Obligaciones de la Persona Responsable en cosmética: el checklist legal completo bajo el Reglamento 1223/2009

• La figura de Persona Responsable es obligatoria para cualquier cosmético que se comercialice en la UE. No es opcional.
• El Reglamento (CE) 1223/2009 le asigna cinco obligaciones fundamentales: seguridad, PIF, notificación CPNP, control de ingredientes y cosmetovigilancia.
• Gestionarlas bien con un solo producto es asumible. Hacerlo con veinte o más, sin un proceso sistemático, es donde aparecen los errores de compliance.

1. ¿Quién puede ser Persona Responsable?

La figura está definida en el Artículo 4 del Reglamento (CE) 1223/2009. Solo puede serlo una persona física o jurídica establecida en la Unión Europea — no hay atajos: si el fabricante está fuera de la UE, alguien dentro tiene que asumir el rol antes de que el producto entre en el mercado.

Cuatro perfiles pueden ocupar esa posición:

• Fabricante establecido en la UE que comercializa bajo su propio nombre o marca.
• Representante autorizado designado expresamente por escrito por el fabricante de fuera de la UE.
• Importador que introduce el producto en el mercado comunitario.
• Distribuidor que comercializa el producto bajo su propio nombre o marca (aunque no lo haya fabricado), o que modifica un producto ya comercializado de forma que pueda afectar a su conformidad.

Lo que no permite el Reglamento es la ambigüedad. La designación tiene que estar documentada, ser inequívoca y producirse antes de que el producto entre en el mercado. No se regulariza a posteriori.

2. Las cinco obligaciones fundamentales

El Artículo 5 es el paraguas: hace a la Persona Responsable legalmente responsable de que el producto cumpla los Artículos 3 y 8 a 24 del Reglamento.

2.1. Garantizar la seguridad del producto y el CPSR (Art. 10)

La obligación más exigente en términos técnicos. El Artículo 3 establece el principio general de que todo cosmético puesto en el mercado debe ser seguro para la salud humana cuando se usa en condiciones razonablemente previsibles de uso; esa seguridad se documenta en el Informe de Seguridad del Producto Cosmético (CPSR) exigido por el Artículo 10.

El CPSR tiene dos partes: información sobre la seguridad del producto cosmético y la evaluación propiamente dicha. La evaluación solo puede realizarla una persona con las cualificaciones exigidas por el Art. 10: al menos un título universitario en Farmacia, Toxicología, Medicina o disciplina análoga, más experiencia demostrable.

Puntos clave:

• El CPSR debe actualizarse cada vez que cambia la fórmula, un proveedor de materias primas o los datos de exposición.
• Una evaluación de seguridad desactualizada convierte al producto en no conforme.
• El coste de una revisión del CPSR siempre es menor que el de una retirada.

2.2. Mantener el Expediente de Información del Producto (PIF) (Art. 11)

El PIF es el expediente completo que acredita el compliance del producto. Debe estar disponible para las autoridades nacionales durante 10 años a partir de la fecha en que el último lote se puso en el mercado, y tiene que conservarse en la dirección de la Persona Responsable dentro de la UE.

Contenido obligatorio del PIF:

• Descripción del producto cosmético.
• CPSR completo (ambas partes).
• Descripción del método de fabricación y declaración de cumplimiento con las BPF (ISO 22716 o equivalente).
• Pruebas del efecto proclamado si el producto hace alegaciones de eficacia.
• Datos sobre ensayos en animales (si los hubiera, dentro del marco legal).

El PIF no es un documento que se crea una vez y se archiva. Cuando reformulas, cuando cambias proveedor o cuando aparece nueva evidencia de seguridad sobre un ingrediente, el PIF cambia. Mantenerlo desactualizado equivale a no tenerlo.

2.3. Notificación CPNP previa a la comercialización (Art. 13)

Antes de que el producto llegue al mercado, la Persona Responsable tiene que notificarlo en el Portal de Notificación de Productos Cosméticos (CPNP) de la Comisión Europea. No hay plazo de gracia: la notificación es previa, no simultánea ni posterior.

