El Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, aprobado mediante RD 994/1999, de 11 de junio, establece en su artículo 17 la necesidad de someter a los sistemas de información e instalaciones de tratamiento de datos a una auditoría, interna o externa, que verifique el cumplimiento de lo establecido en el Reglamento. La Comunidad de Madrid, a través del Consejo de Administración de la Agencia de Informática y Comunicaciones de la Comunidad de Madrid (ente público dependiente de la Consejería de Hacienda de la Comunidad de Madrid), en adelante ICM, determinó la necesidad de realizar una auditoría externa de seguridad en materia de protección de datos de carácter personal con objeto de evaluar las medidas de seguridad, técnicas y organizativas, implantadas en diferentes Centros Directivos de la Comunidad.
