Cumplimiento normativo de la UE para Joomla — Guía de RGPD, Acta Europea de Accesibilidad y ePrivacy

Si tu sitio web Joomla atiende a visitantes de la Unión Europea, debes cumplir con varios marcos normativos: el Reglamento General de Protección de Datos (RGPD), el Acta Europea de Accesibilidad (EAA) y la Directiva ePrivacy. No son recomendaciones opcionales. Son leyes de obligado cumplimiento, respaldadas por sanciones económicas considerables.

Esta guía explica qué exige cada normativa, cómo se aplica concretamente a los sitios Joomla y qué tienes que hacer para cumplirla. La mantenemos como un documento vivo, que actualizamos a medida que evolucionan las normativas y se desarrolla su aplicación.

Solicita una revisión de cumplimiento gratuita →

Los tres pilares del cumplimiento web en la UE

1. RGPD — Protección de datos (en vigor desde mayo de 2018)

El Reglamento General de Protección de Datos regula cómo se recopilan, tratan, almacenan y comparten los datos personales. Para un sitio web Joomla, esto se traduce en lo siguiente:

• Consentimiento de cookies: las cookies no esenciales deben bloquearse hasta que el visitante dé su consentimiento explícito. Un banner que se limita a informar no basta: hay que impedir de verdad que las cookies se carguen.
• Política de privacidad: debes contar con una política de privacidad completa y precisa que describa todas las actividades de tratamiento de datos, las bases legales, los plazos de conservación y los derechos de los interesados.
• Registro del consentimiento: tienes que poder demostrar que se otorgó el consentimiento, cuándo, a qué se consintió y qué versión de tu política de privacidad estaba vigente.
• Derechos de los interesados: los visitantes pueden solicitar el acceso a sus datos, su supresión, rectificación o portabilidad. Debes disponer de mecanismos para gestionar estas solicitudes.
• Contratos de encargo del tratamiento: si utilizas servicios de terceros que tratan datos personales (analítica, email marketing, pasarelas de pago), debes tener firmados los correspondientes contratos de encargo del tratamiento.
• Google Consent Mode v2: si usas servicios de Google (Analytics, Ads), debes implementar Consent Mode v2 para comunicar a Google el estado del consentimiento.

Sanciones: hasta 20 millones de euros o el 4 % de la facturación anual global, la cifra que resulte más alta.

Nuestro servicio de cumplimiento del RGPD para Joomla →

2. Acta Europea de Accesibilidad (en vigor desde junio de 2025)

El EAA obliga a que los sitios web que ofrecen bienes y servicios en la UE sean accesibles para las personas con discapacidad, cumpliendo el estándar WCAG 2.1 nivel AA (a través de la norma europea EN 301 549).

• Quién debe cumplirlo: las empresas que ofrecen productos o servicios a consumidores de la UE (con exenciones limitadas para microempresas)
• Qué se exige: contenido web perceptible, operable, comprensible y robusto, lo que incluye texto alternativo adecuado, contraste de color, navegación por teclado, etiquetado de formularios, estructura de encabezados y compatibilidad con tecnologías de apoyo
• Plazos: el contenido nuevo debe cumplir la norma desde junio de 2025. Todo el contenido existente deberá cumplirla antes de junio de 2030.
• Declaración de accesibilidad: tu sitio web debe publicar una declaración que describa su grado de conformidad y que ofrezca un mecanismo de contacto para enviar comentarios

Sanciones: varían según el Estado miembro; en algunos países alcanzan los 100.000 euros o el 4 % de la facturación anual.

Nuestro servicio de cumplimiento del EAA para Joomla →

3. Directiva ePrivacy (la ley de cookies)

La Directiva ePrivacy es anterior al RGPD y aborda específicamente las comunicaciones electrónicas, incluidas las cookies y las tecnologías de seguimiento. Mientras que el RGPD aporta el marco general, la Directiva ePrivacy contiene normas concretas sobre cuándo se requiere el consentimiento para las cookies y cómo deben gestionarse las comunicaciones comerciales electrónicas.

En la práctica, el RGPD y la ePrivacy se solapan considerablemente en lo relativo a las cookies. La interpretación más estricta —que es la más segura— exige el consentimiento explícito mediante opt-in antes de instalar cualquier cookie no esencial, y la posibilidad de rechazarlas con la misma facilidad con que se aceptan.

Desde hace años se está elaborando un nuevo Reglamento ePrivacy que acabará sustituyendo a la Directiva. Hasta que se apruebe definitivamente, la Directiva vigente sigue en vigor, complementada por los requisitos de consentimiento del RGPD.

Requisitos específicos por país

Aunque el RGPD aporta el marco común a toda la UE, cada Estado miembro lo aplica de forma distinta y ha añadido sus propios requisitos. Estas son las principales diferencias en los países con los que trabajamos con más frecuencia:

Alemania (DSGVO)

Alemania aplica la interpretación más estricta de la UE en cuanto a los requisitos de consentimiento de cookies del RGPD. El Tribunal Supremo Federal ha dictaminado que el consentimiento debe otorgarse libremente, sin casillas premarcadas. La opción de «rechazar todo» debe ser tan visible y accesible como la de «aceptar todo». Las autoridades alemanas de protección de datos (cada uno de los 16 estados federados tiene la suya) figuran entre las más activas en su aplicación. Los sitios web dirigidos a usuarios alemanes también deben incluir un Impressum (aviso legal) en virtud del § 5 de la TMG.

