Art. 77

1.   Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes this Regulation.

2.   The supervisory authority with which the complaint has been lodged shall inform the complainant on the progress and the outcome of the complaint including the possibility of a judicial remedy pursuant to Article 78.

Art. 28

(…)

4. Each supervisory authority shall hear claims lodged by any person, or by an association representing that person, concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.

Each supervisory authority shall, in particular, hear claims for checks on the lawfulness of data processing lodged by any person when the national provisions adopted pursuant to Article 13 of this Directive apply. The person shall at any rate be informed that a check has taken place.

Disposición adicional vigésima tercera. Modelos de presentación de reclamaciones.

La Agencia Española de Protección de Datos podrá establecer modelos de presentación de reclamaciones ante la misma en todos los ámbitos en los que ésta tenga competencia, que serán de uso obligatorio para los interesados independientemente de que estén obligados o no a relacionarse electrónicamente con las administraciones públicas.

Los modelos serán publicados en el ''Boletín Oficial del Estado'' y en la Sede Electrónica de la Agencia Española de Protección de Datos y serán de obligado cumplimiento al mes de su publicación en el ''Boletín Oficial del Estado''.»

Artículo 63. Régimen jurídico.

1. Las disposiciones de este Título serán de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como en los que aquella investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y en la presente ley orgánica.

2. Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.

3. El Gobierno regulará por real decreto los procedimientos que tramite la Agencia Española de Protección de Datos al amparo de este Título, asegurando en todo caso los derechos de defensa y audiencia de los interesados.

Artículo 64. Forma de iniciación del procedimiento y duración.

1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica.

En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.

2. Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la presente ley orgánica, se iniciará mediante acuerdo de inicio, adoptado por propia iniciativa o como consecuencia de reclamación, que le será notificado al interesado.

Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, esta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo 65 de esta ley orgánica.

Admitida a trámite la reclamación, así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 67 de esta ley orgánica.

El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones.

3. Cuando así proceda en atención a la naturaleza de los hechos y teniendo debidamente en cuenta los criterios establecidos en el artículo 83.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, la Agencia Española de Protección de Datos, previa audiencia al responsable o encargado del tratamiento, podrá dirigir un apercibimiento, así como ordenar al responsable o encargado del tratamiento que adopten las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos de una determinada manera y dentro del plazo especificado.

El procedimiento tendrá una duración máxima de seis meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones.

Será de aplicación en este caso lo dispuesto en los párrafos segundo y tercero del apartado 2 de este artículo.

4. El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Será en este caso de aplicación lo dispuesto en los apartados 1, 2 y 3 de este artículo.

5. Los plazos de tramitación establecidos en este artículo así como los de admisión a trámite regulados por el artículo 65.5 y de duración de las actuaciones previas de investigación previstos en el artículo 67.2, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

6. El transcurso de los plazos de tramitación a los que se refiere el apartado anterior se podrá suspender, mediante resolución motivada, cuando resulte indispensable recabar información de un órgano jurisdiccional.

Artículo 65. Admisión a trámite de las reclamaciones.

1. Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo.

2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos personales, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción.

3. Igualmente, la Agencia Española de Protección de Datos podrá inadmitir la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia Española de Protección de Datos, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:

a) Que no se haya causado perjuicio al afectado en el caso de las infracciones previstas en el artículo 74 de esta ley orgánica.

b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.

4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento, al organismo de supervisión establecido para la aplicación de los códigos de conducta o al organismo que asuma las funciones de resolución extrajudicial de conflictos a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.

La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación en el plazo de un mes.

Si como consecuencia de dichas actuaciones de remisión, el responsable o encargado del tratamiento demuestra haber adoptado medidas para el cumplimiento de la normativa aplicable, la Agencia Española de Protección de Datos podrá inadmitir a trámite la reclamación.

5. La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses. Si transcurrido este plazo no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este título a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos, sin perjuicio de la facultad de la Agencia de archivar posteriormente y de forma expresa la reclamación.

En el supuesto de que la Agencia Española de Protección de Datos actúe como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 64.4 de esta ley orgánica, el cómputo del plazo señalado en el párrafo anterior se iniciará una vez que se reciba en la Agencia toda la documentación necesaria para su tramitación.

Cuando los hechos de una reclamación relativa a la posible existencia en el ámbito competencial de la Agencia, guarden identidad sustancial con los que sean objeto de unas actuaciones previas de investigación o de un procedimiento sancionador ya iniciado, en la notificación de la decisión de admisión a trámite se podrá indicar el número de expediente correspondiente a las actuaciones previas o al procedimiento correspondiente, así como de la dirección web en la que se publicará la resolución que ponga fin al mismo, a efectos de que el reclamante pueda conocer el curso y resultado de la investigación.

6. Tras la admisión a trámite, si el responsable o encargado del tratamiento demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable, la Agencia Española de Protección de Datos podrá resolver el archivo de la reclamación, cuando en el caso concreto concurran circunstancias que aconsejen la adopción de otras soluciones más moderadas o alternativas a la acción correctiva, siempre que no se hayan iniciado actuaciones previas de investigación o alguno de los procedimientos regulados en esta ley orgánica.

