La auditoría bianual de medidas de seguridad existía con el Real Decreto 994/1999 y sigue existiendo en 1720/2007 que desarrolla la LOPD.

Si tienes tratamientos de datos de carácter personal correspondientes a los niveles medio o alto de seguridad, los sistemas de información que tratan (valga la redundancia) esos tratamientos deben someterse a una auditoría externa o interna. Asimismo, si antes de ese plazo los sistemas de información se modifican sustancialmente y ello repercute en las medidas de seguridad a implantar, debe hacerse una nueva auditría, contando desde la finalización de ésta el plazo citado de 2 años.

El informe de auditoría debe estar a disposición de la Agencia Española de Protección de Datos.

Saludos.