compliance
O Que o GDPR Nos Ensinou Sobre a EAA
A Lei Europeia de Acessibilidade está a seguir o mesmo caminho de fiscalização do GDPR. Se a sua organização aprendeu o GDPR da forma difícil, eis como não repetir o erro.
Já passámos por isto
Em 2018, o GDPR entrou em vigor e a resposta da maioria das organizações seguiu um arco previsível. Um período de quase silêncio. Depois, à medida que o prazo se aproximava, uma correria. Depois, quando a fiscalização chegou efetivamente, uma urgência genuína e uma pressa para ficar em conformidade num prazo muito mais curto do que deveria ter sido.
A Lei Europeia de Acessibilidade está na mesma trajetória. O prazo — 28 de junho de 2025 — já passou. A fiscalização está em curso. E as organizações que trataram a acessibilidade como um assunto “vamos tratar disso mais tarde” estão agora a descobrir que o “mais tarde” já chegou.
Se passou pelo GDPR, muito do que se segue vai parecer-lhe familiar.
O que têm em comum
Um prazo de conformidade que a maioria das organizações falhou
Quando o GDPR entrou em vigor em maio de 2018, os inquéritos mostravam que a maioria das empresas da UE não estava em conformidade — em alguns relatórios, o número ultrapassava os 60%. A história com a EAA parece semelhante. A investigação publicada pouco antes do prazo de junho de 2025 mostrou consistentemente que apenas uma pequena fração das empresas abrangidas pela lei tinha alcançado uma conformidade significativa.
Ambas as leis partilham o mesmo padrão básico: um longo período de arranque durante o qual a maioria das organizações toma medidas limitadas, seguido de uma onda de atividade à medida que o prazo se aproxima, seguido de fiscalização contínua para quem não se moveu com rapidez suficiente.
Um âmbito territorial que muitas empresas subestimaram
O GDPR aplica-se a qualquer organização que processe dados de residentes na UE, independentemente de onde a organização esteja sediada. A EAA funciona de forma semelhante: se o seu produto ou serviço digital for vendido a clientes na UE, e a sua organização cumprir os limiares de dimensão (mais de 10 colaboradores e mais de 2 milhões de euros de volume de negócios), tem de cumprir — independentemente de estar sediada em Munique ou em São Francisco.
Muitas empresas fora da UE foram surpreendidas pelo alcance do GDPR. O mesmo está a acontecer com a EAA.
Um quadro sancionatório com dentes de verdade
As coimas do GDPR — até 4% do volume de negócios anual global ou 20 milhões de euros, consoante o valor mais elevado — fizeram manchetes. As organizações viram-se alvo de penalizações de vários milhões de euros por falhas que, em muitos casos, eram evitáveis.
As sanções da EAA são definidas a nível nacional, pelo que variam entre os Estados-Membros. Mas não são triviais. Itália e França preveem coimas na ordem das dezenas de milhares de euros por violação. A implementação da Barrierefreiheitsstärkungsgesetz (BFSG) da Alemanha inclui penalizações substanciais. E, ao contrário do GDPR, em que muitas violações eram descobertas através de fugas de dados ou queixas, as falhas de acessibilidade são visíveis para qualquer pessoa que visite o seu site com um leitor de ecrã — o que inclui as organizações de defesa das pessoas com deficiência que apresentam queixas de acessibilidade.
Onde a EAA difere do GDPR
As violações de acessibilidade são visíveis do exterior
As violações do GDPR exigiam muitas vezes uma queixa interna ou uma notificação de violação para virem à luz. As falhas de acessibilidade são publicamente detetáveis. Qualquer pessoa pode abrir o seu site, executar uma análise automática ou testá-lo com um leitor de ecrã e documentar o que encontra. Os grupos de defesa das pessoas com deficiência fazem exatamente isto, de forma sistemática.
Isto significa que o universo de potenciais queixosos é muito maior, e a barreira para apresentar uma queixa é muito mais baixa. Não é preciso acesso a sistemas internos ou a documentos vazados. Basta um navegador.