Qué se notifica en el CPNP:

• Categoría del producto y nombre comercial.
• Nombre y dirección de la Persona Responsable.
• País de comercialización.
• Datos de contacto para urgencias (importante: tiene que ser alguien localizable).
• Presencia de sustancias en forma de nanomateriales, con su identificación y nombre químico (IUPAC).
• Nombre y número CAS o CE de las sustancias clasificadas como CMR (carcinógenas, mutágenas o tóxicas para la reproducción, categoría 1A o 1B).
• El etiquetado original y, cuando sea razonablemente legible, una fotografía del envase.

Cualquier cambio posterior en esta información requiere actualización en el CPNP. La notificación de un producto reformulado como si fuera el mismo producto original es un error frecuente con consecuencias sancionadoras.

2.4. Cumplimiento de prohibiciones y restricciones (Anexos II-VI)

El Reglamento (CE) 1223/2009 lleva seis Anexos que regulan qué ingredientes pueden usarse, en qué condiciones y con qué concentraciones máximas:

• Anexo II: sustancias prohibidas (más de 1.600 entradas).
• Anexo III: sustancias restringidas (uso permitido solo bajo determinadas condiciones).
• Anexo IV: colorantes permitidos.
• Anexo V: conservantes permitidos.
• Anexo VI: filtros UV permitidos.

La Persona Responsable tiene que verificar cada ingrediente de cada fórmula contra estos Anexos antes de la comercialización. Y el problema operativo es que los Anexos se actualizan mediante reglamentos de la Comisión publicados en el DOUE — no hay un correo que te avise, tienes que ir a buscarlos o tener un sistema que lo haga por ti.

Un ingrediente que hoy está en el Anexo III (restringido) puede aparecer en el Anexo II (prohibido) meses después. Si tu PIF y tu fórmula no se actualizan antes de esa fecha, el producto en el mercado se convierte en no conforme desde el día en que entra en vigor la restricción.

2.5. Vigilancia y cosmetovigilancia (Art. 23)

La Persona Responsable es el receptor oficial de los efectos no deseados y debe notificar a las autoridades competentes los efectos no deseados graves (ENOD graves) con agilidad.

El Art. 23 establece:

• Si el ENOD grave lo notifica un consumidor o profesional sanitario, la Persona Responsable transmite la información a las autoridades del país donde ocurrió el efecto.
• Si el ENOD implica un riesgo de seguridad grave, la autoridad competente puede extender la comunicación a otros Estados Miembros.
• Toda la información sobre ENOD (graves y no graves) debe guardarse y estar accesible para las autoridades.

La cosmetovigilancia no es solo reacción: implica tener un proceso para recibir reclamaciones, clasificarlas correctamente (ENOD vs. ENOD grave) y decidir si el volumen o la naturaleza de los ENOD no graves sugiere revisar el CPSR.

3. Responsabilidades operacionales continuas

Además de las cinco obligaciones fundamentales, la Persona Responsable mantiene una serie de deberes operacionales que no tienen fecha de caducidad:

• Comunicación con la autoridad nacional: en España, la AEMPS es la autoridad competente. Debes responder a sus requerimientos de información, y el plazo habitual cuando hay una inspección o un procedimiento urgente es de 72 horas.
• Etiquetado conforme al Art. 19: lista de ingredientes en orden descendente de peso (INCI), número de lote, fecha de caducidad o PAO (Período de Uso Después de Abierto), función del producto si no es evidente, nombre y dirección de la Persona Responsable, país de fabricación cuando no sea UE.
• Control de cambios en fórmula y proveedores: cualquier cambio en la composición del producto activa una revisión del CPSR y, si el cambio es relevante, una actualización del CPNP.
• Notificación de productos rediseñados o reformulados: no puedes comercializar una reformulación significativa bajo la misma notificación CPNP original sin actualizarla.
• Vigilancia regulatoria activa: monitorizar el DOUE (nuevos reglamentos de la Comisión que modifican los Anexos), las opiniones del SCCS, las alertas de Safety Gate y las comunicaciones de la Comisión sobre ingredientes bajo revisión.

