Saltar al contenido

Cómo funciona

Un pipeline de seis etapas que convierte una URL pública en un reporte regulatorio europeo, listo para tu equipo legal. Pasivo, basado en datos públicos, screening — no auditoría.

01 / Pipeline

Del Website al reporte regulatorio en 5'

Cada etapa es independiente, observable y testeada contra fixtures reales.

  1. 01

    Input

    Website

    Lo único que necesitamos es la URL del sitio. Opcionalmente, el CUIT del titular. Sin credenciales, sin acceso al backend, sin instalar nada.

    • URL
    • CUIT (opcional)
    • passive
  2. 02

    Crawl

    Descubrimiento del sitio

    Recorremos el sitio identificando páginas relevantes para el screening: sitemap, links del footer, política de privacidad, banner de cookies, formularios y páginas de productos o servicios.

    • sitemap.xml
    • robots.txt
    • internal links
  3. 03

    Render

    Agente de browsing automático

    Cada página se renderiza en un browser real para capturar contenido cargado por JavaScript, requests HTTP de terceros, cookies seteadas pre-consent y scripts embebidos en runtime.

    • Playwright
    • headless Chromium
    • network capture
  4. 04

    Detect

    89 agentes de detección en paralelo

    Cada área regulatoria tiene sus detectores: privacidad y cookies (RGPD/ePrivacy), accesibilidad (WCAG 2.1 AA, EN 301 549), indicaciones geográficas (Mercosur-UE + lista oficial UE), seguridad técnica (DNS/email + headers HTTP + TLS) y cross-refs oficiales (padrón AFIP + RASFF alimentos + Safety Gate productos).

    • 89 signals
    • RGPD
    • EAA
    • IGs
    • cross-refs UE
  5. 05

    Analyze

    Razonamiento IA sobre la evidencia

    Cada hallazgo pasa por un analizador LLM (agente IA) que cruza la evidencia textual con la base regulatoria curada. Produce severidad calibrada, cita normativa específica y recomendación accionable, con framing LATAM.

    • LLM analysis
    • regulatory DB
    • framing LATAM
  6. 06

    Compose

    Conclusiones: Reporte regulatorio PDF

    Composición final: hallazgos ordenados por severidad y categoría, resumen ejecutivo, anexo metodológico con referencias normativas. Listo para mostrar a tu equipo legal o a tu agencia.

    • WeasyPrint
    • PDF
    • priorización

02 / Motor

Lo que hay detrás de cada hallazgo

Tres pilares que separan un screening serio de un linter de compliance cualquiera.

Detectores

89 sobre 6 áreas

Cada detector vive como código mantenido y testeado contra fixtures reales: banner que setea cookies pre-consent, política sin base legal declarada, denominación que choca con una IG europea, declaración de accesibilidad ausente, headers HTTP sin HSTS, cross-ref contra padrón AFIP o RASFF.

  • RGPD + ePrivacy
  • EAA / WCAG 2.1 AA
  • Indicaciones Geográficas Mercosur-UE
  • Seguridad técnica + cross-refs UE
  • Cumplimiento histórico Wayback
  • Supply-chain pack (próximo)

Base regulatoria

Curada in-house

No es una API genérica de compliance. La base la mantenemos nosotros: registro eAmbrosia de IGs UE, articulado de las directivas y reglamentos vigentes, mapeos WCAG → EN 301 549, jurisprudencia EDPB relevante, padrones públicos (AFIP, RASFF, Safety Gate). Se actualiza cuando cambia la norma, no cuando lo decide un proveedor externo.

  • 3.442+ IGs UE (eAmbrosia)
  • EN 301 549 v3.2.1
  • EDPB Guidelines
  • Framing LATAM

Análisis

Razonado, no pass/fail

Cada hallazgo lleva severidad calibrada (alto / medio / bajo), evidencia textual exacta del sitio con URL y selector, cita normativa con número de artículo, y recomendación accionable redactada para que la agarre tu abogado o tu agencia sin traducción adicional.

  • Severidad calibrada
  • Evidencia con cita
  • Recomendación priorizada

03 / Output

Cómo se ve un hallazgo

Cada uno de los hallazgos del reporte tiene esta estructura: severidad, evidencia textual con cita, norma específica y recomendación accionable.

AltoEPRI-021·ePrivacy y cookies

Trackers analíticos (Google Analytics, Hotjar, etc.) no deben cargarse antes del consentimiento del usuario, salvo configuraciones server-side anonimizadas.

Cómo se detectó

Inspeccionamos las peticiones de red previas al banner de consentimiento. Detectamos 1 tracker analítico de terceros activándose sin consentimiento ni exención server-side anonimizada.

network_request capturado en carga inicial: https://fonts.gstatic.com/s/montserrat/v25/JTUSjIg1_i6t8kCHKm459WlhyyTh89Y.woff2

Riesgo real

Google Analytics no está exento de consentimiento en la mayoría de los países de la UE. Múltiples DPA —Austria (2022), Francia (2022), Italia (2022), Dinamarca (2022)— han declarado ilegal su uso sin consentimiento explícito por las transferencias de datos IP a servidores en EE.UU.

Hasta €20 millones o el 4% de la facturación anual global — Autoridad de Protección de Datos del Estado miembro (DPA)

Precedente

Sitio de medios austríaco (anónimo) · DSB (Austria) · 2022

Primera resolución europea declarando el uso de Google Analytics ilegal bajo RGPD por transferencia de datos a EE.UU. sin base legal. Sin multa monetaria, pero con orden de cese inmediato. Creó precedente para el resto de la UE.

Norma
ePrivacy · Art. 5(3) — Consentimiento previo para cookies y trackers

Recomendación

Diferir las analíticas hasta el consentimiento del usuario, o usar una implementación anonimizada y server-side conforme a la doctrina AEPD/CNIL.

04 / Alcance

Qué vemos, qué no vemos

El crawler decide qué páginas son relevantes — sitemap, footer, formularios, política, claims comerciales. No hay un techo arbitrario; hay un criterio sobre qué entra al screening.

Sí vemos

  • Páginas internas relevantes (sitemap, navegación, footer)
  • Política de privacidad, términos, declaración de accesibilidad
  • Banner de cookies y trackers que disparan pre-consent
  • Formularios visibles y los campos que recolectan
  • Texto comercial: descripciones, claims, denominaciones
  • Violaciones WCAG 2.1 AA detectables vía axe-core
  • Headers HTTP y respuesta del servidor

No vemos

  • Backend, base de datos, ROPA
  • Contratos con proveedores (DPAs)
  • Áreas autenticadas (no usamos credenciales)
  • Cadena de suministro física
  • Etiquetas de productos físicos (Phase B con OCR)
  • Redes sociales (Phase C)

Nuestro alcance termina en lo que ve un visitante europeo. Lo que está detrás se valida con tu equipo legal — y eso lo decimos en cada reporte.

¿Listo para ver dónde estás parado?

El primer informe se entrega en 24-48 horas hábiles. Sin credenciales, sin instalar nada, sin interrumpir a nadie.