Cumplimiento

Auditoría RGPD: metodología completa 2026

Metodología completa de auditoría RGPD: fases, herramientas, entregables y plan de remediación. Guía operativa con plantillas y plazos.

TD
Dr. Thiébaut Devergranne
23 de mayo de 20266 min read

En una frase. Una auditoría RGPD útil combina revisión documental, entrevistas a responsables, pruebas técnicas y verificación in situ, produciendo un informe accionable con prioridades y plan de remediación en un plazo de 4-8 semanas según tamaño.

Puntos clave

  • Una auditoría RGPD eficaz tiene cuatro fases: planificación, recogida, análisis, informe y plan de remediación.
  • Profundidad recomendada: revisión documental + 8-15 entrevistas + 5-10 pruebas técnicas.
  • Duración típica: 4 semanas (pyme), 8 semanas (mediana), 12+ semanas (grupo).
  • Coste medio en España: 5.000-15.000 EUR (pyme), 15.000-40.000 EUR (mediana), 40.000+ EUR (grupo).
  • Frecuencia recomendada: auditoría completa cada 24 meses; revisión anual ligera; auditoría tras cambios significativos.

1. Por qué auditar el cumplimiento RGPD

El artículo 24 del RGPD impone el principio de responsabilidad proactiva: el responsable debe demostrar el cumplimiento. La auditoría es la herramienta que materializa esta demostración: identifica brechas, prioriza riesgos, alimenta el plan de mejora y constituye prueba ante la AEPD.

La AEPD ha valorado la existencia de auditorías documentadas como atenuante en numerosos procedimientos sancionadores. En ausencia de auditoría, la organización se expone a inspecciones sin red de seguridad.

2. Tipos de auditoría RGPD

Tipo Objetivo Quién
Inicial / diagnóstico Establecer línea base Consultor externo
Periódica Mantener cumplimiento Externo o DPO
Específica Tratamiento o área concreta DPO o experto
Pre-inspección Anticipar fiscalización AEPD Externo experto
Post-incidente Análisis tras brecha Externo independiente
Due diligence M&A, integración Externo

3. Marco de referencia para auditar

  • RGPD: principios, derechos, obligaciones, transferencias.
  • LOPDGDD: especificidades nacionales, derechos digitales.
  • Guías AEPD: sectoriales y temáticas.
  • Directrices CEPD: criterios europeos.
  • ISO/IEC 27701: estándar internacional alineado.
  • Esquema de certificación europea EuroPriSe.

El criterio de auditoría debe ser explícito y declarado en el informe.

4. Fase 1: planificación

Actividades:

  • Definir alcance: entidad, sedes, procesos, sistemas, países.
  • Designar interlocutores: DPO, responsable IT, responsable legal, RR. HH., marketing.
  • Solicitar documentación inicial: registro de actividades, política de privacidad, contratos de encargado, protocolo de brechas, formación.
  • Acordar calendario y planificar entrevistas.
  • Identificar tratamientos críticos para inspección detallada.

Entregable: plan de auditoría firmado por dirección.

5. Fase 2: recogida de evidencias

Tres líneas paralelas:

Revisión documental. Análisis de registro de actividades, política de privacidad, política de cookies, contratos con encargados, EIPDs, protocolos, formación, evidencia de consentimientos.

Entrevistas. Habitualmente 8-15 entrevistas estructuradas con DPO, IT, RR. HH., marketing, comercial, atención al cliente, financiero, seguridad. Duración 45-90 minutos cada una.

Pruebas técnicas. Verificación de banner de cookies, análisis del CMP, pruebas de derechos del interesado (acceso, supresión), revisión de logs de acceso, verificación de cifrado en bases de datos, prueba de borrado seguro, verificación de copias de seguridad.

6. Fase 3: análisis y evaluación

Cada hallazgo debe documentarse con:

  • Descripción del hecho.
  • Norma o criterio incumplido.
  • Riesgo asociado (probabilidad x impacto).
  • Recomendación.
  • Prioridad (crítica, alta, media, baja).
  • Plazo sugerido.
  • Responsable interno.

Matriz de riesgos típica: 4 niveles de probabilidad x 4 niveles de impacto = 16 cuadrantes. Hallazgos en las 4 cuadrantes críticos exigen acción inmediata.

