compliance
Lo que el GDPR nos enseñó sobre la EAA
La Ley Europea de Accesibilidad sigue el mismo camino de aplicación que siguió el GDPR. Si tu organización aprendió el GDPR por las malas, aquí tienes cómo no repetirlo.
Ya hemos pasado por esto
En 2018 entró en vigor el GDPR y la reacción de la mayoría de las organizaciones siguió un arco predecible. Un periodo de casi silencio. Luego, a medida que se acercaba el plazo, una carrera contrarreloj. Después, cuando la aplicación llegó de verdad, una urgencia genuina y una prisa por cumplir en un plazo mucho más corto de lo que debería haber sido.
La Ley Europea de Accesibilidad va por la misma trayectoria. El plazo —28 de junio de 2025— ya ha vencido. La aplicación está en marcha. Y las organizaciones que trataron la accesibilidad como un asunto de “ya nos ocuparemos con el tiempo” descubren ahora que ese momento ha llegado.
Si pasaste por el GDPR, buena parte de lo que sigue te resultará familiar.
Qué tienen en común
Un plazo de cumplimiento que la mayoría de las organizaciones incumplió
Cuando el GDPR entró en vigor en mayo de 2018, las encuestas mostraban que la mayoría de las empresas de la UE no cumplían; en algunos informes, la cifra superaba el 60%. La historia con la EAA es similar. La investigación publicada poco antes del plazo de junio de 2025 mostraba de forma consistente que solo una pequeña fracción de las empresas cubiertas por la ley había logrado un cumplimiento significativo.
Ambas leyes comparten el mismo patrón básico: un largo periodo de preparación durante el cual la mayoría de las organizaciones toman medidas limitadas, seguido de una oleada de actividad a medida que se acerca el plazo, seguida de una aplicación continua para quienes no se movieron con la suficiente rapidez.
Un ámbito territorial que muchas empresas subestimaron
El GDPR se aplica a cualquier organización que trate datos de residentes de la UE, con independencia de dónde tenga su sede la organización. La EAA funciona de forma similar: si tu producto o servicio digital se vende a clientes de la UE, y tu organización cumple los umbrales de tamaño (más de 10 empleados y más de €2 million de facturación), tienes que cumplir, tanto si tienes tu sede en Múnich como en San Francisco.
Muchas empresas de fuera de la UE se sorprendieron por el alcance del GDPR. Lo mismo está ocurriendo con la EAA.
Un marco sancionador con dientes reales
Las multas del GDPR —hasta el 4% de la facturación anual global o €20 million, la cifra que sea mayor— fueron portada. Muchas organizaciones se vieron sometidas a sanciones millonarias por fallos que, en muchos casos, eran evitables.
Las sanciones de la EAA se fijan a nivel nacional, por lo que varían entre Estados miembros. Pero no son insignificantes. Tanto Italia como Francia prevén multas del orden de decenas de miles de euros por violación. La implementación de la Barrierefreiheitsstärkungsgesetz (BFSG) de Alemania incluye sanciones sustanciales. Y a diferencia del GDPR, donde muchas violaciones se descubrían a través de brechas de datos o quejas, los fallos de accesibilidad son visibles para cualquiera que visite tu sitio web con un lector de pantalla, lo que incluye a las organizaciones de defensa de las personas con discapacidad que presentan quejas de accesibilidad.
En qué se diferencia la EAA del GDPR
Las violaciones de accesibilidad son visibles desde fuera
Las violaciones del GDPR a menudo requerían una queja interna o una notificación de brecha para salir a la luz. Los fallos de accesibilidad son detectables públicamente. Cualquiera puede abrir tu sitio web, ejecutar un escaneo automatizado o probarlo con un lector de pantalla y documentar lo que encuentre. Los grupos de defensa de las personas con discapacidad hacen exactamente esto, de forma sistemática.
Esto significa que el conjunto de posibles reclamantes es mucho mayor, y la barrera para presentar una queja es mucho menor. No necesitas acceso a sistemas internos ni documentos filtrados. Solo necesitas un navegador.
