Deber de rechazo (artículo 19, apartado 3): si el producto o los procesos del fabricante no son conformes, no lo comercialices; informa al fabricante y a las autoridades de vigilancia del mercado cuando exista riesgo significativo de ciberseguridad.
- Obligaciones posteriores a la introducción en el mercado (artículo 19, apartados 5 a 8): medidas correctivas y recuperación cuando proceda, notificación de vulnerabilidades, cooperación con la vigilancia del mercado y comunicación si el fabricante cesa su actividad.
- Conservación (artículo 19, apartado 6): 10 años o el período de soporte, lo que sea más largo.
- No eres importador si comercializas bajo tu propio nombre o marca. El artículo 3, punto 13, te clasifica como fabricante, con todo el bloque de obligaciones de los artículos 13 y 14.
Cuatro comprobaciones, conservación de más de diez años, dos niveles de sanción según seas realmente el importador o no.
El marcado CE es la declaración del fabricante de que el producto cumple. El artículo 19, apartado 2, hace al importador responsable de verificar la documentación que respalda esa declaración. Un CE sin DoC y sin disponibilidad de la documentación técnica no es una defensa; es un motivo de activación del artículo 19, apartado 3, para rechazar la comercialización.
¿Quién es importador en el CRA?
El artículo 3, punto 16, lo define literalmente:
«Importador»: toda persona física o jurídica establecida en la Unión que introduzca en el mercado un producto con elementos digitales que lleve el nombre o la marca comercial de una persona física o jurídica establecida fuera de la Unión.
Eres importador a efectos del CRA si se cumplen las tres condiciones:
| Elemento | Test |
|---|---|
| Establecido en la Unión | Tu entidad jurídica está registrada en un Estado miembro de la UE |
| Introduces el producto en el mercado | Eres el primero en comercializarlo en el mercado de la Unión para su distribución o uso en el marco de una actividad comercial (artículo 3, puntos 21 y 22) |
| Lleva nombre o marca de fuera de la UE | El nombre o la marca que figura en el producto, el embalaje o la documentación es el de una persona establecida fuera de la Unión |
Si falla cualquiera de las tres condiciones, no eres el importador. Si el producto lleva tu propio nombre o marca, eres el fabricante a efectos del artículo 3, punto 13. Si no eres la primera entidad de la UE que comercializa el producto en el mercado de la Unión, eres distribuidor a efectos del artículo 3, punto 17. Si un fabricante de fuera de la UE te ha designado para actuar en su nombre mediante mandato escrito y tú no comercializas el producto, eres representante autorizado a efectos del artículo 18 y del artículo 3, punto 15, no importador.
El importador es el primer canal jurídico a través del cual un fabricante de fuera de la UE accede al mercado de la Unión y asume responsabilidad personal por lo que fluye por ese canal.
El artículo 19 de un vistazo
| Apartado | Deber | Punto clave |
|---|---|---|
| 19, apartado 1 | Cumplimiento general | Solo comercializa productos conformes con el Anexo I, Parte I, cuando los procesos del fabricante cumplan la Parte II. |
| 19, apartado 2 | Verificación previa (a) a (d) | Evaluación de conformidad + documentación técnica + CE/DoC/Anexo II + artículo 13, apartados 15, 16 y 19. El importador debe poder facilitar los documentos que prueben el cumplimiento. |
| 19, apartado 3 | Deber de rechazo | No comercializar si el producto o los procesos no son conformes. Informar al fabricante y a la vigilancia del mercado cuando exista riesgo significativo de ciberseguridad. Los factores de riesgo no técnicos activan el artículo 54, apartado 2. |
| 19, apartado 4 | Identificación del importador | Nombre propio, nombre comercial o marca, dirección postal y punto de contacto digital en el producto, embalaje o documento adjunto. |
| 19, apartado 5 | Medidas correctivas posteriores | Retirada o recuperación cuando proceda. Notificación de vulnerabilidades: informar al fabricante sin demora indebida; informar a las autoridades de vigilancia del mercado de cada Estado miembro de suministro cuando exista riesgo significativo de ciberseguridad. |
| 19, apartado 6 | Conservación | Mantener la DoC a disposición de las autoridades durante 10 años o el período de soporte, lo que sea más largo. Garantizar que la documentación técnica pueda facilitarse a petición. |
| 19, apartado 7 | Cooperación | A petición motivada de la vigilancia del mercado, facilitar toda la información y documentación en una lengua que la autoridad entienda. |
| 19, apartado 8 | Cese de actividad del fabricante | Informar a las autoridades de vigilancia del mercado y, por todos los medios disponibles, a los usuarios. |
Ninguna de estas obligaciones tiene umbral para PYME. La exención del artículo 64, apartado 10, se limita a los plazos del nivel de fabricante del artículo 14, apartado 2, letra a), y apartado 4, letra a), y a los administradores de software de código abierto.
