La Superintendencia de Protección de Datos Personales, mediante la Resolución Nro. SPDP‑SPD‑2026‑0021‑R, reformó el Reglamento para la elaboración y aprobación del Plan Anual de Auditorías (PAA), con el objetivo de estructurar de forma más técnica y eficiente los procesos de control sobre el tratamiento de datos personales.
Las auditorías constituyen una herramienta fundamental para verificar el cumplimiento de la normativa por parte de responsables y encargados del tratamiento, en ejercicio de las facultades de control de la SPDP.
La reforma introduce un sistema de selección basado en criterios objetivos de riesgo, tales como:
- impacto del tratamiento en los derechos de los titulares;
- volumen y sensibilidad de los datos;
- número y gravedad de denuncias;
- uso de tecnologías;
- y vulnerabilidad de los titulares.
Esto permite orientar las auditorías hacia los sectores con mayor exposición al riesgo.
La normativa define de forma detallada las etapas del proceso:
| Proceso |
| 1. Inicio formal mediante acto administrativo |
| 2. Reunión inicial e identificación de la información requerida |
| 3. Elaboración de un informe preliminar |
| 4. Fase de descargos por parte del auditado |
| 5. Emisión de un informe final con conclusiones y medidas correctivas |
| 6. Y eventual inicio de un procedimiento sancionador |
Este esquema consolida un procedimiento técnico y garantista.
Medidas correctivas y cierre del proceso
En caso de detectarse incumplimientos, la SPDP podrá disponer medidas correctivas y conceder un plazo para su cumplimiento. Solo si estas no se ejecutan, se iniciará un procedimiento sancionador. Esto refleja un enfoque progresivo de control, que prioriza la corrección antes que la sanción.
Transparencia y difusión
La resolución incorpora la figura del boletín informativo de auditorías, como mecanismo de difusión pública de la actividad de control de la SPDP, fortaleciendo la transparencia institucional.
