Name: Compliance
Author: Catafal

Compliance | Skills Pool

Detection	Spanish/EU Framework Triggered
Website exists and is accessible from Spain or targets Spanish users	LSSI-CE art. 10 — Aviso Legal MANDATORY
Collects any personal data (forms, analytics, accounts)	RGPD + LOPDGDD (Ley Orgánica 3/2018)
Uses cookies, pixels, or tracking scripts	LSSI-CE art. 22 + RGPD consent
Sends commercial emails or has newsletter signup	LSSI-CE art. 20-21 + RGPD consent
Processes payments online	PCI-DSS
Sells products or services to consumers online (B2C)	TRLGDCU (RD 1/2007) — e-commerce
Content accessible to or targeting users under 14	LOPDGDD art. 7 + LOPJM (Ley 8/2021)
Any website (private or public sector)	WCAG 2.1 / EN 301 549 / RD 1112/2018
B2B SaaS or processes customer business data	ISO 27001 / ENS (Esquema Nacional de Seguridad)
Handles health data (datos de salud)	LOPDGDD categoría especial + ENS — flag
Site clearly targets or receives significant California (US) traffic	CCPA/CPRA (secondary, tertiary priority)

#	Check Item	What to Look For
L1	Aviso Legal page exists	Page accessible via footer link titled "Aviso Legal," "Información Legal," or equivalent
L2	Denominación social completa	Full legal company name (not just trade name / marca comercial) — e.g., "Empresa Ejemplo, S.L."
L3	CIF/NIF del responsable	Tax identification number clearly visible — LSSI-CE art. 10.1.b
L4	Domicilio social	Full registered address (not a PO box) — LSSI-CE art. 10.1.c
L5	Datos de inscripción Registro Mercantil	For SA, SL and other mercantile companies: Tomo, Folio, Sección, Inscripción en el Registro Mercantil
L6	Correo electrónico de contacto directo	Direct contact email address visible — NOT just a contact form. LSSI-CE art. 10.1.d
L7	Autorización administrativa (si aplica)	If activity requires admin authorization (financial services, pharmacies, education): license number and supervisory authority stated
L8	Link a Política de Privacidad	Clear, working hyperlink to the Privacy Policy
L9	Link a Política de Cookies	Clear, working hyperlink to the Cookie Policy (must be separate from privacy policy)
L10	Información sobre precios e IVA	If e-commerce: prices include IVA, or it is clearly stated whether prices are shown with or without IVA — LSSI-CE art. 27

#	Check Item	What to Look For
G1	Cookie consent prior to loading	Consent banner appears BEFORE non-essential cookies load. No pre-ticked boxes. Equal prominence for accept/reject. AEPD 2023 criteria.
G2	Granular cookie control	Users can select individual categories (esenciales, analítica, marketing, personalización) separately
G3	Política de Privacidad exists	Accessible privacy policy, linked from footer and from the cookie banner
G4	Base jurídica para cada tratamiento	RGPD art. 6: each processing purpose states its legal basis — Consentimiento / Interés legítimo / Ejecución de contrato / Obligación legal
G5	Derechos del interesado listados	Rights to access, rectification, erasure, portability, restriction, objection, automated decisions — RGPD arts. 15-22 — all listed
G6	AEPD como autoridad de control	Privacy policy explicitly mentions AEPD (www.aepd.es) as the competent supervisory authority for complaints
G7	Transferencias internacionales	If data leaves EEA: safeguard stated — SCCs Decision 2021/914, EU-US DPF 2023, or adequacy decision
G8	DPD / Delegado de Protección de Datos	DPO contact details provided if required under RGPD art. 37 + LOPDGDD art. 34 (public authorities, large-scale processing, special categories)
G9	Edad mínima 14 años (LOPDGDD art. 7)	If site targets or may be used by minors: 14-year minimum stated — NOT 13 (COPPA threshold does not apply in Spain)
G10	Mecanismo de retirada de consentimiento	Easy, accessible way to withdraw consent — must be as easy as giving it — RGPD art. 7.3
G11	Derecho al olvido (LOPDGDD arts. 93-94)	For sites with search functionality or social features: right to be forgotten / derecho a la supresión in search results mentioned
G12	Plazos de conservación de datos	Retention periods or the criteria used to determine them disclosed for each data category
G13	Terceros que reciben datos	All categories of third parties receiving personal data named or described in the privacy policy
G14	Mecanismo de solicitud de derechos	Clear process for submitting data subject rights requests (form, email, postal address)

