Hay una zona a la que el operador puede llegar con la mano.
Hay un elemento móvil que puede atrapar la mano.
Hay una tarea que alguien hará de verdad: retirar un atasco, limpiar, ajustar o comprobar después de una parada.
Y luego, en la tabla, aparece una frase que parece cerrar el asunto:
| Peligro | Medida declarada | Mensaje al usuario |
|---|---|---|
| Riesgo residual | Información en el manual de instrucciones | No meter las manos |
| ¿Ha comprobado el fabricante si el peligro puede eliminarse mediante el diseño? | Seguimos la lógica de ISO 12100. | La advertencia en las instrucciones aparece demasiado pronto. |
| ¿Se han considerado medidas técnicas de protección: resguardos, dispositivos de enclavamiento, bloqueo de resguardos, modos de funcionamiento, mando de acción mantenida, limitación de energía, velocidad o fuerza? | Se puede justificar por qué una parte del riesgo sigue existiendo. | Probablemente el riesgo no es «residual», sino que está insuficientemente tratado. |
| ¿Ha demostrado el fabricante por qué no aplicó una medida determinada? | La documentación muestra una decisión de ingeniería. | Tenemos una laguna. Y una laguna no se convierte en riesgo residual solo porque alguien la haya llamado así. |
| ¿La información para el usuario es concreta? | El usuario sabe qué debe hacer: cuándo, cómo, con qué y en qué condiciones. | «Actuar con precaución» o «no meter las manos» no basta. |
| ¿El usuario tiene una influencia real sobre esa medida? | Puede ser un ámbito del lado del usuario: formación, bloqueo y etiquetado, supervisión, procedimiento, mantenimiento, EPI, organización del trabajo. | No se puede fingir que el usuario asume algo que no puede controlar eficazmente. |
| ¿La medida del lado del usuario puede mantenerse en la práctica? | Se puede hablar de responsabilidad compartida. | Si exige «vigilar a las personas» constantemente y podía aplicarse una medida técnica, el problema vuelve al fabricante. |
| ¿Después de aplicar la medida de protección se comprobó si se había creado algún riesgo nuevo? | La evaluación de riesgos tiene el ciclo cerrado. | El proceso no ha terminado. ISO/TR 14121-2 recuerda que, tras implantar las medidas, hay que volver a comprobar si el riesgo realmente ha disminuido y si no han aparecido nuevos peligros. |
Sobre el papel queda limpio. Peligro descrito. Riesgo nombrado. Manual completado. Pero en seguridad de máquinas ese tipo de registro muchas veces no ordena el problema: lo tapa.
Porque el riesgo residual no es un cajón de sastre donde se mete todo lo que no se resolvió en el diseño. Tampoco es una forma elegante de pasar la responsabilidad del fabricante al usuario. Es el riesgo que queda después de hacer el trabajo de ingeniería: después de comprobar si el peligro podía eliminarse por diseño, después de seleccionar medidas de protección técnicas y después de verificar si esas medidas reducen de verdad la exposición de la persona.
Solo entonces se puede decir con honestidad: aquí queda algo, y el usuario debe saberlo.
En la práctica, esa frontera se emborrona demasiado. El fabricante dice: «lo hemos puesto en el manual». El integrador dice: «el usuario debe formar a su personal». El usuario oye: «esto ya es organización del trabajo». Pero ISO 12100 y el Reglamento de Máquinas (UE) 2023/1230 ordenan la responsabilidad en una secuencia muy concreta: primero diseño, después medidas de protección y al final información.
El mismo problema aparece hoy con máquinas conectadas a red. Acceso remoto, cuentas de servicio, configuración del controlador, actualizaciones, interfaz hombre-máquina y datos no son solo asunto del departamento de TI del usuario si pueden afectar a la seguridad de la máquina. Tampoco basta escribir: «el usuario debe proteger la red». El fabricante debe entregar una máquina que contemple esos riesgos desde el principio.
Por eso la pregunta no es si el manual contiene una advertencia. La pregunta es qué hizo el fabricante antes de escribirla.
El riesgo residual no es un campo libre en la evaluación de riesgos
ISO 12100 conviene detenerse en una idea clave: la reducción del riesgo vista desde el diseñador. No como diapositiva bonita para una formación, sino como frontera técnica. Primero está el riesgo asociado a la máquina. Después viene la aportación del diseñador: diseño inherentemente seguro, medidas de protección técnicas, medidas de protección complementarias e información para el uso. Luego entra la aportación del usuario: organización del trabajo, procedimientos, supervisión, permisos, medios técnicos adicionales, equipos de protección individual y formación.
