El Supremo establece que un ciberataque puede justificar un ERTE por fuerza mayor
Lo ha hecho en una reciente sentencia sobre el caso de Ilunion Contact Center
Los ciberataques repuntan y nadie parece estar a salvo de estos ciberincidentes tan graves. (Imagen: E&J)
El Supremo establece que un ciberataque puede justificar un ERTE por fuerza mayor
Lo ha hecho en una reciente sentencia sobre el caso de Ilunion Contact Center
Los ciberataques repuntan y nadie parece estar a salvo de estos ciberincidentes tan graves. (Imagen: E&J)
El Tribunal Supremo (TS) ha sentenciado que un ciberataque puede justificar un Expediente de Regulación Temporal de Empleo (ERTE) por fuerza mayor. La Sala de lo Social se ha pronunciado así en una reciente sentencia, en la que ratifica la existencia de fuerza mayor que apreció la Audiencia Nacional (AN) en un caso de Ilunion Contact Center S.A.U., que suspendió 654 contratos de trabajo tras sufrir un ciberataque en junio de 2021.
El Alto Tribunal concluye que en este caso se ha acreditado la producción del suceso de carácter ajeno a la empresa, su inevitabilidad, así como una efectiva imposibilidad de trabajar.
De esta forma, estima parcialmente el recurso de casación interpuesto por la Abogacía del Estado, considerando que no hubo silencio positivo, pero en cuanto al fondo, se confirma la decisión de instancia.
La sentencia, dictada el pasado 11 de junio (908/2024), la firman los magistrados Antonio V. Sempere Navarro (presidente), Ángel Blasco Pellicer, María Luz García Paredes (ponente) y Juan Molins García-Atance. La empresa ha estado asistida por el abogado Juan José Jiménez Remedios, de Ceca Magán.
Causa mayor
El artículo 1.105 del Código Civil establece que «fuera de los casos expresamente mencionados en la Ley y de los en que así lo declare la obligación, nadie responderá de aquellos sucesos que no hubieran podido preverse, o que, previstos, fueran inevitables».
El Supremo señala en su resolución que por fuerza mayor debe entenderse, como ha venido declarando esta Sala –sentencia de 22 de julio de 2015–, «aquellos hechos que aun siendo previsibles, sean sin embargo inevitables, insuperables e irresistibles, siempre que la causa que los motiva sea independiente y extraña a la voluntad del sujeto obligado», y apunta que también ha hecho referencia a este elemento como «sucesos imprevistos e inevitables que rebasan los tenidos en cuenta en el curso normal de la vida y extraños al desenvolvimiento ordinario de un proceso industrial».
«El hecho de que sea previsible un ataque de este tipo en una empresa cuyos medios materiales son esencialmente digitales, como lo son los ordenadores, no lo convierte en evitable»
Los magistrados aclaran que «la imprevisibilidad no es precisa, pues, que concurra, siendo suficiente con el hecho de que, siendo previsible, sea inevitable».
Además, el Alto Tribunal destaca que el hecho de que una empresa, cuya prestación se desarrolla mediante el uso de sistemas informáticos, software, aplicaciones, no pueda ser calificado de fuerza mayor, sino en todo caso una causa técnica o productiva, no es admisible, «pues el hecho de que sea previsible un ataque de este tipo en una empresa cuyos medios materiales son esencialmente digitales, como lo son los ordenadores, no lo convierte en evitable».
Añade que tampoco puede cuestionarse la existencia de fuerza mayor por el hecho de que el «suceso» no haya sido uno de los tradicionalmente considerados como tales, esto es, un incendio o un terremoto, pues «el artículo 1.105 del Código Civil no exige que sea un suceso natural», sino que «puede ser de otro tipo, atendida la realidad social en la que nos hallamos, una sociedad tecnológica, donde los sucesos pueden ser provocados por la acción del hombre».
Así, precisa que «la principal diferencia entre una causa de fuerza mayor y otra de tipo objetivo técnica no está en la causalidad natural de la primera y humana en la segunda, sino en el hecho de que la fuerza mayor es un suceso externo, ajeno a la voluntad de la empresa y de carácter extraordinario, y la segunda es una causa introducida, favorecida o exigida por las circunstancias, pero siempre ordinaria y voluntaria».
