Reglamento UE 1223/2009 · Artículo 4

Persona Responsable de cosméticos UE: qué exige el rol, qué pone en riesgo, y cómo mantenerse al día

Si un producto cosmético puesto en el mercado UE no cumple, las consecuencias legales recaen sobre la Persona Responsable — no sobre el fabricante, no sobre el distribuidor. Esta página es una guía operativa de las obligaciones, las fuentes de datos que debés rastrear y el stack que BD-API ofrece para hacerlas sostenibles.

Hablanos de tu workflow →Ver el checklist de obligaciones

Reglamento (CE) 1223/2009 · Artículo 4

Qué es legalmente una Persona Responsable — y qué no

Bajo el artículo 4 del Reglamento (CE) 1223/2009, cada producto cosmético puesto en el mercado UE debe tener una Persona Responsable designada y establecida en la UE/EEE. La Persona Responsable garantiza el cumplimiento, mantiene el Expediente de Información del Producto, notifica el producto vía CPNP y responde a las autoridades competentes.

Las tareas operativas se pueden subcontratar. La responsabilidad legal no. La Persona Responsable sigue siendo la entidad a la que una autoridad de un Estado miembro escribirá cuando una alerta Safety Gate afecte al producto.

Quién responde a quién

RolQuién puede serloObligación legal
Persona ResponsableFabricante establecido en UE, importador, distribuidor que reetiqueta, o representante UE designadoResponsabilidad total: PIF, CPNP, evaluación de seguridad, cumplimiento de Anexos, reporte de SUE
Fabricante (fuera UE)Productor del cosmético fuera de la UE/EEESin obligación regulatoria UE directa salvo que actúe como PR vía filial UE
DistribuidorEntidad UE que pone el producto en el mercado sin modificarloVerificar etiquetado, idioma y trazabilidad; se vuelve PR si reetiqueta o modifica

El rol, en detalle

Qué hace una Persona Responsable, cada día

Ocho obligaciones pesan sobre la Persona Responsable bajo el Reglamento UE 1223/2009. La mayoría de los equipos puede con las tres primeras por su cuenta. Las puntos 4 y 5 — mantenerse al día con CosIng y las novedades regulatorias UE — son donde BD-API se hace cargo de la carga operativa.

  1. 1

    Mantener el Expediente de Información del Producto (PIF)

    Artículo 11: PIF completo y al día disponible en la dirección indicada en la etiqueta, durante diez años desde el último lote puesto en el mercado.

  2. 2

    Notificar el producto a través de CPNP

    Artículo 13: cada producto cosmético notificado electrónicamente antes de su comercialización.

  3. 3

    Garantizar la evaluación de seguridad

    Artículo 10 + Anexo I: realizada por una persona cualificada — titulación en farmacia, medicina, toxicología o equivalente — antes de la comercialización.

  4. 4

    Cumplir los Anexos CosIng II–VI

    Sustancias prohibidas, restringidas, colorantes permitidos, conservantes y filtros UV. Monitoreo continuo necesario: las enmiendas existen.

  5. 5

    Monitorear actualizaciones regulatorias

    Reglamentos modificativos, dictámenes SCCS, decisiones de aplicación, actos EUR-Lex, guías DG SANTE. Detectarlas es la obligación; perderlas es el fallo.

  6. 6

    Responder a autoridades competentes

    Incluye investigaciones Safety Gate / RAPEX, solicitudes de Estados miembro, procedimientos de retirada.

  7. 7

    Mantener trazabilidad de cadena de suministro y formulación

    Por cada lote, cada partida de ingrediente, cada decisión de sustitución. Necesario tanto para seguridad como para cualquier investigación posterior.

  8. 8

    Reportar Efectos Graves no Deseados (SUE)

    Artículo 23: efectos indeseables de consecuencias graves notificados a la autoridad competente del Estado miembro implicado.

Donde encaja BD-API

BD-API se enfoca en los puntos 4 y 5. Entregamos actualizaciones CosIng como patches SQL firmados y eventos regulatorios multi-fuente como webhooks HMAC — para que tu equipo detecte cada cambio sin consultar portales oficiales manualmente.

El costo de perderse un cambio

Qué pasa cuando una Persona Responsable no se mantiene al día

La desactualización regulatoria no se anuncia con una alarma. Aparece durante la auditoría, el retiro o la entrada pública en Safety Gate — cuando corregir cuesta el doble que prevenir.

Día 0

Aparece un evento regulatorio

Un nuevo dictamen SCCS restringe una sustancia que usás, o un Reglamento modificativo mueve un ingrediente al Anexo II. El cambio ya está en vigor en los portales oficiales UE.

Días 1–N

Tu base de datos sigue vieja

Sin sistema de monitoreo, tu base de formulación, tu PIF y tu evaluación de seguridad siguen referenciando el estado regulatorio antiguo. Los productos siguen saliendo bajo la suposición vieja.

