El escáner · metodología

Verificamos 153 cosas que la AEPD, los reguladores y los usuarios esperan de su sitio web.

Distribuidas en 7 áreas de cumplimiento. Ejecutadas automáticamente en ±60 segundos. Una página gratis, sitio completo desde 2,50 €.

Iniciar comprobación gratuita Ver informe de ejemplo →

Por qué importa

2.100 M€
Multas RGPD en 2024
Las autoridades europeas de protección de datos impusieron más de 2.100 millones de euros en multas en 2024. La AEPD es una de las más activas del bloque.
600.000 €
Multas LSSI graves
La LSSI-CE permite a la AEPD sancionar infracciones muy graves (cookies sin consentimiento, comunicaciones comerciales no solicitadas) con hasta 600.000 € por infracción.
1 M €
Sanción accesibilidad
Desde el 28 de junio de 2025 el RDLey 6/2023 transpone la EAA. Sanciones muy graves hasta 1.000.000 € — la Secretaría General de Consumo es la autoridad competente.
< 1 hora
Corrección típica
Un solo problema puede costar más que años de prevención. La mayoría de correcciones de nuestro informe se hacen en menos de una hora.

Las 7 áreas, en detalle.

Qué verificamos concretamente
Detección de origen mediante reverse image search (índice TinEye, ±50 M imágenes)
Comparación con bibliotecas conocidas (Getty, Shutterstock, Adobe Stock)
Análisis EXIF y metadatos para indicadores de licencia
Detección de imágenes generadas por IA (firmas Stable Diffusion, Midjourney)
TRLPI art. 140
TRLPI art. 138
STS 540/2021
Ejemplo de hallazgo
Alto
Foto posiblemente no licenciada de Getty Images encontrada en /sobre-nosotros.
El riesgo si lo ignora
Burofaxes y demandas por agencias especializadas. Indemnizaciones 800–1.500 € por imagen según TRLPI art. 140. En uso comercial, daños y perjuicios incluso superiores. Posibles costas procesales.
Qué verificamos concretamente
Banner de cookies: detección de instalación previa al consentimiento (scripts antes de «Aceptar»)
Política de privacidad: presencia + 13 elementos obligatorios del art. 13 RGPD
Registro de encargados: scripts de terceros identificados y mapeados
Transferencias internacionales: detección de endpoints US/no-UE (Schrems II)
Derechos de los interesados: vía de contacto para acceso/supresión disponible
RGPD art. 6, 13, 28
LOPDGDD art. 71-78
LSSI-CE art. 22.2
Ejemplo de hallazgo
Crítico
Google Analytics se carga antes del consentimiento de cookies.
El riesgo si lo ignora
Multas de la AEPD hasta 20 M€ o 4 % del volumen de negocio anual mundial. Para PYMES, sanciones habituales 5.000–100.000 € por infracción. La AEPD lidera Europa en número de procedimientos sancionadores por cookies.
Qué verificamos concretamente
Textos alternativos en imágenes con significado (WCAG 1.1.1)
Contraste de color: texto mínimo 4,5:1, texto grande 3:1 (WCAG 1.4.3)
Navegación por teclado: orden de tabulación, estados de foco visibles
Campos de formulario: etiquetas, mensajes de error, compatibilidad lector de pantalla
Vídeo y audio: subtítulos, transcripción (WCAG 1.2.x)
Accesibilidad PDF: estructura etiquetada, orden de lectura (solo Premium)
RDLey 6/2023
EAA Directiva 2019/882
RD 1112/2018
WCAG 2.2 AA
Ejemplo de hallazgo
Alto
12 imágenes sin texto alternativo (WCAG 1.1.1).
El riesgo si lo ignora
El RDLey 6/2023 transpone la EAA, vigente desde 28 de junio de 2025. La Secretaría General de Consumo impone sanciones: leves hasta 100.000 €, graves hasta 600.000 €, muy graves hasta 1.000.000 € (art. 32 RDLey 6/2023).
Qué verificamos concretamente
Configuración TLS: validez del certificado, suites de cifrado, versiones de protocolo
Cabeceras de seguridad HTTP: CSP, HSTS, X-Frame-Options, Referrer-Policy
Vulnerabilidades conocidas: jQuery, WordPress, plugins (correspondencia base CVE)
Contenido mixto: recursos HTTP en páginas HTTPS
Subresource Integrity (SRI) en scripts externos
RGPD art. 32
Esquema Nacional de Seguridad
INCIBE CERT
Ejemplo de hallazgo
Alto
Falta la cabecera Content-Security-Policy.
El riesgo si lo ignora
Sin multa directa, pero el art. 32 RGPD exige «medidas técnicas apropiadas». Una brecha por vulnerabilidad conocida es agravante en el cálculo de la sanción por la AEPD. La transposición de NIS2 añade obligaciones de notificación.
Qué verificamos concretamente
Aviso legal: nombre, NIF, domicilio, contacto (LSSI-CE art. 10)
Registro Mercantil: datos de inscripción si la empresa está inscrita
Condiciones de contratación: presentes, descargables en PDF, aceptadas en checkout
Vía de contacto: email o formulario, no solo teléfono de tarificación adicional
Información sobre cookies: enlace al banner desde el footer
LSSI-CE art. 10
LSSI-CE art. 38
TRLGDCU art. 97
Ejemplo de hallazgo
Medio
Aviso legal sin NIF del prestador (LSSI-CE art. 10).
El riesgo si lo ignora
Sanciones de la Secretaría de Estado de Digitalización: leves hasta 30.000 €, graves hasta 150.000 €, muy graves hasta 600.000 € (LSSI-CE art. 38-39). Reclamaciones de la OCU y asociaciones de consumidores.
Qué verificamos concretamente
Doble opt-in: email de confirmación al inscribirse
Enlace de baja: presente y funcional en cada email
Registro del consentimiento: marca temporal, IP, texto del formulario conservados
Casilla específica para marketing — no premarcada
Envío desde dominio propio (SPF/DKIM aligned)
LSSI-CE art. 21
LSSI-CE art. 39
RGPD art. 7
Ejemplo de hallazgo
Medio
Formulario de newsletter sin doble opt-in.
El riesgo si lo ignora
LSSI-CE art. 21 prohíbe las comunicaciones comerciales no solicitadas. Sanciones graves hasta 150.000 €, muy graves hasta 600.000 € (LSSI-CE art. 39). La AEPD instruye los procedimientos.
Qué verificamos concretamente
Texto del botón de pedido: «Pedido con obligación de pago» o equivalente (TRLGDCU art. 98.2)
Modelo de desistimiento: disponible, plazo 14 días claro en el checkout
Presentación de precios: precio total IVA incluido y gastos de envío visibles antes del pedido
Plazo de entrega: indicado concretamente (no términos vagos como «rápido»)
Garantía legal y comercial: claramente diferenciadas (junio 2026)
TRLGDCU art. 98
TRLGDCU art. 102
Directiva 2011/83/UE
Ejemplo de hallazgo
Alto
Botón de pedido sin «Pedido con obligación de pago» (TRLGDCU art. 98.2).
El riesgo si lo ignora
Un botón mal etiquetado hace que el contrato no obligue al consumidor (TRLGDCU art. 98.4). Plus sanciones de la Dirección General de Consumo: graves hasta 30.000 €, muy graves hasta 100.000 € (TRLGDCU art. 51).