Francia (RGPD)

La CNIL (Commission Nationale de l'Informatique et des Libertés) ha publicado directrices específicas sobre los banners de consentimiento de cookies. La opción de rechazar debe ser tan fácil de encontrar como la de aceptar: nada de dark patterns que escondan el mecanismo de rechazo tras clics adicionales. La CNIL ha impuesto multas importantes a grandes empresas por infracciones relacionadas con el consentimiento de cookies.

Países Bajos

La autoridad neerlandesa de protección de datos (Autoriteit Persoonsgegevens) es uno de los organismos de control más proactivos de Europa. Ha dado prioridad al cumplimiento del consentimiento de cookies e investiga las reclamaciones con regularidad. Países Bajos aplica una interpretación estricta de los requisitos de consentimiento.

Italia

La autoridad italiana de protección de datos (Garante) tiene requisitos específicos para la información sobre cookies y ha publicado directrices sobre el formato de los avisos informativos al respecto. La normativa italiana añade requisitos concretos para las cookies analíticas que van más allá del marco general del RGPD.

España (LOPDGDD)

La Ley Orgánica de Protección de Datos de España complementa el RGPD con disposiciones adicionales. La Agencia Española de Protección de Datos (AEPD) se ha mostrado cada vez más activa en la vigilancia del consentimiento de cookies.

Países nórdicos

Suecia, Dinamarca, Finlandia y Noruega siguen de cerca, por lo general, el marco de la UE. Hasta ahora su aplicación ha sido menos agresiva que la de Alemania o Francia, pero todos cuentan con autoridades de protección de datos operativas que tramitan reclamaciones. Noruega, pese a no ser miembro de la UE, aplica el RGPD a través del acuerdo del EEE.

Lista de comprobación de cumplimiento para sitios web Joomla

Cumplimiento del RGPD y las cookies

• Banner de consentimiento de cookies que bloquee realmente las cookies no esenciales antes de obtener el consentimiento
• Cookies clasificadas en categorías claras (necesarias, funcionales, analíticas, de marketing)
• Opciones de aceptar y rechazar igual de visibles, sin dark patterns
• Registro del consentimiento activo: constancia de cuándo se otorgó y a qué se consintió
• Google Consent Mode v2 configurado (si usas Google Analytics o Google Ads)
• Política de privacidad completa y publicada, que refleje con exactitud tu tratamiento de datos
• Política de cookies publicada con los detalles concretos de cada cookie utilizada
• Mecanismo para gestionar las solicitudes de los interesados (acceso, supresión, rectificación)
• Contratos de encargo del tratamiento firmados con todos los servicios de terceros
• Correo de contacto para consultas sobre protección de datos publicado en el sitio web

Cumplimiento del EAA y la accesibilidad

• Todas las imágenes tienen un texto alternativo significativo (o un alt vacío para las imágenes decorativas)
• El contraste de color cumple la ratio de 4,5:1 para el texto normal y de 3:1 para el texto grande
• Todos los elementos interactivos se pueden manejar solo con el teclado
• Indicadores de foco visibles en todos los elementos interactivos
• Estructura de encabezados lógica (H1 → H2 → H3, sin saltarse niveles)
• Todos los campos de formulario tienen sus etiquetas asociadas
• Idioma de la página declarado en el atributo lang del HTML
• Los vídeos llevan subtítulos; el audio incluye transcripciones
• Enlaces para saltar la navegación implementados
• Declaración de accesibilidad publicada con un mecanismo de contacto

Páginas legales generales

• Política de privacidad: conforme al RGPD y fiel a tu tratamiento de datos
• Política de cookies: listado concreto de cookies con sus finalidades y duraciones
• Aviso legal / Impressum: obligatorio en Alemania y Austria, y recomendable para todos los sitios web de la UE
• Términos y condiciones: si vendes bienes o servicios
• Declaración de accesibilidad: obligatoria en virtud del EAA

Por qué no es viable el cumplimiento normativo en Joomla 3

Si tu sitio web funciona con Joomla 3 (o una versión anterior), lograr un cumplimiento real de la normativa de la UE queda comprometido de raíz. Joomla 3 no recibe parches de seguridad desde agosto de 2023, y mantener software sin actualizar contradice la exigencia del RGPD de adoptar «medidas técnicas apropiadas». El sistema de plantillas de Joomla 3 es anterior a los estándares modernos de accesibilidad, lo que hace extremadamente difícil cumplir las WCAG sin reconstruir por completo la plantilla. Las herramientas de privacidad integradas en Joomla 5 y 6 no existen en Joomla 3.

La vía más rentable para cumplir la normativa es actualizar a Joomla 5 o 6 e implementar las medidas de cumplimiento sobre la plataforma moderna. Nuestros servicios de actualización integran el cumplimiento normativo dentro del propio proceso de migración.

Nuestros servicios de cumplimiento normativo

Implementamos el cumplimiento normativo específicamente para sitios web Joomla:

• Cumplimiento del RGPD y las cookies: implementación y supervisión continua
• Cumplimiento de accesibilidad del EAA: auditorías, corrección y supervisión
• Integración del cumplimiento durante los proyectos de actualización: el enfoque más eficiente
• Supervisión del cumplimiento como parte de nuestros planes de mantenimiento

Empieza con una revisión de cumplimiento

Nuestra auditoría gratuita del sitio incluye una evaluación de cumplimiento que abarca la gestión actual de las cookies según el RGPD, tu punto de partida en accesibilidad y el estado de tus páginas legales. Obtendrás una imagen clara de la situación de tu sitio web Joomla y de lo que hay que cambiar para cumplir los requisitos de la UE.

Consigue tu revisión de cumplimiento gratuita →