Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
RESUMEN
La presente Decisión n.º 2/2026 establece el marco interno de la Secretaría General del Consejo (SGC) para aplicar el Reglamento (UE) 2018/1725 – en casos excepcionales y bajo condiciones estrictas – en el tratamiento de los datos personales en el contexto de las medidas restrictivas de la UE, fijando reglas y garantías para limitar, de forma excepcional y documentada, determinados derechos de los interesados (información, acceso, rectificación, supresión, limitación del tratamiento, confidencialidad de las comunicaciones electrónicas y comunicación de brechas de seguridad) cuando su ejercicio ponga en riesgo los fines perseguidos por las medidas restrictivas y sea necesario para la eficacia de las sanciones, prevenir la elusión de seguridad, protección de investigaciones o investigaciones sensibles.
Las limitaciones deben ser necesarias, proporcionadas y basarse en uno de los motivos previstos en el artículo 25 Limitaciones del Reglamento (UE) 2018/1725 (Actos jurídicos adoptados con arreglo a los Tratados o, en cuestiones relacionadas con el funcionamiento de las instituciones y organismos de la Unión; Tratamiento de datos personales con fines de investigación científica o histórica o estadísticos, Seguridad pública, prevención de infracciones, protección de derechos de terceros, …) y aplicarse solo durante el tiempo estrictamente necesario.
La Decisión obliga a documentar cada limitación (motivos, alcance, duración, evaluación de necesidad y proporcionalidad), con registro interno específico, y a conservar esta documentación para permitir el control posterior, incluido por el Supervisor Europeo de Protección de Datos (SEPD). La SGC debe revisar periódicamente las limitaciones impuestas y levantarlas cuando dejen de ser necesarias, garantizando así una reevaluación continua del impacto sobre los derechos de los interesados.
Cuando se limite un derecho, la SGC informará al interesado, en la medida en que ello no frustre la finalidad de la limitación, sobre los motivos principales, la naturaleza de la restricción y su derecho a presentar una reclamación ante el SEPD.
En el caso particular de violaciones de seguridad de los datos, la SGC puede, excepcionalmente, limitar la comunicación de la brecha al interesado, documentando la decisión; del mismo modo, puede limitar el derecho a la confidencialidad de las comunicaciones electrónicas conforme al artículo 36 del Reglamento (UE) 2018/1725, informando al interesado de los motivos principales y de su derecho a reclamar ante el SEPD.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
__________________________________________________________
Diario Oficial
de la Unión Europea
ES
Serie C
C/2026/866
9.2.2026
DECISIÓN N.O 2/2026 DE LA SECRETARIA GENERAL DEL CONSEJO DE LA UNIÓN EUROPEA
de 30 de enero de 2026
por la que se establecen normas de aplicación relativas a la aplicación del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo y a la limitación de los derechos de los interesados a efectos de las medidas restrictivas
(C/2026/866)
LA SECRETARIA GENERAL DEL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 235, apartado 4, y su artículo 240, apartado 2,
Visto el Reglamento (UE) 2018/1725, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,
Visto el dictamen del Supervisor Europeo de Protección de Datos (SEPD), de 13 de junio de 2025, al que se consultó de conformidad con el artículo 41, apartado 2, del Reglamento (UE) 2018/1725,
Considerando lo siguiente:
(1) El Reglamento (UE) 2018/1725 establece los principios y normas aplicables al tratamiento de datos personales por parte de todas las instituciones y organismos de la Unión, así como los derechos de los interesados.
(2) En determinados casos, la Secretaría General del Consejo (SGC) puede verse obligada a conciliar los derechos de los interesados que se establecen en el Reglamento (UE) 2018/1725 con los objetivos de las medidas restrictivas. También podría verse obligada a equilibrar los derechos del interesado frente a los derechos y libertades fundamentales de otros interesados. A tal fin, el artículo 25, apartado 1, del Reglamento (UE) 2018/1725 permite a las instituciones u organismos de la Unión limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, y también del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento. A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados, es necesario adoptar normas internas con arreglo a las cuales la SGC tenga derecho a limitar esos derechos.