4. Los costes de no cumplir

El Reglamento (CE) 1223/2009 establece en sus Artículos 25-27 el marco de medidas correctoras que pueden adoptar las autoridades: desde la restricción de comercialización hasta la retirada obligatoria del producto del mercado, pasando por exigir la modificación del etiquetado o la revisión del CPSR.

Las sanciones administrativas las fija cada Estado Miembro. En España, la Ley General de Salud Pública clasifica las infracciones en leves, graves y muy graves, con multas que pueden llegar hasta 600.000 euros en los casos más graves, más la posibilidad de cierre temporal del establecimiento.

Pero la consecuencia más inmediata y más costosa no siempre es la multa. Es la retirada del mercado: hay que localizar los lotes comercializados, coordinar la devolución con la cadena de distribución, gestionar las comunicaciones a consumidores y absorber el coste del stock retirado. En productos con alta rotación o distribución amplia, ese coste supera con frecuencia la multa.

Y después está el efecto Safety Gate. Cuando las autoridades notifican un producto al sistema de alertas, el reporte es público y buscable por nombre de producto y marca. Un cliente, un distribuidor o un periodista puede encontrarlo sin ningún esfuerzo. Una retirada mal gestionada en el contexto regulatorio deja rastro durante años.

5. Cómo escala una Persona Responsable con muchos productos

Con un producto, estas obligaciones son asumibles. Con diez, empieza a ser trabajo de equipo. Con veinte o más, el problema se vuelve de proceso.

El cuello de botella no suele estar en la voluntad de cumplir — está en los flujos de información. La Persona Responsable necesita saber cuándo cambian los Anexos, cuándo hay una nueva opinión del SCCS sobre un ingrediente de su portfolio, cuándo aparece una alerta en Safety Gate que afecta a un proveedor suyo, cuándo se publica en el DOUE un reglamento de la Comisión que afecta a filtros UV o conservantes.

Hacer ese seguimiento de forma manual, con alertas de Google o revisando el DOUE cada semana, funciona hasta cierto punto. A partir de cierto volumen de productos y cierta diversidad de ingredientes, lo que se necesita es un sistema que filtre el ruido y entregue solo lo que realmente aplica a tu portfolio.

Eso es precisamente lo que automatiza BD-API: la captura de cambios regulatorios (DOUE, SCCS, Safety Gate, DG SANTE), el cruce contra el inventario CosIng INCI vinculado a tu catálogo, y la entrega estructurada a tu equipo regulatorio. Sin reemplazar el criterio humano — devolviéndole las horas que hoy se van en revisar fuentes una a una.

6. Checklist de compliance — para revisar ahora mismo

Antes de cerrar esta página, responde estas cinco preguntas con un sí o un no claro:

• ¿Tienes un CPSR actualizado para cada producto, firmado por una persona con las cualificaciones del Art. 10?
• ¿Está tu PIF completo, accesible y actualizado para cada uno de tus productos, con el historial de cambios documentado?
• ¿Está cada producto notificado correctamente en el CPNP, y las actualizaciones de fórmula reflejadas?
• ¿Tienes un proceso documentado para verificar cada nuevo ingrediente o reformulación contra los Anexos II-VI antes de comercializar?
• ¿Tienes un proceso activo de cosmetovigilancia que capture ENOD, los clasifique y los notifique cuando corresponde?

Si tu equipo no puede contestar con un "sí" rotundo a las cinco, hay trabajo por hacer. No es una crítica — es una realidad habitual, especialmente cuando el portfolio crece más rápido que los procesos. La buena noticia es que los cinco puntos tienen solución operativa.