El Tribunal Superior de Justicia de Madrid (TSJM) ha dictaminado que el despido de un superadministrador de seguridad de ALSA, acusado de obtener información confidencial de los directivos de la empresa, es improcedente. La sentencia, que ya está generando debate en el ámbito laboral y tecnológico, resalta la importancia de delimitar claramente las funciones de los responsables de seguridad de la información en las organizaciones.
Un despido sin pruebas: el fallo del TSJ
La empresa alegaba que el trabajador accedió de forma indebida a correos electrónicos de directivos y registros del sistema. Sin embargo, el TSJ ha desmontado esta acusación calificándola como «elucubraciones y conjeturas». Según los magistrados, las acciones del empleado se enmarcaron estrictamente en sus responsabilidades como superadministrador, funciones para las que estaba autorizado.
En su resolución, la Sala de lo Social destaca que:
- El trabajador actuó en el ejercicio de sus funciones: Tenía pleno acceso al sistema, incluido el envío y recepción de correos, como parte de sus responsabilidades de seguridad.
- No hubo intención ilícita: No se le atribuye haber filtrado información ni utilizarla para su beneficio personal.
- Falta de pruebas por parte de ALSA: La empresa no pudo demostrar que las consultas realizadas por el empleado violaran protocolo alguno o que se desviaran de sus tareas habituales.
El papel del superadministrador y la importancia de la norma ISO 27001: El fallo subraya que ALSA posee la certificación ISO 27001 desde 2019, renovada en 2022, un estándar que requiere la definición clara de roles y responsabilidades en la gestión de la seguridad de la información. El trabajador participaba directamente en la preparación de auditorías externas anuales, como coordinador de estas actividades.
Esta sentencia pone de manifiesto la necesidad de políticas claras en las empresas que establezcan de manera transparente las funciones y límites de los perfiles de seguridad. Asimismo, los empleados en estos roles deben documentar sus actividades y reportarlas, idealmente en comités de seguridad, como exige la norma ISO 27001.
El TSJ concluyó que las consultas realizadas por el trabajador estaban directamente relacionadas con su rol como máximo responsable de seguridad de la información. Además, señala que la carta de despido presentada por ALSA no especificaba ninguna irregularidad concreta ni demostraba que las acciones del empleado hubieran causado un perjuicio a la empresa.
El tribunal también desmontó los argumentos de ALSA, que afirmaba que las consultas del trabajador no seguían el patrón de otros usuarios. Según el fallo, la empresa no aportó pruebas suficientes ni elementos comparativos válidos para sustentar esta afirmación.
Sentencia histórica: un llamado a la transparencia en la gestión de seguridad
La sentencia número 885/2024, dictada el 1 de noviembre, no solo declara improcedente el despido, sino que condena a ALSA a abonar 700 euros más IVA por honorarios legales del demandante, además de las costas del recurso. Este fallo ratifica la decisión del Juzgado de lo Social número 36 de Madrid, que en enero de 2024 ya había fallado a favor del trabajador.
En un contexto empresarial cada vez más digitalizado, esta resolución marca un precedente importante para la relación entre empresas y responsables de seguridad de la información. Como recalcan los magistrados, las actividades autorizadas no pueden presumirse ilícitas sin pruebas contundentes.
Esta sentencia es un recordatorio contundente de que las empresas deben establecer políticas claras de ciberseguridad y respetar los límites del rol de sus empleados. Además, subraya la importancia de garantizar que los responsables de la seguridad de la información no sean penalizados por cumplir con las funciones asignadas.
El caso pone de relieve una cuestión clave: ¿están las empresas suficientemente preparadas para gestionar sus recursos humanos en roles críticos de seguridad digital? La respuesta, tras este fallo, parece señalar que aún queda mucho por mejorar.
