Seguridad de cadena de frío: donde temperatura y robo se cruzan

La cadena de frío no es un problema de temperatura, es un problema de continuidad probatoria, y quien la rompe rara vez es el compresor.

En los almacenes frigoríficos que sirven a la industria farmacéutica, alimentaria y, en menor medida, a la química especializada, conviven dos disciplinas que casi nunca se hablan. Por un lado, los responsables de calidad, que viven dentro del marco AESAN, del estándar GDP y de las normas que regulan la trazabilidad del producto desde el fabricante hasta el punto de dispensación. Por otro, los responsables de seguridad patrimonial, que viven dentro de su propio idioma: control de accesos, perímetros, intrusión, escolta, custodia. Cada uno tiene su sala, su software, su procedimiento, su auditor. Y cada uno asume, en silencio, que el otro vela por lo que él no ve. La realidad es que en el punto donde se cruzan, ahí, en el muelle, en la antecámara, en el contenedor refrigerado parado en la rampa, es donde se producen las pérdidas que ni una disciplina ni la otra detectan a tiempo.

La asimetría entre dos cumplimientos

El operador logístico de cadena de frío vive bajo dos regímenes regulatorios que no comparten lógica ni vocabulario. El régimen sanitario, encarnado en España por la AESAN para alimentación y por la AEMPS para medicamento, exige una documentación obsesiva de la temperatura, del tiempo fuera de rango, de la calibración de las sondas y de la cadena de custodia documental. Las directrices europeas de buenas prácticas de distribución, las llamadas GDP por sus siglas en inglés, han ido endureciéndose desde 2013 y hoy obligan a un nivel de trazabilidad que, aplicado con rigor, deja muy poco margen para la improvisación. El régimen patrimonial, en cambio, vive en otro idioma. Habla de CCTV, de control de accesos, de turnos de vigilancia, de incidencias, de partes de novedades. Tiene su propio responsable, su propio proveedor de servicios, su propia ronda. Ambos régimenes producen toneladas de datos. Casi ninguno los cruza.

La asimetría se vuelve operativa el día que un palé de medicamento termorregulado desaparece de una antecámara durante un cambio de turno. El sistema de calidad registra una excursión térmica de catorce minutos, porque la antecámara se quedó abierta, y abre una desviación. El sistema de seguridad registra una apertura de puerta sin autorización formal, pero la cataloga como incidencia menor, porque no se activó el perímetro. Cada sistema cierra su expediente por su lado. La desviación de calidad se justifica como error humano en el cierre de la puerta. La incidencia de seguridad se cierra como falsa alarma. El palé, mientras tanto, va camino del mercado paralelo. El operador no descubre la pérdida hasta el inventario trimestral, y para entonces la grabación ya se ha sobrescrito porque nadie pidió retenerla. Este escenario, lejos de ser hipotético, es la versión genérica de varios episodios documentados por aseguradoras europeas de transporte sanitario en los últimos años. La conclusión es incómoda: ninguno de los dos sistemas falló por separado. Falló la ausencia de un sistema que los uniera.

Lo que dice realmente la AESAN, y lo que no dice

Conviene precisar qué regula la AESAN y qué queda fuera de su ámbito, porque la confusión es frecuente. La Agencia Española de Seguridad Alimentaria y Nutrición, dependiente del Ministerio de Consumo, fija criterios técnicos sobre conservación, transporte y almacenamiento de productos alimentarios sensibles a la temperatura, incluidos los refrigerados y congelados. Sus inspecciones se centran en la trazabilidad del producto, en la integridad de la cadena térmica y en la verificación documental de los registros. Lo que la AESAN no regula, salvo de forma indirecta, es la seguridad patrimonial del producto, es decir, su protección frente a sustracción, manipulación malintencionada o desvío. Esa frontera la cubre, parcialmente, la normativa de protección de infraestructuras críticas cuando la instalación está catalogada como tal, y la cubre, también parcialmente, el ordenamiento privado en forma de pólizas de seguro, condiciones contractuales con el cargador y obligaciones del operador logístico.