(3) El Consejo puede adoptar medidas restrictivas contra personas físicas o jurídicas, grupos o entidades no estatales en el marco de la política exterior y de seguridad común (PESC). El Alto Representante, sobre la base del artículo 29 del Tratado de la Unión Europea (TUE), propone actos jurídicos por los que se establecen medidas restrictivas en lo que respecta a la decisión PESC. Las medidas restrictivas podrán incluir embargos a la exportación de armas y equipos utilizados para la represión interna, prohibiciones de entrada en la Unión a personas incluidas en la lista e inmovilización de activos de personas y entidades incluidas en la lista, así como otras medidas económicas generales, como restricciones a la importación o exportación de determinados bienes o servicios, prohibiciones a la prestación de servicios financieros o de otro tipo y restricciones al acceso a los mercados de capitales. Además, el Alto Representante y la Comisión presentan una propuesta conjunta de Reglamento, basada en el artículo 215 del Tratado de Funcionamiento de la Unión Europea (TFUE), si las medidas restrictivas consisten en restricciones económicas o financieras que deban ser aplicadas directamente por los agentes económicos de la Unión.
(4) La Posición Común 2001/931/PESC del Consejo (2) y el Reglamento (CE) n.o 2580/2001 del Consejo (3) establecen los criterios para la inclusión en la lista de personas, grupos y entidades que intervengan en actos terroristas y que deben ser objeto de medidas restrictivas. La Posición Común 2001/931/PESC y el Reglamento (CE) n.o 2580/2001 también define las acciones que constituyen actos terroristas a estos efectos, así como las medidas restrictivas aplicables. Estas medidas se refieren a la inmovilización de fondos y recursos económicos, así como a medidas relacionadas con la cooperación policial y judicial.
(5) La Decisión (PESC) 2016/1693 del Consejo (4), el Reglamento (CE) n.o 881/2002 del Consejo (5) y el Reglamento (UE) 2016/1686 del Consejo (6) establecen el marco jurídico de la UE para imponer restricciones de viaje a las personas físicas, así como un embargo de armas y una inmovilización de activos contra personas y entidades que hayan sido incluidas en la lista por el Consejo de Seguridad de las Naciones Unidas como asociadas al EIIL (Dáesh) / Al-Qaida.
(6) Al preparar y revisar las medidas restrictivas, los servicios pertinentes de la SGC tratan diferentes tipos de datos personales, entre los que se encuentran nombres (incluidos los alias) y (si se conocen), fecha y lugar de nacimiento, nacionalidad, número de pasaporte y de documento de identidad, sexo, dirección, cargo o profesión, experiencia profesional, educación, intereses comerciales, composición familiar, datos financieros, decisiones administrativas nacionales, condenas penales y acusaciones. También pueden tratarse datos necesarios para la correspondencia, como el nombre, la dirección profesional, el pasaporte y la información profesional de los abogados de la persona. Si ha lugar, también se trata información sobre la pertenencia a organizaciones terroristas. Los servicios pertinentes garantizan que los datos personales que tratan son adecuados, pertinentes y no excesivos en relación con los fines de la preparación de la medida restrictiva. Las personas afectadas por una medida restrictiva deben ser notificadas, bien mediante una comunicación personal si se conoce su dirección, bien mediante un anuncio publicado en el Diario Oficial de la Unión Europea. También se les debe informar del tipo de datos que se están tratando o que se tratarán, cómo se tratarán dichos datos y cuáles son sus derechos a este respecto.
(7) Al preparar y revisar las decisiones de inclusión de personas físicas y jurídicas en la lista, todos los datos personales se comparten con los Estados miembros, la Comisión Europea y el Servicio Europeo de Acción Exterior (SEAE). En el contexto de los procedimientos judiciales, el Consejo también podría invocar elementos de datos personales.
(8) Todos los regímenes de medidas restrictivas están sujetos a una revisión periódica con respecto a los objetivos declarados y la eficacia de las medidas, así como a la luz de la información actualizada y las observaciones recibidas. El proceso de revisión puede implicar un intercambio de correspondencia entre el Consejo y las personas o entidades incluidas en la lista o sus abogados en el que pueden tratarse datos personales (incluida la notificación previa de un proyecto de exposición de motivos, información actualizada, observaciones y solicitudes de exclusión de la lista, y solicitudes de acceso público o privilegiado al expediente).
(9) Durante la preparación y revisión de las medidas restrictivas, los datos personales también pueden tratarse para la comunicación con organizaciones internacionales o regionales y terceros países cuando sea estrictamente necesario, por razones importantes de interés público y para la formulación, el ejercicio o la defensa de acciones judiciales.
