Cómo usar esta guía
El ecosistema normativo europeo ha crecido de forma significativa entre 2023 y 2026. Fabricantes, importadores y distribuidores que operan en el mercado de la UE se enfrentan a un panorama en el que hasta diez normativas distintas pueden afectar a un mismo producto, dependiendo de su naturaleza, su conectividad, su función y el sector al que se destina. Esta guía analiza cada tipo de producto por separado y explica, citando siempre el artículo de ámbito de cada normativa, por qué podría ser aplicable o por qué queda fuera de su alcance.
Es importante subrayar que esta página dice «podría aplicar», no «aplica». La determinación final del ámbito depende de las características concretas de cada producto y, en muchos casos, de actos delegados, guías de la Comisión Europea y de la interpretación de las autoridades nacionales de vigilancia del mercado. Esta página es un punto de partida informado para que el profesional identifique qué normativas debe examinar en detalle.
Hardware electrónico conectado (WiFi / BLE / celular)
Un dispositivo electrónico con capacidad de conexión inalámbrica — ya sea vía WiFi, Bluetooth Low Energy o red celular — es, probablemente, el tipo de producto que mayor carga normativa acumula en el marco europeo actual. La razón es sencilla: combina elementos digitales con conectividad radio y, si se destina al consumidor, entra también en la órbita de la seguridad general del producto.
El Cyber Resilience Act (CRA), Reglamento (UE) 2024/2847, se aplica a «productos con elementos digitales comercializados en el mercado cuyo uso previsto o razonablemente previsible incluya una conexión lógica o física, directa o indirecta, a un dispositivo o red» (Art. 2(1)). Un dispositivo WiFi/BLE/celular encaja de forma directa en esta definición. El CRA será de aplicación general a partir del 11 de diciembre de 2027, aunque las obligaciones de notificación de vulnerabilidades se adelantan al 11 de septiembre de 2026.
La Directiva de Equipos Radioeléctricos (RED), Directiva 2014/53/UE, es la normativa de referencia para todo equipo que utilice el espectro radioeléctrico para comunicación o radiodeterminación (Art. 1(1)). Un dispositivo WiFi, BLE o celular es un equipo radioeléctrico por definición. Además, el Reglamento Delegado (UE) 2022/30 activa desde el 1 de agosto de 2025 los requisitos esenciales del Art. 3(3)(d), (e) y (f) de la RED para equipos conectados a internet, equipos que traten datos personales y equipos que permitan transferencias monetarias, introduciendo obligaciones de ciberseguridad, protección de datos y protección contra el fraude. Está previsto que el Reg. Delegado 2022/30 sea derogado a partir del 11 de diciembre de 2027, cuando el CRA entre en plena aplicación.
La Directiva RoHS (Dir. 2011/65/UE) restringe el uso de sustancias peligrosas en aparatos eléctricos y electrónicos (Art. 2(1)). Un dispositivo electrónico conectado es un aparato eléctrico y electrónico a efectos de esta Directiva, salvo que encaje en alguna de las exclusiones del Art. 2(4), como dispositivos médicos, equipos militares o maquinaria móvil no de carretera destinada exclusivamente a uso profesional.
El Data Act (Reg. 2023/2854) se aplica a los «productos conectados» que obtienen, generan o recopilan datos relativos a su rendimiento, uso o entorno y que pueden comunicar dichos datos (Art. 1(2) y definición en Art. 2(5)). Un dispositivo WiFi/BLE/celular que genere datos de uso entra en su ámbito. El Data Act es aplicable desde el 12 de septiembre de 2025.
Si el dispositivo incorpora un sistema de inteligencia artificial, el AI Act (Reg. 2024/1689) podría aplicar. El AI Act se aplica a proveedores que comercialicen o pongan en servicio sistemas de IA en la UE, así como a importadores y distribuidores (Art. 2(1)). La aplicación depende de si el producto contiene un «sistema de IA» según la definición del Art. 3(1) y de su nivel de riesgo.