Metodología

Cómo lo ejecutamos — sin caja negra.

Vea nuestro trabajo open source en GitHub →

01

Investigación sobre la normativa aplicable

Seguimos la legislación europea (RGPD, EAA, ePrivacy) y la normativa nacional española (LOPDGDD, LSSI-CE, TRLGDCU, RDLey 6/2023). Cuando un regulador endurece una regla o publica nuevas directrices sancionadoras, nuestra lista se actualiza.

02

Validación automatizada

Cada regla testeable obtiene una verificación determinista: un navegador real carga la página (Playwright/Chrome), leemos DOM, cabeceras, peticiones y configuración TLS. Sin «magia de IA» donde el código puede dar una respuesta honesta.

03

IA para verificaciones más complejas

Para reglas que no son una simple casilla — exhaustividad de una política de privacidad, dark patterns en un checkout, tono del texto de consentimiento — usamos una combinación de los últimos modelos locales y en la nube, ajustados a este fin. Usados de forma específica y siempre trazables hasta la regla origen.

¿Quiere saber dónde está su sitio?

Una página gratis. Sin registro. Resultados en 60 segundos — con próximos pasos concretos.

Iniciar comprobación gratuita →

Verificamos 153 cosas que la AEPD, los reguladores y los usuarios esperan de su sitio web.

Las 7 áreas, en detalle.

Derechos de imagen

RGPD & Privacidad

Accesibilidad

Seguridad

Aviso legal

E-Commerce

Cómo lo ejecutamos — sin caja negra.

Investigación sobre la normativa aplicable

Validación automatizada

IA para verificaciones más complejas

¿Quiere saber dónde está su sitio?

Verificamos 153 cosas que la AEPD, los reguladores y los usuarios esperan de su sitio web.

Las 7 áreas, en detalle.

Derechos de imagen

RGPD & Privacidad

Accesibilidad

Seguridad

Aviso legal

Newsletter

E-Commerce

Cómo lo ejecutamos — sin caja negra.

Investigación sobre la normativa aplicable

Validación automatizada

IA para verificaciones más complejas

¿Quiere saber dónde está su sitio?