(10) Cuando exista un riesgo grave de que la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725 perjudique la eficacia de las medidas restrictivas, puede ser necesario limitar la aplicación de dichos artículos. En dichos casos, es necesario reconciliar los derechos de los interesados en virtud del Reglamento (UE) 2018/1725 y la necesidad de que el Consejo garantice la eficacia de la medida restrictiva. Toda limitación de los derechos de los interesados sujetos a una medida restrictiva debe aplicarse únicamente en determinadas circunstancias y debe ser tratada de manera transparente y proporcionada en lo que se refiere a su alcance y duración.
(11) Es posible que sea necesario proteger el anonimato de fuentes, en cuyo caso podría limitarse el derecho de acceso a la identidad, los testimonios y otros datos personales de dichas personas, dentro de los límites de los derechos de defensa.
(12) La SGC solo debe aplicar limitaciones a los derechos del interesado cuando estas respeten la esencia de los derechos y libertades fundamentales, sean estrictamente necesarias y constituyan una medida proporcionada en una sociedad democrática. La SGC debe exponer las razones que justifiquen dichas restricciones.
(13) De conformidad con el principio de responsabilidad proactiva, el servicio competente de la SGC debe llevar un registro de todas las limitaciones que se apliquen.
(14) El artículo 25, apartado 6, del Reglamento (UE) 2018/1725, establece la obligación de que el responsable del tratamiento informe a los interesados de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el SEPD.
(15) De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, la SGC tiene derecho a aplazar, omitir o denegar la comunicación de información sobre las razones de la aplicación de una limitación al interesado si dicha comunicación dejase de alguna manera sin efecto la limitación. La SGC debe evaluar en cada caso si la comunicación de la limitación puede dejarla sin efecto.
(16) Las limitaciones deben levantarse tan pronto como las condiciones que las justifican dejen de ser aplicables, o cuando mantener esas condiciones vulnere los derechos de defensa. Debe evaluarse de manera periódica la necesidad de adoptar medidas restrictivas.
(17) Debe consultarse de manera oportuna al delegado de protección de datos (DPD) e informarle de toda limitación que deba aplicarse, y este debe tener la posibilidad de formular observaciones sobre la conformidad de dicha limitación con la presente Decisión.
DECIDE:
Artículo 1 Ámbito de aplicación
1. La presente Decisión establece normas relativas a las condiciones en las que la Secretaría General del Consejo (SGC) puede limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, de conformidad con su artículo 25.
2. A efectos de la presente Decisión, se considerará que la SGC es el responsable del tratamiento en el sentido del artículo 3, punto 8, del Reglamento (UE) 2018/1725. La SGC está representada por su secretario general.
Artículo 2 Limitaciones
1. La SGC podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento en las siguientes circunstancias:
a) en virtud del artículo 25, apartado 1, letras a) a d) y letras g) y h), del Reglamento (UE) 2018/1725, cuando el Consejo prepare, adopte y revise medidas restrictivas establecidas en actos jurídicos basados en los artículos 29 del Tratado de la Unión Europea (TUE) y 215 del Tratado de Funcionamiento de la Unión Europea (TFUE); asimismo, en virtud de la Posición Común 2001/931/PESC, el Reglamento (CE) n.o 2580/2001, la Decisión (PESC) 2016/1693, y los Reglamentos (CE) n.o 881/2002 y (UE) 2016/1686 del Consejo;
b) en virtud del artículo 25, apartado 1, letras a) a d), y letras g) y h), del Reglamento (UE) 2018/1725, cuando garantice la posibilidad de que terceros informen confidencialmente sobre hechos que den lugar a la preparación y revisión de las medidas restrictivas establecidas en actos jurídicos basados en el artículo 29 del TUE y el artículo 215 del TFUE; asimismo, en virtud de la Posición Común 2001/931/PESC, el Reglamento (CE) n.o 2580/2001, la Decisión (PESC) 2016/1693, y los Reglamentos (CE) n.o 881/2002 y (UE) 2016/1686 del Consejo;
c) en virtud del artículo 25, apartado 1, letras a) a d) y letras g) y h), del Reglamento (UE) 2018/1725, cuando preste asistencia a las instituciones, órganos u organismos de la Unión, o cuando reciba asistencia de estos, o cuando coopere con ellos en virtud de los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes;
d) en virtud del artículo 25, apartado 1, letras a) a d) y letras g) y h), del Reglamento (UE) 2018/1725, cuando preste asistencia a las autoridades públicas de los Estados miembros, cuando reciba asistencia de dichas autoridades o cuando coopere con ellas, ya sea a petición de estas o por iniciativa propia;
e) en virtud del artículo 25, apartado 1, letras a) a d) y letras g) y h), del Reglamento (UE) 2018/1725, cuando preste asistencia a las autoridades nacionales de terceros países y a organizaciones internacionales o regionales, reciba asistencia de esas autoridades y organizaciones, o cuando coopere con ellas, ya sea a petición de estas o por iniciativa propia; o
f) en virtud del artículo 25, apartado 1, letras e) y h), del Reglamento (UE) 2018/1725, cuando trate datos personales en el contexto de procedimientos administrativos, judiciales o de otro tipo.