Importador frente a distribuidor
El criterio jurídico es qué parte introduce por primera vez el producto en el mercado de la Unión.
| Aspecto | Importador (artículo 19) | Distribuidor (artículo 20) |
|---|---|---|
| Posición | Establecido en la Unión; introduce en el mercado un producto que lleva el nombre de una persona de fuera de la UE | Cualquiera que pone el producto a disposición después del importador, sin afectar a sus propiedades |
| Verificación | Comprobaciones completas del artículo 19, apartado 2, letras (a) a (d), incluido el artículo 13, apartados 15, 16 y 19 | Verifica el CE, además del artículo 13, apartados 15, 16, 18, 19 y 20, y la presencia del artículo 19, apartado 4 |
| Documentación | Debe poder facilitar los documentos que prueben el artículo 19; garantiza que el Anexo VII pueda facilitarse | Coopera con las autoridades; verificación basada en presencia |
| Rechazo | Artículo 19, apartado 3 | Artículo 20 |
| Notificación de vulnerabilidades | Artículo 19, apartado 5 | Artículo 20 |
| Conservación | DoC durante 10 años o período de soporte, lo que sea más largo | Ninguna específica; cooperar a petición |
| Nivel de sanción | 10.000.000 EUR o 2 % (artículo 64, apartado 3) | 10.000.000 EUR o 2 % (artículo 64, apartado 3) |
Llamar «distribución» al rol en un acuerdo privado no traslada la obligación de derecho público. Si tu entidad introduce por primera vez en el mercado de la Unión un producto de fuera de la UE, eres el importador.
Las cuatro comprobaciones previas a la introducción en el mercado
1. Evaluación de conformidad realizada (artículo 19, apartado 2(a); artículo 32)
El fabricante debe haber seguido la ruta de evaluación adecuada a la clase del producto. Solicita la Declaración UE de Conformidad con el módulo de evaluación utilizado y, cuando haya intervenido un organismo notificado, el número de certificado y el número de identificación de cuatro dígitos del organismo tras el marcado CE.
| Módulo | Cuándo |
|---|---|
| A control interno de la producción | Solo productos de categoría por defecto |
| B + C examen UE de tipo + control de la producción | Importante Clase II por defecto; Clase I cuando no se aplique una norma armonizada pertinente |
| H aseguramiento de calidad total | Alternativa para productos Importantes; obligatorio para productos Críticos en ausencia de un esquema europeo de certificación de ciberseguridad |
Consulta la guía del clúster de evaluación de conformidad.
2. Documentación técnica elaborada (artículo 19, apartado 2(b); artículo 31; Anexo VII)
El importador no está obligado a tener el expediente completo del Anexo VII, pero debe poder probar el cumplimiento del artículo 19 (frase final del apartado 2) y garantizar que el expediente pueda facilitarse a las autoridades a petición (artículo 19, apartado 6). Solicita: un índice que cubra cada sección del Anexo VII y un compromiso escrito del fabricante de producir el expediente subyacente en un plazo y una lengua definidos. Consulta la guía del clúster de documentación técnica.
3. Marcado CE, DoC UE e instrucciones del Anexo II en la lengua adecuada (artículo 19, apartado 2(c); artículo 30; artículo 13, apartado 20; Anexo II)
Tres artefactos deben acompañar al producto.
| Artefacto | Requisito |
|---|---|
| Marcado CE (artículo 30) | Al menos 5 mm de altura, visible, legible e indeleble, en el producto o en su placa de datos. El número de identificación del organismo notificado sigue al marcado cuando proceda. El CE solo en el embalaje exterior es no conforme. |
| DoC UE (artículo 13, apartado 20; contenido completo según el artículo 28 + Anexo V) | DoC completa con el producto o DoC simplificada con la dirección de internet exacta de la DoC completa. Una referencia genérica a «requisitos de ciberseguridad» sin cita del Anexo I es un defecto. |
| Información e instrucciones del Anexo II | En una lengua fácilmente comprensible para los usuarios y la vigilancia del mercado del Estado miembro de que se trate. Identidad del fabricante, finalidad prevista, fecha de fin del período de soporte, configuración segura, desactivación segura, dirección para notificar vulnerabilidades. |
4. Identificación y trazabilidad (artículo 19, apartado 2(d); artículo 13, apartados 15, 16 y 19)
Tres deberes discretos del fabricante referenciados desde el artículo 19, apartado 2(d):
| Cita | Deber | Comprobación del importador |
|---|---|---|
| 13, apartado 15 | Tipo, número de lote o de serie para identificar el producto (o en el embalaje si el producto no puede llevarlo) | Confirmar el elemento en el producto o el embalaje |
| 13, apartado 16 | Nombre del fabricante, nombre comercial o marca, dirección postal, punto de contacto digital, también reproducidos en el Anexo II | Confirmar en el producto, el embalaje o la documentación adjunta |
| 13, apartado 19 | Fecha de fin del período de soporte indicada en el momento de la compra, incluyendo al menos mes y año | Confirmar mes y año visibles en el punto de venta |
Un producto sin fecha de fin con mes y año declarada es no conforme con el artículo 19, apartado 2(d), por la vía del artículo 13, apartado 19, con independencia de que el resto de comprobaciones se superen.
Deber adyacente que conviene tratar como motivo de rechazo: artículo 13, apartado 17, punto único de contacto. El artículo 13, apartado 17, exige que los usuarios puedan elegir el medio de comunicación preferido y que ese medio no se limite a herramientas automatizadas. Un contacto solo de chatbot es no conforme. Sin un punto único de contacto operativo aguas arriba, el flujo de notificación de vulnerabilidades del artículo 14 queda roto desde el primer día.
Verificación del cumplimiento del fabricante de fuera de la UE
Las garantías verbales de los contactos comerciales no son evidencia en el sentido del artículo 19(1). El importador debe recopilar documentación, evaluarla y decidir.
Plantilla de solicitud de documentación
Envíe la siguiente solicitud antes de firmar cualquier contrato de importación:
ASUNTO: Solicitud de documentación de cumplimiento CRA
Estamos evaluando [producto / modelo] para su importación a la
Unión Europea con arreglo al Reglamento (UE) 2024/2847
(Ley de Ciberresiliencia).
Por favor, facilite lo siguiente antes de que procedamos con la importación:
1. Declaración UE de Conformidad, firmada y fechada, citando los
requisitos esenciales del Anexo I y el módulo de evaluación de
conformidad del artículo 32 utilizado, con el número de certificado
del Organismo Notificado cuando proceda.
2. Índice de la documentación técnica del Anexo VII, junto con un
compromiso escrito de facilitar el expediente subyacente a las
autoridades de vigilancia del mercado de la UE previa solicitud,
en un plazo de [X] días hábiles, en [idioma].
3. Confirmación del período de soporte (mínimo 5 años desde la
comercialización con arreglo al artículo 13(8), o el período
previsto de uso del producto si fuera inferior, con la fecha y
la justificación).
4. Política de gestión de vulnerabilidades y punto de contacto único
(URL o correo electrónico) conforme al artículo 13(16), con
confirmación de que está vigilado.
