seguritecnia 409

72 SEGURITECNIA Junio 2014 de destrucción definitiva de datos y ausen- cia de obligación de ubicación de datos en el territorio de la Unión Europea. Resulta un error que los legisladores tasen listados de medidas de seguri- dad, pues pronto quedarán obsoletas, amén de posibles omisiones y errores en su definición. La seguridad es una cuestión en constante evolución, dada la rapidez del cambio tecnológico y las nuevas amenazas. Aun así, en España sí que tenemos tasado el nivel de seguridad aplicable a los datos de tráfico y localización en el Real Decreto 1720/2007 y las órde- nes ITC/313/2010 e ITC/682/2010, que establecen medidas concretas de se- guridad aplicables a la conservación y cesión de los datos retenidos. Incluso habiéndolas cumplido todas, en caso de problemas de autenticidad, confi- dencialidad, integridad o disponibili- dad, los operadores podrán ser sancio- nados por encontrarse ante una obli- gación de resultado. La destrucción definitiva de los da- tos personales está regulada mediante el principio de calidad de datos de la Directiva 95/46/CE y, más en concreto, por la cancelación de datos que exige sean borrados definitivamente o, en su caso, hechos inaccesibles mediante di- sociación de datos. En la Directiva 95/46/CE se establece un mecanismo de control sobre las transferencias internacionales, con- forme al que los operadores que tras- ladasen datos fuera del territorio de la Unión Europea, o países considerados puerto seguro, permanecen someti- dos al control de las autoridades com- petentes nacionales en materia de pro- tección de datos personales. S se movía el usuario o incluso la altitud a la que estaba. b) Ausencia de un criterio objetivo que permita delimitar el acceso de las autori- dades nacionales competentes a los da- tos y su posterior utilización con fines de prevención, detección o enjuiciamiento de delitos, control jurisdiccional o de or- ganismo administrativo competente y de resolución motivada. En nuestro Derecho, así como en el del resto de estados miembros de la Unión Europea, encontramos una re- serva jurisdiccional para la injerencia en los derechos fundamentales de los sujetos con ocasión de la investiga- ción de delitos graves, además de que se exijan una previsión legal autoriza- dora, resolución motivada y respeto del principio de proporcionalidad. Los jueces son los más indicados para re- solver los conflictos entre derechos fundamentales y el interés general en la prevención, investigación y enjuicia- miento de delitos graves. c) Periodo de conservación de datos . El TJUE parece no entender, u obviar, que todos los tipos de datos de trá- fico relacionados con unos hechos de- lictivos han de ser considerados en su conjunto, pues de lo contrario se esta- ría limitando su eficacia en la investiga- ción. No obstante, se podía haber limi- tado el plazo a seis meses, dejando la consideración de su ampliación a la re- visión del marco jurídico establecido prevista por la propia Directiva. d) Falta de seguridad y protección de datos personales, posibilidad de considerar cues- tiones económicas al determinar el nivel de seguridad que aplicar, inexistente garantía profesional, todos los medios de comuni- cación electrónica y todos los datos rela- tivos al tráfico sin que se establezca nin- guna diferenciación, limitación o excep- ción en función del objetivo de lucha contra los delitos graves . La investigación de delitos informáti- cos conlleva serias dificultades, puesto que las evidencias electrónicas son vo- látiles y efímeras y, además, pueden mediar técnicas de anonimización , in- cidiendo todo ello en un alto grado de impunidad. No ha de obviarse que las pruebas sobre delitos informáticos se suelen consolidar por la suma de indicios su- ficientes obtenidos durante la inves- tigación, no ya sólo en forma de evi- dencias electrónicas, sino también de pruebas físicas como huellas, ADN, do- cumentación en papel, declaraciones testificales… La interceptación de las comunica- ciones podrá, aunque muy residual- mente, contribuir al esclarecimiento de hechos delictivos pasados; por otro lado, la preservación de datos de trá- fico y localización pueden excepcio- nalmente arrojar luz sobre hechos pa- sados. Por su parte, la retención de da- tos es más efectiva con respecto a los delitos ya cometidos. Existen medios de comunicación adicionales no incluidos en el alcance de la retención de datos, tales como vi- deoconferencia, mensajería instantá- nea, mensajes cerrados de diverso tipo en redes sociales, comunicaciones en redes privadas como universidades o empresas, acceso a Internet en ciber- cafés, etc. Los datos retenidos están orienta- dos a la identificación del qué (hechos delictivos), el cómo (actos ilícitos), por quién (los autores, cooperadores…), el cuándo (fecha y hora) y el dónde (lu- gar concreto de comisión de los he- chos o de efecto del daño causado), es decir, las cuestiones básicas en toda in- vestigación, que han de ser conside- radas conjunta y no individualmente. Además, existen otros datos de tráfico adicionales como la intensidad de la señal, la dirección, la velocidad en que Esta sentencia destaca que la Directiva 2006/24/CE establece una excepción al régimen de protección del derecho al respeto de la vida privada y a la de datos personales Convergencia en Seguridad