España | Ciberataque como causa justificativa de un ERTE de fuerza mayor

La Audiencia Nacional considera procedente la aplicación de un ERTE por fuerza mayor en una empresa de telecomunicaciones víctima de un ciberataque

España | Ciberataque como causa justificativa de un ERTE de fuerza mayor
30 de marzo de 2022

Con carácter general, la fuerza mayor (“FM”) como causa habilitante para justificar un Expediente de Regulación Temporal de Empleo (“ERTE”) ha venido identificándose por la doctrina judicial laboral como “un acontecimiento imprevisible o inevitable externo al círculo de la empresa e independiente de la voluntad del empresario que impide la prestación laboral de forma temporal”. Se trata, por tanto, de un concepto jurídico difuso que exige el escrutinio de cada caso concreto.

Pues bien, la Audiencia Nacional, en su reciente sentencia 37/2022, de 14 de marzo de 2022 nos proporciona un concepto de fuerza mayor modernizado, al considerar procedente la aplicación de un ERTE FM en una empresa del sector de las telecomunicaciones, que había sido víctima de un ciberataque con un virus ransomware que inhabilitó todos sus sistemas informáticos y afectó a más de 1.000 personas trabajadoras.

La Audiencia Nacional revoca la resolución de la Dirección General de Trabajo, que denegó el ERTE FM solicitado por la empresa al entender, en esencia, que ésta no había presentado documentación acreditativa suficiente del ciberataque sufrido y que la entrada de un virus en el sistema podía entenderse previsible. También añadió que no se había afectado a la prestación de servicios de las personas trabajadoras, ya que estas continuaron estando a disposición de la empresa.

Aunque la sentencia analizada revoca formalmente la resolución administrativa por entender que ésta se emitió de forma extemporánea y, por tanto, que la fuerza mayor ya había sido constatada mediante silencio administrativo positivo, la Sala entra en el fondo del asunto a los meros efectos dialécticos y considera que, en el caso analizado, el ataque informático a través de un virus ransomware en una actividad empresarial esencialmente digital puede subsumirse en el concepto de fuerza mayor al concurrir los siguientes requisitos:

> Imposibilidad de que las personas trabajadoras pudieran prestar servicios, pese a estar disponibles, al no poder      acceder a los sistemas informáticos como consecuencia del ciberataque.

> Relación de causalidad entre la imposibilidad de ofrecer ocupación efectiva a las personas trabajadoras y el hecho obstativo del cumplimiento de tal obligación (ciberataque).

> Inimputabilidad de la empresa al producirse un acontecimiento ajeno a su voluntad.

> (Al menos) inevitabilidad al considerar que la empresa había actuado con la diligencia debida.

Respecto al requisito de “inevitabilidad”, que es crucial para la resolución del caso analizado, la Sala entiende que las medidas de seguridad preventiva implantadas por la empresa para evitar el ciberataque (antivirus, políticas y procedimientos de ciberseguridad, ISOS, etc.) constituyen medidas de precaución adecuadas dentro del grado de esfuerzo y coste de un “ordenado y diligente comerciante”.

En resumen, la Sala considera -en nuestra opinión, de forma acertada-, que el ciberataque sufrido por una empresa eminentemente digital es un acto ajeno a la propia mercantil, que impide la ocupación efectiva de sus personas trabajadoras y que, como la empresa en cuestión había realizado todas las actuaciones preventivas para evitar el ciberataque que le podían ser razonablemente exigibles, existe un supuesto de fuerza mayor que justifica la aplicación de un ERTE.

Por lo tanto, a la hora de abordar esta materia, conviene tener en mente algunos de los elementos de convicción que ahora utiliza la Audiencia Nacional para fundamentar su fallo, como son la relevancia de la formación e información en materia de ciberseguridad que la empresa debe proporcionar a sus personas trabajadoras y la conveniencia de contar con un recurso preventivo en materia de ciberseguridad, así como con un protocolo de actuación ante situaciones de crisis. 

Asimismo, disponer de un protocolo de ciberseguridad asegura una trazabilidad probatoria de las medidas de protección adoptadas por la empresa, lo cual permitiría evitar que el ataque fuera considerado como “evitable” en el marco de la justificación de la causa de fuerza mayor para la suspensión de los contratos de trabajo.

Por su parte, más allá de las acciones preventivas, también es importante saber actuar una vez consumado el ciberataque, no sólo a los efectos de extraer conclusiones que permitan optimizar los recursos preventivos ante brechas de seguridad, sino también para acreditar, en su caso, la diligencia de la actuación empresarial en la gestión del incidente.

No obstante, cabe recordar que la sentencia no es firme, ya que contra la misma todavía cabe interponer recurso de casación ordinario, y que el razonamiento que efectúa la Audiencia Nacional sobre el fondo es un “obiter dicta”, y, por tanto, la discusión sobre la cuestión continúa abierta.

En cualquier caso, lo que sin duda pone de relieve este pronunciamiento es la importancia de que las empresas cuenten con un protocolo de ciberseguridad adecuado, no sólo para poder exonerarse de responsabilidad por el ataque, sino también, para afrontar posibles situaciones de paralización de actividad mediante los oportunos mecanismos jurídico-laborales de flexibilidad.

 

30 de marzo de 2022