Artículo 67. Actuaciones previas de investigación.

1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

La Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un tráfico masivo de datos personales.

2. Las actuaciones previas de investigación se someterán a lo dispuesto en la sección 2.ª del capítulo I del título VII de esta ley orgánica y no podrán tener una duración superior a dieciocho meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia Española de Protección de Datos actúe por propia iniciativa.

Artículo 68. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.

1. Concluidas, en su caso, las actuaciones a las que se refiere el artículo anterior, corresponderá a la Presidencia de la Agencia Española de Protección de Datos, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera podido cometerse y su posible sanción.

2. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someterá a lo dispuesto en el mismo.

Artículo 69. Medidas provisionales y de garantía de los derechos.

1. Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

2. En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos personales, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos personales, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, en caso de incumplirse por estos dichos mandatos, proceder a su inmovilización.

3. Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.

---

Twenty-third additional provision. Standard forms for the submission of complaints.

The Spanish Data Protection Agency may establish standard forms for the submission of complaints within all areas falling under its competence. Such forms shall be mandatory for data subjects, regardless of whether they are required to interact electronically with public administrations.

These standard forms shall be published in the Official State Gazette and on the electronic headquarters of the Spanish Data Protection Agency and shall become binding one month after their publication in the Official State Gazette.

Article 63. Legal Regime.

1. The provisions of this Title shall apply to the procedures processed by the Spanish Data Protection Agency in cases in which a data subject claims that his or her request to exercise the rights recognized in Articles 15 to 22 of Regulation (EU) 2016/679 has not been met, as well as in cases in which the Agency investigates the existence of a possible infringement of the provisions of the aforementioned regulation and of this Organic Law.

2. The procedures processed by the Spanish Data Protection Agency shall be governed by the provisions of Regulation (EU) 2016/679, in this Organic Law, by the regulatory provisions issued in its development and, insofar as they do not contradict them, subsidiarily, by the general rules on administrative procedures.

3. The Government shall regulate by Royal Decree the procedures processed by the Spanish Data Protection Agency under this Title, ensuring in all cases the rights of defense and hearing of the interested parties.

Article 64. Form of initiation of the procedure and duration.

1. When the procedure refers exclusively to the lack of attention to a request for the exercise of the rights set forth in Articles 15 to 22 of Regulation (EU) 2016/679, it shall be initiated by an agreement to admit for processing, which shall be adopted in accordance with the provisions of Article 65 of this Organic Law.

In this case, the term to resolve the procedure shall be six months from the date on which the claimant was notified of the decision to admit the claim for processing. Once this period has elapsed, the interested party may consider the claim to have been upheld.

2. When the purpose of the procedure is to determine the possible existence of an infringement of the provisions of Regulation (EU) 2016/679 and of this Organic Law, it shall be initiated by an agreement to initiate the procedure adopted on its own initiative or as a result of a complaint.

If the procedure is based on a complaint filed with the Spanish Data Protection Agency, the latter shall decide on its admission for processing, in accordance with the provisions of Article 65 of this Organic Law.

Where the rules set out in Article 60 of Regulation (EU) 2016/679 apply, the procedure shall be initiated by the adoption of the draft agreement of the initiation of the sanctioning procedure, of which the interested party shall be formally notified for the purposes set forth in Article 75 of this Organic Law.

Once the complaint has been admitted for processing, as well as in those cases in which the Spanish Data Protection Agency acts on its own initiative, prior to the initiation agreement, there may be a phase of preliminary investigation proceedings, which shall be governed by the provisions of Article 67 of this Organic Law.

The procedure will have a maximum duration of nine months from the date of the initiation agreement or, as the case may be, of the draft initiation agreement. Once this period has elapsed, the procedure will expire and, consequently, the proceedings will be filed.

3. The procedure may also be processed as a result of the communication to the Spanish Data Protection Agency by the supervisory authority of another Member State of the European Union of the complaint made before the same, when the Spanish Data Protection Agency had the status of lead supervisory authority for the processing of a procedure in accordance with the provisions of Articles 56 and 60 of Regulation (EU) 2016/679. The provisions of paragraph 1 and the first, third, fourth and fifth subparagraphs of paragraph 2 shall apply in this case.

4. The processing periods established in this article as well as those for admission for processing regulated by article 65.5 and the duration of the preliminary investigation proceedings provided for in article 67.2, shall be automatically suspended when information, consultation, request for assistance or mandatory pronouncement of a body or agency of the European Union or of one or more supervisory authorities of the Member States must be sought in accordance with the provisions of Regulation (EU) 2016/679, for the time between the request and the notification of the pronouncement to the Spanish Data Protection Agency.

Article 65. Admission of claims.

1. When a complaint is submitted to the Spanish Data Protection Agency, the latter shall evaluate its admissibility for processing, in accordance with the provisions of this article.

2. The Spanish Data Protection Agency will not admit the complaints submitted when they do not deal with personal data protection issues, are manifestly unfounded, are abusive or do not provide rational indications of the existence of an infringement.

