ESQUEMA DE CERTIFICACIÓN DE PERSONAS

AUDITOR DE SISTEMAS DE PROTECCIÓN DE DATOS DEL RGPD (v1)

(RESUMEN)

NOTA IMPORTANTE: la obtención del certificado no garantiza que se cumplan los requisitos del cliente de la auditoria.

Competencias reconocidas

Gestión de programas de auditoria y planificación y ejecución de auditorias de acuerdo con el RGPD y demás legislación relacionada.

Requisitos de acceso al examen

Disponer del certificado de Delegado de Protección de Datos bajo el esquema AEPD-DPD otorgado por una entidad de certificación reconocida por la AEPD.

No obstante, si un interesado no dispone del certificado de DPD y su intención es obtenerlo, podrá solicitar el acceso al examen acreditando que cumple con los prerrequisitos indicados en el esquema AEPD-DPD: 2, 3 ó 5 años de experiencia, diploma de curso reconocido de 60, 100 ó 180 horas en función de los años de experiencia acreditados o, en su defecto, inscripción en un curso reconocido.

En caso de aprobar el examen de auditor, la obtención de la certificación bajo este esquema estará supeditada a la presentación del certificado de DPD en un plazo máximo de 1 año desde la fecha de examen. Transcurrido dicho plazo sin haberlo obtenido, no se podrá emitir el certificado de auditor.

Si un candidato dispone de certificado de auditor (certificado de personas bajo ISO 17024 o IRCA) en base a la ISO 19011 emitido por una entidad reconocida, quedará eximido de realizar la primera parte del examen. Deberá aportar copia del certificado de personas vigente junto con la solicitud.

También se podrá eximir de la realización de la primera parte del examen a aquellos candidatos que dispongan de experiencia previa en auditorias, debiendo acreditar 12 días de experiencia en auditorías realizadas según la norma ISO 19011 a sistemas de la gestión basados en las normas: ISO 9000, ISO 17000, ISO 14001, ISO 27001, etc., así como referenciales similares reconocidos internacionalmente.

Examen

El examen versará sobre cualquier aspecto de la metodología de las auditorías según la norma ISO 19011:2018 y de la norma de muestreo ISO 2859-2 o de sus equivalentes.

No se realizará ninguna pregunta teórica directa sobre el RGPD, legislación relacionada, sobre el Esquema Nacional de Seguridad, la norma ISO 27001 u otros sistemas de seguridad de la información. Esto no implica que, en la segunda parte del examen, las preguntas no puedan tener vinculación o referencias a la legislación en protección de datos; por lo que el candidato necesita conocer la normativa, las materias objeto de evaluación en el certificado de DPD según el esquema de certificación de personas de la AEPD-DPD y, en todo caso, sobre la metodología de las auditorias y normas de muestreo.

El examen constará de dos partes:

Parte 1:

Examen teórico tipo test sobre metodología de las auditorías según la norma ISO 19011:2018, de 10 preguntas con 3 respuestas alternativas; sólo una de las respuestas será válida. Las preguntas falladas no restarán.

El examen de la parte 1 será on-line. IVAC le convocará a una fecha y hora concreta, con una anterioridad aproximada de 15 días a la fecha de examen de parte 2, proporcionándole un link para la realización del examen. No se podrá disponer de ningún tipo de material de apoyo para la realización de esta primera parte del examen.

Se deberán acertar 7 de las 10 preguntas para pasar a la realización de la parte 2.

Duración de la prueba: 15 minutos.

Tendrá derecho a repetir esta primera parte cuando se convoque a la siguiente convocatoria anual o posteriores, a elección del candidato. IVAC podrá excepcionalmente convocar la prueba on-line en otro momento.

Parte 2:

Examen teórico-práctico de 10 preguntas que pueden ser de escenario (planteamiento de una situación contestando a las cuestiones que se susciten), de simulación (juicio de valor ante evidencias que se presenten) o de desarrollo de un aspecto de las materias objeto de examen.

El examen de la parte 2 será presencial (sede oficial: Madrid; con posibilidad de otras sedes según demanda), y se realizará de manera manuscrita.

Se podrá disponer de cualquier material de apoyo, tanto en papel como en soporte electrónico, para la realización de esta segunda parte del examen. IVAC no garantiza el acceso de internet durante el examen. Todo material de apoyo, así como tabletas, ordenadores portátiles, etc. que se pretendan utilizar, los debe llevar el examinando al lugar del examen.

Cada pregunta puntuará 10 puntos, debiendo obtenerse un mínimo de 75 puntos para aprobar. Faltas ortográficas, gramaticales y letra difícilmente legible (*), podrán restar hasta 10 puntos.

Duración de la prueba: 150 minutos (2,5 horas).

Si no se supera esta segunda fase, se guardará la nota del primer examen en caso de haberlo superado para una sola segunda convocatoria. En caso de suspender en segunda convocatoria se deberá realizar nuevamente la totalidad del examen (parte 1 y parte 2).

(*) letra ilegible, podrá lleva a la imposibilidad de corregir el examen.

Materias objeto de examen

Parte 1:

    • ISO 19011:2018
      • Introducción
      • Objeto y campo de aplicación
      • Términos y definiciones
      • Principios de auditoria
      • Gestión de un programa de auditoría
      • Realización de una auditoría
      • Competencia y evaluación de los auditores
      • Orientación adicional destinada a los auditores que planifican y realizan las auditorias

Parte 2:

    • Metodología de auditoría en base a la ISO 19011 y su aplicación práctica:
      • Conceptos prácticos, principios y tipos de auditoría según el cliente.
      • El equipo auditor. Funciones y responsabilidades. Cualificación de los auditores. Supervisión de la competencia de los auditores.
      • Gestión de los programas de auditoría.
      • Fases de una auditoría: planificación, ejecución y cierre.
      • Técnicas específicas para la recogida de evidencias en la auditoría: entrevistas, muestreo.
      • Determinación de hallazgos de auditoría. Inconformidades: clasificación, redacción.
      • El informe de auditoría.
      • Actuaciones posteriores a la entrega del informe de auditoría. El plan de acciones correctivas.
    • Metodologías de muestreo en auditorías y su aplicación práctica: ISO 2859-2 o equivalentes.
    • Otras materias relacionadas:
      • Reglamento General de Protección de Datos.
      • Esquema Nacional de Seguridad.
      • Norma ISO 27001.
      • Materias objeto de evaluación en el certificado de Delegado de Protección de Datos según el esquema AEPD-DPD.

Derechos de examen

350 € (IVA no incluido)

Los DPD certificados por IVAC contarán con un 10% de descuento.

Los derechos de examen permitirán concurrir a dos convocatorias de las dos partes del examen.

Vigencia del certificado

El certificado tendrá una vigencia de tres años.

La fecha de expiración del certificado estará, en todo caso, vinculada a la fecha de realización del examen, también para el caso de presentar evidencias del certificado de DPD en el plazo máximo de 1 año desde la realización del examen de auditor.

Renovación

La renovación se emitirá previa acreditación de experiencia en auditorías de protección de datos (al menos haber realizado 12 auditorías en materia de protección de datos en el periodo de los tres años).

 

Puede consultar aquí detalle de próximas convocatorias.