Artículo 3 Aplicación de las limitaciones
1. Toda limitación de los derechos y las obligaciones a que se refiere el artículo 2 será necesaria y proporcionada, teniendo en cuenta los riesgos para los derechos y libertades de los interesados.
2. Antes de aplicar alguna de las limitaciones enumeradas en el artículo 2, el servicio competente de la SGC deberá realizar una evaluación de la necesidad y la proporcionalidad. Las limitaciones se ceñirán a lo estrictamente necesario para alcanzar su objetivo.
3. El servicio competente de la SGC consignará los motivos de cualquier limitación aplicada en virtud de la presente Decisión, en particular la evaluación contemplada en el apartado 2 del presente artículo y los motivos con arreglo al artículo 25, apartado 1, del Reglamento (UE) 2018/1725. El servicio competente de la SGC consignará el registro y, si procede, los documentos que contengan elementos subyacentes de hecho y de derecho. Se pondrán a disposición del Supervisor Europeo de Protección de Datos (SEPD), previa solicitud.
Artículo 4 Duración y garantías
1. Las limitaciones contempladas en el artículo 2 seguirán siendo aplicables mientras lo sigan siendo los motivos que las justifiquen.
2. El servicio competente de la SGC revisará la aplicación de las limitaciones a que se refiere el artículo 2 cada doce meses como mínimo, o en una fecha anterior si dejan de existir las razones que las justifican.
3. Las limitaciones se levantarán tan pronto como las razones que las justifican dejen de ser aplicables.
4. Cuando los motivos de cualquier limitación contemplada en el artículo 2 dejen de ser aplicables, la SGC levantará la limitación y comunicará los motivos de la limitación al interesado. Al mismo tiempo, la SGC informará al interesado de la posibilidad de presentar una reclamación ante el SEPD.
5. La SGC aplicará garantías para evitar los abusos o el acceso o la transferencia ilícitos de datos personales que pueden estar sujetos a limitaciones. Estas garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos de la SGC. Estas garantías incluirán:
a) una definición adecuada de las funciones, responsabilidades y etapas del procedimiento;
b) si procede, un entorno electrónico seguro que impida el acceso o la transferencia ilícitos o accidentales de datos electrónicos a personas no autorizadas;
c) cuando proceda, un almacenamiento y tratamiento seguros de los documentos en soporte papel; y
d) la debida supervisión de las limitaciones y la revisión periódica de su aplicación.
Artículo 5 Participación del delegado de protección de datos
1. El servicio competente de la SGC informará al delegado de protección de datos (DPD) cuando concluya que los derechos de un interesado deben limitarse en virtud de la presente Decisión. También facilitará al DPD acceso al registro y a cualquier documento que contenga elementos subyacentes de hecho y de derecho. El servicio competente de la SGC registrará la participación del DPD en la aplicación de las limitaciones, también en lo relativo a la evaluación de la necesidad y proporcionalidad de la limitación.
2. El DPD podrá solicitar que el servicio competente de la SGC revise la aplicación de las limitaciones. El servicio de que se trate informará por escrito al DPD del resultado de la revisión solicitada.
Artículo 6 Información a los interesados
1. La SGC incluirá una sección en la declaración de confidencialidad y en el registro de las actividades de tratamiento publicados en el registro de tratamiento de datos que lleva el DPD en la que se proporcione información general a los interesados sobre la posible limitación de sus derechos en virtud del artículo 2, apartado 1. La información detallará los derechos que puedan ser objeto de limitaciones, los motivos por los que pueden aplicarse limitaciones y su posible duración.
2. Los servicios pertinentes informarán a los interesados, en un formato apropiado, acerca de limitaciones vigentes o futuras de sus derechos. Informarán a los interesados de las razones principales que justifican la aplicación de la limitación, de su derecho a consultar al DPD y de su derecho a presentar una reclamación ante el SEPD.
3. Los servicios competentes podrán aplazar, omitir o denegar la comunicación de información a los interesados a que se refiere el apartado 2 del presente artículo en la medida en que ello anule el efecto de la limitación. La evaluación de la justificación de esta medida se hará caso por caso. Tan pronto como dicha comunicación de información deje de anular el efecto de la limitación, se facilitará la información al interesado.
4. Cuando el servicio competente de la SGC limite, total o parcialmente, la comunicación de información a los interesados a que se refiere el apartado 2 del presente artículo, la SGC consignará y registrará los motivos de la limitación, de conformidad con el artículo 3.
Artículo 7 Comunicación de una violación de la seguridad de los datos personales al interesado
1. Cuando la SGC tenga la obligación de comunicar una violación de la seguridad de los datos en virtud del artículo 35, apartado 1, del Reglamento (UE) 2018/1725, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente, y documentará esta decisión de conformidad con el artículo 3, apartado 3, de la presente Decisión.
2. Cuando los motivos de la limitación dejen de ser aplicables, la SGC comunicará la violación de la seguridad de los datos personales al interesado y le informará de los principales motivos de la limitación y de su derecho a presentar una reclamación ante el SEPD.
Artículo 8 Confidencialidad de las comunicaciones electrónicas
1. En casos excepcionales, la SGC podrá limitar el derecho de confidencialidad de las comunicaciones electrónicas con arreglo al artículo 36 del Reglamento (UE) 2018/1725.
2. Cuando la SGC limite el derecho de confidencialidad de las comunicaciones electrónicas, informará al interesado, en su respuesta a cualquier solicitud procedente de este, de los motivos principales que justifican la aplicación de la limitación y de su derecho a presentar una reclamación ante el SEPD.
3. La SGC podrá aplazar, omitir o denegar la comunicación de información relativa a los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD, durante el tiempo en que ello menoscabe el efecto de la limitación. La evaluación de la justificación de esta medida se hará caso por caso.
Artículo 9 Riesgos para los derechos y libertades de los interesados
1. En una sociedad democrática, cualquier limitación deberá respetar la esencia de los derechos y libertades fundamentales y deberá ser necesaria y proporcionada.
2. Cuando un servicio competente de la SGC a cargo de la preparación o revisión de las medidas restrictivas evalúe la necesidad y la proporcionalidad de una limitación, deberá tener en cuenta los posibles riesgos para los derechos y las libertades del interesado.
3. Ninguna limitación tendrá por efecto impedir que toda persona objeto de medidas restrictivas pueda ejercer su derecho de defensa y, en particular, su derecho a ser oída en el contexto de la revisión de las medidas restrictivas.
Artículo 10 Entrada en vigor
La presente Decisión entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 30 de enero de 2026.
La Secretaria General
Thérèse BLANCHET
(1) DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
(2) Posición Común 2001/931/PESC del Consejo, de 27 de diciembre de 2001, sobre la aplicación de medidas específicas de lucha contra el terrorismo (DO L 344 de 28.12.2001, p. 93, ELI: http://data.europa.eu/eli/compos/2001/931/oj).
(3) Reglamento (CE) n.o 2580/2001 del Consejo, de 27 de diciembre de 2001, sobre medidas restrictivas específicas dirigidas a determinadas personas y entidades con el fin de luchar contra el terrorismo (DO L 344 de 28.12.2001, p. 70, ELI: http://data.europa.eu/eli/reg/2001/2580/oj).
(4) Decisión (PESC) 2016/1693 del Consejo, de 20 de septiembre de 2016, por la que se adoptan medidas restrictivas contra el EIIL (Dáesh) y Al-Qaida y personas, grupos, empresas y entidades asociadas con los mismos, y por la que se deroga la Posición Común 2002/402/PESC (DO L 255 de 21.9.2016, p. 25, ELI: http://data.europa.eu/eli/dec/2016/1693/oj).
(5) Reglamento (CE) n.o 881/2002 del Consejo, de 27 de mayo de 2002, por el que se imponen determinadas medidas restrictivas específicas dirigidas contra determinadas personas y entidades asociadas con las organizaciones EEIL (Daesh) y Al-Qaida (DO L 139 de 29.5.2002, p. 9, ELI: http://data.europa.eu/eli/reg/2001/881/oj).
(6) Reglamento (UE) 2016/1686 del Consejo, de 20 de septiembre de 2016, por el que se imponen medidas restrictivas adicionales dirigidas contra el EIIL (Daesh) y Al Qaida, así como contra personas físicas o jurídicas, entidades u organismos asociados con los mismos (DO L 255 de 21.9.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/1686/oj).
ELI: http://data.europa.eu/eli/C/2026/866/oj
ISSN 1977-0928 (electronic edition)
