Un auditor contratado por una empresa ¿es un encargado del tratamiento o un responsable del tratamiento? ¿Qué tipo de contrato es necesario para regular la relación?

Cuando una empresa necesita la participación de un proveedor para realizar un determinado trabajo que requiere el acceso a datos personales, la regla general es que, dado que el cliente es quien determina los fines y medios del tratamiento, el proveedor debe ser considerado encargado del tratamiento.

Ahora bien. Hay ciertas excepciones: Aquellas en las que la actuación del proveedor está sometida a alguna ley que le obliga a hacerse responsable de los datos.

Un auditor puede recibir el encargo de realizar un procedimiento de comprobación, definido por la empresa, y con un alcance exclusivamente interno. En ese caso sí debería firmar un contrato de Encargado.

Pero si el auditor va a realizar una auditoría de cuentas, que tenga validez frente a terceros, su actuación está sujeta a la Ley 22/2015 de Auditoría de Cuentas.
Esta ley, por ejemplo, en su artículo 30, establece el deber de custodia de los papeles de trabajo del auditor, que constituyan las pruebas, durante cinco años.

En cambio, si se tratase de un encargado del tratamiento, la empresa que contrata al auditor podría pedirle en cualquier momento la entrega o la destrucción de la documentación que obrase en su poder. Es por ello que cuando el encargo consiste en una auditoría de cuentas, sometida a la Ley 22/2015 de Auditoría de Cuentas, el auditor es Responsable del tratamiento y no encargado.