#	Check Item	What to Look For
K1	Consentimiento previo antes de cookies no esenciales	Banner fires BEFORE GTM/GA/FB Pixel/Hotjar or similar loads. "Seguir navegando = consentimiento" language is NOT valid under AEPD criteria.
K2	Botón rechazar igual de visible que aceptar	"Rechazar" or "Rechazar todo" button is as visually prominent as "Aceptar." Not hidden behind "Más opciones" or greyed out.
K3	Política de Cookies detalla todas las cookies	Cookie policy lists: name, purpose, duration, and responsible third party for EACH cookie used
K4	Cookies analíticas requieren opt-in	Google Analytics, Hotjar, Microsoft Clarity, or similar tools require prior opt-in (not opt-out) per AEPD 2023 guidelines
K5	Emails comerciales requieren consentimiento previo	LSSI-CE art. 21: email marketing requires prior explicit consent. Soft opt-in only valid for existing customers buying identical or similar products/services.
K6	Emails comerciales claramente identificados	Commercial emails identified as "Publicidad" or equivalent in subject line or header — LSSI-CE art. 20.1
K7	Baja en cada email comercial	Clear and functional unsubscribe mechanism in EVERY commercial email — LSSI-CE art. 22.1

#	Check Item	What to Look For
T1	Información precontractual completa	Before purchase: price with IVA, full product/service description, total cost including shipping, seller identity — TRLGDCU art. 97
T2	Derecho de desistimiento 14 días	14-day right of withdrawal clearly disclosed for distance contracts. Cannot be contractually waived. — TRLGDCU art. 102
T3	Excepciones al desistimiento informadas	If exceptions apply (digital content once download starts, custom orders, perishables, sealed hygiene products): listed explicitly — TRLGDCU art. 103
T4	Formulario de desistimiento disponible	Standard withdrawal form provided or link to download it — TRLGDCU Anexo B
T5	Confirmación escrita del contrato	Order confirmation with full terms sent by email after purchase — TRLGDCU art. 98.7
T6	Garantía legal 3 años en bienes	3-year legal guarantee on goods disclosed (reform 2022: extended from 2 to 3 years) — TRLGDCU art. 120
T7	Mecanismo de reclamaciones / SAC	Customer complaint mechanism or Servicio de Atención al Cliente (SAC) contact visible
T8	Enlace plataforma ODR (UE)	Link to EU Online Dispute Resolution platform — mandatory for B2C e-commerce: https://ec.europa.eu/consumers/odr — TRLGDCU art. 97.1.t

#	Check Item	What to Look For
P1	HTTPS en todas las páginas	Site uses HTTPS on all pages, especially payment pages. No mixed content warnings.
P2	Campos de pago hospedados (hosted fields)	Payment form uses iframes or redirects from PCI-compliant processors (Stripe Elements, Redsys hosted payment, PayPal, Braintree) rather than raw card inputs
P3	Sin datos de tarjeta en URLs	Card numbers or CVV never appear in URL parameters or GET requests
P4	Página de seguridad o confianza	Trust/security page mentioning PCI-DSS compliance or payment security certifications
P5	Distintivos de pago seguro	PCI compliance badge or security trust seals displayed near checkout
P6	Procesador de pago identificado	Payment processor named (Stripe, Redsys, PayPal, Bizum, Adyen, etc.) — indicates SAQ-A eligible offloading