Eso significa que el riesgo residual está realmente en la unión entre fabricante y usuario. Pero no en el sentido de que cada parte pueda meter ahí lo que le convenga. El fabricante no puede desplazar a esa zona un peligro que no quiso resolver por diseño. Y el usuario tampoco puede fingir que el manual y la formación no importan si el fabricante ha descrito con rigor los riesgos que no se podían eliminar desde el proyecto.
Ahí está la trampa: la expresión suena técnica, y por eso sirve demasiado bien para cubrir la falta de una decisión de diseño. Alguien ve un punto de atrapamiento. Alguien sabe que el operador retirará atascos. Alguien sabe que para limpiar tendrá que acercar la mano a un elemento móvil. Y aun así la evaluación acaba diciendo: riesgo residual, no meter las manos.
Eso no demuestra que exista riesgo residual. Solo demuestra que alguien ha llamado riesgo residual a un problema.
Para usar el concepto con honestidad hay que mostrar el camino recorrido. ¿Qué se hizo en la construcción? ¿Se podía cambiar la geometría, la distancia, la energía, la velocidad, el acceso o el modo de ajuste? ¿Qué resguardos, enclavamientos/bloqueos, modos de trabajo o funciones de seguridad se valoraron? ¿Por qué una parte del riesgo debe comunicarse al usuario y no resolverse antes?
Solo esa respuesta lleva el tema del nivel «lo hemos escrito en el manual» al nivel de una evaluación de riesgos conforme a ISO 12100. La norma es clara: las medidas aplicadas durante el diseño son preferibles a las medidas que dependen del usuario, porque normalmente son más eficaces. ISO/TR 14121-2 refuerza la misma lógica: la información para el usuario debe guiar el uso correcto y seguro de la máquina y advertir sobre los riesgos que quedan después de reducirlos mediante diseño y protecciones.
Los procedimientos, la formación o el bloqueo y etiquetado tienen su sitio. Pero no sirven para rescatar lo que el fabricante no trabajó en el diseño. Si no, no hablamos de riesgo residual. Hablamos de riesgo abandonado al usuario.
Tres situaciones donde el riesgo residual se convierte en coartada cómoda
1. Atrapamientos: «no meter las manos» no es una medida de protección
Imaginemos una máquina con un elemento móvil. El operador puede alcanzar su zona durante la retirada de un atasco, la limpieza, la alimentación manual de una pieza o el ajuste. En la evaluación de riesgos aparece el peligro de atrapamiento. En la columna de medidas aparece: advertencia en el manual. Y en el manual se lee: no meter las manos en la zona de trabajo de la máquina.
¿Suena familiar?
A primera vista, el documento parece completo. Hay peligro. Hay riesgo. Hay advertencia. Pero la seguridad de una máquina no consiste en llenar casillas. La pregunta seria es otra: ¿qué pasó antes de esa advertencia?
¿Alguien intentó eliminar el punto de atrapamiento cambiando la geometría? ¿Se redujo la fuerza, la velocidad o la energía del movimiento? ¿La tarea de ajuste podía sacarse fuera de la zona peligrosa? ¿Se previó un modo de ajuste con riesgo reducido? ¿Se seleccionó un resguardo, un enclavamiento, un bloqueo, un mando mantenido o un dispositivo de habilitación? ¿Se comprobó cómo retirará el atasco el operador en la vida real, no cómo debería hacerlo en un manual ideal?
Si la respuesta es: «no, pero hemos escrito que no meta las manos», todavía no estamos hablando de riesgo residual. Estamos hablando de un riesgo al que se le ha puesto una etiqueta cómoda.
La lógica de ISO 12100 es incómoda para esos atajos. Separa la aportación del diseñador de la aportación del usuario. Lo compartido no significa indefinido. Compartido no significa: el fabricante escribe una advertencia y el usuario ya se las apañará. Compartido significa que el fabricante muestra qué ha hecho en su lado, qué no ha podido eliminar y qué información entrega; y el usuario organiza el trabajo de acuerdo con esa información.
2. Accesos, plataformas y mantenimiento: si la tarea es previsible, el acceso también
Segundo caso. Una máquina tiene un filtro que se cambia cada semana. Un sensor debe limpiarse en cada cambio de formato. Un punto de engrase está a dos metros del suelo. Una pieza debe retirarse periódicamente desde el interior de la máquina. El fabricante escribe en el manual: realizar las tareas respetando las normas de seguridad y usar medios de acceso adecuados.
Muy bien. ¿Qué medios de acceso?
