ESQUEMA DE CERTIFICACIÓN DE PERSONAS

AUDITOR DE SISTEMAS DE PROTECCIÓN DE DATOS DEL RGPD (v0)

(RESUMEN)

NOTA IMPORTANTE: la obtención del certificado no garantiza que se cumplan los requisitos del cliente de la auditoria.

Competencias reconocidas

Gestión de programas de auditoria y planificación y ejecución de auditorias de acuerdo con el RGPD y demás legislación relacionada.

Requisitos de acceso al examen

Disponer del certificado de Delegado de Protección de Datos bajo el esquema AEPD-DPD otorgado por una entidad de certificación reconocida por la AEPD.

No obstante, si un interesado no dispone del certificado de DPD y su intención es obtenerlo, podrá solicitar el acceso al examen acreditando que cumple con los prerrequisitos indicados en el esquema AEPD-DPD: 2, 3 ó 5 años de experiencia, diploma de curso reconocido de 60, 100 ó 180 horas en función de los años de experiencia acreditados o, en su defecto, inscripción en un curso reconocido.

En caso de aprobar el examen de auditor, la obtención de la certificación bajo este esquema estará supeditada a la presentación del certificado de DPD en un plazo máximo de 1 año desde la fecha de examen. Transcurrido dicho plazo sin haberlo obtenido, no se podrá emitir el certificado de auditor.

Si un candidato dispone de certificado de auditor (certificado de personas) en base a la ISO 19011 emitido por una entidad reconocida, quedará eximido de realizar la primera parte del examen. Deberá aportar copia del certificado de personas vigente junto con la solicitud.

También se podrá eximir de la realización de la primera parte del examen a aquellos candidatos que dispongan de experiencia previa en auditorias, debiendo acreditar 12 días de experiencia en auditorías realizadas según la norma ISO 19011 a sistemas de la gestión basados en las normas: ISO 9000, ISO 17000, ISO 14001, ISO 27001, etc., así como referenciales similares reconocidos internacionalmente.

Examen

El examen versará sobre cualquier aspecto de la metodología de las auditorías según la norma ISO 19011:2018 y de la norma de muestreo ISO 2859-2 o de sus equivalentes.

No se realizará ninguna pregunta teórica directa sobre el RGPD, sobre el Esquema Nacional de Seguridad y demás legislación relacionada o sobre la norma ISO 27001. Esto no implica que, en la segunda parte del examen, las preguntas no puedan tener vinculación o referencias a la legislación en protección de datos; por lo que el candidato necesita conocer la normativa, las materias objeto de evaluación en el certificado de DPD según el esquema de certificación de personas de la AEPD-DPD y, en todo caso, sobre la metodología de las auditorias y normas de muestreo.

El examen constará de dos partes:

Parte 1:

Examen teórico tipo test sobre metodología de las auditorías según la norma ISO 19011:2018, de 10 preguntas con 3 respuestas alternativas; sólo una de ellas será válida. Las preguntas falladas no restarán. No se podrá disponer de ningún tipo de material de apoyo para la realización de esta primera parte del examen.

Se deberán acertar 7 de las 10 preguntas para pasar a la corrección de la parte 2.

Duración de la prueba: 15 minutos.

Parte 2:

Examen teórico-práctico de 10 preguntas que pueden ser de escenario (planteamiento de una situación contestando a las cuestiones que se susciten), de simulación (juicio de valor ante evidencias que se presenten) o de desarrollo de un aspecto de las materias objeto de examen. Se podrá disponer de cualquier material de apoyo, tanto en papel como en soporte electrónico, para la realización de esta segunda parte del examen. IVAC no garantiza el acceso de internet durante el examen.

Cada pregunta puntuará 10 puntos, debiendo obtenerse un mínimo de 75 puntos para aprobar.

Duración de la prueba: 150 minutos (2,5 horas).

Si no se supera esta segunda fase, se guardará la nota del primer examen en caso de haberlo superado para una sola segunda convocatoria. En caso de suspender en segunda convocatoria se deberá realizar nuevamente la totalidad del examen (parte 1 y parte 2).

Entre la primera y la segunda parte del examen habrá 15 minutos de descanso.

Materias objeto de examen

Parte 1:

    • ISO 19011:2018
      • Introducción
      • Objeto y campo de aplicación
      • Términos y definiciones
      • Principios de auditoria
      • Gestión de un programa de auditoría
      • Realización de una auditoría
      • Competencia y evaluación de los auditores
      • Orientación adicional destinada a los auditores que planifican y realizan las auditorias

Parte 2:

    • Metodología de auditoría en base a la ISO 19011 y su aplicación práctica:
      • Conceptos prácticos, principios y tipos de auditoría según el cliente.
      • El equipo auditor. Funciones y responsabilidades. Cualificación de los auditores. Supervisión de la competencia de los auditores.
      • Gestión de los programas de auditoría.
      • Fases de una auditoría: planificación, ejecución y cierre.
      • Técnicas específicas para la recogida de evidencias en la auditoría: entrevistas, muestreo.
      • Determinación de hallazgos de auditoría. Inconformidades: clasificación, redacción.
      • El informe de auditoría.
      • Actuaciones posteriores a la entrega del informe de auditoría. El plan de acciones correctivas.
    • Metodologías de muestreo en auditorías y su aplicación práctica: ISO 2859-2 o equivalentes.
    • Otras materias relacionadas:
      • Reglamento General de Protección de Datos.
      • Esquema Nacional de Seguridad.
      • Norma ISO 27001.
      • Materias objeto de evaluación en el certificado de Delegado de Protección de Datos según el esquema AEPD-DPD.

Derechos de examen

350 € (IVA no incluido)

Los DPD certificados por IVAC contarán con un 10% de descuento.

Los derechos de examen permitirán concurrir a dos convocatorias.

Vigencia del certificado

El certificado tendrá una vigencia de tres años.

La fecha de expiración del certificado estará, en todo caso, vinculada a la fecha de realización del examen, también para el caso de presentar evidencias del certificado de DPD en el plazo máximo de 1 año desde la realización del examen de auditor.

Renovación

La renovación se emitirá previa acreditación de experiencia en auditorías de protección de datos (al menos haber realizado 12 auditorías en materia de protección de datos en el periodo de los tres años).