#	Check Item	What to Look For
M1	Edad mínima de 14 años declarada	Site explicitly states it is not for users under 14 years (LOPDGDD art. 7). Any reference to "13 years" as the threshold is non-compliant in Spain.
M2	Mecanismo de verificación de edad	If site targets or is likely used by under-14s: age verification mechanism before data collection
M3	Consentimiento parental para menores de 14	Verifiable parental or guardian consent mechanism for any data collection from users under 14
M4	Sin publicidad comportamental a menores	No behavioral or targeted advertising directed at minors — LOPJM art. 84
M5	Guías AEPD sobre menores seguidas	Site follows AEPD guidance on minors' data protection (https://www.aepd.es)

#	Check Item	What to Look For
W1	Texto alternativo en imágenes	Descriptive alt attributes on all informational images. Decorative images use alt="" — WCAG 1.1.1
W2	Jerarquía de encabezados	Proper heading structure: H1 > H2 > H3, no skipped levels — WCAG 1.3.1
W3	Contraste de color suficiente	4.5:1 ratio for normal text, 3:1 for large text (18pt or 14pt bold) — WCAG 1.4.3
W4	Navegación por teclado	All interactive elements (links, buttons, forms) reachable and operable via keyboard only — WCAG 2.1.1
W5	Etiquetas en formularios	All input fields have associated `<label>` elements or `aria-label` attributes — WCAG 1.3.1
W6	Atributo de idioma	`<html lang="es">` or appropriate language code set — WCAG 3.1.1
W7	Declaración de Accesibilidad	Required for public sector under RD 1112/2018 art. 10. Best practice for private sector. Must include conformance level and contact for accessibility issues.
W8	Subtítulos en vídeo	If video content exists: subtítulos (captions) or transcripción available — WCAG 1.2.2

#	Check Item	What to Look For
C1	Enlace "Do Not Sell or Share"	Visible link in footer: "Do Not Sell or Share My Personal Information"
C2	Sección CCPA en Política de Privacidad	Privacy policy includes a California-specific section with CCPA/CPRA rights
C3	Categorías de PI recopiladas	Privacy policy lists categories of personal information collected in the past 12 months
C4	Finalidad por categoría	Business purpose stated for each category of PI collected
C5	Derechos del consumidor descritos	Right to know, delete, opt-out, non-discrimination, correct, and limit sensitive PI use
C6	Métodos de solicitud de derechos	At least two methods for submitting consumer rights requests (web form, email, phone)
C7	Plazo de respuesta 45 días	Policy states 45-day response timeline for consumer requests
C8	Divulgación de incentivos financieros	If loyalty programs or data-for-discounts exist: financial incentive disclosures present
C9	Terceros con quienes se comparte PI	Categories of third parties with whom PI is shared or sold
C10	Periodos de retención	Data retention periods or criteria disclosed for each category

Framework	Weight	Rationale
RGPD + LOPDGDD	25%	Multas hasta 20M EUR o 4% volumen negocio global. AEPD enforcement activo.
LSSI-CE Aviso Legal	20%	Infracción muy grave: hasta 150.000 EUR. Requisito más incumplido en España.
LSSI-CE Cookies y Email	15%	Infracción grave (LSSI-CE art. 39). AEPD activa en enforcement de cookies.
TRLGDCU (e-commerce)	15%	Enforcement por OMIC y organismos autonómicos; riesgo de acciones colectivas.
PCI-DSS	10%	Breach liability + posible suspensión del procesamiento de tarjetas.
Accesibilidad WCAG	10%	RD 1112/2018 obligatorio para sector público; creciente riesgo privado (EAA 2025).
Menores LOPDGDD/LOPJM	5%	AEPD enforcement activo en protección de menores.
CCPA (secundario)	Bonus	Solo si base de usuarios en California confirmada. No resta puntos si no aplica.

