La auditoría de seguridad es obligatoria cada 2 años para todas las personas físicas y/o jurídicas que posean ficheros de datos personales con nivel de seguridad medio (infracciones administrativas, penales, morosidad, etc) o alto (salud, ideología, religión, sexualidad, raza, etc). En ella se comprueba el correcto cumplimiento de las medidas de seguridad implantadas acorde al RGPD y la LOPD y se elabora el Informe de Medidas Correctoras y Recomendaciones de Seguridad. No obstante, cualquier organización puede llevar a cabo una auditoría de protección de datos en cualquier momento para verificar su nivel de cumplimiento de la normativa vigente en materia de protección de datos.
No pasar la auditoría de protección de datos, cuando se está legalmente obligado a ello, constituye una infracción grave tipificada en el artículo 44.3.h) de la LOPD, sancionable con multa de 40.001 a 300.000 euros.