Segons l’AEPD, els auditors de comptes i societats d’auditoria són responsables del tractament de les dades

L’AEPD ha resolt la consulta plantejada per part dels auditors de comptes i societats d’auditoria respecte a determinar si aquests actuen com a encarregats del tractament de l’entitat auditada o com a responsables. La interpretació de l’autoritat suposa un canvi de paradigma en la línia seguida fins al moment per part de la gran majoria d’experts en la matèria, els quals sostenien que els auditors eren encarregats del tractament i no pas responsables del tractament. En base a la recent decisió de l’AEPD però es conclou que els auditors de comptes i les societats d’auditoria actuen com a responsables del tractament. El criteri definidor de la condició de responsable del tractament es fonamenta en l’imperatiu legal que faculta a l’auditor com a figura independent, no sotmesa a possibles instruccions del seu client.  Pel moment, l’AEPD no ha entrat a valorar ni a diferenciar si l’auditoria externa es realitza per obligació legal o, si aquesta es duu a terme de forma potestativa per part de l’entitat.

Com a conseqüències pràctiques, indicar a les Entitats que no s’ha de signar un contracte d’encàrrec de tractament, si no que en el contracte de prestació de serveis amb l’auditor s’ha d’identificar a l’auditor com a responsable del tractament, preveure una clàusula de confidencialitat de les dades, minimització de les dades ajustada a la finalitat de l’activitat i deure de diligència.