Priority	Criteria	Examples
CRITICO	Active legal exposure, could trigger AEPD or consumer authority enforcement now	No Aviso Legal on Spanish site, cookie banner loading after cookies, no privacy policy, no Aviso Legal CIF/NIF
ALTO	Significant gap requiring remediation within 30 days	Incomplete Aviso Legal, no rejection button on cookie banner, missing AEPD reference, missing 14-year age threshold
MEDIO	Important gap requiring remediation within 90 days	No DPD/DPO listed (if required), no ODR link for e-commerce, missing data retention periods, no accessibility statement
BAJO	Best practice improvements	No Declaración de Accesibilidad (private sector), no ISO 27001 mention, no security page

# Informe de Auditoría de Cumplimiento Legal

> AVISO LEGAL: Este análisis ha sido generado por IA y NO constituye asesoramiento jurídico. Consulte siempre con un abogado colegiado especializado en derecho digital español. Esta auditoría se basa en un análisis superficial automatizado del sitio web y puede no detectar todos los problemas de cumplimiento.

**Sitio Web:** [URL]
**Fecha de Análisis:** [fecha]
**Páginas Analizadas:** [lista de páginas escaneadas]
**Jurisdicción Principal:** España / Unión Europea

---

## Cuadro de Mando de Cumplimiento

| Marco Normativo | Puntuación | Nota | Estado |
|---|---|---|---|
| RGPD + LOPDGDD | [X]% | [A-F] | [OK Cumple / WARN Deficiencias / FAIL Incumple] |
| LSSI-CE Aviso Legal | [X]% | [A-F] | [estado] |
| LSSI-CE Cookies y Email | [X]% | [A-F] | [estado] |
| TRLGDCU (e-commerce) | [X]% | [A-F] | [estado] |
| PCI-DSS | [X]% | [A-F] | [estado] |
| Accesibilidad WCAG 2.1 | [X]% | [A-F] | [estado] |
| Menores LOPDGDD/LOPJM | [X]% | [A-F] | [estado] |
| CCPA (si aplica) | [X]% | [A-F] | [estado] |
| **TOTAL PONDERADO** | **[X]%** | **[A-F]** | |

### Escala de Notas
| Nota | Rango | Significado |
|---|---|---|
| A | 90-100% | Postura de cumplimiento sólida |
| B | 75-89% | Buena con deficiencias menores |
| C | 60-74% | Deficiencias moderadas que requieren atención |
| D | 40-59% | Riesgos de cumplimiento significativos |
| F | 0-39% | Fallos de cumplimiento críticos |

---

## Resumen Ejecutivo

[3-5 frases: postura general de cumplimiento, mayores riesgos, acciones más urgentes]

**Tecnologías Detectadas:**
[List all detected analytics, payment, tracking, and third-party services]

**Marcos Normativos Aplicables:**
[List which frameworks apply and why, based on the Phase 1 detection scan]

---

## CRITICO — Problemas Críticos (Resolver de Inmediato)

### [Título del Problema]
- **Marco:** [qué normativa]
- **Control:** [ID y nombre del control — ej. L1, G1, K2]
- **Estado Actual:** [qué se encontró o no se encontró]
- **Requisito Legal:** [qué exige la normativa exactamente]
- **Riesgo:** [sanción o consecuencia potencial]
- **Solución:** [pasos específicos y accionables para resolver]
- **Esfuerzo Estimado:** [Bajo / Medio / Alto]

[Repeat for each critical issue]

---

## ALTO — Problemas de Alta Prioridad (Resolver en 30 días)

[Same format as critical issues]

---

## MEDIO — Problemas de Prioridad Media (Resolver en 90 días)

[Same format]

---

## BAJO — Prioridad Baja / Buenas Prácticas

[Same format, briefer descriptions]

---

## Controles Superados

[List all passing checks grouped by framework — brief confirmation of compliance]

