Artículo publicado por Éruga Comunicación. Redactado por Cristina Mancebo Gandía, directora de proyectos, en colaboración con Astrea Abogados. Última revisión: junio 2026.
Resumen ejecutivoCinco normativas europeas regulan ya la presencia digital de cualquier empresa con web: RGPD, LOPDGDD, NIS2, EAA y AI Act. No son futuras: están en vigor o entran en los próximos meses. El incumplimiento expone a multas de hasta 20 millones de euros. Este artículo explica qué exige cada una, a quién afecta y por dónde empezar.
Si tienes una web, tienes obligaciones legales. No importa si es una tienda online, la web corporativa de una empresa mediana o la landing de un servicio B2B. Cualquier presencia digital que recoja datos, use cookies, tenga un chatbot o simplemente sea accesible desde Internet está regulada.
El problema no es la cantidad de normativas — es que llegan casi a la vez y cada una exige algo diferente. En 2025 y 2026 se solapan cinco marcos regulatorios que afectan a dimensiones distintas de tu web: seguridad, privacidad, accesibilidad e inteligencia artificial. Ninguno es opcional. Todos tienen régimen sancionador activo.
| Normativa | Qué regula | En vigor desde | Multa máxima |
|---|---|---|---|
| RGPD | Datos personales, cookies, consentimiento | Mayo 2018 | 20 M€ o 4% facturación |
| LOPDGDD | Transposición española del RGPD + derechos digitales | Dic. 2018 | 20 M€ o 4% facturación |
| NIS2 | Ciberseguridad e infraestructura digital | Oct. 2024 | 10 M€ o 2% facturación |
| EAA | Accesibilidad web para personas con discapacidad | Jun. 2025 | 1 M€ infracción muy grave |
| AI Act | Transparencia y etiquetado de IA en web | Ago. 2026 | 35 M€ o 7% facturación |
¿Qué exige el RGPD y la LOPDGDD a tu web?
El RGPD es el reglamento europeo de protección de datos, de aplicación directa en todos los países de la UE desde 2018. La LOPDGDD es la ley española que lo transpone: añade especificidades nacionales, el régimen sancionador aplicado por la AEPD y derechos digitales propios del ordenamiento español.
En la práctica, para cualquier web estas dos normas exigen:
- Política de privacidad actualizada que informe del tratamiento de datos personales
- Banner de cookies conforme al Consent Mode v2 — los scripts no pueden cargarse antes de que el usuario acepte
- Formularios con casilla de consentimiento explícito y finalidad informada
- Derecho de acceso, rectificación, supresión y portabilidad para cualquier usuario que lo solicite
- Registro de actividades de tratamiento si la empresa procesa datos a escala
La AEPD ha intensificado notablemente su actividad sancionadora en 2025 y 2026. Las multas más frecuentes no son las millonarias — son las de 40.000 a 300.000 euros por incumplimientos técnicos concretos y perfectamente evitables: cookies que cargan antes de consentir, formularios sin base legal declarada o políticas de privacidad genéricas copiadas de otra web.
¿Tu web cumple con el RGPD y la LOPDGDD?
¿Qué obliga NIS2 a una empresa con presencia digital?
NIS2 es la directiva europea de ciberseguridad, transpuesta en España a partir de octubre de 2024. Afecta directamente a sectores considerados críticos y a las empresas que les prestan servicios digitales. Para una empresa mediana con web propia, NIS2 exige como mínimo:
- Gestión activa de vulnerabilidades en los sistemas expuestos a Internet
- Control de accesos y autenticación reforzada para los paneles de administración
- Plan de respuesta ante incidentes documentado y probado
- Backups verificados y procedimiento de recuperación ante desastres
- Notificación obligatoria a la autoridad competente en menos de 24 horas ante un incidente grave
El punto que más empresas descuidan es el último: un incidente de seguridad no notificado en plazo puede ser más sancionado que el propio incidente. NIS2 no premia la perfección técnica — exige gestión activa y trazabilidad.
¿Qué cambia con la EAA para tu web?
La European Accessibility Act (EAA), transpuesta en España como Ley 11/2023, entró en vigor el 28 de junio de 2025. Obliga a que determinados productos y servicios digitales dirigidos al consumidor sean usables por personas con discapacidad visual, auditiva, motora o cognitiva.