5. Política de divulgación coordinada de vulnerabilidades conforme al
Anexo I Parte II.
6. Evidencia de la ubicación del marcado CE (fotografía del marcado en
el producto o placa de datos; referencia al tamaño e indelibilidad).
7. Instrucciones de usuario del Anexo II en [idioma del Estado miembro
de destino].
No podemos comercializar el producto en el mercado de la UE sin
esta documentación.
Plazo de respuesta solicitado: [X] días hábiles.
Evaluación de respuestas
| Respuesta | Acción |
|---|---|
| Documentación completa facilitada | Proceder a la revisión de verificación del artículo 19(1) |
| Documentación parcial, saldo "en tramitación" | Retener la importación; documentar la laguna; no comercializar |
| "Tenemos marcado CE para otra regulación" | Insuficiente; el CE de EMC, RED o LVD no satisface el CRA. Solicite DoC específica del CRA y Anexo VII. |
| "Nuestro producto queda fuera del ámbito del CRA" | Solicite un análisis del ámbito de aplicación por escrito citando el artículo 2 y los Anexos III/IV; no importe basándose en una declaración verbal del ámbito |
| "El certificado del Organismo Notificado está pendiente" | El artículo 32 debe completarse antes de la comercialización; no importe |
| Rechazo o falta de respuesta | No importe |
Señales de alerta
- Texto de DoC copiado de una plantilla, sin mapeo específico del producto al Anexo I.
- Fecha de la DoC anterior al 11 de diciembre de 2027 sin indicación de una versión actualizada específica del CRA.
- Número de Organismo Notificado ausente en un producto que cae en el Anexo III Clase II o el Anexo IV (Crítico).
- Ausencia de punto de contacto único para vulnerabilidades, o un contacto que devuelve error al probarlo.
- Período de soporte indicado inferior a cinco años sin justificación del artículo 13(8).
- Instrucciones solo en el idioma propio del fabricante para un mercado de destino con un idioma oficial diferente.
Cuando la verificación falla: paso a paso
El artículo 19(2) crea un deber de detener e informar. La secuencia es:
- Detener. No comercialice el producto en el mercado de la UE. Las mercancías pueden permanecer en depósito aduanero o ser reexportadas, pero la comercialización está prohibida hasta que se resuelva el incumplimiento.
- Documentar. Registre qué control del artículo 19(1) ha fallado, qué evidencia faltaba o era inadecuada, la fecha de la determinación y el hilo de comunicaciones con el fabricante.
- Notificar al fabricante por escrito. Indique la laguna de cumplimiento específica, la documentación requerida, el plazo de respuesta y la consecuencia (no se importa hasta que se resuelva).
- Evaluar el riesgo de ciberseguridad. Si el producto presenta un riesgo de ciberseguridad significativo (segundo párrafo del artículo 19(2)), informe a la autoridad de vigilancia del mercado del Estado miembro de que se trate y facilite toda la documentación disponible.
- Resolver o rechazar. Proceda con la importación únicamente cuando los seis controles del artículo 19(1) estén satisfechos y cualquier preocupación sobre riesgos esté cerrada. Si la laguna no puede cerrarse en el plazo indicado por el fabricante, rechace la importación.
Límites del rol: ¿eres realmente el importador?
La pregunta más difícil de clasificación no es "qué hace un importador", sino "¿soy yo el importador?". El Reglamento de Ciberresiliencia responde a través de las definiciones del artículo 3, no a través del artículo 22.
Artículo 3(13), fabricante: persona que desarrolla o hace diseñar, desarrollar o fabricar productos con elementos digitales y los comercializa bajo su propio nombre o marca.
Artículo 3(16), importador: persona establecida en la Unión que introduce en el mercado un producto que lleva el nombre o la marca de una persona establecida fuera de la Unión.
Leídas en conjunto: el mismo acto logístico es "importación" solo cuando el producto lleva el nombre de la persona de fuera de la UE. Si lo marcas con tu propia marca, encajas en el artículo 3(13), no en el 3(16). Eres, y siempre fuiste, el fabricante de ese producto. No existe ninguna "escalación del artículo 22" para importadores. El artículo 22 excluye expresamente a los importadores ("una persona física o jurídica, distinta del fabricante, el importador o el distribuidor"); cubre a los modificadores externos a la cadena del artículo 3, como integradores de sistemas o revendedores de valor añadido.