¿La escalera que haya por el taller? ¿Una plataforma que aporte mantenimiento? ¿Subirse a la estructura de la máquina? ¿Pisar un perfil porque «siempre se ha hecho así»? ¿El operario debe sujetarse con una mano al resguardo, desmontar con la otra y vigilar la herramienta con una tercera mano que no tiene?
Este es el punto donde la teoría se encuentra con la planta. Si el fabricante prevé una tarea regular de operación, limpieza, ajuste o mantenimiento, debe preguntarse cómo llegará la persona de forma segura, dónde se colocará y cómo hará el trabajo sin improvisar.
No toda tarea en altura exige una gran plataforma fija. Pero tampoco vale irse al extremo contrario y fingir que el acceso a una zona de intervención frecuente es solo problema del usuario. ISO 12100 indica que, cuando sea posible, las operaciones rutinarias de servicio, ajuste y mantenimiento deben realizarse desde el nivel del suelo. Si no es posible, hay que prever un acceso seguro: plataformas, escaleras, pasarelas, barandillas u otras soluciones. Ahí entra la serie ISO 14122 sobre medios de acceso permanentes a máquinas.
Y entonces la pregunta se vuelve muy práctica: si existe una medida técnica que permite hacer de forma segura cambios, ajustes o mantenimiento frecuentes, ¿por qué asumimos de entrada que el usuario debe resolverlo organizativamente? ¿Por qué la plataforma fija no se incluyó en el proyecto? ¿Por qué el manual exige una intervención semanal en un punto difícil, pero el diseño no ofrece un puesto de trabajo seguro?
No son preguntas académicas. Son preguntas de recepción de máquina, de auditoría y de taller. Si el usuario debe hacer una tarea de forma regular, el acceso no es un accesorio. Es parte de la seguridad de la máquina o, como mínimo, una condición de instalación que el fabricante debe definir con claridad.
La frase «riesgo residual: el usuario utilizará medios de acceso adecuados» muchas veces no describe un riesgo residual. Describe una decisión de diseño que nadie tomó.
3. Ciberseguridad y acceso remoto: admin/admin no es un detalle
El tercer ejemplo parece más moderno, pero el mecanismo es el mismo.
La máquina tiene acceso remoto. Tiene controlador, interfaz hombre-máquina, ordenador industrial, cuentas de servicio, posibilidad de actualizaciones, envío de datos y quizá conexión con un sistema superior. El fabricante dice: el usuario debe proteger la red. El departamento de TI recibe el asunto después de la puesta en marcha. Mantenimiento quiere que el servicio técnico se conecte rápido. Producción quiere que la máquina no pare. Cada parte tiene sus razones.
Pero hagamos la pregunta simple: ¿una vulneración de esa capa puede afectar a la seguridad de la máquina?
Si el acceso remoto permite cambiar parámetros, modos de trabajo, lógica de control, configuración de la interfaz hombre-máquina o datos relevantes para funciones de seguridad, no estamos ante un simple tema de cortafuegos corporativo. Si la máquina llega con contraseñas por defecto, cuentas no documentadas, acceso remoto abierto o un procedimiento de actualización confuso, resulta difícil decir que todo el riesgo de ciberseguridad cae del lado del usuario.
El usuario tiene obligaciones, por supuesto. Debe gestionar red, cuentas, accesos, copias de seguridad, actualizaciones, segmentación y procedimientos de cambio. Pero el fabricante no puede entregar una máquina en estado «ya la protegeréis vosotros» y llamarlo riesgo residual. Menos aún con el Reglamento de Máquinas (UE) 2023/1230, que acerca claramente la ciberseguridad a la seguridad de máquinas cuando una alteración del soporte físico, los programas o los datos puede generar una situación peligrosa.
La regla vuelve a ser la misma: primero diseño, después medidas técnicas y solo después información al usuario. No al revés.
En los tres casos, atrapamiento, accesos y ciberseguridad, la pregunta es una sola: ¿el fabricante redujo realmente el riesgo o simplemente se lo describió al usuario?
Es una pregunta incómoda. Y por eso es necesaria. Porque el riesgo residual no sirve para cerrar una tabla con buena apariencia. Sirve para mostrar qué queda del lado de la máquina, qué queda del lado de la organización del trabajo y qué queda en la frontera entre ambas.
¿Cuándo el riesgo residual es realmente residual?
Después de estos ejemplos se ve una cosa: no todo riesgo que queda en una máquina merece automáticamente llamarse riesgo residual.
Porque ¿qué significa exactamente «queda»?
¿Queda después de cambiar el diseño? ¿Queda después de un resguardo, un enclavamiento, un bloqueo o un modo de ajuste? ¿Queda después de trasladar el punto de engrase fuera de la zona peligrosa? ¿Queda después de diseñar un acceso fijo para mantenimiento? ¿O queda porque nadie quiso tocarlo y lo más fácil fue añadir una advertencia?
Son dos situaciones completamente distintas.
ISO 12100 separa este asunto con precisión: existe el riesgo residual después de aplicar las medidas del diseñador y existe el riesgo residual después de aplicar todas las medidas, incluidas las del usuario. Entre ambos hay una zona donde la información del fabricante debe ser utilizada de verdad por la organización del usuario.
Por eso el riesgo residual no puede tratarse como una casilla suelta. No es el lugar para escribir «el usuario actuará con precaución». Es el lugar para una conclusión concreta después de un trabajo de diseño ya realizado.
Una forma sencilla de filtrarlo es esta:
| Pregunta | Si la respuesta es sí | Si la respuesta es no |
|---|---|---|
| ¿El peligro está descrito de forma concreta: dónde, cuándo, quién está expuesto y durante qué tarea? | Se puede seguir valorando si hablamos de riesgo residual. | No hay evaluación real, solo una descripción genérica del peligro. |
| ¿El fabricante comprobó si el peligro podía eliminarse por diseño? | Se avanza conforme a la lógica de ISO 12100. | La advertencia en el manual aparece demasiado pronto. |
| ¿Se valoraron medidas técnicas: resguardos, enclavamientos/bloqueos, modos de trabajo, mando mantenido, limitación de energía, velocidad o fuerza? | Puede justificarse por qué una parte del riesgo permanece. | Probablemente el riesgo no es residual; está insuficientemente trabajado. |
| ¿El fabricante explicó por qué no aplicó una medida determinada? | La documentación muestra una decisión de ingeniería. | Hay una laguna. Y una laguna no se convierte en riesgo residual por llamarla así. |
| ¿La información para el usuario es concreta? | El usuario sabe qué debe hacer, cuándo, cómo, con qué medios y bajo qué condiciones. | «Actuar con precaución» o «no meter las manos» no basta. |
Esta tabla no es un algoritmo legal. Es un filtro de sentido común. Si al pasarla solo queda la frase «el operador debe tener cuidado», vamos demasiado pronto. Todavía no hemos llegado al riesgo residual.
También conviene separar responsabilidades sin maquillarlas:
Este es el punto central. El riesgo residual puede ser compartido. Pero compartido no significa borroso. Compartido no significa: el fabricante escribe y el usuario responde. Compartido no significa: el departamento de seguridad prepara un procedimiento y entonces el diseño ya está bien.
Compartido significa algo bastante más exigente: el fabricante demuestra qué hizo en la máquina y el usuario asume lo que de verdad depende de la organización, la supervisión, el mantenimiento y las condiciones de explotación.
La tabla ayuda, pero no sustituye el trabajo real
Una matriz de responsabilidades solo sirve si baja desde las frases generales hasta la tarea real junto a la máquina. Es fácil escribir: el usuario garantiza la organización del trabajo, el usuario usa medios de acceso adecuados, el usuario protege la red. Lo difícil es comprobar si el usuario ha recibido una máquina que se pueda operar, limpiar, mantener y ajustar con seguridad.
Una plataforma de servicio no es decoración
Pensemos en una plataforma de servicio. En el plano todo parece correcto: estructura metálica, rejilla, barandilla, acceso. ¿Acceso previsto? Sí. ¿Tema cerrado? No necesariamente.
Primera pregunta: ¿para qué trabajo sirve esa plataforma?
Si una persona sube una vez al año para leer un indicador o mirar una placa, estamos en un escenario. Pero si desde esa misma plataforma hay que cambiar con regularidad un motor, un reductor, un cilindro, un rodillo, un cabezal, un filtro o cualquier componente de desgaste, ya no hablamos solo de acceso. Hablamos de un puesto de trabajo de mantenimiento.
Y entonces una frase genérica en el manual no basta.
¿Quién sube? ¿Una persona o dos técnicos de mantenimiento? ¿Qué llevan? ¿Caja de herramientas, llave dinamométrica, eslingas, repuesto? ¿Qué desmontan? ¿Una tapa de 20 kg, un motorreductor de 80 kg, una caja de engranajes de 150 kg o un motor de 500 kg? ¿Dónde dejan la pieza al soltarla? ¿En la plataforma, en un carro, suspendida? ¿Hay puerta de carga, punto de izado, polipasto, recorrido para extraer el componente y espacio para dos personas? ¿La capacidad de carga de la plataforma cubre solo a una persona o también herramientas, piezas, cargas puntuales y fuerzas durante el desmontaje?