Si el producto se destina al consumidor, el GPSR (Reg. 2023/988) actúa como red de seguridad para aspectos y riesgos no cubiertos por legislación sectorial específica (Art. 2(1)). El GPSR excluye los productos cubiertos íntegramente por legislación de armonización de la UE, pero se aplica complementariamente en aquellos aspectos no cubiertos.
Si el dispositivo es un ordenador de propósito general, un smartphone o un terminal que acceda a servicios de comunicaciones electrónicas o a servicios audiovisuales, la European Accessibility Act (EAA), Directiva 2019/882, podría aplicar (Art. 2(1)). Las obligaciones de accesibilidad son aplicables desde el 28 de junio de 2025. Las microempresas (menos de 10 empleados y facturación o balance no superior a 2 M€) están exentas en lo relativo a servicios.
Software / SaaS / App
El software, ya sea distribuido como producto independiente, como servicio en la nube (SaaS) o como aplicación móvil, tiene un tratamiento normativo que ha cambiado sustancialmente con la llegada del CRA y el AI Act.
El CRA incluye expresamente el software como «producto con elementos digitales». La definición del Art. 3(1) del CRA abarca «un producto de software o hardware y sus soluciones de tratamiento remoto de datos, incluidos los componentes de software o hardware comercializados por separado». Un software comercializado de forma independiente, incluyendo aplicaciones móviles, está dentro del ámbito del CRA (Art. 2(1)), siempre que su uso previsto incluya una conexión a un dispositivo o red. El software libre y de código abierto solo está sujeto al CRA en la medida en que se destine a actividades comerciales (Considerando 19).
Si el software incorpora o constituye un sistema de IA, el AI Act es potencialmente aplicable (Art. 2(1)). Esto incluye tanto a los proveedores de sistemas de IA como a los proveedores de modelos de IA de propósito general. El nivel de obligación depende de la clasificación de riesgo del sistema.
Si el software es un servicio digital relacionado con un producto conectado (por ejemplo, la aplicación que acompaña a un dispositivo IoT), el Data Act podría aplicar a través del concepto de «servicio relacionado» (Art. 2(6)), que incluye los servicios digitales conectados con el producto de manera que, sin ellos, el producto no podría realizar alguna de sus funciones.
En cuanto a la EAA, la Directiva 2019/882 incluye en su ámbito servicios como el comercio electrónico, los servicios bancarios, los libros electrónicos y los servicios de transporte de viajeros (Art. 2(2)). Si el software presta alguno de estos servicios, las obligaciones de accesibilidad se aplican desde el 28 de junio de 2025.
La RED, la RoHS y la Toy Safety no aplican a software puro, ya que se refieren respectivamente a equipos radioeléctricos, aparatos eléctricos y electrónicos físicos, y juguetes. El EUDR y el Pay Transparency tampoco tienen relación con el software como producto. El GPSR, por su parte, se aplica a «productos» en el sentido de bienes muebles, por lo que los servicios digitales puros quedan generalmente fuera de su ámbito, aunque un software incrustado en un producto físico de consumo sí estaría cubierto indirectamente.
Juguetes conectados
Un juguete conectado — por ejemplo, un muñeco con Bluetooth, una tableta infantil con WiFi o un dron de juguete con control por app — es quizás el tipo de producto con mayor densidad regulatoria. Combina la condición de juguete, de equipo electrónico, de equipo radioeléctrico, de producto con elementos digitales y, potencialmente, de producto conectado a efectos de datos.
El Reglamento de Seguridad de Juguetes (Reg. 2025/2509) se aplica a todos los productos diseñados o destinados, exclusiva o no exclusivamente, para uso en el juego por menores de 14 años (Art. 2(1)). Un producto se considerará destinado al juego por menores cuando un padre o supervisor pueda razonablemente asumir, en virtud de sus funciones, dimensiones y características, que está destinado a ese uso. El nuevo Reglamento, publicado el 12 de diciembre de 2025, será de aplicación general desde el 1 de agosto de 2030, sustituyendo a la Directiva 2009/48/CE. Incluye requisitos esenciales de seguridad específicos para juguetes con elementos digitales y juguetes conectados a internet, exigiendo salvaguardas de ciberseguridad y protección de la privacidad.