El resultado es una zona gris. Un almacén frigorífico de tamaño medio en la cintura logística madrileña, o en el corredor del Henares, o en el polígono del Prat, suele estar sometido a inspecciones de la AESAN o de la autoridad sanitaria autonómica con cierta regularidad. Esas inspecciones no preguntan por el plan de seguridad. Pueden preguntar, eso sí, por la trazabilidad del producto y por los registros de acceso a las cámaras, porque ambos elementos forman parte del aseguramiento de calidad. Pero la pregunta se queda en el plano formal. Nadie va a verificar si las cámaras de seguridad ven realmente lo que dicen ver, si los detectores funcionan en condiciones de baja temperatura, o si el operador tiene un protocolo conjunto de actuación ante un evento que combine apertura no autorizada y excursión térmica. Esa pregunta, hoy, no la hace nadie desde fuera. La debe hacer el propio operador, y la respuesta debe estar escrita antes de que ocurra el incidente. Para una caracterización de la materia, conviene cruzar las guías técnicas de la AESAN sobre alimentos a temperatura regulada con las directrices europeas GDP recogidas por la AEMPS y, en lo referente a buenas prácticas de almacenamiento, con los documentos de ENISA sobre continuidad operativa, que aunque están pensados para ciberseguridad ofrecen un marco útil de pensamiento.

La sonda que no ve al ladrón

El sistema de monitorización térmica de un almacén frigorífico moderno es, técnicamente, una maravilla. Sondas calibradas en varios puntos de cada cámara, registradores que envían datos a un servidor cada pocos minutos, alarmas escalonadas que avisan al responsable de calidad cuando una sonda sale de rango durante más tiempo del tolerado, exportación automática de informes para la inspección. Todo este sistema, sin embargo, tiene un punto ciego estructural: no sabe quién entra ni quién sale. Sabe que la temperatura subió, no sabe por qué. Sabe que la puerta se abrió, si tiene sensor de apertura, pero no sabe si la persona que entró estaba autorizada, ni qué hizo dentro, ni qué se llevó. La sonda mide el efecto. No ve la causa.

El sistema de seguridad patrimonial sufre la simetría inversa. Sus cámaras ven la cámara frigorífica, su control de accesos sabe qué credencial se utilizó, su CCTV graba el muelle. Pero su lectura es estrictamente patrimonial. Si la persona que entró tenía autorización, el evento se cierra. Si la temperatura subió durante la operación, el sistema de seguridad ni se entera, porque no está conectado al sistema de calidad. Esta separación es la que aprovechan los modos de sustracción más sofisticados que conocen las aseguradoras del sector. El sustractor con conocimiento interno sabe que el muelle de carga es el punto donde ambas disciplinas pierden visibilidad simultáneamente. Sabe que durante una operación legítima de carga, abrir cinco minutos de más, sustraer dos cajas, justificar la excursión como dificultad operativa, y mover el producto en paralelo, es una operación cuya detección depende exclusivamente de que alguien, en algún momento, cruce el registro térmico con el registro de imagen y con el registro de pesaje. Si nadie cruza esos tres registros, la operación es invisible.

La integración técnica de ambos sistemas no es trivial, pero tampoco es ciencia desconocida. Las plataformas de videoanálisis con inteligencia artificial que hoy comercializa la industria son capaces de incorporar señales externas, como apertura de puerta, lectura de báscula o evento térmico, y de generar una correlación automática que dispara una verificación humana cuando dos o más señales coinciden en una ventana temporal sospechosa. La integración exige acuerdo entre el responsable de calidad y el responsable de seguridad, exige un protocolo escrito, exige una sala donde ambos sistemas vivan en el mismo escritorio. Esa sala, en la mayoría de los operadores españoles, todavía no existe. Y mientras no exista, el sustractor con paciencia tiene ventaja.

El muelle como zona ambigua

Si hay un lugar donde la cadena de frío y la seguridad patrimonial deben hablar el mismo idioma, es el muelle de carga. El muelle es, por definición, una zona ambigua. No es exterior, porque está techado y forma parte de la instalación. No es interior, porque la puerta está abierta y la temperatura no se controla activamente. Es el momento en el que el producto sale del régimen de custodia del almacén y entra en el régimen de custodia del transporte, o viceversa. En ese tránsito ocurre casi todo. Ocurren las excursiones térmicas más graves, porque la puerta de la cámara se abre al mismo tiempo que la puerta del camión, y entre ambos espacios hay una zona de varios metros donde el producto está expuesto. Y ocurren la mayoría de las sustracciones, porque el muelle es el punto donde más personas distintas concurren al mismo tiempo: operarios del almacén, conductores externos, personal de la empresa de transporte, eventualmente agentes de calidad o de aduanas.