Afecta directamente a comercio electrónico, banca online, transporte y telecomunicaciones. Las microempresas con menos de 10 empleados y menos de 2 millones de facturación tienen exención parcial en servicios — pero no en la fabricación de productos.
En términos técnicos, la EAA exige el cumplimiento de las WCAG 2.1 nivel AA: contraste de color suficiente, navegación por teclado, texto alternativo en imágenes, subtítulos en vídeo, estructura semántica correcta. Y una Declaración de Accesibilidad pública en la web.
Lo que muchas empresas no saben: Google ya premia la accesibilidad como factor de posicionamiento. Cumplir la EAA no es solo evitar multas — es mejorar el SEO técnico y la experiencia de usuario al mismo tiempo.
¿Qué exige el AI Act si tu web usa inteligencia artificial?
El AI Act entra en su fase de aplicación más relevante para empresas en agosto de 2026. A partir de esa fecha, cualquier sistema de IA que interactúe con usuarios debe identificarse como tal. En la práctica, esto afecta a:
- Chatbots de atención al cliente generados con IA
- Contenido web generado automáticamente por modelos de lenguaje
- Sistemas de recomendación de productos o servicios basados en IA
- Cualquier interfaz conversacional que no sea un humano real
El usuario tiene que saber que está interactuando con una IA. No basta con mencionarlo en los términos y condiciones — tiene que ser visible, claro y anterior a la interacción. Las sanciones por incumplimiento llegan hasta 35 millones de euros o el 7% de la facturación global anual.
¿Quieres saber qué normativas afectan a tu empresa en concreto?
Preguntas frecuentes
¿Qué normativas afectan a la web de mi empresa en 2026?
Cinco: el RGPD y la LOPDGDD regulan los datos personales y cookies; la EAA obliga a que tu web sea accesible desde junio de 2025; NIS2 exige gestionar la ciberseguridad de tu infraestructura digital; y el AI Act obliga a etiquetar cualquier contenido generado por IA o chatbot desde agosto de 2026. Todas tienen régimen sancionador activo.
¿La EAA afecta a todas las empresas o solo a las grandes?
Afecta a empresas que presten servicios digitales al consumidor: comercio electrónico, banca online, transporte y telecomunicaciones. Las microempresas con menos de 10 empleados y menos de 2 millones de facturación tienen exención parcial en servicios, pero no en productos. Si tienes tienda online, es probable que te afecte.
¿Qué obliga el AI Act a una empresa mediana con chatbot en su web?
Desde agosto de 2026, cualquier sistema de IA que interactúe con usuarios debe identificarse como tal. El usuario tiene que saber que habla con una IA antes de empezar la interacción. El incumplimiento puede suponer multas de hasta 35 millones de euros o el 7% de la facturación global.
¿Cuál es la diferencia entre RGPD y LOPDGDD?
El RGPD es el reglamento europeo de aplicación directa en toda la UE. La LOPDGDD es la ley española que lo transpone y añade especificidades nacionales: régimen sancionador aplicado por la AEPD, tratamiento de datos de menores, derechos digitales en el ámbito laboral y obligaciones adicionales para sectores regulados. En España, ambas se aplican simultáneamente.
¿Qué pasa si mi empresa no cumple estas normativas?
Las sanciones varían por normativa: el RGPD y la LOPDGDD pueden suponer hasta 20 millones de euros o el 4% de la facturación anual; la EAA hasta 1 millón por infracción muy grave; el AI Act hasta 35 millones o el 7% de la facturación global. La AEPD ha intensificado notablemente su actividad sancionadora en 2025 y 2026.
Fuentes: Reglamento (UE) 2016/679 (RGPD) · Ley Orgánica 3/2018 (LOPDGDD) · Directiva (UE) 2022/2555 (NIS2) · Directiva (UE) 2019/882 / Ley 11/2023 (EAA) · Reglamento (UE) 2024/1689 (AI Act) · AEPD · Guías técnicas del INCIBE.
Publicado el 11 de junio de 2026 · Última revisión: junio 2026 · Próxima revisión prevista: diciembre 2026.
Artículo producido por Éruga Comunicación en colaboración con Astrea Abogados. La información contenida tiene carácter divulgativo y no constituye asesoramiento legal. Para un diagnóstico específico de tu empresa, solicita una sesión estratégica.
