Resolución de la AEPD sobre la responsabilidad de los auditores de cuentas

Tal y como ha confirmado la Agencia Española de Protección de Datos (AEPD), los auditores de cuentas y las Sociedades de auditoría actúan como responsables del tratamiento de los datos de la entidad auditada. Así pues, se resuelve la principal duda que surgía entre los auditores de si eran responsables o encargados del tratamiento de los datos.

La condición de Responsable del Tratamiento de datos se fundamenta en el imperativo legal que faculta al auditor como una figura autónoma respecto la entidad que lo contrata y que no recibe directrices del cliente. Hay que tener en cuenta que la AEPD no establece ninguna diferencia entre las auditorías voluntarias o por imperativo legal.

Por tanto, en el contrato de prestación de servicios que firman el auditor y la empresa o entidad auditada debe constar que el auditor es el responsable así como también se debe prever el deber de diligencia, que existe una cláusula de confidencialidad de los datos y que se pretende utilizar el mínimo de datos posible ajustadas a la finalidad de la actividad empresarial.