EAA, AI Act, NIS2 y RGPD. Plazos vencidos o a punto de vencer, sanciones que llegan al 7% del volumen de negocio anual y una responsabilidad que recae directamente sobre el administrador. La parte legal con Astrea Abogados. La parte técnica, donde un despacho no llega.

Es exposición de la compañía y del administrador a sanciones de seis y siete cifras. Y la mayoría de empresas medianas creen que están cubiertas porque tienen un banner de cookies y un aviso legal colgado.

No lo están.

Tu web no cumple la EAA y nadie te lo ha dicho

La European Accessibility Act es obligatoria desde junio de 2025 para e-commerce, banca digital, transporte, comunicaciones electrónicas y la mayoría de servicios digitales B2C. La gran parte de webs en WordPress no pasa un WCAG 2.2 básico. Y la sanción no la paga la agencia que hizo la web.

Usas IA sin saber qué te obliga

Chatbot de atención al cliente, herramienta de scoring de candidatos, sistema que clasifica leads, asistente que redacta propuestas. El AI Act clasifica cada uno por nivel de riesgo y exige obligaciones concretas. Si no sabes en qué categoría está cada herramienta que ya tienes funcionando, ya estás expuesto.

Tu RGPD se sostiene con un plugin de cookies

El banner aparece, el aviso legal está colgado y crees que has terminado. Pero el Consent Mode v2 está mal configurado, las cookies se cargan antes del consentimiento, no hay registro de actividades de tratamiento, los DPAs con proveedores no existen y la política de privacidad lleva tres años sin tocarse.

Tu sector entra en NIS2 y nadie te ha avisado

Salud, energía, infraestructura digital, manufactura crítica, alimentación, servicios postales, gestión de residuos. La directiva NIS2 extiende la obligación de ciberseguridad a sectores que antes no estaban regulados. Y si tu empresa es proveedora de una entidad esencial, la cadena de suministro también entra.

El problema del cumplimiento digital es que siempre cae en tierra de nadie. Un despacho de abogados te dice qué tienes que hacer pero no puede tocar el código. Una agencia técnica implementa pero no puede darte consejo legal. Y en medio, la empresa sigue expuesta.

Éruga cubre la parte técnica — implementación, configuración, auditorías de código y plataforma, medición y seguridad. Astrea Abogados cubre la parte legal — interpretación normativa, contratos con proveedores, registro de actividades, asesoramiento al DPO y defensa ante la AEPD si hace falta. Un solo interlocutor para el cliente. Dos equipos trabajando en paralelo.

01

RGPD

Consent Mode v2 funcionando como debe, no como dice el plugin. Registro de actividades de tratamiento, DPAs con proveedores, política de cookies y de privacidad reales, y banner que carga cada cosa en el orden correcto.


Consent Mode v2 · CMP · DPA

02

EAA / Accesibilidad

European Accessibility Act, obligatoria desde junio de 2025. Auditoría WCAG 2.2 sobre tu web actual, plan de adaptación priorizado por impacto legal y declaración de accesibilidad publicada. La normativa con más exposición del año. La adaptación técnica a EAA implica tocar el código de la web. Si tu plataforma es WordPress, la practice de Plataforma trabaja en paralelo con Cumplimiento para que los cambios de accesibilidad se integren en el desarrollo sin crear deuda técnica.


EAA · WCAG 2.2 · Auditoría

03

AI Act

Reglamento Europeo de IA. Inventario de los sistemas que ya usas en la empresa, clasificación por nivel de riesgo y obligaciones concretas para cada uno. Desde el chatbot de atención hasta la herramienta de scoring que nadie recuerda quién aprobó.


AI Act · Inventario · Riesgo

04

NIS2

Diagnóstico de obligaciones según sector y tamaño, plan de adaptación, gestión de la cadena de suministro digital y procedimiento de notificación de incidentes. Lo que pide la directiva y nada más.


NIS2 · Cadena de suministro · Incidentes

05

Seguridad web

Wordfence Central, auditorías de vulnerabilidad, backups verificados que de verdad se restauran, respuesta a incidentes y limpieza de hackeos. Lo que protege la web antes de que el problema entre por la puerta — y lo que la levanta cuando ya ha entrado.


Wordfence · Auditorías · Incidentes

RGPD · EAA · NIS2 · AI ACT · AUDITORÍA · EXPOSICIÓN · WCAG · ACCESIBILIDAD · CUMPLIMIENTO · PRIVACIDAD · SANCIONES · PROTECCIÓN · CONSENT MODE · SEGURIDAD · RIESGO · DATOS 

Para empresas que no quieren gestionar el cumplimiento digital como una lista de proyectos puntuales.
Un servicio recurrente que mantiene la cobertura activa, actualizada y documentada.

Cinco niveles según exposición:

El error más común en compliance digital es empezar a implementar sin haber auditado.
Se instala un plugin de cookies, se actualiza el aviso legal y se da por cerrado.
La auditoría de exposición es lo primero — no para alarmar, sino para priorizar.
No todas las normativas pesan igual en todas las empresas.

01

Auditoría de exposición


Qué normativas aplican a este negocio concreto, en qué estado está cada una y cuál es la exposición real a sanciones. EAA, AI Act, NIS2 y RGPD no afectan igual a una tienda ecommerce que a una empresa del sector salud o a un proveedor de infraestructura crítica. Esta fase define la hoja de ruta, no la intuición del consultor.

02

Plan de adaptación priorizado


Las acciones ordenadas por urgencia legal y por nivel de exposición, no por facilidad técnica. Lo que vence antes o sanciona más, primero. Lo que puede esperar tres meses, después. Con estimación de plazo y coste para cada bloque, para que el cliente pueda decidir el ritmo de adaptación con criterio.

03

Implementación en paralelo


Éruga ejecuta la parte técnica: configuración de Consent Mode v2, adaptaciones WCAG en la web, auditorías de seguridad, inventario y clasificación de sistemas de IA. Astrea ejecuta la parte legal: contratos con proveedores, registro de actividades, documentación normativa. Los dos equipos coordinados para que nada quede en tierra de nadie.

04

Mantenimiento y vigilancia continua


El cumplimiento no es un proyecto que se entrega y se cierra. Las normativas se actualizan, los proveedores cambian, los sistemas de IA que usa la empresa evolucionan. El servicio recurrente Compliance Digital 360 mantiene la cobertura activa, documentada y revisada mes a mes.

Una auditoría inicial te dice exactamente dónde estás expuesto. Sin humo, sin alarmismo, con plan.