El Reglamento General de Protección de Datos (RGPD) establece un marco jurídico uniforme para el tratamiento de datos personales en toda la Unión Europea.

El marco regulatorio del RGPD para auditores

El Reglamento General de Protección de Datos (RGPD) establece un marco jurídico uniforme para el tratamiento de datos personales en toda la Unión Europea. Para los auditores, esto significa que el manejo tradicional de información confidencial del cliente ahora debe cumplir con requisitos específicos de protección de datos que van más allá de las obligaciones profesionales históricas.

Encargado versus responsable del tratamiento


La distinción central bajo el RGPD es si el auditor actúa como encargado o como responsable del tratamiento. Esta clasificación determina las obligaciones legales específicas y el nivel de control sobre los datos personales.
Como auditor externo, generalmente se actúa como encargado del tratamiento cuando:
El cliente (la entidad auditada) sigue siendo el responsable del tratamiento porque determina los fines y medios del procesamiento original. El papel del auditor es procesar estos datos únicamente para los fines específicos de la auditoría, siguiendo las instrucciones documentadas del cliente.
Según el artículo 28.3 del RGPD, como encargado del tratamiento debe procesar los datos personales únicamente siguiendo instrucciones documentadas del responsable, incluidas las relativas a transferencias de datos personales a un tercer país o una organización internacional.

Base jurídica para el tratamiento


La NIA-ES 200.15 establece que el auditor tiene derecho de acceso ilimitado a registros, documentación e información. Sin embargo, bajo el RGPD, este acceso debe tener una base jurídica válida.
Para las auditorías legales, la base jurídica típica es el cumplimiento de una obligación legal (artículo 6.1.c del RGPD). Las empresas sujetas a auditoría legal tienen la obligación de proporcionar acceso completo a sus registros, incluyendo aquellos que contienen datos personales.
Para categorías especiales de datos personales (datos sensibles bajo el artículo 9), se necesita una condición adicional. La más relevante para auditores es el artículo 9.2.f: el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones judiciales.

  • Accede a datos personales de empleados para realizar pruebas de nóminas
  • Revisa contratos que contienen información personal de terceros
  • Examina sistemas que procesan datos de clientes con fines de verificación
  • Obtiene confirmaciones externas que incluyen datos identificativos de personas físicas

Medidas técnicas y organizativas requeridas

El artículo 32 del RGPD exige medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Para los equipos de auditoría, esto se traduce en medidas específicas tanto en la oficina como durante el trabajo de campo.

Protección de datos durante el trabajo de campo


Los papeles de trabajo electrónicos deben estar cifrados tanto en tránsito como en reposo. Esto incluye:
Para los papeles de trabajo físicos, implemente controles de acceso físico:

Gestión de acceso y segregación de funciones


Implemente controles de acceso basados en roles para los archivos de auditoría:

Medidas de pseudonimización


Cuando sea técnicamente factible, pseudonimice los datos personales en los papeles de trabajo:

  • Cifrado de disco completo en todos los portátiles utilizados en el encargo
  • Conexiones VPN seguras cuando se acceda a sistemas del cliente de forma remota
  • Cifrado de archivos individuales para documentos que contienen datos personales
  • Área de trabajo segura en las instalaciones del cliente
  • Almacenamiento nocturno en armarios con cerradura
  • Política de escritorio limpio para documentos que contienen datos personales
  • Los miembros junior del equipo solo acceden a los papeles de trabajo relevantes para sus asignaciones
  • Los socios revisores tienen acceso de solo lectura a datos personales a menos que sea necesario para la revisión
  • Logs de acceso para todos los archivos que contienen datos personales
  • Reemplaza nombres de empleados con códigos identificativos en las pruebas de nóminas
  • Usa números de cliente en lugar de nombres en las pruebas de cuentas por cobrar
  • Mantén un archivo maestro separado (con acceso restringido) para la correspondencia entre códigos y identidades reales

Requisitos contractuales y documentación

El artículo 28 del RGPD exige que el tratamiento por parte de un encargado se rija por un contrato que vincule jurídicamente al encargado respecto del responsable. Para los auditores, esto significa modificar las cartas de encargo estándar para incluir cláusulas específicas de protección de datos.

Cláusulas contractuales obligatorias


La carta de encargo debe incluir las siguientes disposiciones como mínimo:
Objeto y duración del tratamiento: El tratamiento de datos personales se limita a la realización de la auditoría de estados financieros para el período [especificar] de conformidad con las Normas Internacionales de Auditoría adoptadas por España (NIA-ES).
Naturaleza y finalidad del tratamiento: El auditor tratará datos personales únicamente con la finalidad de obtener evidencia de auditoría suficiente y adecuada para expresar una opinión sobre los estados financieros.
Tipos de datos personales: [Especificar categorías - por ejemplo: datos de identificación de empleados, información de nóminas, datos de contacto de clientes y proveedores]
Categorías de interesados: [Especificar - por ejemplo: empleados actuales y anteriores, clientes, proveedores, directivos]
Instrucciones documentadas: El auditor únicamente tratará los datos personales siguiendo las instrucciones documentadas de [nombre del cliente], incluidas las relativas a posibles transferencias de datos a terceros países en caso de revisión por parte de redes internacionales de auditoría.