La gestión profesional del muelle exige, en primer lugar, una arquitectura física que reduzca la ambigüedad. Esclusas térmicas, abrigos de muelle bien ajustados al camión, puertas seccionales rápidas, identificación clara de zonas pisables y no pisables. Pero la arquitectura física, por sí sola, no resuelve el problema, porque el problema es de visibilidad operativa en tiempo real. La gestión profesional exige, en segundo lugar, que cada operación de muelle tenga un identificador único que cruce el sistema de calidad, el sistema de seguridad y el sistema de gestión de almacén. Ese identificador debe permitir reconstruir, después del incidente, qué cámara se abrió, durante cuánto tiempo, qué temperatura registró cada sonda, qué credenciales se utilizaron, qué imágenes captaron las cámaras, qué peso registró la báscula a la entrada y qué peso a la salida. Sin esa reconstrucción, cualquier investigación posterior es una conversación entre opiniones.

La industria aseguradora española lo sabe. Unespa, la patronal del sector, ha venido señalando en sus informes anuales sobre transporte y almacenamiento que las pérdidas en cadena de frío se concentran de forma desproporcionada en operaciones de muelle, y que la siniestralidad combinada, es decir, aquella que combina pérdida térmica y pérdida patrimonial en un mismo evento, ha crecido en los últimos años. Las primas de seguro empiezan a reflejar esta realidad, y los operadores que no presentan un protocolo integrado de muelle empiezan a pagar diferencial. El mercado, como suele ocurrir, va por delante de la regulación.

Quién controla, y desde dónde

La pregunta de quién controla la cadena de frío admite varias respuestas, todas parcialmente correctas. Controla el responsable de calidad del operador logístico, en lo relativo a la integridad del producto. Controla el responsable de seguridad, en lo relativo a la integridad patrimonial. Controla el cargador, es decir, el laboratorio farmacéutico o la empresa alimentaria propietaria de la mercancía, mediante auditorías periódicas a su operador. Controlan las autoridades sanitarias, mediante inspecciones programadas y, ocasionalmente, no programadas. Controla la aseguradora, mediante la revisión técnica que precede a la renovación de la póliza. Y controla, cada vez más, el propio cliente final, en la medida en que la trazabilidad se ha convertido en un argumento comercial.

Lo que ningún actor controla, salvo que el operador lo haya organizado deliberadamente, es la intersección. No hay una figura, en el organigrama típico de un operador frigorífico español, cuya responsabilidad explícita sea garantizar que los datos del sistema de calidad y los datos del sistema de seguridad se cruzan en una plataforma común y se analizan conjuntamente. Esa figura, cuando existe, suele estar improvisada. Puede ser el director de operaciones, que asume el cruce de oficio cuando hay un incidente. Puede ser el responsable de cumplimiento, si el operador es de tamaño suficiente para tenerlo. Puede ser una función externa contratada al asegurador o a una consultora. Pero rara vez es una figura permanente con autoridad sobre ambas disciplinas.

La consecuencia es que el cruce de información ocurre tarde, cuando ya hay un incidente, en lugar de ocurrir continuamente, como prevención. Los operadores que han madurado este punto, generalmente impulsados por exigencias de un cargador grande del sector farmacéutico, han avanzado en dos direcciones complementarias. Primero, han creado un puesto unificado de supervisión, con acceso a ambas plataformas, calidad y seguridad, en un único escritorio. Segundo, han introducido reglas de correlación automática que escalan cualquier evento que combine, dentro de una ventana definida, una excursión térmica, una apertura de puerta y una operación de muelle. El operador que ha hecho esto reduce de forma medible su siniestralidad combinada. El operador que no lo ha hecho está esperando, sin saberlo, al primer episodio público que le obligue a hacerlo deprisa y mal.

