¿Qué es una auditoría de cumplimiento web? Guía práctica para pymes
Una auditoría de cumplimiento web revisa accesibilidad, privacidad y tracking frente a las leyes que aplican donde están sus visitantes. Versión práctica para pymes.
Si gestiona una pyme con sitio web, las normas que debe cumplir se han multiplicado en cinco años. Las leyes de accesibilidad alcanzan ahora a empresas privadas en la UE, el Reino Unido, Estados Unidos, Canadá y Australia. Los reguladores de privacidad han pasado de cartas de aviso a multas proporcionales al ingreso. El consentimiento de cookies, antes solo europeo, aparece ya en California, Colorado, Connecticut, Texas y una lista creciente de estados.
Una auditoría de cumplimiento web es la verificación que indica si su sitio cumple realmente las leyes aplicables. Este artículo explica qué cubre la auditoría, cómo realizarla sin semanas de consultoría y qué debe arreglar primero una pyme.
Qué comprueba realmente una auditoría
No existe una ley global única de "cumplimiento web". La auditoría es una check-list extraída de las normativas aplicables donde están sus visitantes. Para pymes que operan en UE, UK o EE. UU., las cuatro listas cubren el 90% del riesgo real.
1. Accesibilidad
El estándar es WCAG 2.1 Nivel AA. Lo referencian la EAA (en vigor desde el 28 de junio de 2025), el UK Equality Act, el ADA Title III, el AODA y la mayoría de leyes de accesibilidad. Un escaneo automático detecta 30–40% de los problemas — contraste, alt faltantes, labels de formulario, atajos de teclado, mal uso de ARIA. Lo demás requiere prueba manual.
Más: auditoría de accesibilidad WCAG 2.1 AA explicada.
2. Privacidad y consentimiento
Para visitantes UE/UK, el consentimiento para cookies y trackers no esenciales es obligatorio antes de que se ejecuten. Una auditoría real captura el tráfico de red en la primera carga, antes de que el usuario haga clic. Banners con "al continuar acepta" o que disparan trackers en el load son la falla más frecuente — y la más fácil de detectar por un regulador.
Más: ¿qué es una auditoría RGPD de cookies?
3. Tracking y analítica
Se revisan píxeles (Meta, TikTok, LinkedIn, Google Ads), grabadores de sesión (Hotjar, FullStory, Microsoft Clarity), etiquetas publicitarias y cualquier herramienta que envíe comportamiento del visitante a un tercero. Cada uno tiene implicaciones RGPD, ePrivacy y crecientes de derecho estatal de EE. UU. La solución casi nunca es eliminarlos — sino cargarlos tras el consentimiento y declararlos.
Más: auditoría de píxeles: RGPD y ePrivacy.
4. Páginas legales obligatorias
- Política de privacidad ajustada a lo que el sitio realmente hace
- Política de cookies con inventario actualizado
- Declaración de accesibilidad (obligatoria bajo EAA desde junio 2025)
- Aviso legal (obligatorio en España bajo LSSI-CE)
- Términos y condiciones si vende algo
Auditoría manual vs. escaneo continuo
Una auditoría por consultora cuesta 5.000–20.000 € y tarda 2–6 semanas en un sitio pyme. Bien como foto puntual, pero la mayoría de regresiones surgen después, en releases normales. Un nuevo widget, un formulario rediseñado, una herramienta añadida por marketing sin avisar a desarrollo. El escaneo continuo lo detecta el mismo día.
Qué debe arreglar primero una pyme
- Detener trackers antes del consentimiento. Mayor riesgo, fix más fácil. Mueva cada píxel Meta/TikTok/LinkedIn y toda analítica no esencial detrás de una verificación de consentimiento.
- Sustituir el banner "al continuar acepta" por uno con botones Aceptar y Rechazar de igual peso. La AEPD y CNIL ya han multado por la alternativa.
- Corregir las principales infracciones WCAG. Contraste, alt faltantes, labels, focus, atajos de teclado.
- Publicar declaración de accesibilidad. Obligatoria bajo EAA desde junio 2025 para productos en alcance.
- Actualizar la política de privacidad. Casi todas las pymes usan una plantilla que no refleja el sitio real. Los reguladores comprueban.
Errores frecuentes
Confiar en un overlay de accesibilidad. La FTC multó a accessiBe con 1 M USD en enero de 2025 por marketing engañoso. Los overlays no crean cumplimiento; enmascaran problemas en runtime, el código sigue siendo base de demanda.
Tratar el cumplimiento como un asunto solo US o solo UE. La mayoría de sitios pyme atiende visitantes de varias jurisdicciones.
Auditar una sola vez. Patrón típico: auditoría exhaustiva, informe limpio, seis meses de releases, carta del regulador. Integre la auditoría en el proceso de release.
Cómo lo aborda Veracly
Veracly se construyó específicamente para esta versión pyme del problema. Un escaneo informa simultáneamente contra EAA, RGPD, ADA, UK Equality Act, AODA y leyes estatales US, con correctivos listos para pegar y monitoreo continuo. Lance un escaneo gratis y vea su sitio como lo vería un regulador — antes de que lo haga.
Preguntas frecuentes
¿Qué cubre una auditoría de cumplimiento web?
Cuatro bloques: accesibilidad (WCAG 2.1 AA mínimo), privacidad y consentimiento (RGPD, ePrivacy, leyes estatales como CCPA), configuración de tracking y analítica, y páginas legales obligatorias (política de privacidad, declaración de accesibilidad, aviso legal).
¿Es obligatoria una auditoría de cumplimiento?
La auditoría en sí no la exige ningún regulador, pero las leyes — RGPD, EAA, ADA, UK Equality Act — son aplicables hoy. La auditoría es el camino práctico para saber su exposición antes de que llegue una denuncia.
¿Con qué frecuencia se debe auditar?
Una auditoría base, luego escaneos continuos cada vez que el sitio cambia. La mayoría de problemas surgen en los releases rutinarios — un nuevo script de tracking, un formulario rediseñado, un widget de un tercero — no en la construcción inicial.
¿Cuánto dura una auditoría?
Un escaneo automático de accesibilidad, cookies y trackers termina en minutos. Una auditoría manual por consultora dura 2–6 semanas para un sitio pyme y cuesta 5.000–20.000 €.
Vea cómo está su sitio.
Ejecute un escaneo Veracly gratuito y obtenga un informe multi-jurisdicción — EAA, RGPD, ADA, UK Equality Act, AODA — con correcciones listas para copiar y pegar.
Iniciar escaneo gratuito