El CRA aplica al juguete conectado como producto con elementos digitales (Art. 2(1)). La RED aplica si el juguete utiliza el espectro radioeléctrico (Art. 1(1)), y el Reg. Delegado 2022/30 extiende las obligaciones de privacidad y protección de datos personales específicamente a juguetes cubiertos por la Directiva de juguetes y a equipos de cuidado infantil, incluso sin conexión a internet (Art. 1(2)(a)). La RoHS aplica al componente electrónico del juguete como aparato eléctrico y electrónico (Art. 2(1)).
El Data Act podría aplicar si el juguete es un «producto conectado» que genera datos sobre su uso (Art. 2(5)). El GPSR se aplica como red de seguridad complementaria para aspectos no cubiertos por la legislación sectorial (Art. 2(1)). Si el juguete incorpora IA, el AI Act podría aplicar, y dado que los juguetes con IA interactúan con menores, podrían quedar clasificados como alto riesgo según los criterios del Anexo III del AI Act.
Producto de consumo no electrónico
Un producto de consumo no electrónico — una silla, una prenda textil, un utensilio de cocina, una mochila — se sitúa en un escalón normativo distinto. Al no tener componentes digitales ni conexión radio, queda fuera del alcance del CRA, la RED, la RoHS, el Data Act y el AI Act.
La normativa principal es el GPSR (Reg. 2023/988). Este Reglamento se aplica a todos los productos destinados a consumidores o que puedan ser utilizados por consumidores en condiciones razonablemente previsibles, siempre que no estén cubiertos íntegramente por legislación armonizada sectorial (Art. 2(1)). Excluye explícitamente alimentos, piensos, medicamentos, productos fitosanitarios y otros regulados por normativa sectorial específica. El GPSR es aplicable desde el 13 de diciembre de 2024.
Si el producto está fabricado con o contiene alguna de las siete materias primas reguladas por el EUDR — ganado bovino, cacao, café, aceite de palma, caucho, soja o madera — y se comercializa en la UE, las obligaciones de diligencia debida del EUDR podrían aplicar (Art. 1(1) y Anexo I). Un mueble de madera, un bolso de cuero bovino o un producto con caucho natural son ejemplos de productos que, siendo no electrónicos, podrían estar dentro del ámbito del EUDR. Las fechas de aplicación del EUDR, tras la modificación por el Reg. 2025/2650, son el 30 de diciembre de 2026 para grandes y medianas empresas y el 30 de junio de 2027 para micro y pequeñas empresas.
Si el producto es un juguete no electrónico destinado a menores de 14 años, el Reglamento de Seguridad de Juguetes (Reg. 2025/2509) es aplicable (Art. 2(1)), independientemente de que el juguete tenga o no componentes digitales.
Maquinaria industrial
La maquinaria industrial destinada exclusivamente a uso profesional tiene un perfil normativo diferente al de los productos de consumo. El GPSR no se aplica en general, ya que se dirige a productos destinados a consumidores o que puedan ser previsiblemente utilizados por consumidores (Art. 2(1)). La maquinaria industrial B2B queda fuera de esta definición salvo que, por sus características, un consumidor pueda razonablemente llegar a utilizarla.
Si la maquinaria incorpora elementos digitales con conexión a red — un controlador PLC con conexión Ethernet, una interfaz HMI con WiFi, sensores IoT industriales — el CRA podría aplicar (Art. 2(1)). El CRA no distingue entre productos de consumo e industriales: su ámbito abarca todos los productos con elementos digitales comercializados en el mercado de la UE cuyo uso previsto incluya una conexión a un dispositivo o red. El Considerando 12 del CRA confirma que abarca desde productos de consumo hasta sistemas industriales.
La RoHS se aplica a aparatos eléctricos y electrónicos de todas las categorías del Anexo I, incluida la categoría 11 «Otros aparatos eléctricos y electrónicos no cubiertos por las categorías anteriores» (Art. 2(1)). Sin embargo, el Art. 2(4) excluye específicamente herramientas industriales fijas de gran tamaño, instalaciones fijas de gran tamaño y maquinaria móvil no de carretera destinada exclusivamente a uso profesional.