Prueba de marca
| Situación | Clasificación |
|---|---|
| Venta bajo la marca "AcmeTech" | Fabricante (artículo 3(13)) |
| "Distribuido por AcmeTech" junto a la marca original visible | Importador (artículo 3(16)) |
| Sustitución de toda la marca original por la propia | Fabricante (artículo 3(13)) |
| Pequeña pegatina de distribuidor junto a la marca original | Depende de la prominencia; prueba del comprador razonable |
| Marketing que presenta al importador como origen del producto aunque el dispositivo muestre la fábrica de aguas arriba | Fabricante (artículo 3(13)) |
Prueba de modificación sustancial (artículo 3(30))
Un cambio posterior a la introducción en el mercado que afecta al cumplimiento del Anexo I Parte I o que modifica la finalidad prevista para la que el producto fue evaluado.
| Probablemente sustancial | Probablemente no sustancial |
|---|---|
| Instalación de firmware personalizado | Parches de seguridad emitidos por el fabricante que preservan la finalidad prevista |
| Añadir gestión remota o telemetría | Localización de la documentación impresa |
| Cambios de hardware en funciones de seguridad | Cambios de embalaje exterior |
| Sustitución de implementaciones criptográficas | Inclusión de accesorios compatibles sin integración |
| Cambio de mecanismos de autenticación o autorización | |
| Añadir conectividad de red a un producto antes sin conexión |
Cuando un importador modifica sustancialmente un producto, el artículo 22 no se aplica formalmente (excluye a los importadores). La lectura defendible: la modificación sustancial te saca del artículo 3(16) porque el producto ya no es el mismo producto que el fabricante de fuera de la UE introdujo en el mercado. La vía segura es tratar al modificador como fabricante de esa variante conforme al artículo 3(13).
Coste de la reclasificación
| Área de coste | Importador (artículo 3(16)) | Fabricante (artículo 3(13)) |
|---|---|---|
| Evaluación de la conformidad | Verificar la del fabricante | Realizarla en propio nombre (Módulo A) o pagar a un organismo notificado (Módulo B+C, Módulo H) |
| Documentación técnica | Verificar el acceso | Redactar y mantener (artículo 31, Anexo VII) |
| Gestión de vulnerabilidades | Remitir notificaciones aguas arriba; medidas correctivas (artículo 19(5)) | Recepción, triaje, corrección, política de CVD, notificación del artículo 14 |
| Actualizaciones de seguridad | Transmitir | Desarrollar, firmar y distribuir durante el período de soporte; mantenerlas disponibles 10 años o el resto del período (artículo 13(9)) |
| Exposición a sanciones | Hasta 10 M EUR o 2 % (artículo 64(3)) | Hasta 15 M EUR o 2,5 % (artículo 64(2)) |
Escenarios prácticos
| Escenario | Clasificación |
|---|---|
| Tabletas de marca blanca vendidas bajo la marca de la entidad de la UE | Fabricante (artículo 3(13)) desde el primer día |
| Routers empresariales preconfigurados bajo la marca original, con perfiles de configuración relevantes para la seguridad | Fabricante (artículo 3(13)) de la variante configurada; o acordar con el fabricante original que cubra la variante bajo su DoC |
| Parches de seguridad del fabricante aplicados antes de la venta | Importador (artículo 3(16)); documenta que los parches procedían del fabricante |
| Firmware personalizado para clientes empresariales | Doble vía: SKU estándar como importador, SKU personalizado como fabricante |
| Agrupación comercializada como sistema integrado | Fabricante del conjunto (artículo 3(13)) |
Estrategias para mantenerse como importador
- Mantén visibles el nombre del fabricante original y la identificación "fabricado por". La identificación propia del importador queda como "importado por" conforme al artículo 19(4).
