El Real Decreto 1720/2007, de conformidad con lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos establece que, al menos cada dos años, las entidades jurídicas deberán someter sus sistemas de información e instalaciones de tratamiento y almacenamiento de datos, a una auditoría interna o externa, que verifique el grado de cumplimiento,con respecto a la normativa de Protección de Datos. Además siempre que las entidades jurídicas experimenten modificaciones o cambios sustanciales en sus sistemas de información y que repercutan en el sistema de tratamiento de datos personales, esta auditoría deberá realizarse con carácter extraordinario, para verificar la adaptación, adecuación y eficacia de las medidas de seguridad implantadas.