Las auditorías en materia de protección de datos son obligatorias cuando se recogen y tratan datos de nivel medio y/o alto, y se realizan con la finalidad de verificar el cumplimiento de las medidas de seguridad.

Deben de hacerse al menos cada dos años, y de manera extraordinaria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

Esta obligatoriedad viene regulada en los artículo 96 y 110 del Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal.

Las auditorías de protección de datos pueden ser internas o externas, es decir, realizada por personal propio de la organización o a través de la contratación de empresas consultoras externas, como PRODATASUR.

Tras la auditoría se elabora el preceptivo informe de auditoría que deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá igualmente incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

El informe de auditoría será analizado por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o en su caso, de las autoridades de control de las Comunidades Autónomas.