Según la AEPD, los auditores de cuentas y sociedades de auditoría son responsables del tratamiento de los datos

La AEPD ha resuelto la consulta planteada por parte de los auditores de cuentas y sociedades de auditoría respecto a determinar si estos actúan como encargados del tratamiento de la entidad auditada o como responsables. La interpretación de la autoridad supone un cambio de paradigma en la línea seguida hasta el momento por parte de la gran mayoría de expertos en la materia, los cuales sostenían que los auditores eran encargados del tratamiento y no responsables del tratamiento. En base a la reciente decisión de la AEPD pero se concluye que los auditores de cuentas y las sociedades de auditoría actúan como responsables del tratamiento. El criterio definidor de la condición de responsable del tratamiento se fundamenta en el imperativo legal que faculta al auditor como figura independiente, no sometida a posibles instrucciones de su cliente. Por el momento, la AEPD no ha entrado a valorar ni a diferenciar si la auditoría externa se realiza por obligación legal o, si ésta se lleva a cabo de forma potestativa por parte de la entidad.

Como consecuencias prácticas, indicar a las Entidades que no se debe firmar un contrato de encargo de tratamiento, si no que en el contrato de prestación de servicios con el auditor debe identificarse al auditor como responsable del tratamiento, prever una cláusula de confidencialidad de los datos, minimización de los datos ajustada a la finalidad de la actividad y deber de diligencia.