De acuerdo con la normativa vigente en materia de protección de datos personales, en caso de que la auditoría de seguridad se lleve a cabo por una entidad externa a la entidad auditada, aquella no está obligada a conservar la documentación de la auditoría más allá de su entrega al responsable del fichero o tratamiento.