Subcontratación y transferencias internacionales


Si la firma pertenece a una red internacional que requiere revisiones de calidad, debe abordar las transferencias internacionales de datos:
Para revisiones dentro del EEE: No se requieren garantías adicionales, pero debe documentarse el fundamento en el archivo.
Para revisiones fuera del EEE: Implementa las garantías adecuadas bajo el capítulo V del RGPD:

  • Cláusulas contractuales tipo de la Comisión Europea si el país de destino no tiene decisión de adecuación
  • Evaluación de transferencia bajo los criterios del EDPB si el país presenta riesgos adicionales

Ejemplo práctico: Auditoría de Manufacturas Industriales Mediterráneas S.L.

Manufacturas Industriales Mediterráneas S.L., una empresa manufacturera con sede en Valencia que factura 28 millones de euros anuales, le ha contratado para auditar sus estados financieros del ejercicio 2024. La empresa tiene 150 empleados y mantiene una base de datos de clientes con 2.400 registros.
Paso 1: Clasificación de roles
Documentación en el papel de trabajo A1-RGPD: Manufacturas Industriales Mediterráneas S.L. es el responsable del tratamiento de datos personales de empleados y clientes. Nuestra firma actúa como encargado del tratamiento únicamente para fines de auditoría según art. 28 RGPD.
Paso 2: Identificación de tipos de datos
Durante la planificación, se identifica que se accederá a:
Documentación: Registro de tipos de datos personales a tratar, clasificados por categoría y nivel de riesgo según evaluación RGPD.
Paso 3: aplicación de medidas técnicas
Se configura cifrado AES-256 para todos los archivos de trabajo electrónicos y se establece una VPN dedicada para acceso remoto a los sistemas del cliente.
Documentación: Certificado de aplicación de medidas técnicas conforme art. 32 RGPD, incluyendo evidencia de cifrado y controles de acceso.
Paso 4: Modificación de la carta de encargo
Se añade una sección específica titulada "Tratamiento de datos personales" que incluye todas las cláusulas obligatorias del artículo 28.3, especificando que el tratamiento se limita a obtener evidencia de auditoría bajo las NIA-ES.
Documentación: Carta de encargo firmada con cláusulas RGPD específicas, archivada en sección contractual del expediente.
Paso 5: Procedimientos de retención y eliminación
Se establece un período de retención de 6 años para los papeles de trabajo (conforme a requisitos profesionales) y procedimientos de eliminación segura al final de este período.
Conclusión: El expediente documenta el cumplimiento tanto con NIA-ES 230 (documentación de auditoría) como con obligaciones RGPD, proporcionando evidencia clara de que el manejo de datos personales cumple con ambos marcos normativos.

  • Datos de nóminas de 150 empleados (incluyendo números de cuenta bancaria)
  • Base de datos de clientes con nombres, direcciones y datos de facturación
  • Contratos de alta dirección que incluyen información personal sensible
  • Registros de control de acceso a sistemas con datos identificativos de usuarios

Lista de verificación práctica para el cumplimiento RGPD

  • Modifique la carta de encargo estándar para incluir las cláusulas obligatorias del artículo 28.3 del RGPD, especificando el rol como encargado del tratamiento y las instrucciones documentadas del responsable.
  • Implemente cifrado en todos los dispositivos de auditoría utilizados para almacenar o transmitir papeles de trabajo que contengan datos personales, conforme al artículo 32 del RGPD.
  • Cree un registro de tipos de datos personales que se procesarán durante cada auditoría, clasificándolos por categoría de riesgo y documentando la base jurídica para el tratamiento.
  • Establezca procedimientos de acceso restringido para papeles de trabajo que contengan datos personales, limitando el acceso a miembros del equipo con necesidad legítima de conocimiento.
  • Documente las medidas de transferencia internacional si la firma pertenece a una red que requiere revisiones de calidad fuera del EEE, incluyendo las garantías apropiadas bajo el capítulo V.
  • Lo más importante: la aplicación correcta del RGPD no es opcional para auditores. Es un requisito legal que complementa las obligaciones profesionales de confidencialidad bajo las NIA-ES.

Errores frecuentes en la aplicación

Confundir confidencialidad profesional con protección de datos. La obligación de confidencialidad bajo NIA-ES 220 no exime del cumplimiento de los requisitos específicos del RGPD para encargados del tratamiento.
No documentar las transferencias internacionales. Enviar papeles de trabajo para revisión de calidad a oficinas fuera del EEE sin las garantías apropiadas del capítulo V es una transferencia ilegal bajo el RGPD.
Usar la misma carta de encargo pre-RGPD. Las cartas de encargo anteriores a mayo de 2018 no incluyen las cláusulas contractuales obligatorias del artículo 28, creando una base legal deficiente para el tratamiento de datos personales.
Omitir la pseudonimización cuando es técnicamente viable. Los papeles de trabajo que contienen nombres reales, números de identificación o datos bancarios sin necesidad directa para la evidencia de auditoría incumplen el principio de minimización de datos del artículo 5.1.c del RGPD.

Contenido relacionado

  • Datos personales en auditoría - Definición técnica de datos personales bajo el RGPD y su aplicación específica en el contexto de auditoría financiera.
  • Calculadora de retención de papeles de trabajo - Herramienta para determinar los períodos apropiados de retención de datos considerando tanto requisitos profesionales como obligaciones RGPD.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.