El calendario regulatorio que afecta a tu web y a tu negocio digital, sin jerga: qué entra en vigor, a quién aplica y qué habría que hacer. Actualizado por el equipo de Custor.
Todas las webs con cookies no técnicas deben ofrecer rechazo al primer nivel, sin muros de cookies sin alternativa. Es hoy la inspección más frecuente de la AEPD y el fallo más común que detectamos.
Marketplaces, plataformas y servicios que alojan contenido de terceros: punto de contacto, transparencia publicitaria y sistemas de reclamación. Las pymes puramente informativas apenas se ven afectadas.
Energía, transporte, banca, salud, digital… y sus proveedores: gestión de riesgos, notificación de incidentes en 24-72h y responsabilidad de la dirección. España aún tramita la ley de transposición, pero el estándar ya marca contratos B2B.
Entidades financieras y sus proveedores TIC críticos: pruebas de resiliencia, gestión de terceros y notificación de incidentes. Si vendes tecnología a banca o seguros, te lo pedirán por contrato.
Prohibidos el social scoring, la manipulación subliminal dañina o el scraping masivo facial. Además, obligación de alfabetización en IA para el personal que la usa.
E-commerce, banca, transporte y servicios digitales al consumidor deben ser accesibles desde el 28-06-2025. Es el incumplimiento silencioso más extendido: casi nadie ha adaptado su web todavía.
Los proveedores de modelos (no la pyme que los usa) deben publicar resúmenes de datos de entrenamiento y cumplir el copyright. Si integras IA de terceros, exige estas garantías en el contrato.
Fabricantes y servicios de IoT deben dar acceso a los datos generados por el uso. También limita cláusulas abusivas en contratos de datos B2B y facilita cambiar de proveedor cloud.
Si tu web usa un chatbot, deberás decir claramente que es una IA; el contenido generado o manipulado por IA deberá ser identificable. Multas de hasta 15 M€ o el 3% de la facturación mundial.
Scoring crediticio, selección de personal, educación… El paquete «Digital Omnibus» de la Comisión propone aplazar este bloque a diciembre de 2027, pero la propuesta sigue en tramitación: quien despliegue estos sistemas debe prepararse igualmente.
Los estados deben ofrecer carteras de identidad digital; grandes plataformas y sectores regulados tendrán que aceptarlas. Cambiará el onboarding digital (KYC) en banca e intermediación.
La Comisión retiró la propuesta tras años de bloqueo. No hay relevo inmediato: en España siguen aplicando la LSSI art. 22.2 y la Guía de la AEPD. No esperes que «la nueva ley» te salve del banner.
Custor Care vigila este calendario por ti: cuando una norma nueva afecta a tu web, te la dejamos conforme sin que tengas que enterarte de nada. Desde 29 €/mes.
Información divulgativa elaborada por Custor a partir de fuentes oficiales (DOUE, BOE, AEPD, Banco de España). No constituye asesoramiento jurídico. Última revisión: julio de 2026.