Lo que permanece

Cuando se quita el ruido y se observa el problema con la distancia que da el oficio, lo que queda es esto: la cadena de frío es, en realidad, una sola cadena, no dos. La separación entre cumplimiento sanitario y seguridad patrimonial es una herencia organizativa que el sistema regulatorio acepta porque no le queda otro remedio, pero que el operador maduro debe disolver internamente si quiere sostener su margen y su reputación a medio plazo. La técnica para hacerlo existe. Las plataformas de videoanálisis con inteligencia artificial, los sistemas de correlación de eventos, los protocolos integrados de muelle, los puestos unificados de supervisión, todo eso es disponible hoy en el mercado y no requiere inversiones prohibitivas. Lo que requiere es la decisión política, dentro de la propia empresa, de unir dos áreas que han vivido separadas durante décadas.

Boswau + Knauer trabaja con operadores logísticos y propietarios de infraestructura frigorífica que han llegado a esta conclusión por su cuenta, después de haber sufrido un incidente o después de haber sido advertidos por su asegurador o por su cargador. El marco lo desarrollamos con detalle en el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad", donde se explica por qué la integración de plataformas no es un asunto técnico sino un asunto de gobierno de la información. Para quien ha llegado hasta aquí en la lectura y reconoce su propia operación en lo descrito, hay tres caminos posibles. Una conversación confidencial de sesenta minutos, en la que se traza la situación actual y se identifica el punto de mayor exposición. Una auditoría de tres a cinco días sobre uno o varios centros, con entrega de un informe que el operador puede usar internamente o con terceros. O un piloto de noventa días sobre un centro específico, con métricas definidas antes de empezar y con una decisión de escalado al final. Los tres caminos están descritos para que el operador sepa, antes de empezar, qué recibe y qué no recibe. Lo que no recibirá, en ningún caso, es la ilusión de que la cadena de frío y la seguridad patrimonial son dos asuntos distintos.

Preguntas frecuentes

¿Qué reglas AESAN?

La AESAN regula, en el ámbito alimentario, las condiciones técnicas de conservación, transporte y almacenamiento de productos sensibles a la temperatura, incluyendo refrigerados y congelados. Sus exigencias se concentran en la trazabilidad del producto, la integridad documental de la cadena térmica y la calibración de los sistemas de medición. No regula directamente la seguridad patrimonial del producto, lo que crea una zona gris que el operador debe cubrir con su propio plan integrado. Para el medicamento, las directrices equivalentes son las GDP europeas, traspuestas y supervisadas en España por la AEMPS, con un nivel de exigencia documental aún mayor.

¿Quién controla?

El control se distribuye entre varios actores, ninguno de los cuales ve la totalidad del problema. El responsable de calidad del operador vigila la integridad térmica del producto. El responsable de seguridad vigila la integridad patrimonial de la instalación. El cargador audita periódicamente a su operador. La autoridad sanitaria inspecciona el cumplimiento normativo. La aseguradora evalúa el riesgo antes de renovar la póliza. Lo que falta, en la mayoría de organizaciones, es una figura que cruce continuamente la información de calidad y la información de seguridad. Esa figura, cuando existe, reduce de forma medible la siniestralidad combinada.

¿Cómo se detecta robo?

La detección de sustracción en un entorno frigorífico exige el cruce de al menos tres fuentes de datos. Primero, los registros de control de accesos, que identifican quién entró y cuándo. Segundo, las imágenes del CCTV, idealmente con videoanálisis capaz de marcar comportamientos atípicos. Tercero, el registro de pesaje y la conciliación de inventario en tiempo real. La excursión térmica, aunque no detecta el robo directamente, funciona como señal asociada cuando coincide con una apertura no justificada. Sin correlación automática entre estas fuentes, la sustracción se descubre en el inventario, semanas después del hecho.

¿Qué incidentes públicos?

La información pública sobre incidentes en cadena de frío española es deliberadamente escasa, porque los operadores y sus aseguradores prefieren la discreción. Lo que sí está documentado, a través de informes sectoriales de Unespa y de análisis europeos sobre transporte sanitario, es una tendencia creciente de siniestralidad combinada, especialmente en operaciones de muelle, en el corredor mediterráneo y en el eje Madrid-Henares. Casos puntuales de desvío de medicamento termorregulado al mercado paralelo han sido recogidos por la prensa especializada, sin que el operador afectado fuera identificado. La opacidad pública contrasta con la frecuencia real, que las aseguradoras conocen bien.