El estándar técnico ya está especificado
El GDPR exigía a las organizaciones implementar “medidas técnicas y organizativas apropiadas” para proteger los datos, un estándar deliberadamente vago para permitir la evolución tecnológica. La EAA especifica un estándar técnico concreto: EN 301 549, que remite a las Pautas de Accesibilidad para el Contenido Web (WCAG 2.1/2.2) en el nivel AA.
Esta claridad es un arma de doble filo. Por un lado, las organizaciones saben exactamente qué deben lograr. Por otro, facilita demostrar el incumplimiento: las herramientas automatizadas pueden generar un informe detallado de violaciones en segundos.
La aplicación temprana ya está ocurriendo
El GDPR tuvo un primer año de aplicación relativamente tranquilo antes de que llegaran las grandes multas. La aplicación de la EAA avanza con mayor rapidez. Las autoridades francesas empezaron a emitir notificaciones a grandes minoristas poco después del plazo. Un tribunal de París falló en un caso de accesibilidad de una plataforma escolar que incluía posibles multas de €25,000 al año. Las organizaciones de defensa de todos los Estados miembros de la UE están presentando quejas activamente.
Las lecciones del GDPR que se aplican a la EAA
”Cumpliremos antes de que la aplicación nos alcance” no es una estrategia
Muchas organizaciones hicieron este cálculo con el GDPR y descubrieron que la aplicación fue más rápida y selectiva de lo que esperaban. Las quejas de accesibilidad se están presentando ahora. Las organizaciones que se adelantan a esto son las que empiezan a auditar y subsanar antes de recibir una notificación formal.
La documentación importa tanto como la solución técnica
El GDPR exigía a las organizaciones mantener registros de las actividades de tratamiento, evaluaciones de impacto sobre la protección de datos y pruebas del consentimiento. La EAA exige plataformas accesibles y, en muchas implementaciones nacionales, declaraciones de accesibilidad que documenten los niveles de conformidad actuales, las excepciones conocidas y los mecanismos de contacto para que los usuarios comuniquen las barreras.
Disponer de una declaración de accesibilidad que refleje con precisión tu estado actual —y poder demostrar una mejora continua— es una prueba significativa de un cumplimiento de buena fe.
El cumplimiento es un proceso, no un proyecto
La trampa mental del GDPR consistió en tratar el cumplimiento como una casilla que marcar: contratar un equipo jurídico, actualizar la política de privacidad, añadir banners de cookies, listo. Muchas organizaciones se detuvieron entonces, solo para descubrir que necesitaban revisar su cumplimiento a medida que lanzaban nuevos productos o actualizaban los existentes.
La accesibilidad funciona igual. Cada nueva funcionalidad, cada componente de terceros, cada renovación del diseño puede introducir nuevas barreras. Un cumplimiento sostenible requiere integrar la accesibilidad en tus flujos de desarrollo y de contenido, no tratarla como una subsanación puntual. Nuestra guía sobre la accesibilidad en el ciclo de vida del desarrollo de software explica cómo se ve esto en la práctica.
Empieza con una línea de base
Antes de poder planificar la subsanación, necesitas entender en qué punto te encuentras actualmente. Eso significa realizar una auditoría —tanto automatizada como manual— para documentar los fallos, priorizarlos por impacto y frecuencia, y crear un plan de subsanación realista.
Si aún no lo has hecho, el punto de partida más rápido es un escaneo automatizado gratuito, que te da una imagen inmediata de las violaciones automatizables. Para el panorama completo —incluido el 60-70% aproximado de barreras que las herramientas automatizadas no pueden detectar— son necesarias las pruebas manuales realizadas por personas que usan tecnología de asistencia.
Las organizaciones que gestionaron bien el GDPR no esperaron a la aplicación. Evaluaron su situación, hicieron un plan y lo ejecutaron con la misma urgencia que aplicarían a cualquier otro riesgo empresarial relevante. La EAA merece el mismo tratamiento.
Averigua si tu sitio cumple los requisitos de la EAA