A norma técnica já está especificada
O GDPR exigia que as organizações implementassem “medidas técnicas e organizativas adequadas” para proteger os dados — uma norma deliberadamente vaga para permitir a evolução tecnológica. A EAA especifica uma norma técnica concreta: a EN 301 549, que remete para as Diretrizes de Acessibilidade para Conteúdo Web (WCAG 2.1/2.2) no Nível AA.
Esta clareza é uma faca de dois gumes. Por um lado, as organizações sabem exatamente o que precisam de alcançar. Por outro, torna fácil demonstrar o incumprimento — as ferramentas automáticas conseguem gerar um relatório detalhado de violações em segundos.
A fiscalização precoce já está a acontecer
O GDPR teve um primeiro ano de fiscalização relativamente calmo antes de chegarem as grandes coimas. A fiscalização da EAA está a avançar mais depressa. As autoridades francesas começaram a emitir notificações a grandes retalhistas pouco depois do prazo. Um tribunal de Paris decidiu sobre um caso de acessibilidade de uma plataforma escolar que incluía coimas potenciais de 25 000 euros por ano. Organizações de defesa em vários Estados-Membros da UE estão ativamente a apresentar queixas.
As lições do GDPR que se aplicam à EAA
”Vamos ficar em conformidade antes de a fiscalização nos alcançar” não é uma estratégia
Muitas organizações fizeram este cálculo com o GDPR e descobriram que a fiscalização foi mais rápida e mais direcionada do que esperavam. As queixas de acessibilidade estão a ser apresentadas agora. As organizações que se antecipam a isto são as que começam a auditar e a corrigir antes de receberem uma notificação formal.
A documentação importa tanto como a correção técnica
O GDPR exigia que as organizações mantivessem registos das atividades de tratamento, avaliações de impacto sobre a proteção de dados e provas de consentimento. A EAA exige plataformas acessíveis e, em muitas implementações nacionais, declarações de acessibilidade que documentem os níveis de conformidade atuais, as exceções conhecidas e os mecanismos de contacto para os utilizadores comunicarem barreiras.
Ter uma declaração de acessibilidade que reflita com exatidão o seu estado atual — e conseguir demonstrar uma melhoria contínua — é uma prova significativa de conformidade de boa-fé.
A conformidade é um processo, não um projeto
A armadilha mental do GDPR foi tratar a conformidade como um item a assinalar: contratar uma equipa jurídica, atualizar a política de privacidade, adicionar banners de cookies, concluído. Muitas organizações pararam depois disso — para depois descobrirem que precisavam de rever a sua conformidade à medida que lançavam novos produtos ou atualizavam os existentes.
A acessibilidade funciona da mesma forma. Cada nova funcionalidade, cada componente de terceiros, cada renovação de design pode introduzir novas barreiras. Uma conformidade sustentável exige integrar a acessibilidade nos seus fluxos de trabalho de desenvolvimento e de conteúdo, e não tratá-la como uma correção pontual. O nosso guia sobre acessibilidade no ciclo de vida de desenvolvimento de software aborda o que isto significa na prática.
Comece com uma base de referência
Antes de poder planear a correção, precisa de compreender em que ponto se encontra atualmente. Isso significa realizar uma auditoria — automática e manual — para documentar as falhas, priorizá-las por impacto e frequência e criar um plano de correção realista.
Se ainda não o fez, o ponto de partida mais rápido é uma análise automática gratuita, que lhe dá uma imagem imediata das violações automatizáveis. Para o quadro completo — incluindo os cerca de 60 a 70% das barreiras que as ferramentas automáticas não conseguem detetar — são necessários testes manuais por pessoas que usam tecnologia de apoio.
As organizações que lidaram bem com o GDPR não esperaram pela fiscalização. Avaliaram a sua posição, fizeram um plano e executaram-no com a mesma urgência que aplicariam a qualquer outro risco material do negócio. A EAA merece o mesmo tratamento.
Descubra se o seu site cumpre os requisitos da EAA