compliance
Cosa il GDPR ci ha insegnato sull'EAA
L'European Accessibility Act sta seguendo lo stesso percorso di applicazione del GDPR. Se la tua organizzazione ha imparato il GDPR a proprie spese, ecco come non ripetere l'errore.
Ci siamo già passati
Nel 2018 il GDPR è entrato in vigore e la reazione della maggior parte delle organizzazioni ha seguito un andamento prevedibile. Un periodo di quasi silenzio. Poi, con l’avvicinarsi della scadenza, una corsa affannosa. Poi, quando l’applicazione delle norme è davvero arrivata, un’urgenza autentica e una fretta di diventare conformi in tempi molto più stretti di quanto avrebbero dovuto essere.
L’European Accessibility Act segue la stessa traiettoria. La scadenza — 28 giugno 2025 — è passata. L’applicazione delle norme è in corso. E le organizzazioni che hanno trattato l’accessibilità come una questione da “ce ne occuperemo prima o poi” stanno ora scoprendo che quel prima o poi è arrivato.
Se hai vissuto il GDPR, molto di ciò che segue ti risulterà familiare.
Cosa hanno in comune
Una scadenza di conformità che la maggior parte delle organizzazioni ha mancato
Quando il GDPR è entrato in vigore a maggio 2018, i sondaggi mostravano che la maggioranza delle imprese dell’UE non era conforme — in alcuni report la cifra superava il 60%. La storia con l’EAA è simile. Le ricerche pubblicate poco prima della scadenza di giugno 2025 hanno costantemente mostrato che solo una piccola frazione delle imprese coperte dalla legge aveva raggiunto una conformità significativa.
Entrambe le leggi condividono lo stesso schema di base: un lungo periodo di avvicinamento durante il quale la maggior parte delle organizzazioni agisce in modo limitato, seguito da una corsa di attività con l’avvicinarsi della scadenza, seguita da un’applicazione continua delle norme per chi non si è mosso abbastanza in fretta.
Un ambito territoriale che molte imprese hanno sottovalutato
Il GDPR si applica a qualsiasi organizzazione che tratta dati di residenti dell’UE, indipendentemente da dove ha sede l’organizzazione. L’EAA opera in modo simile: se il tuo prodotto o servizio digitale viene venduto a clienti nell’UE, e la tua organizzazione soddisfa le soglie dimensionali (più di 10 dipendenti e più di €2 million di fatturato), devi conformarti — a prescindere dal fatto che tu abbia sede a Monaco o a San Francisco.
Molte imprese non UE sono state sorprese dalla portata del GDPR. La stessa cosa sta accadendo con l’EAA.
Un quadro sanzionatorio con denti veri
Le multe del GDPR — fino al 4% del fatturato annuo globale o €20 million, a seconda di quale sia più alto — hanno fatto notizia. Le organizzazioni si sono trovate destinatarie di sanzioni multimilionarie per inadempienze che, in molti casi, erano prevenibili.
Le sanzioni dell’EAA sono stabilite a livello nazionale, quindi variano tra gli Stati membri. Ma non sono banali. Italia e Francia prevedono entrambe multe nell’ordine delle decine di migliaia di euro per violazione. L’attuazione tedesca del Barrierefreiheitsstärkungsgesetz (BFSG) include sanzioni sostanziali. E a differenza del GDPR, dove molte violazioni venivano scoperte tramite violazioni di dati o reclami, gli errori di accessibilità sono visibili a chiunque visiti il tuo sito web con uno screen reader — il che include le organizzazioni di tutela delle persone con disabilità che presentano reclami di accessibilità.
Dove l’EAA differisce dal GDPR
Le violazioni di accessibilità sono visibili dall’esterno
Le violazioni del GDPR spesso richiedevano un reclamo interno o una notifica di violazione per venire alla luce. Gli errori di accessibilità sono individuabili pubblicamente. Chiunque può aprire il tuo sito web, eseguire una scansione automatica o testarlo con uno screen reader e documentare ciò che trova. I gruppi di tutela delle persone con disabilità fanno esattamente questo, in modo sistematico.
Ciò significa che il bacino di potenziali reclamanti è molto più ampio, e la barriera per presentare un reclamo è molto più bassa. Non ti serve l’accesso ai sistemi interni o a documenti trapelati. Ti serve solo un browser.