Si la maquinaria utiliza módulos radio (WiFi, Bluetooth, celular), la RED aplica al módulo radio (Art. 1(1)). Si genera datos de uso y tiene capacidad de comunicarlos, el Data Act podría aplicar (Art. 2(5)). Si incorpora un sistema de IA — por ejemplo, un sistema de visión artificial para control de calidad o un sistema de mantenimiento predictivo — el AI Act podría aplicar (Art. 2(1)), y ciertos usos industriales del AI están clasificados como alto riesgo en el Anexo III del Reglamento.
Materias primas agrícolas (7 commodities)
Las materias primas agrícolas reguladas por el EUDR (Reg. 2023/1115, modificado por Reg. 2025/2650) constituyen un caso particular: se trata de la única normativa de las diez analizadas cuyo ámbito se define no por el tipo de producto final sino por la materia prima de origen.
El EUDR se aplica a siete materias primas — ganado bovino, cacao, café, aceite de palma, caucho, soja y madera — y a los productos derivados que las contengan, hayan sido alimentados con ellas o se hayan fabricado utilizándolas, según la lista de productos y códigos NC del Anexo I (Art. 1(1)). Ejemplos de productos derivados incluyen cuero, chocolate, muebles de madera, neumáticos de caucho natural, cosmética con aceite de palma y piensos con soja.
Las obligaciones del EUDR se centran en la diligencia debida: los operadores deben demostrar que los productos son libres de deforestación, que se han producido conforme a la legislación del país de producción y que están cubiertos por una declaración de diligencia debida (Art. 3). Tras las modificaciones del Reg. 2025/2650, las fechas de aplicación son: 30 de diciembre de 2026 para grandes y medianas empresas y 30 de junio de 2027 para micro y pequeñas empresas.
Las demás normativas analizadas — CRA, AI Act, RED, RoHS, EAA, Pay Transparency, Data Act y Toy Safety — no tienen relación directa con materias primas agrícolas como tales. El GPSR podría aplicar si el producto derivado se destina al consumidor y no está cubierto íntegramente por otra legislación armonizada.
Servicio digital / plataforma / e-commerce
Un servicio digital puro — una plataforma de comercio electrónico, una aplicación web SaaS, un servicio de streaming — tiene un perfil normativo diferente al de los productos físicos. El CRA, la RED, la RoHS y el Reglamento de Seguridad de Juguetes se aplican a productos, no a servicios, por lo que quedan fuera de su ámbito.
La normativa más relevante es la European Accessibility Act (EAA), Directiva 2019/882, que incluye en su ámbito servicios prestados a consumidores como el comercio electrónico, los servicios bancarios para consumidores, los servicios de acceso a medios audiovisuales y ciertos servicios de transporte de viajeros (Art. 2(2)). Si la plataforma o servicio digital presta alguno de estos servicios, las obligaciones de accesibilidad son aplicables desde el 28 de junio de 2025. Las microempresas prestadoras de servicios están exentas.
Si el servicio digital utiliza o constituye un sistema de IA, el AI Act podría aplicar (Art. 2(1)). El AI Act se aplica a proveedores de sistemas de IA que los comercialicen o pongan en servicio en la UE, con independencia de dónde estén establecidos, así como a quienes los desplieguen (deployers) en la UE.
Si el servicio es un «servicio relacionado» con un producto conectado — por ejemplo, la plataforma en la nube que recoge datos de un dispositivo IoT — el Data Act podría aplicar, imponiendo obligaciones de acceso a los datos para los usuarios del producto conectado (Art. 2(6) y Capítulo II).
Si la plataforma es un marketplace online, el GPSR impone obligaciones específicas a los proveedores de marketplaces online (Art. 22), incluyendo registro en Safety Gate, designación de puntos de contacto y cooperación con autoridades para retirar productos peligrosos. El EUDR y el Pay Transparency no son aplicables a servicios digitales como tales.