Auditoría / Retiro / Safety Gate

El fallo se hace público

Una autoridad de un Estado miembro pide evidencia. Un competidor es retirado y tu formulación es similar. Tu producto aparece en Safety Gate con marca, lote y sustancia para que cualquier consumidor lo vea.

Tres capas de consecuencia

Regulatorias

Retiro de producto, prohibición de mercado, sanciones administrativas o penales según el Estado miembro.

Civiles

La responsabilidad por daños a consumidores queda en la Persona Responsable.

Reputacionales

Las entradas Safety Gate son públicas y permanentes en el registro histórico.

Cómo BD-API apoya el rol

Una capa de datos que se hace cargo de la carga operativa

Cuatro capacidades conectadas. Funcionan juntas. Se contratan juntas o por separado según el plan.

CosIng

Base CosIng siempre vigente

Recibís cada cambio del inventario oficial como patch SQL firmado, con changelog versionado y verificación SHA-256 antes de aplicar.

Ver el motor CosIng →

Watch multifuente

SCCS, Safety Gate, EUR-Lex y DG SANTE

Cuatro motores en paralelo con circuit breaker, deduplicación y análisis IA específico por fuente. Suscripción granular: activá solo las fuentes que afectan tu portfolio.

Ver la vigilancia →

Cumplimiento

Anexos II–VI bajo control

2.385 sustancias monitoreadas a través de los cinco Anexos. Detección de cambios en sustancias prohibidas, restringidas, colorantes, conservantes y filtros UV.

Ver cumplimiento →

Auditoría

Evidencia lista para auditoría

Cada patch firmado SHA-256, cada webhook firmado HMAC-SHA256, cada evento con timestamp de detección persistido. La trazabilidad es automática.

Ver la integración técnica →

Modelos operativos

¿Persona Responsable in-house o servicio subcontratado?

Ambos modelos son válidos bajo la regulación UE. La pregunta es de encaje operativo, no de legalidad. BD-API funciona como capa de datos por debajo de ambos — no reemplazamos el rol, lo alimentamos.

PR in-house

Ventajas

  • Control directo sobre las decisiones
  • Conocimiento profundo del producto en el equipo
  • Sin dependencia de terceros para juicio regulatorio

Limitaciones

  • Carga operativa sobre pocas personas cualificadas
  • Hueco de cobertura en vacaciones, enfermedad, baja parental
  • Riesgo de concentración de conocimiento si la PR se va

Servicio PR subcontratado

Ventajas

  • Especialización: experiencia regulatoria full-time
  • Escala sobre múltiples SKUs y mercados
  • Continuidad garantizada por el proveedor

Limitaciones

  • Dependencia de la capacidad de respuesta del proveedor
  • Conocimiento del producto requiere transferencia y mantenimiento
  • Estructura de costos atada al volumen
Cualquiera sea el modelo, BD-API entrega la misma capa de datos: actualizaciones CosIng, vigilancia regulatoria multi-fuente, trazabilidad de auditoría. El rol decide. Nosotros alimentamos al rol.

Anti-patrones operativos

Cinco errores que convierten el día de una Persona Responsable en una emergencia

Ninguno es raro. Todos se detectan durante una auditoría — lo que significa que llevaban meses ocurriendo.

1

Trackear actualizaciones CosIng con descargas XLS manuales

Alguien descarga ec.europa.eu/cosing cada trimestre, compara a ojo y pega los diffs en un documento Word. Funciona hasta que no.

Lo que hace BD-API en su lugar

BD-API entrega cada cambio CosIng como patch SQL firmado con integridad SHA-256 y changelog JSON. Sin ojo clínico.

2

Recibir dictámenes SCCS por email en PDF y guardarlos en un drive compartido

Cuando un regulador pregunta "¿qué acción tomaron después del dictamen SCCS X?", la respuesta "archivamos el PDF" no alcanza.

Lo que hace BD-API en su lugar

Cada evento SCCS se captura, se enriquece con IA (sustancias/CAS/fechas) y se entrega con timestamp trazable. La respuesta se vuelve auditable.

3

Enterarte de una alerta Safety Gate sobre tu producto por una queja de un cliente

Para cuando un consumidor llama a soporte, la alerta lleva días pública. Las autoridades ya escribieron.

Lo que hace BD-API en su lugar

BD-API consulta Safety Gate continuamente y envía webhooks firmados HMAC el día que se publica la alerta. Lo escuchás primero.

4

Dejar que la versión CosIng diverja del PIF sin changelog versionado

El PIF cita Anexo VI versión A. CosIng pasó a versión B. Sin registro interno de cuándo ni por qué se abrió el hueco.

Lo que hace BD-API en su lugar

BD-API entrega changelog.json + meta.json con cada patch. El timeline de versiones es automático y consultable.

