Cumplimiento web en los Países Bajos: cookies, RGPD y accesibilidad

Los Países Bajos son Estado miembro de la UE, así que las reglas principales son las mismas de todo el bloque: el RGPD para datos personales, la Directiva ePrivacy para cookies y almacenamiento, y la European Accessibility Act para la accesibilidad digital. La complicación es que cada una llega a un sitio neerlandés a través de una ley nacional y un regulador distintos. Esta guía mapea los tres marcos tal como se aplican realmente en los Países Bajos en 2026.

Los tres marcos aplicables

• RGPD + UAVG. El RGPD se aplica directamente; la Uitvoeringswet AVG (UAVG) añade el detalle nacional. La autoridad de control es la Autoriteit Persoonsgegevens (AP).
• ePrivacy vía la Telecommunicatiewet. La regla de consentimiento de cookies es el artículo 11.7a de la Telecommunicatiewet, en vigor desde 2012. Es esta la que exige el banner — no el RGPD.
• EAA vía la Implementatiewet. La European Accessibility Act se transpone mediante la Implementatiewet toegankelijkheidsvoorschriften producten en diensten, aplicable a productos y servicios de consumo incluidos desde el 28 de junio de 2025.

Cookies: artículo 11.7a Telecommunicatiewet

El artículo 11.7a exige que, antes de almacenar o leer información en el equipo terminal del usuario, el sitio informe de forma clara y completa sobre las finalidades y obtenga el consentimiento. Hay dos excepciones estrictas: una cookie estrictamente necesaria para transmitir la comunicación, y una cookie estrictamente necesaria para un servicio solicitado explícitamente (por ejemplo, de sesión o de carrito).

Todo lo demás — analítica, píxeles publicitarios, incrustaciones sociales, tests A/B, grabación de sesión — necesita consentimiento opt-in previo. Como en el resto de la UE, la regla es neutral tecnológicamente: sustituir una cookie por localStorage o un píxel no la evita.

La campaña de cookies de la AP

Durante 2025, la Autoriteit Persoonsgegevens convirtió los banners de cookies en una prioridad de control declarada. Varias organizaciones recibieron una «carta de cookies» pidiéndoles corregir banners no conformes, y la AP examinó los despliegues de Google Analytics 4. Su posición sobre el diseño del banner es concreta:

• Si hay un botón «Aceptar todo» en la primera capa, debe haber un «Rechazar todo» en esa misma capa, con igual prominencia.
• Un enlace «Configuración» o «Gestionar» no cuenta como rechazo — rechazar debe ser tan fácil como aceptar.
• Ninguna cookie o rastreador no esencial puede dispararse antes del consentimiento activo.

Esto refleja el consenso de la UE (véase nuestro artículo sobre la paridad del rechazo) y es, con diferencia, el fallo reproducible más frecuente que Veracly detecta en sitios neerlandeses.

Accesibilidad: la EAA en el derecho neerlandés

La European Accessibility Act se aplica en toda la UE desde el 28 de junio de 2025. En los Países Bajos se transpone mediante la Implementatiewet toegankelijkheidsvoorschriften producten en diensten, que modifica varias leyes existentes, entre ellas la Warenwet, la Telecommunicatiewet y el Código Civil. Para los servicios digitales, las webs, apps y tiendas online de consumo deben ser accesibles — medidas en la práctica frente a WCAG 2.1 AA mediante la norma armonizada EN 301 549.

La aplicación se reparte entre supervisores según el producto o servicio; la Authority for Consumers and Markets (ACM) supervisa el comercio electrónico. Existe una exención para microempresas de servicios (menos de 10 empleados y facturación o balance de hasta 2 M€), pero es estrecha y no cubre productos. El sector público ya estaba cubierto por separado bajo la Directiva de accesibilidad web.

Lista práctica para un sitio neerlandés

1. Ninguna cookie, píxel o escritura de almacenamiento no esencial se dispara antes del consentimiento.
2. El banner ofrece «Rechazar todo» en la primera capa, tan visible como Aceptar todo.
3. Una política de privacidad nombra los rastreadores y la base legal RGPD/UAVG.
4. La analítica (incluida GA4) está condicionada al consentimiento, y cualquier transferencia a EE. UU. se basa en un mecanismo válido del capítulo V.
5. El sitio cumple WCAG 2.1 AA (EN 301 549) para el contenido de consumo.

Cómo Veracly revisa un sitio neerlandés

Veracly evalúa una URL neerlandesa frente a los tres marcos en un solo escaneo. El módulo de cookies registra cada solicitud de red, cookie y escritura de almacenamiento que ocurre antes de la interacción con el banner y señala los problemas del artículo 11.7a (disparo previo al consentimiento, falta de vía de rechazo, banner ausente). El módulo de accesibilidad ejecuta axe-core sobre el DOM renderizado para WCAG 2.1 AA. Cada hallazgo se asigna al marco que realmente afecta y es reproducible por ti en las DevTools de tu navegador.

Véase también: Cumplimiento web en Finlandia · RGPD vs ePrivacy: ¿qué rige las cookies? · La EAA para pymes