Además, el TS argumenta que «la empresa puede haber previsto en su actividad ordinaria la existencia de un ciberataque (previsibilidad), pero hay algunos sucesos de este tipo que rebasan los tenidos en cuenta en el desenvolvimiento ordinario y, por ello, no pueden ser evitados (inevitabilidad)» y «por eso, si se trata de un suceso inevitable, que rebasa los que pueden ser tenidos en cuenta en el curso normal de la vida de la empresa, estaremos ante un supuesto de fuerza mayor».
Medidas de seguridad e imposibilidad de trabajar
Respecto al caso analizado, el Supremo declara que en el terreno de lo inevitable, los hechos probados ponen de manifiesto que «la empresa había previsto la posibilidad de un ciberataque, ya que disponía de las medidas de seguridad necesarias y suficientes para evitar un ataque de ciberseguridad y, pese a ellas, el mismo no pudo ser evitado».
Señala que el informe técnico aportado indicó que «es muy complicado mantener una protección total ante la incidencia de este tipo de malware«; «grandes instituciones nacionales e internacionales han sido atacadas por este tipo malware, instituciones y empresas que, a pesar de contar con grandes medidas de seguridad en sus sistemas y la concienciación de sus usuarios, han sido víctimas de esta extorsión no pudieron ser evitados»; y que «es imposible mantener una protección total ante una incidencia de este tipo».
En cuanto a las medidas de seguridad, el informe afirma que la división Ilunion Contact Center BPO aplica una «política de seguridad de la información completa y al más alto nivel tecnológico, que le ha hecho ser merecedora de las certificaciones ISO/IEC 27001 e ISO/IEC 27002, y pese a ello el incidente se ha producido, lo que claramente demuestra la naturaleza de fuerza mayor del mismo, pues el mismo, como se ha comprobado, excede de la propia previsión y diligencia de la empresa».
De este modo, el Supremo subraya que, como se declara probado, «el incidente se produjo, pese a las políticas de seguridad de la información existentes no solo a nivel organizativo, pues se declara probado que la Empresa dispone de una Política de Seguridad (PO01) de la cual se derivan normas que cubren todos los capítulos que se desarrollan en la ISO 27002, sino a nivel de la seguridad física de las instalaciones».
También rechaza que pueda afirmarse, como hace la CGT, que todos los trabajadores siguieron prestando su actividad con normalidad, ya que lo único que consta es que algunos pudieron hacerlo, pero «la mayoría simplemente quedó a disposición de la empresa, siendo que el número de trabajadores incluidos en el ERTE es inferior al de los equipos afectados y, muy inferior, también, a la plantilla de la empresa».
Imposibilidad de prestación de los servicios
Consta, asimismo, según explica el Supremo, que «el CPD se apagó por completo y se procedió a cortar las comunicaciones con todas las sedes de la división Contact Center BPO para evitar la distribución del virus, mientras se desarrollaba la investigación forense del escenario identificado».
«De este modo, no existió tráfico saliente desde la organización a otros posibles servicios, ya que la red se encontraba completamente aislada y se remitieron comunicaciones a los clientes sobre el ciberataque producido y la imposibilidad de prestación de los servicios (un total de 131 comunicaciones efectuadas a clientes acerca de la imposibilidad de continuar prestando servicios como consecuencia del ciberataque producido)», concluye el Alto Tribunal.
“Es un pronunciamiento judicial de indudable relevancia para nuestro cliente, pero también para futuros casos, dado que, por desgracia, muchas empresas son víctima de ciber ataques hoy en día», declara el abogado de Ceca Magán Juan José Jiménez Remedios, destacando que el Supremo » ahonda en la interpretación del concepto de fuerza mayor asociado a las circunstancias que acontecen en la actualidad, realizando un exhaustivo análisis de las medidas de seguridad informática que debe tener la empresa, para que se considera que aun habiendo actuado de forma diligente, el ataque y sus efectos han sido inevitables; e igualmente recordando que el suceso debe imposibilitar la prestación de servicios de los trabajadores, así como la irrelevancia de que el mismo tengo su origen en una acción humana o un suceso natural”.