La Audiencia Nacional considera un ciberataque como causa de fuerza mayor

2022-04-25T08:34:00
España

La Audiencia Nacional estima la declaración de un ERTE por fuerza mayor derivado de un ciberataque

La Audiencia Nacional considera un ciberataque como causa de fuerza mayor
25 de abril de 2022

La Audiencia Nacional (Sala de lo Social), en su sentencia núm. 37/2022, de 14 de marzo de 2022, en sede de un procedimiento de impugnación de actos de la administración, estimó la concurrencia de fuerza mayor en la que se fundaba el expediente de regulación temporal de empleo (“ERTE”) debido a un ciberataque.

El 4 de junio de 2021 se produjo un ataque informático a través de un virus ransomware, denominado “Ryuk”, en la división de atención telefónica de la empresa Ilunion, que provocó el secuestro de datos del Centro de Procesamiento de Datos y la inutilización de servidores, sistemas informáticos, ordenadores e impresoras. Esta situación hizo que la empresa se viese en la necesidad de solicitar un ERTE por causa de fuerza mayor, debido a que los trabajadores no podían desarrollar sus funciones normales por “imposibilidad de uso de las herramientas informáticas esenciales para el desarrollo de la actividad laboral”.

La resolución administrativa denegó la solicitud de constatación de fuerza mayor debido a (i) la falta de aportación del informe o documentación que acreditase el ciberataque, (ii) la previsibilidad del acontecimiento y (iii) la inexistencia de imposibilidad de desarrollo de servicios laborales.

Ante esto, nosotros nos centraremos en el análisis que realiza la sentencia sobre el punto (ii) de la resolución administrativa.

Respecto a la concurrencia de la causa de fuerza mayor, la sentencia funda su estimación en base a la imposibilidad de la prestación (“imposibilidad de dar ocupación objetiva”), la existencia de una relación causal entre el incumplimiento de la obligación contractual y el hecho obstativo y la inimputabilidad e inevitabilidad del suceso. 

En primer lugar, se acredita la naturaleza del hecho obstativo. El secuestro de datos y su cifrado por parte de terceros ajenos a la empresa es subsumible dentro del concepto de fuerza mayor.

En segundo lugar, la sentencia considera que concurre un hecho obstativo, es decir, se estima que el secuestro y cifrado de datos tiene una afectación obstativa en el cumplimiento de las prestaciones contractuales, ya que niega la posibilidad de prestación de servicios laborales a los trabajadores.

Además, se acredita la existencia de una estrecha relación causal entre el hecho obstativo (es decir, el ataque y secuestro de datos) y la imposibilidad material de la empresa de dar trabajo a las personas trabajadoras (imposibilidad del uso de los dispositivos).

Finalmente, y siendo este el punto decisivo, se estudia la inimputabilidad e imprevisibilidad o inevitabilidad de los hechos. Por un lado, se estima la inimputabilidad, dado el nivel de diligencia preventiva que había adoptado la empresa para prevenir el riesgo de ciberataque (lo cual, hace que su actuación no pueda ser calificada como negligente). Entre otros, como medios de seguridad informáticos, la empresa contaba con un sistema de gestión de seguridad de la información. Su Política de Seguridad constaba de dos procedimientos concretos para dar una respuesta técnica ante ataques de ransomware. Además, entre otras medidas, la empresa contaba con certificaciones ISO en materia de ciberseguridad y técnicas de seguridad de la información, contaba con las licencias de uso de un Antivirus y tenía cubierto por su póliza de Responsabilidad Civil el “Riesgo Cibernético”.

Por otro lado, la sentencia determina que no se puede afirmar que un ataque informático sea una circunstancia imprevisible. Sin embargo, la fuerza mayor no queda limitada a los supuestos de carácter imprevisible, sino también se extiende a aquellos supuestos que, aun siendo previsibles, eran inevitables. El análisis de la inevitabilidad pondera las medidas implantadas por la empresa (como por ejemplo, medidas de seguridad en el acceso por los usuarios de las instalaciones de la empresa mediante tarjetas identificativas y controles de acceso, instrucciones de seguridad en el uso de equipamiento informático, medidas de seguridad en el uso de cableado y conexiones, medidas de construcción de contraseñas seguras, medidas de seguridad para el uso y bloqueo de sistemas, etc.) y la complejidad de la circunstancia externa. En este sentido, se constata que existe una limitada capacidad de anticipación y que el nivel de precaución, diligencia y esfuerzo habían sido adecuados para evitar el ataque. Este punto es clave para el análisis sobre la concurrencia de la fuerza mayor, en tanto que es gracias a la implementación de estas medidas de seguridad (en especial, a la Política de seguridad de la información que presenta la empresa y al resto de medidas comentadas en el punto anterior) que se consigue “el nivel de diligencia debido” de un “ordenado y diligente comerciante” a los ojos de la Audiencia para acreditar que la actuación empresarial supera este juicio de ponderación que lleva a que se estime la inevitabilidad.

Es, en definitiva, gracias al Protocolo de Ciberseguridad implementado por la empresa y al desarrollo diligente de sus actuaciones antes, durante y después del incidente de ciberseguridad, se estima que concurre un supuesto de fuerza mayor que justifica la suspensión de las relaciones laborales afectados por el ERTE. 

Ante el creciente número de ciberataques que entidades del sector privado y público están sufriendo en los últimos tiempos y en vista de las posibles resoluciones, como la que es objeto de estudio en esta entrada, que estimen pretensiones a empresas que actúan de forma diligente ante incidentes de ciberseguridad, se nos plantea la imperiosa necesidad de implementar un Protocolo de Ciberseguridad que prevea acciones previas al incidente (como medidas de coordinación, prevención y detección de amenazas, la formación técnica de los trabajadores, comprobaciones del nivel de seguridad ofrecido por los proveedores de servicios tecnológicos claves), durante el incidente, y tras el incidente (como la notificación diligente a autoridades y afectados o la implementación de medidas de minimización de daños). 

25 de abril de 2022