EAA, AI Act, NIS2 y RGPD. Plazos vencidos o a punto de vencer, sanciones que llegan al 7% del volumen de negocio anual y una responsabilidad que recae directamente sobre el administrador. La parte legal con Astrea Abogados. La parte técnica, donde un despacho no llega.
Practice · Cumplimiento & Seguridad
Cuatro normativas,
un mismo problema:
tu empresa
no está cubierta.
01 · Lo que está en juego
El cumplimiento digital ha dejado de ser un trámite del DPO.
Es exposición de la compañía y del administrador a sanciones de seis y siete cifras. Y la mayoría de empresas medianas creen que están cubiertas porque tienen un banner de cookies y un aviso legal colgado.
No lo están.
o1
Tu web no cumple la EAA y nadie te lo ha dicho
La European Accessibility Act es obligatoria desde junio de 2025 para e-commerce, banca digital, transporte, comunicaciones electrónicas y la mayoría de servicios digitales B2C. La gran parte de webs en WordPress no pasa un WCAG 2.2 básico. Y la sanción no la paga la agencia que hizo la web.
o2
Usas IA sin saber qué te obliga
Chatbot de atención al cliente, herramienta de scoring de candidatos, sistema que clasifica leads, asistente que redacta propuestas. El AI Act clasifica cada uno por nivel de riesgo y exige obligaciones concretas. Si no sabes en qué categoría está cada herramienta que ya tienes funcionando, ya estás expuesto.
o3
Tu RGPD se sostiene con un plugin de cookies
El banner aparece, el aviso legal está colgado y crees que has terminado. Pero el Consent Mode v2 está mal configurado, las cookies se cargan antes del consentimiento, no hay registro de actividades de tratamiento, los DPAs con proveedores no existen y la política de privacidad lleva tres años sin tocarse.
o4
Tu sector entra en NIS2 y nadie te ha avisado
Salud, energía, infraestructura digital, manufactura crítica, alimentación, servicios postales, gestión de residuos. La directiva NIS2 extiende la obligación de ciberseguridad a sectores que antes no estaban regulados. Y si tu empresa es proveedora de una entidad esencial, la cadena de suministro también entra.
02 · Servicios
Una norma, un servicio.
La parte legal con Astrea. La parte técnica, donde un despacho no puede entrar.
01
RGPD
Consent Mode v2 funcionando como debe, no como dice el plugin. Registro de actividades de tratamiento, DPAs con proveedores, política de cookies y de privacidad reales, y banner que carga cada cosa en el orden correcto.
Consent Mode v2 · CMP · DPA
02
EAA / Accesibilidad
European Accessibility Act, obligatoria desde junio de 2025. Auditoría WCAG 2.2 sobre tu web actual, plan de adaptación priorizado por impacto legal y declaración de accesibilidad publicada. La normativa con más exposición del año.
EAA · WCAG 2.2 · Auditoría
03
AI Act
Reglamento Europeo de IA. Inventario de los sistemas que ya usas en la empresa, clasificación por nivel de riesgo y obligaciones concretas para cada uno. Desde el chatbot de atención hasta la herramienta de scoring que nadie recuerda quién aprobó.
AI Act · Inventario · Riesgo
04
NIS2
Diagnóstico de obligaciones según sector y tamaño, plan de adaptación, gestión de la cadena de suministro digital y procedimiento de notificación de incidentes. Lo que pide la directiva y nada más.
NIS2 · Cadena de suministro · Incidentes
05
Seguridad web
Wordfence Central, auditorías de vulnerabilidad, backups verificados que de verdad se restauran, respuesta a incidentes y limpieza de hackeos. Lo que protege la web antes de que el problema entre por la puerta — y lo que la levanta cuando ya ha entrado.
Wordfence · Auditorías · Incidentes
03 · Decisión
La sanción no avisa.
La auditoría sí.
Una auditoría inicial te dice exactamente dónde estás expuesto. Sin humo, sin alarmismo, con plan.