Empresa con empleados en España
La Directiva de Transparencia Retributiva (Pay Transparency), Directiva (UE) 2023/970, tiene un ámbito de aplicación fundamentalmente distinto a las demás normativas de esta guía: no se aplica a un producto, sino a una relación laboral. Se aplica a todos los trabajadores que tengan un contrato de trabajo o una relación laboral conforme a la legislación, los convenios colectivos o las prácticas de cada Estado miembro (Art. 2(2)). También se aplica a los candidatos a un empleo en lo relativo a la transparencia retributiva previa a la contratación (Art. 2(3)).
Cualquier empresa con empleados en España — independientemente de su tamaño, su sector o los productos que fabrique o comercialice — estará sujeta a la transposición nacional de esta Directiva. Los Estados miembros deben transponer la Directiva a más tardar el 7 de junio de 2026. Las obligaciones principales incluyen la transparencia retributiva en ofertas de empleo, el derecho de los trabajadores a solicitar información sobre niveles retributivos medios por sexo y, para empresas con 100 o más empleados, la obligación de elaborar informes sobre la brecha retributiva de género. Si la brecha supera el 5 %, se activa la obligación de realizar una evaluación retributiva conjunta.
Si la empresa utiliza sistemas de IA en procesos de recursos humanos — por ejemplo, en cribado de currículos, evaluación del rendimiento o toma de decisiones sobre empleados — el AI Act podría aplicar. Los sistemas de IA utilizados en el empleo están clasificados como alto riesgo en el Anexo III, punto 4, del AI Act, lo que implica obligaciones reforzadas de transparencia, supervisión humana y evaluación de riesgos (Art. 6(2) y Anexo III).
Las demás normativas de esta guía (CRA, RED, RoHS, GPSR, EAA, Data Act, EUDR, Toy Safety) no aplican a una empresa «por tener empleados», sino que podrían aplicar en función de los productos o servicios que esa empresa fabrique, importe, distribuya o preste.
Tabla resumen: normativas por tipo de producto
Esta tabla resume qué normativas podrían aplicar a cada tipo de producto. ✓ indica aplicabilidad directa según el artículo de ámbito. ● indica aplicabilidad condicionada (depende de características específicas del producto). — indica que no aplica.
| Tipo de producto | CRA | AI Act | EUDR | GPSR | EAA | Pay Transp. | Data Act | RED | RoHS | Toy Safety |
|---|---|---|---|---|---|---|---|---|---|---|
| Hardware conectado | ✓ | ● | — | ● | ● | — | ✓ | ✓ | ✓ | — |
| Software / SaaS / App | ✓ | ● | — | — | ● | — | ● | — | — | — |
| Juguete conectado | ✓ | ● | — | ● | — | — | ✓ | ✓ | ✓ | ✓ |
| Consumo no electrónico | — | — | ● | ✓ | — | — | — | — | — | ● |
| Maquinaria industrial | ● | ● | — | — | — | — | ● | ● | ● | — |
| Materia prima agrícola | — | — | ✓ | ● | — | — | — | — | — | — |
| Servicio digital / e-commerce | — | ● | — | ● | ✓ | — | ● | — | — | — |
| Empresa con empleados (ES) | — | ● | — | — | — | ✓ | — | — | — | — |
Fuentes oficiales
Todos los datos de esta página provienen exclusivamente de las siguientes fuentes oficiales. Cada artículo de ámbito ha sido consultado en la versión consolidada o publicada en EUR-Lex.
eur-lex.europa.eu/eli/reg/2024/2847/oj
eur-lex.europa.eu/eli/reg/2024/1689/oj
eur-lex.europa.eu/eli/reg/2023/1115/oj
eur-lex.europa.eu/eli/reg/2025/2650/oj
eur-lex.europa.eu/eli/reg/2023/988/oj
eur-lex.europa.eu/eli/reg/2023/2854/oj
eur-lex.europa.eu/eli/dir/2019/882/oj
eur-lex.europa.eu/eli/dir/2023/970/oj
eur-lex.europa.eu/eli/dir/2014/53/oj
eur-lex.europa.eu/eli/reg_del/2022/30/oj
eur-lex.europa.eu/eli/dir/2011/65/oj
eur-lex.europa.eu/eli/reg/2025/2509/oj