Lo standard tecnico è già specificato
Il GDPR richiedeva alle organizzazioni di attuare “misure tecniche e organizzative adeguate” per proteggere i dati — uno standard deliberatamente vago per tener conto dell’evoluzione tecnologica. L’EAA specifica uno standard tecnico concreto: la EN 301 549, che fa riferimento alle Web Content Accessibility Guidelines (WCAG 2.1/2.2) al Livello AA.
Questa chiarezza è un’arma a doppio taglio. Da un lato, le organizzazioni sanno esattamente cosa devono raggiungere. Dall’altro, rende facile dimostrare la non conformità: gli strumenti automatici possono generare un report dettagliato delle violazioni in pochi secondi.
L’applicazione anticipata delle norme è già in corso
Il GDPR ha avuto un primo anno di applicazione relativamente tranquillo prima che arrivassero le grandi multe. L’applicazione dell’EAA si muove più velocemente. Le autorità francesi hanno iniziato a emettere diffide ai grandi rivenditori poco dopo la scadenza. Un tribunale di Parigi si è pronunciato su un caso di accessibilità di una piattaforma scolastica che includeva potenziali multe di €25,000 all’anno. Le organizzazioni di tutela di tutti gli Stati membri dell’UE stanno presentando reclami attivamente.
Le lezioni del GDPR che valgono per l’EAA
”Diventeremo conformi prima che l’applicazione ci raggiunga” non è una strategia
Molte organizzazioni hanno fatto questo calcolo con il GDPR e hanno scoperto che l’applicazione delle norme è stata più rapida e mirata di quanto si aspettassero. I reclami di accessibilità vengono presentati ora. Le organizzazioni che anticipano tutto questo sono quelle che iniziano a fare audit e rimedio prima di ricevere una diffida formale.
La documentazione conta quanto la correzione tecnica
Il GDPR richiedeva alle organizzazioni di conservare i registri delle attività di trattamento, le valutazioni d’impatto sulla protezione dei dati e le prove del consenso. L’EAA richiede piattaforme accessibili e, in molte attuazioni nazionali, dichiarazioni di accessibilità che documentino i livelli di conformità attuali, le eccezioni note e i meccanismi di contatto per consentire agli utenti di segnalare le barriere.
Avere una dichiarazione di accessibilità che rifletta accuratamente il tuo stato attuale — ed essere in grado di dimostrare un miglioramento continuo — è una prova significativa di conformità in buona fede.
La conformità è un processo, non un progetto
La trappola mentale del GDPR è stata trattare la conformità come una casella da spuntare: coinvolgere un team legale, aggiornare l’informativa sulla privacy, aggiungere i banner dei cookie, fatto. Molte organizzazioni si sono poi fermate — solo per scoprire di dover rivedere la loro conformità al lancio di nuovi prodotti o all’aggiornamento di quelli esistenti.
L’accessibilità funziona allo stesso modo. Ogni nuova funzionalità, ogni componente di terze parti, ogni rinnovamento del design può introdurre nuove barriere. Una conformità sostenibile richiede di integrare l’accessibilità nei tuoi flussi di lavoro di sviluppo e di contenuto, non di trattarla come un rimedio una tantum. La nostra guida sull’accessibilità nel ciclo di vita dello sviluppo software illustra come si concretizza nella pratica.
Inizia da un punto di partenza
Prima di poter pianificare il rimedio, devi capire a che punto sei. Ciò significa eseguire un audit — sia automatico che manuale — per documentare gli errori, dare loro priorità in base a impatto e frequenza, e creare un piano di rimedio realistico.
Se non l’hai ancora fatto, il punto di partenza più rapido è una scansione automatica gratuita, che ti offre un quadro immediato delle violazioni automatizzabili. Per il quadro completo — incluso il 60–70% circa delle barriere che gli strumenti automatici non riescono a rilevare — è necessario un test manuale svolto da persone che usano tecnologie assistive.
Le organizzazioni che hanno gestito bene il GDPR non hanno aspettato l’applicazione delle norme. Hanno valutato la loro posizione, elaborato un piano e lo hanno eseguito con la stessa urgenza che applicherebbero a qualsiasi altro rischio aziendale rilevante. L’EAA merita lo stesso trattamento.
Scopri se il tuo sito soddisfa i requisiti EAA