TACCP vs VACCP: diferencias y cómo documentarlos
TACCP evalúa amenazas intencionadas; VACCP, vulnerabilidades de fraude. Qué cubre cada uno, cómo documentarlos y qué piden IFS, BRCGS y FSSC 22000.

Pocas parejas de siglas generan tanta confusión en una planta alimentaria como TACCP y VACCP. Sobre el papel se parecen: dos evaluaciones, dos matrices de riesgo, dos planes de mitigación. En la práctica, muchas empresas las resuelven con un único documento que mezcla sabotaje, adulteración y un par de medidas genéricas, y esa mezcla acaba en desviación en cuanto el auditor pide las dos evaluaciones por separado. No por falta de trabajo, sino por un malentendido muy extendido: tratar TACCP y VACCP como si fueran lo mismo.
No lo son. Responden a preguntas distintas, los preparan perfiles distintos y las normas los piden por separado. Esta guía te cuenta qué cubre cada uno, en qué se diferencian del APPCC de toda la vida y cómo documentarlos para que aguanten la pregunta incómoda de cualquier auditor.
Qué es TACCP y qué es VACCP
TACCP (Threat Assessment and Critical Control Points) evalúa amenazas intencionadas: sabotaje, contaminación deliberada, un empleado resentido, un intruso que llega hasta una zona de producción. Su referencia técnica es la PAS 96, la guía británica que estructura cómo pensar en quién querría hacer daño y por dónde podría entrar. La pregunta clave es quién tiene motivo y oportunidad para atacar tu producto. Por eso mira accesos, muelles, visitas, personal temporal y los puntos donde el producto queda expuesto sin vigilancia.
VACCP (Vulnerability Assessment and Critical Control Points) evalúa vulnerabilidades de fraude alimentario: adulteración de materias primas, sustitución de ingredientes por otros más baratos, etiquetado falso, documentación de origen manipulada. Aquí el atacante no busca hacer daño, busca ganar dinero. Piensa en aceite de oliva rebajado con aceite de semillas, especias con colorantes no autorizados o un proveedor que cambia la especie de pescado en el albarán. La pregunta clave es dónde le sale rentable a alguien engañarte en la cadena de suministro.
La tabla mental: quién ataca y qué protege cada uno
La forma más rápida de no confundirlos es fijarte en la intención de quien genera el riesgo:
- APPCC: riesgos no intencionados. Nadie quiere contaminar; ocurre por fallos de proceso. Ejemplo: Listeria por una limpieza mal ejecutada en la línea de loncheado.
- TACCP: daño intencionado. Alguien quiere perjudicar a la empresa o al consumidor. Ejemplo: contaminación deliberada en una envasadora durante el turno de noche.
- VACCP: engaño con ánimo de lucro. Nadie busca hacer daño, aunque el atajo puede acabar haciéndolo. Ejemplo: miel adulterada con jarabes de azúcar.
Cómo documentar cada evaluación paso a paso
Los tres comparten método: evaluar, priorizar, mitigar y revisar. Pero protegen contra actores distintos: el error típico de fusionarlos en un documento genérico acaba en desviación, porque el auditor espera dos análisis con equipos, criterios y medidas propios.
El proceso es paralelo para ambos, pero no idéntico. Documenta cada paso, porque si no está escrito, no ha pasado:
- Forma el equipo: para TACCP necesitas calidad, producción, RRHH y mantenimiento; para VACCP, calidad y compras, con quien conozca de verdad a los proveedores.
- Define el alcance: qué productos, líneas, materias primas y zonas de la planta entran en la evaluación, y por qué.
- Puntúa cada amenaza o vulnerabilidad con una matriz de probabilidad por impacto, y deja por escrito el criterio de puntuación para poder defenderlo.
- Establece medidas de mitigación para las puntuaciones altas: control de accesos, precintos en cisternas, análisis de autenticidad, homologación reforzada de proveedores.
- Fija la revisión: al menos anual, y siempre que cambie un proveedor, un ingrediente o salte un incidente en el sector.
Dónde lo piden las normas
IFS Food v8 dedica la cláusula 4.21 al Food Defense y espera una evaluación de amenazas documentada y revisada periódicamente. BRCGS Issue 9 trata la seguridad del emplazamiento y el Food Defense en la cláusula 4.2, además de exigir el análisis de vulnerabilidades de fraude en materias primas. FSSC 22000 añade requisitos adicionales de Food Defense y food fraud, con planes de mitigación separados para cada uno. Y el Reglamento (UE) 2021/382, al introducir la cultura de seguridad alimentaria en el Reglamento (CE) 852/2004, recuerda que esto no es papeleo de un día, sino un sistema vivo.
El plan solo vale si puedes demostrarlo
Puedes tener el mejor TACCP del sector, pero si el auditor pregunta quién entró por el muelle 3 el martes y la respuesta es un folio ilegible, el plan se cae. En SentyHub conectamos las medidas del plan con su evidencia: registro digital de accesos y visitas, citas de muelle con trazabilidad, checklists de vigilancia en formularios digitales y VideoProof, que enlaza cada control con el vídeo del momento exacto.
Y si estás construyendo tu plan desde cero, en nuestra página de plantillas tienes una plantilla gratuita de Food Defense alineada con IFS Food v8 para no empezar con el folio en blanco.