FAQ – LA AUDITORÍA

5. LA AUDITORÍA

5.1 ¿Quién debe realizar la auditoría?

El responsable del fichero o tratamiento deberá realizar una auditoría cuando disponga de ficheros o tratamientos a los que se apliquen medidas de seguridad de nivel medio o alto.

5.2 ¿Cuando habrá de realizarse la auditoría?

La auditoría deberá realizarse cada dos años y con carácter extraordinario siempre que se realicen modificaciones sustanciales en el sistema de información que pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

5.3 ¿En qué consiste la auditoría?

La auditoría deberá dictaminar sobre la adecuación a la normativa vigente de las medidas y controles aplicados a los sistemas de información e instalaciones de tratamiento y almacenamiento, identificando en su caso las deficiencias y proponiendo las medidas correctoras o complementarias necesarias; deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

La auditoría puede ser llevada a cabo por personal interno, perteneciente al responsable del fichero o tratamiento, o externo, contratado a tal efecto. El responsable de seguridad analizará el informe de auditoría y elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas. Dicho informe no ha de ser remitido a la AGPD pero sí debe estar a su disposición.