- Aplica solo parches emitidos por el fabricante que preserven la finalidad prevista.
- No cambies la configuración relevante para la seguridad antes de la reventa; tramita la personalización del cliente a través del fabricante original.
- Documenta cada producto como "no modificado por el importador" con una lista de verificación que mapee al artículo 3(30).
Documentación y retención
El artículo 19(6) exige al importador que mantenga una copia de la Declaración UE de Conformidad a disposición de las autoridades de vigilancia del mercado durante 10 años desde la fecha en que el producto cubierto por esa DoC fue comercializado en el mercado de la UE. En la práctica, el importador conserva:
- La Declaración UE de Conformidad, firmada y fechada, con todos los anexos referenciados.
- El índice del Anexo VII y el compromiso escrito del fabricante de facilitar el expediente subyacente a petición de la autoridad, con el plazo acordado y el idioma.
- El propio registro de verificación del artículo 19(1) del importador (lista de verificación de seis puntos, decisión, fecha, firmante).
- Comunicación con el fabricante que cubra las solicitudes de documentación, las lagunas identificadas y las resoluciones.
- Registros de importación: documentación aduanera, envíos, identificadores de lote y la fecha de la primera comercialización por lote.
- Cuando aplique la reclasificación según el artículo 3, punto 13 (cambio de marca o modificación sustancial conforme al artículo 3, punto 30), el expediente completo de fabricante: evaluación de riesgos, documentación técnica, evidencia de evaluación de conformidad, DoC emitida por el importador, registros de gestión de vulnerabilidades, declaración del período de soporte y marcas de hora de toma de conocimiento del artículo 14 cuando proceda.
El almacenamiento digital es aceptable. El importador debe garantizar que los archivos permanezcan accesibles y legibles durante todo el período de retención y puedan producirse en un plazo razonable a petición de la autoridad, en un idioma que esta entienda.
Errores comunes
"El marcado CE significa que son conformes." El marcado CE es la declaración del fabricante. El artículo 19(1) exige al importador verificar la documentación que lo respalda. Un marcado CE sin DoC es el motivo de rechazo más habitual.
"Nuestro proveedor ha sido fiable durante años." El historial de cumplimiento de EMC, RED o LVD no se transfiere al CRA. El CRA introduce obligaciones (gestión de vulnerabilidades del Anexo I Parte II, período de soporte del artículo 13(8), notificación del artículo 14) que el Derecho europeo de productos anterior no contempla.
"Garantías verbales de nuestro contacto comercial." El artículo 19(1) exige documentación. La garantía de un representante comercial no tiene peso jurídico bajo el CRA. Exíjalo por escrito o rechace la importación.
"Verificaremos después de que llegue el envío." La verificación del artículo 19(1) debe producirse antes de la comercialización. Las mercancías pueden entrar en depósito aduanero, pero no pueden venderse ni ponerse a disposición en el mercado de la UE hasta que la verificación esté completa.
"Es solo una pegatina con nuestro logo." La definición de importador (artículo 3, punto 16) exige que el producto lleve el nombre o la marca de una persona establecida fuera de la UE. Comercializarlo bajo tu propio nombre o marca, por pequeña que sea la pegatina, te ubica en el artículo 3, punto 13: eres el fabricante.
"Estamos mejorando la seguridad, no cambiándola." Las mejoras que alteran la arquitectura de seguridad, la superficie de ataque o los mecanismos de autenticación son modificaciones sustanciales conforme al artículo 3, punto 30. Te sacan de la definición de importador del artículo 3, punto 16, y debes asumir las obligaciones de fabricante sobre esa variante.
"El fabricante dijo que podíamos cambiar la marca." El permiso del fabricante no transfiere las obligaciones del fabricante. La calificación jurídica la fijan las definiciones del artículo 3 con base en hechos objetivos (qué nombre o marca lleva el producto en el mercado); los acuerdos privados no pueden excluirse de ello.
