Se ha establecido dos niveles de Auditoria:
- Informe de situación, donde se interlocuta con responsables de actividades o departamentos, para verificar la llevanza de procedimiento o detectar nuevos tratamientos o contratación de servicios con terceros (que accedan o traten datos)
- Auditoria, además de lo incluido en el informe de situación, verificación de implementación de medidas en los usuarios finales (empleados que acceden o tratan datos) y presentación de cuestionarios y requerimiento de información a los terceros (proveedores de servicios como encargados de tratamiento) con el objeto de consolidar las obligaciones que se recogen en los contratos de encargado de tratamiento, y con la finalidad de derivar responsabilidades a terceros ante una incidencia, brecha de seguridad, proceso de sancionador y similares.