EAA, AI Act, NIS2 y RGPD. Plazos vencidos o a punto de vencer, sanciones que llegan al 7% del volumen de negocio anual y una responsabilidad que recae directamente sobre el administrador. La parte legal con Astrea Abogados. La parte técnica, donde un despacho no llega.
Practice · Cumplimiento & Seguridad
Cuatro normativas,
un mismo problema:
tu empresa
no está cubierta.
00 · Lo que está en juego
El cumplimiento digital ha dejado de ser un trámite del DPO.
Es exposición de la compañía y del administrador a sanciones de seis y siete cifras. Y la mayoría de empresas medianas creen que están cubiertas porque tienen un banner de cookies y un aviso legal colgado.
No lo están.
o1
Tu web no cumple la EAA y nadie te lo ha dicho
La European Accessibility Act es obligatoria desde junio de 2025 para e-commerce, banca digital, transporte, comunicaciones electrónicas y la mayoría de servicios digitales B2C. La gran parte de webs en WordPress no pasa un WCAG 2.2 básico. Y la sanción no la paga la agencia que hizo la web.
o2
Usas IA sin saber qué te obliga
Chatbot de atención al cliente, herramienta de scoring de candidatos, sistema que clasifica leads, asistente que redacta propuestas. El AI Act clasifica cada uno por nivel de riesgo y exige obligaciones concretas. Si no sabes en qué categoría está cada herramienta que ya tienes funcionando, ya estás expuesto.
o3
Tu RGPD se sostiene con un plugin de cookies
El banner aparece, el aviso legal está colgado y crees que has terminado. Pero el Consent Mode v2 está mal configurado, las cookies se cargan antes del consentimiento, no hay registro de actividades de tratamiento, los DPAs con proveedores no existen y la política de privacidad lleva tres años sin tocarse.
o4
Tu sector entra en NIS2 y nadie te ha avisado
Salud, energía, infraestructura digital, manufactura crítica, alimentación, servicios postales, gestión de residuos. La directiva NIS2 extiende la obligación de ciberseguridad a sectores que antes no estaban regulados. Y si tu empresa es proveedora de una entidad esencial, la cadena de suministro también entra.
01 · Servicios
La parte legal y la parte técnica.
Por fin, en el mismo sitio.
El problema del cumplimiento digital es que siempre cae en tierra de nadie. Un despacho de abogados te dice qué tienes que hacer pero no puede tocar el código. Una agencia técnica implementa pero no puede darte consejo legal. Y en medio, la empresa sigue expuesta.
Éruga cubre la parte técnica — implementación, configuración, auditorías de código y plataforma, medición y seguridad. Astrea Abogados cubre la parte legal — interpretación normativa, contratos con proveedores, registro de actividades, asesoramiento al DPO y defensa ante la AEPD si hace falta. Un solo interlocutor para el cliente. Dos equipos trabajando en paralelo.
01
RGPD
Consent Mode v2 funcionando como debe, no como dice el plugin. Registro de actividades de tratamiento, DPAs con proveedores, política de cookies y de privacidad reales, y banner que carga cada cosa en el orden correcto.
Consent Mode v2 · CMP · DPA
02
EAA / Accesibilidad
European Accessibility Act, obligatoria desde junio de 2025. Auditoría WCAG 2.2 sobre tu web actual, plan de adaptación priorizado por impacto legal y declaración de accesibilidad publicada. La normativa con más exposición del año. La adaptación técnica a EAA implica tocar el código de la web. Si tu plataforma es WordPress, la practice de Plataforma trabaja en paralelo con Cumplimiento para que los cambios de accesibilidad se integren en el desarrollo sin crear deuda técnica.
EAA · WCAG 2.2 · Auditoría
03
AI Act
Reglamento Europeo de IA. Inventario de los sistemas que ya usas en la empresa, clasificación por nivel de riesgo y obligaciones concretas para cada uno. Desde el chatbot de atención hasta la herramienta de scoring que nadie recuerda quién aprobó.
AI Act · Inventario · Riesgo
04
NIS2
Diagnóstico de obligaciones según sector y tamaño, plan de adaptación, gestión de la cadena de suministro digital y procedimiento de notificación de incidentes. Lo que pide la directiva y nada más.
NIS2 · Cadena de suministro · Incidentes
05
Seguridad web
Wordfence Central, auditorías de vulnerabilidad, backups verificados que de verdad se restauran, respuesta a incidentes y limpieza de hackeos. Lo que protege la web antes de que el problema entre por la puerta — y lo que la levanta cuando ya ha entrado.
Wordfence · Auditorías · Incidentes
RGPD · EAA · NIS2 · AI ACT · AUDITORÍA · EXPOSICIÓN · WCAG · ACCESIBILIDAD · CUMPLIMIENTO · PRIVACIDAD · SANCIONES · PROTECCIÓN · CONSENT MODE · SEGURIDAD · RIESGO · DATOS
02 · La capa que lo sostiene todo
Compliance Digital 360. El servicio que lo cubre todo, mes a mes.
Para empresas que no quieren gestionar el cumplimiento digital como una lista de proyectos puntuales.
Un servicio recurrente que mantiene la cobertura activa, actualizada y documentada.
Cinco niveles según exposición:
03 · Cómo trabajamos
Primero la exposición.
Luego la adaptación.
El error más común en compliance digital es empezar a implementar sin haber auditado.
Se instala un plugin de cookies, se actualiza el aviso legal y se da por cerrado.
La auditoría de exposición es lo primero — no para alarmar, sino para priorizar.
No todas las normativas pesan igual en todas las empresas.
01
Auditoría de exposición
Qué normativas aplican a este negocio concreto, en qué estado está cada una y cuál es la exposición real a sanciones. EAA, AI Act, NIS2 y RGPD no afectan igual a una tienda ecommerce que a una empresa del sector salud o a un proveedor de infraestructura crítica. Esta fase define la hoja de ruta, no la intuición del consultor.
02
Plan de adaptación priorizado
Las acciones ordenadas por urgencia legal y por nivel de exposición, no por facilidad técnica. Lo que vence antes o sanciona más, primero. Lo que puede esperar tres meses, después. Con estimación de plazo y coste para cada bloque, para que el cliente pueda decidir el ritmo de adaptación con criterio.
03
Implementación en paralelo
Éruga ejecuta la parte técnica: configuración de Consent Mode v2, adaptaciones WCAG en la web, auditorías de seguridad, inventario y clasificación de sistemas de IA. Astrea ejecuta la parte legal: contratos con proveedores, registro de actividades, documentación normativa. Los dos equipos coordinados para que nada quede en tierra de nadie.
04
Mantenimiento y vigilancia continua
El cumplimiento no es un proyecto que se entrega y se cierra. Las normativas se actualizan, los proveedores cambian, los sistemas de IA que usa la empresa evolucionan. El servicio recurrente Compliance Digital 360 mantiene la cobertura activa, documentada y revisada mes a mes.
04 · Decisión
La sanción no avisa.
La auditoría sí.
Una auditoría inicial te dice exactamente dónde estás expuesto. Sin humo, sin alarmismo, con plan.