---

## Detalle por Marco: LSSI-CE Aviso Legal

[Full audit table for LSSI-CE Aviso Legal with all check items L1-L10, statuses, and notes]

## Detalle por Marco: RGPD + LOPDGDD

[Full audit table for RGPD + LOPDGDD with all check items G1-G14, statuses, and notes]

## Detalle por Marco: LSSI-CE Cookies y Comunicaciones Comerciales

[Full audit table with K1-K7]

## Detalle por Marco: TRLGDCU (si aplica)

[Full audit table with T1-T8]

## Detalle por Marco: PCI-DSS (si aplica)

[Full audit table with P1-P6]

## Detalle por Marco: Protección de Menores (si aplica)

[Full audit table with M1-M5]

## Detalle por Marco: Accesibilidad WCAG 2.1

[Full audit table with W1-W8]

## Detalle por Marco: CCPA/CPRA (solo si aplica)

[Full audit table with C1-C10, only if California user base confirmed]

---

## Hoja de Ruta de Remediación

### Semana 1 (Crítico)
1. [ ] [acción específica]
2. [ ] [acción específica]

### Mes 1 (Alta Prioridad)
1. [ ] [acción específica]
2. [ ] [acción específica]

### Trimestre 1 (Prioridad Media)
1. [ ] [acción específica]
2. [ ] [acción específica]

### Continuo (Buenas Prácticas)
1. [ ] [acción específica]
2. [ ] [acción específica]

---

## Limitaciones de Esta Auditoría

- Este análisis evalúa únicamente las señales de cumplimiento visibles públicamente en el sitio web
- El tratamiento interno de datos, políticas internas y formación de empleados no han sido evaluados
- Las comprobaciones de accesibilidad son superficiales; una auditoría completa WCAG 2.1 AA requiere herramientas automatizadas (axe, WAVE) y pruebas manuales con usuarios
- La evaluación de PCI-DSS se limita a indicadores visibles; el cumplimiento PCI completo requiere un Asesor de Seguridad Cualificado (QSA) o un Cuestionario de Autoevaluación (SAQ)
- Este informe no constituye una auditoría jurídica y no debe utilizarse como evidencia de cumplimiento o incumplimiento ante ninguna autoridad
- Autoridad de control competente en España: AEPD — www.aepd.es

Status	Symbol	Meaning
Pass	OK	Requirement appears to be met
Fail	FAIL	Requirement is clearly not met
Warning	WARN	Partially met or cannot fully verify
N/A	N/A	Not applicable to this site

Compliance

Compliance Gap Analysis — Marco Jurídico Español / UE

Jurisdiction Priority

Phase 1: Website Scanning

Compliance

Compliance Gap Analysis — Marco Jurídico Español / UE

Jurisdiction Priority

Phase 1: Website Scanning

1.1 Initial Detection Scan

Phase 2: Framework-by-Framework Audit

2.1 LSSI-CE — Aviso Legal y Requisitos Informativos (PRIORIDAD MAXIMA para sitios españoles)

2.2 RGPD + LOPDGDD — Protección de Datos (Marco Primario)

2.3 LSSI-CE — Cookies y Comunicaciones Comerciales (arts. 20-22)

2.4 TRLGDCU — Protección de Consumidores en E-commerce (RD 1/2007)

2.5 PCI-DSS — Seguridad en Pagos (International Standard)

2.6 LOPDGDD art. 7 + LOPJM — Protección de Menores (replaces COPPA)

2.7 Accesibilidad Web — WCAG 2.1 / RD 1112/2018 / EN 301 549

2.8 CCPA/CPRA — Privacidad California (Secundario)

Phase 3: Scoring and Prioritization

3.1 Calculate Framework Scores

3.2 Overall Compliance Score — Weighted for Spanish/EU Context

3.3 Priority Classification

Phase 4: Generate Report

Report Structure

Phase 5: Present to User

Key Rules — Always Apply

1password

Springboot Security

Security Review

Laravel Security

Security Review

Django Security