7. Áreas de control mínimas

Área Puntos clave
Gobernanza DPO, comité, políticas
Registro actividades Completo, actualizado, firmado
Bases jurídicas Identificadas por finalidad
Información Política completa y accesible
Consentimientos Granular, registrado, retirable
Derechos Procedimiento, plazos, evidencia
Encargados Contratos vigentes, cláusulas correctas
Transferencias Garantías documentadas
Brechas Protocolo, simulacros, registro
EIPD Realizadas cuando procede
Seguridad Medidas técnicas y organizativas
Formación Plan, ejecución, evidencia
Conservación Plazos definidos y aplicados
Cookies Banner conforme Guía AEPD
RR. HH. Derechos digitales art. 87-90 LOPDGDD

8. Pruebas operativas concretas

Ejemplos de pruebas eficaces:

  • Enviar solicitud de acceso desde correo externo y medir respuesta.
  • Solicitar supresión a marketing y verificar eliminación efectiva.
  • Comprobar carga de cookies antes de consentimiento.
  • Acceder al sistema con un perfil bajo y verificar segregación.
  • Simular fuga de USB con datos.
  • Pedir contrato art. 28 a un proveedor reciente.
  • Verificar último simulacro de brecha.

9. Fase 4: informe y plan de remediación

Estructura del informe:

  1. Resumen ejecutivo (1-2 páginas).
  2. Alcance y metodología.
  3. Marco normativo aplicado.
  4. Resumen de hallazgos por área.
  5. Detalle de cada hallazgo.
  6. Plan de remediación priorizado.
  7. Anexos: documentación analizada, entrevistas, pruebas.

El plan de remediación debe definir hitos a 30, 60, 90 días y 6-12 meses, con responsable nominado y presupuesto estimado por línea.

10. Seguimiento de la remediación

Una auditoría sin seguimiento es coste sin retorno. Recomendaciones:

  • Revisión a 3 meses: 50% de acciones críticas cerradas.
  • Revisión a 6 meses: 80% de acciones cerradas.
  • Re-auditoría parcial a 12 meses sobre áreas críticas.
  • Re-auditoría completa cada 24 meses.

El DPO o comité de privacidad debe llevar tablero de seguimiento documentado.

11. Errores frecuentes en auditorías RGPD

  • Alcance demasiado amplio que dispersa el esfuerzo.
  • Falta de acceso real a sistemas e información (auditoría sobre papel).
  • Hallazgos sin priorización clara.
  • Recomendaciones genéricas no accionables.
  • Informe que no llega al órgano de dirección.
  • Ausencia de plan de remediación con responsables.
  • No verificar cierre efectivo de hallazgos.
  • Confundir auditoría RGPD con auditoría de seguridad (son complementarias).

12. Cuándo recurrir a auditor externo

Razones para auditor externo:

  • Independencia frente a la organización auditada.
  • Especialización y benchmarking sectorial.
  • Recursos y metodología establecidos.
  • Mayor valor probatorio ante AEPD.
  • Detección de sesgos internos.

Razones para auditor interno (DPO o equipo):

  • Conocimiento profundo de procesos.
  • Coste reducido.
  • Continuidad en seguimiento.
  • Auditorías periódicas ligeras.

Modelo ideal: auditoría externa cada 24 meses + revisión interna anual + revisión específica tras cambios. Combinar con checklist RGPD operativo y herramientas como Facilita RGPD de la AEPD para pymes.

FAQ

¿Cuánto cuesta una auditoría RGPD en España?

Entre 5.000 EUR (pyme básica) y 60.000+ EUR (grupo multinacional). La mediana en pymes españolas se sitúa en torno a 8.000-12.000 EUR.

¿Cuánto tiempo dura una auditoría?

Entre 4 semanas (pyme con un único proceso principal) y 12+ semanas (organizaciones complejas con múltiples sedes y sistemas).

¿La auditoría es obligatoria?

No directamente. El RGPD exige demostrar cumplimiento, y la auditoría es la forma más reconocida. Algunos sectores regulados (banca, sanidad) la imponen vía supervisor.

¿Quién puede realizar la auditoría?

Cualquier consultor con experiencia RGPD reconocida. La AEPD no acredita auditores, pero certificaciones DPO (UNE 0066), ISO 27001 Lead Auditor o EuroPriSe aportan credibilidad.

¿La auditoría protege ante una sanción AEPD?

No exime, pero es atenuante reconocido si demuestra revisión seria reciente y plan de remediación en ejecución. Auditorías formales sin seguimiento real no aportan defensa.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →