Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
La Decisión (PESC) 2019/797 del Consejo y el Reglamento (UE) 2019/796 establecen el marco legal para la imposición de medidas restrictivas por parte de la Unión Europea contra personas físicas, jurídicas, entidades u organismos responsables de cíberataques que amenacen a la Unión o a sus Estados miembros.
Estas normas permiten a la UE responder de manera coordinada y eficaz ante cíberataques relevantes: infraestructuras críticas, instituciones, economía, o servicios públicos que afecten a sistemas de información, datos, o comunicaciones, incluyendo el acceso no autorizado, la intromisión, la alteración o la interceptación de datos, especialmente cuando se trate de sistemas relacionados con la seguridad, defensa, servicios esenciales, almacenamiento de información clasificada, o equipos de respuesta de emergencia.
Las medidas restrictivas tienen un carácter preventivo y disuasorio, y pueden incluir congelación de activos, prohibición de poner fondos o recursos económicos a disposición de las personas o entidades sancionadas, restricciones de viaje.
El anuncio dirigido a los interesados afectados por las medidas restrictivas conforme a la Decisión (PESC) 2019/797 y el Reglamento (UE) 2019/796 es establecer una marco que permita a la UE de responder de manera coordinada y efectiva a los cíberataques utilizando una herramienta clave en la estrategia de la UE para proteger su ciberespacio, reforzar la resiliencia y disuadir futuros ataques. Estas medidas forman parte de una política más amplia de seguridad y defensa frente a amenazas híbridas y cibernéticas, y su aplicación es directa y vinculante en todos los Estados miembros.
A fin de acceder a normas similares y estándares europeos, las empresas,
organizaciones públicas y privados interesados en asesorías, consultorías,
capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse
comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
______________________________________
 | Diario Oficial | ES Serie C |
C/2025/2792 | 16.5.2025 |
Anuncio a la atención de los interesados a los que se aplican las medidas restrictivas establecidas en la Decisión (PESC) 2019/797 del Consejo y en el Reglamento (UE) 2019/796 del Consejo, relativos a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros
(C/2025/2792)
Con arreglo al artículo 16 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (1), se pone en conocimiento de los interesados la siguiente información:
Las bases jurídicas para esta operación de tratamiento de datos son la Decisión (PESC) 2019/797 del Consejo (2), modificada por la Decisión (PESC) 2025/887 del Consejo (3), y el Reglamento (UE) 2019/796 del Consejo (4), aplicado por el Reglamento de Ejecución (UE) 2025/886 del Consejo (5), relativos a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros.
El responsable de esta operación de tratamiento de datos es el Consejo de la Unión Europea, representado por el director general de la Dirección General de Relaciones Exteriores (RELEX) de la Secretaría General del Consejo, y el servicio que se ocupa de la operación de tratamiento de datos es RELEX.1, con el que se puede contactar en la siguiente dirección:
Consejo de la Unión Europea Secretaría General |
RELEX.1 |
Rue de la Loi/Wetstraat 175 |
1048 Bruxelles/Brussel |
BELGIQUE/BELGIË |
Correo electrónico: sanctions@consilium.europa.eu |
Puede contactarse con la delegada de protección de datos del Consejo en la siguiente dirección:
Delegada de protección de datos data.protection@consilium.europa.eu
La finalidad de la operación de tratamiento es el establecimiento y la actualización de la lista de personas sujetas a medidas restrictivas de conformidad con lo dispuesto en la Decisión (PESC) 2019/797, modificada por la Decisión (PESC) 2025/887, y en el Reglamento (UE) 2019/796, aplicado por el Reglamento de Ejecución (UE) 2025/886.
Los interesados son las personas físicas que cumplen los criterios de inclusión en la lista establecidos en la Decisión (PESC) 2019/797 y en el Reglamento (UE) 2019/796.
Entre los datos personales recogidos se incluyen los necesarios para la correcta identificación de la persona de que se trate, la exposición de motivos y cualquier otro dato relacionado con los motivos que justifican su inclusión en la lista.
Las bases jurídicas para el tratamiento de datos personales son las Decisiones del Consejo adoptadas en virtud del artículo 29 del TUE y los Reglamentos del Consejo adoptados en virtud del artículo 215 del TFUE por los que se designan a personas físicas (interesados) y se imponen la inmovilización de bienes y las restricciones de viaje.
El tratamiento es necesario para el cumplimiento de una función realizada en interés público de conformidad con el artículo 5, apartado 1, letra a), y para el cumplimiento de una obligación legal establecida en los citados actos jurídicos aplicable al responsable del tratamiento de conformidad con el artículo 5, apartado 1, letra b), del Reglamento (UE) 2018/1725.
El tratamiento es necesario por razones de un interés público esencial de conformidad con el artículo 10, apartado 2, letra g), del Reglamento (UE) 2018/1725.
El Consejo puede obtener de los Estados miembros o del Servicio Europeo de Acción Exterior datos personales de los interesados. Los destinatarios de los datos personales son los Estados miembros, la Comisión Europea y el Servicio Europeo de Acción Exterior.
Todos los datos personales tratados por el Consejo en el marco de medidas restrictivas autónomas de la UE se conservarán durante cinco años a partir del momento en que el interesado haya dejado de figurar en la lista de personas sujetas a la inmovilización de bienes o en que haya expirado la validez de la medida o, si se ha interpuesto una acción judicial ante el Tribunal de Justicia, hasta que se haya dictado sentencia firme. Los datos personales que figuran en documentos registrados por el Consejo se conservan en el Consejo con fines de archivo en interés público, en el sentido del artículo 4, apartado 1, letra e), del Reglamento (UE) 2018/1725.
Es posible que el Consejo tenga que intercambiar con un tercer país o una organización internacional datos personales relativos a un interesado, en el marco de la transposición por el Consejo de las designaciones de las Naciones Unidas o en el marco de la cooperación internacional en lo referente a la política de medidas restrictivas de la UE.
A falta de una decisión de adecuación o de garantías adecuadas, la transferencia de datos personales a un tercer país o una organización internacional se basará en la o las condiciones siguientes, en virtud al artículo 50 del Reglamento (UE) 2018/1725:
— | que la transferencia sea necesaria por razones importantes de interés público; |
— | que la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones. |
En el tratamiento de los datos personales del interesado no interviene ninguna toma de decisiones automatizada.
El interesado tiene derecho a recibir información y a acceder a sus datos personales. También tiene derecho a corregir y completar sus datos. En determinadas circunstancias, puede tener derecho a que se supriman sus datos personales, a oponerse al tratamiento de sus datos personales o a solicitar que dicho tratamiento se limite.
El interesado puede ejercer estos derechos enviando un correo electrónico al responsable del tratamiento con copia a la delegada de protección de datos, tal como se indica supra.
El interesado debe adjuntar a su solicitud una copia de un documento de identificación para confirmar su identidad (documento de identidad o pasaporte). En dicho documento deben figurar un número de identificación, el país de emisión, el período de validez, su nombre y apellidos, su dirección y su fecha de nacimiento. Cualquier otro dato que figure en la copia del documento de identificación, como una foto o toda característica personal, puede ser tachado.
El interesado tiene derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos de conformidad con el Reglamento (UE) 2018/1725 (edps@edps.europa.eu).
Antes de proceder a ello, se recomienda al interesado que intente primero obtener reparación poniéndose en contacto con el responsable del tratamiento o la delegada de protección de datos del Consejo.
(1) DO L 295 de 21.11.2018, p. 39.
(2) DO L 129 I de 17.5.2019, p. 13.
(3) DO L, 2025/887, 13.5.2024, ELI: http://data.europa.eu/eli/dec/2025/887/oj.
(4) DO L 129 I de 17.05.2019, p. 1.
(5) DO L, 2025/886, 13.5.2024, ELI: http://data.europa.eu/eli/reg_impl/2025/886/oj.
ELI: http://data.europa.eu/eli/C/2025/2792/oj
ISSN 1977-0928 (electronic edition)