"El artículo 22 nos convierte en fabricantes si modificamos." El artículo 22 excluye expresamente a los importadores. La base jurídica para tratar al importador como fabricante son las definiciones del artículo 3, punto 13 (comercialización bajo nombre o marca propia) y el artículo 3, punto 30 (modificación sustancial que te saca del artículo 3, punto 16). El artículo 22 cubre a modificadores externos a la cadena del artículo 3, como integradores de sistemas o revendedores de valor añadido.
Preguntas frecuentes
¿Qué es un importador según el CRA?
Una entidad de la UE que pone un producto de marca no-UE en el mercado de la Unión. Los tres elementos deben darse conjuntamente: establecida en la Unión, primera en poner el producto a disposición en el mercado de la Unión, y el producto lleva el nombre o la marca de una persona establecida fuera de la UE. Si el producto lleva tu propia marca, no eres el importador; eres el fabricante (artículo 3(16); primera puesta a disposición en artículo 3(21); el cambio de marca os convierte en fabricante según el artículo 3(13)).
¿Soy importador o distribuidor?
La línea la marca la primera puesta en el mercado. Eres el importador si eres la primera entidad de la UE que pone un producto de marca no-UE en el mercado de la Unión. Eres el distribuidor si pones el producto a disposición después del importador, sin afectar a sus propiedades. Si compras un producto no-UE a otra empresa de la UE que ya lo importó, esa otra empresa es el importador y tú eres el distribuidor. Si compras directamente al fabricante no-UE y pones el producto en el mercado de la UE tú mismo, eres el importador (artículos 3(16) y 3(17); obligaciones del importador en el artículo 19; obligaciones del distribuidor en el artículo 20).
Importador frente a representante autorizado: ¿cuál es la diferencia?
Trabajos diferentes. El representante autorizado es la custodia documental del fabricante; el importador pone físicamente el producto en el mercado. El representante autorizado mantiene la DoC UE y la documentación técnica a disposición de las autoridades de vigilancia del mercado y coopera con ellas, pero no pone el producto en el mercado. El importador asume el deber de verificación en cuatro puntos antes de la comercialización. Un fabricante no-UE puede nombrar un representante autorizado para documentación y cooperación; aun así necesita un importador (o su propia entidad en la UE) para poner el producto efectivamente en el mercado. El mandato del representante autorizado no transfiere las obligaciones de ingeniería, evaluación de riesgos, gestión de vulnerabilidades ni evaluación de conformidad (mandato del representante autorizado en los artículos 3(15) y 18(1)-(3); importador en los artículos 3(16) y 19; el mandato del representante autorizado no puede cubrir los artículos 13(1)-(11), 13(12) primer párrafo ni 13(14)).
¿Existen exenciones para PYME en el caso de los importadores?
No hay exención de las obligaciones en sí. El artículo 19 se aplica a los importadores con independencia de su tamaño. La concesión PYME del CRA en materia de sanciones es para fabricantes, no para importadores, y únicamente para los plazos de notificación anticipada. La exención para administradores de software de código abierto se aplica a los administradores, no a los importadores. Las autoridades deben tener debidamente en cuenta el tamaño del infractor al fijar los importes de las multas en cada caso concreto, pero eso es un factor de graduación de la sanción, no una exención de obligaciones (artículo 19 se aplica a todos los tamaños; concesión PYME en artículo 64(10)(a) sólo para fabricantes y sólo para los plazos de 14(2)(a)/14(4)(a); exención de administradores OSS en 64(10)(b); factor de calibración en 64(5)(c)).
¿Cuándo son aplicables las obligaciones de importador CRA?
Desde el 11 de diciembre de 2027. A partir de esa fecha, ningún producto con elementos digitales podrá comercializarse en el mercado de la UE a menos que el importador haya realizado la verificación del artículo 19(2). La notificación del artículo 14 comienza antes, el 11 de septiembre de 2026, pero es una obligación del fabricante; el papel del importador consiste en verificar que el punto de contacto único del fabricante esté en funcionamiento y no limitado a herramientas automatizadas (artículo 71 de aplicabilidad; artículo 19 desde el 11 de diciembre de 2027; la notificación del artículo 14 desde el 11 de septiembre de 2026 corresponde al fabricante; el importador verifica el punto de contacto único del artículo 13(17)).