Estas son preguntas de taller, no de presentación corporativa.
Si el manual dice que un motor de 500 kg se sustituye desde una plataforma, esa plataforma debe responder a ese trabajo. No al trabajo imaginario de un operario con una llave, sino a la tarea real: dos personas, herramientas, componente desmontado, maniobra, protección frente a caída, transporte de la pieza y descenso seguro hasta el suelo.
Si no, tenemos una apariencia de solución. La plataforma existe, pero no resuelve la tarea. El acceso existe, pero no garantiza un mantenimiento seguro. El manual describe la intervención, pero el diseño no ofrece condiciones para ejecutarla.
¿Eso es riesgo residual? Si el fabricante prevé una tarea regular de mantenimiento y no prevé cómo hacerla de forma segura, cuesta defenderlo. Es una concepción de servicio incompleta. El usuario responderá por la organización del trabajo, la cualificación, el bloqueo y etiquetado, la supervisión y el buen estado de la plataforma. Pero no debería descubrir después de la recepción que para sustituir un conjunto pesado necesita improvisar.
Riesgo residual y ciberseguridad: admin/admin no es un detalle
Con la ciberseguridad pasa algo muy parecido.
La máquina llega con una cuenta de servicio. Usuario: admin. Contraseña: admin. El acceso remoto funciona porque el servicio técnico debe poder conectarse. La documentación dice que el usuario debe proteger la red. TI recibe el asunto después de la puesta en marcha. Mantenimiento no quiere bloquear el acceso porque la máquina tiene que producir. El servicio quiere responder rápido. Todos tienen argumentos.
Pero la pregunta es simple: ¿el fabricante entregó la máquina en una configuración segura por defecto?
No se trata de que el fabricante responda de toda la red de la planta. Eso sería irreal. El usuario debe gestionar accesos, segmentación, copias de seguridad, procedimientos de cambio, cuentas, actualizaciones y supervisión de conexiones de servicio.
Pero el fabricante no puede entregar una máquina con una debilidad evidente y decir: «eso ya es vuestro departamento de TI». Si el acceso remoto, las cuentas, el software, la configuración de la interfaz persona-máquina o los datos pueden influir en el comportamiento de la máquina, esa capa forma parte de la evaluación de seguridad. Igual que un resguardo, un enclavamiento o un modo de servicio.
Admin/admin no es un detalle. Es el equivalente digital a una plataforma que existe en el plano, pero no tiene capacidad para el trabajo real. En la documentación hay algo. En la realidad, el usuario recibe un problema que debe reparar.
Una buena información para el usuario no dice solo: proteger la red. Dice qué cuentas existen, qué roles de acceso se han previsto, qué debe cambiarse en la primera puesta en marcha, cómo funciona el servicio remoto, quién puede actualizar el software, qué elementos de configuración son relevantes para la seguridad, cómo restaurar ajustes y qué condiciones de red asumió el fabricante para el funcionamiento seguro de la máquina.
Solo entonces se puede hablar con seriedad de responsabilidad del usuario. Entonces el usuario sabe qué está asumiendo. Entonces el riesgo residual está de verdad en la frontera entre máquina y organización del trabajo.
Sin eso, solo hay transferencia del problema.
Conclusión: el manual no arregla el diseño
El riesgo residual no debe cerrar preguntas incómodas. Debe mostrar qué queda del lado del fabricante, qué pasa al usuario y qué condiciones deben cumplir ambos para que la máquina siga siendo segura en explotación normal, ajustes, limpieza, mantenimiento, averías, actualizaciones y accesos de servicio.
Si el fabricante hizo su parte, el usuario debe tomarse en serio la información: formar al personal, mantener las medidas de protección, organizar el trabajo, aplicar bloqueo y etiquetado cuando corresponda y no anular resguardos ni enclavamientos. Pero si el fabricante no hizo esa parte, el manual no repara el proyecto.
«No meter las manos», «usar una plataforma adecuada» y «proteger la red» pueden ser mensajes importantes. Pueden formar parte del paquete final de seguridad. Pero no pueden fingir que antes no había que hacer las preguntas difíciles.
Porque la máquina no termina en la declaración de conformidad. Sigue trabajando: en cambios de formato, limpieza, mantenimiento, fallos, accesos remotos y sustitución de conjuntos pesados. Si el diseño no prevé esas situaciones, ninguna advertencia las convierte mágicamente en riesgo residual.