En un contexto donde la digitalización y la dependencia de la tecnología son cada vez más evidentes, el Tribunal Supremo de España ha emitido una sentencia que marca un precedente importante en el ámbito laboral y empresarial. En este fallo, se reconoce que un ciberataque puede ser considerado una causa mayor que justifica la implementación de un Expediente de Regulación Temporal de Empleo (ERTE).
Así lo confirma el Tribunal Supremo ante el caso de Ilunion Contact Center S.A.U., que sufrió un ataque informático a través de un virus llamado «ransoware» y obligó a la compañía a realizar medidas suspensivas y de reducción de la jornada
Contexto de la Sentencia
La decisión del Tribunal Supremo surge en un momento en que las empresas enfrentan un aumento en la frecuencia y sofisticación de los ciberataques. Estos incidentes no solo comprometen la seguridad de la información, sino que también pueden paralizar las operaciones de una empresa, afectando su capacidad para operar de manera normal. Ante esta realidad, muchas organizaciones se han visto obligadas a tomar medidas drásticas, como la suspensión temporal de contratos de trabajo, para poder gestionar la crisis.
Causas Mayores y ERTE
El alto tribunal entiende que la afirmación de que un ataque de ciberseguridad sufrido por una empresa –cuya prestación se desarrolla mediante el uso de sistemas informáticos, software, aplicaciones, etc.– no pueda ser calificado de fuerza mayor, sino en todo caso una causa técnica o productiva, «no es admisible, pues el hecho de que sea previsible un ataque de este tipo en una empresa cuyos medios materiales son esencialmente digitales, como lo son los ordenadores, no lo convierte en evitable».
De igual modo, defiende que tampoco puede cuestionarse la existencia de fuerza mayor por el hecho de que el «suceso» no haya sido uno de los tradicionalmente considerados como tales, es decir, un incendio o un terremoto, ya que el artículo 1.105 del Código Civil (CC) no exige que sea un suceso natural, puede ser de otro tipo, atendida a la realidad social en la que nos hallamos, una sociedad tecnológica, donde los sucesos pueden ser provocados por la acción del hombre.
En ese sentido, la Sala precisa que la principal diferencia entre una causa de fuerza mayor y otra de tipo objetivo técnica «no está en la causalidad natural de la primera y humana en la segunda, sino en el hecho de que la fuerza mayor es un suceso externo, ajeno a la voluntad de la empresa y de carácter extraordinario, y la segunda es una causa introducida, favorecida o exigida por las circunstancias, pero siempre ordinaria y voluntaria».
Tradicionalmente, las causas que justifican un ERTE incluyen situaciones como la fuerza mayor, la crisis económica o la reestructuración empresarial. Sin embargo, la inclusión de un ciberataque en esta lista amplía el marco de lo que se considera una causa mayor. El Tribunal Supremo argumentó que, dado el impacto devastador que un ciberataque puede tener en la operativa de una empresa, es razonable que se le otorgue este estatus.
Hechos probados y conclusiones
Los hechos probados ponen de manifiesto que la empresa había previsto la posibilidad de un ciberataque, ya que disponía de las medidas de seguridad necesarias y suficientes para evitar un ataque de ciberseguridad. Efectivamente, aplicaba una política de seguridad de la información completa y al más alto nivel tecnológico, que le hizo ser merecedora de las certificaciones ISO/IEC 27001 e ISO/IEC 27002. Pese a todo ello, el ciberataque no pudo ser evitado.
Se suspendieron la mayor parte de los servicios que se prestaban a los clientes, quedando con ello sin actividad los empleados vinculados a dichas campañas, ante la imposibilidad de uso de las herramientas informáticas esenciales para el desarrollo de la actividad laboral. Asimismo, se cortó toda posibilidad de tráfico saliente desde la organización a otros posibles servicios, ya que la red se encontraba completamente aislada y se remitieron comunicaciones a los clientes sobre el ciberataque producido y la imposibilidad de prestación de los servicios.
Solo algunos trabajadores podían prestar servicios, pero la mayoría simplemente quedó a disposición de la empresa, siendo que el número de trabajadores incluidos en el ERTE inferior al de los equipos afectados y, muy inferior, también, a la plantilla de la empresa.
Implicaciones para las Empresas
Esta sentencia tiene varias implicaciones significativas:
- Reconocimiento de los riesgos cibernéticos: Este fallo implica que los ciberataques son reconocidos como amenazas reales y externas que, cuando paralizan la actividad de una empresa, justifican la aplicación de un ERTE. Esta decisión puede alentar a las empresas a reforzar sus sistemas de ciberseguridad ya contar con protocolos específicos para afrontar ciberataques
- Protección Legal: Las empresas que sufran un ciberataque ahora tienen un respaldo legal más sólido para justificar la implementación de un ERTE, lo que les permite gestionar mejor la crisis y proteger los empleos en la medida de lo posible.
- Concienciación sobre la Ciberseguridad: La decisión del Tribunal Supremo subraya la importancia de invertir en ciberseguridad. Las empresas deben ser proactivas en la protección de sus sistemas para evitar no solo los ataques, sino también las consecuencias laborales que pueden derivarse de ellos.
- Responsabilidad Empresarial: Las organizaciones deben ser conscientes de su responsabilidad en la protección de los datos y la infraestructura tecnológica. La falta de medidas adecuadas puede no solo resultar en un ciberataque, sino también en cuantiosas pérdidas económicas.
Conclusión
El fallo del Tribunal Supremo representa un avance significativo en la protección de los derechos de las empresas ante ciberataques de gran magnitud. Al reconocer estos eventos como causa de fuerza mayor, se abre la puerta a la aplicación de ERTES como medida para mitigar sus consecuencias negativas. Sin embargo, es crucial recordar que la prevención sigue siendo la mejor estrategia para enfrentar este tipo de amenazas. Las empresas deben invertir en medidas de seguridad sólidas y actualizadas para minimizar el riesgo de sufrir un ciberataque y proteger su continuidad operativa.