¿El cambio de marca por sí solo convierte al importador en fabricante?
No. El cambio de marca revela que siempre fuiste el fabricante. La definición de importador queda restringida a quienes ponen en el mercado productos que llevan el nombre de una persona establecida fuera de la UE. Comercializar bajo tu propia marca te saca de la categoría de importador y te sitúa en la de fabricante. La DoC y el marcado CE del fabricante original ya no cubren el producto con la nueva marca. No existe escalación por el artículo 22 aquí; el artículo 22 cubre a los modificadores externos que no son fabricante, importador ni distribuidor (artículo 3(13); definición de importador en artículo 3(16) restringida a marcas no-UE; artículo 22 cubre modificadores externos, no importadores).
¿Son los parches de seguridad alguna vez una modificación sustancial?
No cuando los parches son emitidos por el fabricante original y preservan la finalidad prevista, el comportamiento y la arquitectura de seguridad. Un parche que hace algo más que corregir una vulnerabilidad (añade funciones, cambia la autenticación, amplía la superficie de ataque) sale de la exención (artículo 3(30); el anexo I parte II trata las actualizaciones de seguridad emitidas por el fabricante como parte de la gestión de vulnerabilidades).
¿Cuánto tiempo debe conservar el importador la Declaración UE de Conformidad?
Al menos 10 años desde que el producto se pone en el mercado o durante el período de soporte, el plazo que resulte mayor. Un producto puesto en el mercado en 2028 con un período de soporte de 12 años obliga a conservar la documentación hasta 2040. El mismo deber exige al importador garantizar que la documentación técnica pueda ponerse a disposición de las autoridades previa solicitud. El almacenamiento digital es aceptable (artículo 19(6)).
¿Qué debe hacer el importador si la documentación tiene lagunas?
Detener e informar. No comercializar hasta que la laguna esté cerrada. Notificar al fabricante por escrito. Cuando el producto presente un riesgo de ciberseguridad significativo, informar a la autoridad de vigilancia del mercado del Estado miembro afectado. El deber se extiende también a los factores de riesgo no técnicos; las autoridades siguen entonces el procedimiento correspondiente. Las mercancías pueden permanecer en depósito aduanero mientras la laguna está abierta (artículo 19(3); factores de riesgo no técnicos activan el artículo 54(2)).
¿Qué ocurre con el marcado CE original cuando la entidad de la UE pasa a ser el fabricante?
Deja de cubrir el producto tal como lo comercializa la entidad de la UE. La entidad de la UE emite su propia DoC y fija el CE bajo su propia responsabilidad (artículo 3(13); nueva DoC bajo artículo 13(20); nuevo CE bajo artículo 30).
¿Comienza de nuevo el período de soporte de cinco años cuando la entidad de la UE pasa a ser el fabricante?
Sí. El período de soporte corre desde la fecha en que la entidad de la UE pone el producto modificado o con nueva marca en el mercado. El mínimo de cinco años se aplica, con la excepción de que los productos cuyo uso previsto sea inferior a cinco años pueden tomar un período de soporte igual al tiempo de uso previsto. El coste recae en los recursos de soporte y en los contratos con proveedores (la fábrica aguas arriba debe comprometerse a suministrar componentes durante al menos el período de soporte del importador) (artículo 13(8)).
¿Necesita la entidad de la UE un organismo notificado si el fabricante original utilizó uno?
Para productos de Clase II o Críticos que han sido modificados sustancialmente, casi siempre sí. El certificado original estaba vinculado al producto tal como fue diseñado; la modificación sustancial lo invalida. El cambio de marca sin modificación de un producto de Clase II o Crítico también exige una nueva DoC a nombre de la entidad de la UE. Consulta las guías de evaluación de conformidad y de clasificación de productos (artículo 3(30); el módulo A solo es válido para productos de categoría por defecto; los módulos B+C o H requieren organismo notificado para Clase II / Crítico).