3. Likewise, the Spanish Data Protection Agency may reject the claim when the data controller or data processor, following a warning issued by the Spanish Data Protection Agency, has adopted corrective measures aimed at putting an end to the possible breach of data protection legislation and any of the following circumstances apply:

a) That no harm has been caused to the affected party in the case of the infractions provided for in Article 74 of this Organic Law.

b) That the right of the affected party is fully guaranteed by the application of the measures.

4. Before deciding on the admissibility of the complaint, the Spanish Data Protection Agency may refer the same to the data protection officer who had, where appropriate, designated the controller or processor or to the supervisory body established for the implementation of codes of conduct for the purposes provided in Articles 37 and 38.2 of this Organic Law.

The Spanish Data Protection Agency may also refer the complaint to the data controller or processor when a data protection officer has not been appointed or has not adhered to out-of-court dispute resolution mechanisms, in which case the controller or processor must respond to the complaint within one month.

5. The decision on the admission or rejection of the claim, as well as the decision determining, if applicable, the referral of the claim to the main supervisory authority deemed competent, shall be notified to the claimant within a period of three months. If this period has elapsed without such notification, it shall be understood that the processing of the complaint continues in accordance with the provisions of this Title as from the date on which three months have elapsed since the complaint was received by the Spanish Data Protection Agency.

Article 67. Preliminary investigative actions.

1. Prior to the adoption of the resolution to initiate the procedure, and once the complaint has been admitted for processing, if any, the Spanish Data Protection Agency may carry out preliminary investigation actions in order to achieve a better determination of the facts and circumstances that justify the processing of the procedure.

The Spanish Data Protection Agency will act in any case when it is necessary to investigate processing operations involving massive traffic of personal data.

2. Preliminary investigation proceedings shall be subject to the provisions of Section 2 of Chapter I, Chapter I of Title VII of this Organic Law and may not have a duration of more than one year.

The Spanish Data Protection Agency acts on its own initiative or as a consequence of the communication sent to it by the supervisory authority of another Member State of the European Union, in accordance with Article 64.3 of this Organic Law, when the Spanish Data Protection Agency acts on its own initiative or as a consequence of the communication sent to it by the supervisory authority of another Member State of the European Union.

Article 68. Agreement to initiate the procedure for the exercise of the sanctioning power.

1. Once the proceedings referred to in the preceding article have been concluded, where appropriate, the Presidency of the Spanish Data Protection Agency shall be responsible for issuing a resolution to initiate proceedings for the exercise of the sanctioning authority, in which the facts, the identification of the person or entity against whom the proceedings are directed, the infringement that may have been committed and the possible sanction thereof shall be specified.

2. When the Spanish Data Protection Agency holds the status of lead supervisory authority and the procedure provided for in Article 60 of Regulation (EU) 2016/679 must be followed, the draft agreement to initiate the sanctioning procedure shall be subject to the provisions thereof.

Article 69. Provisional measures and measures of guarantee of rights.

1. During the performance of the preliminary investigation actions or the initiation of a procedure for the exercise of the sanctioning power, the Spanish Data Protection Agency may agree, with reasons, the necessary and proportionate provisional measures to safeguard the fundamental right to data protection and, in particular, those provided for in Article 66.1 of Regulation (EU) 2016/679, the precautionary blocking of the data and the immediate obligation to comply with the requested right.

2. In cases where the Spanish Data Protection Agency considers that the continued processing of personal data, their communication or international transfer would entail a serious undermining of the right to the protection of personal data, it may order data controllers or processors to block the data and cease their processing and, in the event of non-compliance with such orders, to immobilize them.

3. When a complaint has been filed with the Spanish Data Protection Agency that refers, among other issues, to the failure to comply with the rights established in Articles 15 to 22 of Regulation (EU) 2016/679 in due time, the Spanish Data Protection Agency may agree at any time, even prior to the initiation of the procedure for the exercise of the sanctioning power, by means of a reasoned resolution and after hearing the data controller, the obligation to comply with the right requested, continuing the procedure with respect to the rest of the issues that are the subject of the complaint.

Art. 31

§ 1er. Sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, la Commission examine les plaintes signées et dates qui lui sont adressées. Ces plaintes peuvent avoir trait à sa mission de protection de la vie privée à l'égard des traitements de données à caractère personnel ou à d'autres missions qui lui sont confiées par la loi

§ 2. La procédure est réglée par le règlement d'ordre intérieur. Celui-ci prévoit l'exercice d'un droit de défense.

§ 3. La Commission examine la recevabilité de la plainte. Si la plainte est recevable, la Commission accomplit toute mission de médiation qu'elle juge utile. En cas de conciliation des parties, fondée sur le respect de la vie privée, elle dresse un procès-verbal dans lequel la solution retenue est explicitée. En l'absence de conciliation, la Commission émet un avis sur la caractère fondé de la plainte. Son avis peut être accompagné de recommandations à l'intention du (responsable du traitement).

§ 4. Les décisions, avis et recommandations de la Commission sont motivés.

§ 5. La Commission communique sa décision, son avis ou ses recommandations au plaignant, au (responsable du traitement) et à toutes les autres parties à la cause.

Une copie de la décision, de l'avis des recommandations est adressée au Ministre de la Justice.