5

Centralizar conocimiento regulatorio en una persona que se va de baja parental

Punto único de fallo sobre un rol legal. Cuando esa persona se va, el monitoreo para. Cuando algo se rompe, no hay nadie de guardia.

Lo que hace BD-API en su lugar

BD-API convierte el monitoreo en infraestructura. El rol sigue siendo humano; la vigilancia no depende de que los humanos estén despiertos.

Preguntas frecuentes

Lo que pregunta una Persona Responsable antes de integrar una fuente de datos regulatoria

¿Cuál es la definición legal de Persona Responsable bajo el Reglamento 1223/2009?+

El artículo 4 del Reglamento (CE) 1223/2009 define a la Persona Responsable como la persona física o jurídica designada en la UE/EEE que garantiza que cada producto cosmético puesto en el mercado cumple con el reglamento, mantiene el Expediente de Información del Producto, notifica el producto a través de CPNP y responde a las autoridades competentes. Checklist completo de obligaciones de la Persona Responsable →

¿Puede la Persona Responsable ser la misma entidad legal que el fabricante?+

Sí, si el fabricante está establecido en la UE. Si el fabricante es de fuera de la UE, la Persona Responsable debe ser una entidad establecida en la UE — típicamente el importador o un representante UE designado. Un distribuidor que reetiquete o modifique un producto también se convierte en Persona Responsable de esa variante.

¿Qué pasa si una Persona Responsable no detecta una adición al Anexo II de CosIng que afecta a su producto?+

El producto puede ser retirado del mercado, la empresa puede enfrentar sanciones administrativas o penales que varían según el Estado miembro, y el fallo puede aparecer públicamente en Safety Gate. La responsabilidad civil por daños a consumidores también recae sobre la Persona Responsable. Cómo se propagan los cambios del Anexo II en el reglamento →

¿BD-API reemplaza al evaluador de seguridad o al rol de Persona Responsable?+

No. BD-API entrega datos regulatorios, alertas y trazabilidad. La evaluación de seguridad, la interpretación regulatoria y la responsabilidad final siguen en personas cualificadas dentro de la organización de la Persona Responsable.

¿Puede una Persona Responsable subcontratar solo el monitoreo regulatorio manteniendo el rol in-house?+

Sí — es el caso de uso más común de BD-API. La Persona Responsable mantiene el rol legal y al evaluador de seguridad, y BD-API maneja el feed de datos: actualizaciones CosIng, dictámenes SCCS, alertas Safety Gate, actos EUR-Lex. Cómo funciona externalizar la capa de datos en la práctica →

¿Qué tan rápido aparece un cambio CosIng en BD-API?+

CosIng se consulta según el schedule configurado por el cliente (hasta diario). Una versión nueva dispara un patch SQL y changelog en minutos desde la detección. La vigilancia multi-fuente (SCCS, Safety Gate, EUR-Lex) corre con su propio schedule configurable por fuente. El ritmo real de los cambios en CosIng →

¿Qué evidencia provee BD-API para una auditoría?+

Cada patch se firma con integridad SHA-256. Cada webhook se firma con HMAC-SHA256. Cada evento regulatorio se persiste con fuente, versión, timestamp de detección y análisis IA cuando aplica. La Persona Responsable tiene una traza completa de auditoría de qué cambió, cuándo se detectó y qué acción siguió. Cómo las firmas de webhook sostienen la auditoría →

¿Qué es el Expediente de Información del Producto (PIF) y cuánto tiempo hay que conservarlo?+

El PIF es el dossier que prueba que un producto cosmético cumple con el Reglamento 1223/2009 — incluye la descripción del producto, la fórmula, el método de fabricación, el informe de seguridad, la evidencia de las alegaciones y los datos de la Persona Responsable. Debe conservarse en la dirección indicada en el etiquetado durante diez años desde la última puesta en el mercado del lote. Cualquier autoridad competente puede solicitar acceso en cualquier momento. Leer el checklist completo de obligaciones →

¿Qué pasa si no actualizamos la notificación CPNP tras reformular un producto?+

Una reformulación que cambia la composición cualitativa o cuantitativa dispara una obligación de actualizar el CPNP bajo el artículo 13 del Reglamento. Vender el producto reformulado sin volver a notificarlo equivale legalmente a poner un cosmético no notificado en el mercado — el mismo incumplimiento que no haber notificado nunca. Las autoridades cruzan los incidentes de Safety Gate con las entradas de CPNP durante sus investigaciones. Más sobre CPNP y las cinco obligaciones principales →

¿Listo para que las obligaciones de Persona Responsable sean operativamente sostenibles?

Hablanos. Te explicamos cómo BD-API se integra a tu workflow actual sin reemplazar tu rol regulatorio.

Solicitar demo →Ver precios
Solicitar acceso