¿Qué ocurre si un ciberataque paraliza la actividad de mi empresa?
¡Inundaciones! ¡Corrimientos de tierra! ¡Escapes de gases tóxicos!
Tranquilidad, este artículo no es la sinopsis de una película de Michael Bay. Antes de que la pandemia pusiese en boca de todos los mecanismos de suspensión del contrato de trabajo colectivos (ERTEs) por causas de fuerza mayor, la justificación para su adopción ante la administración laboral se solía ver circunscrita a desgracias imprevisibles como las señaladas.
No obstante, el mundo cambia, y a lo que antes podía paralizar la actividad productiva de una empresa se han sumado nuevas amenazas provenientes de los más recónditos lugares de internet. ¿A quién no le han mandado alguna vez un correo de dudosa procedencia invitando a clicar sobre un enlace aún más sospechoso? Pues bien, de un tiempo a esta parte se han puesto de moda entre los círculos criminales internacionales secuestrar los sistemas informáticos (información, bases de datos etc.) de todo tipo de empresas mediante malware del tipo ransomware, impidiendo el acceso a la misma generalmente cifrándola, y solicitando un rescate (generalmente en criptomonedas) para su liberación.
En una de estas se vio involucrada una afamada empresa del sector de las telecomunicaciones de nuestro país en el verano de 2021 cuando se dio cuenta que estaba siendo atacada por un peligroso ransomware llamado Ryuk. Pese a que activó todos sus procedimientos de ciberseguridad preestablecidos, los miles de trabajadores de la empresa no pudieron llevar a cabo su actividad laboral.
Así las cosas, esta empresa solicitó ante la Autoridad Laboral una constatación de fuerza mayor, en que se fundaba el ERTE que contemplaba medidas suspensivas y de reducción de jornada, que afectaban a su plantilla. La Administración, tarde eso sí, acabo denegando que el supuesto expresado por nuestros protagonistas fuese constitutivo de fuerza mayor debido a que i) no aportaron información del ciberataque suficiente ii) el acontecimiento era previsible al tratarse la atacada de una empresa insertada en el sector TIC con políticas de riesgo al efecto y iii) la inexistencia de imposibilidad de desarrollo de los servicios laborales al estar los trabajadores a disposición de la empresa.
Pues bien, esta empresa solicitó amparo judicial y la reciente Sentencia de la Sala de lo Social de la Audiencia Nacional nº37/ 2022 les ha dado razón y ha considerado el ataque cibernético como causa de fuerza, pero matizando qué circunstancias han de concurrir para que sea calificado como tal. En concreto, la Sentencia se detiene sobre la imprevisibilidad y sobre la imposibilidad de imputar a esta empresa culpa alguna por el ciber ataque en sí.
La Audiencia Nacional nos viene a decir que la fuerza mayor incluye también aquellos supuestos que, siendo previsibles, no son evitables. Eso sí al ser la circunstancia previsible, para ser considerada como un supuesto de fuerza mayor, deben analizarse ponderando, de un lado, las medidas implantadas por la empresa para la evitación del ataque y, de otro, la complejidad de la circunstancia externa que provoca la imposibilidad objetiva.
Por suerte para nuestro protagonista, contaba con un sistema de ciberseguridad sólido, procedimientos de actuación y comunicación de brechas de seguridad ágiles y transparentes, por lo que ha quedado acreditado que mediase comportamiento negligente en el supuesto. Además, la Audiencia Nacional recalca que, siquiera se conocen medidas alternativas que hubiera podido impedir el ataque del virus, lo que revela su carácter inevitable, debiendo, por tanto, subsumirse en el supuesto de fuerza mayor.
En ALEDRA LEGAL, nuestros equipos de derecho laboral y de nuevas tecnologías pueden ayudarte a establecer protocolos que relacionan tecnología, ciberseguridad y derecho para mantenerte a salvo o, en caso de que alguien clique en el link que no tenía que haber abierto, para garantizar que la paralización de tu actividad no suponga un evento catastrófico a lo película de Michael Bay.
Fdo.: Víctor Mamolar Laorden
Abogado del departamento laboral de ALEDRA LEGAL.
Aprovechamos para animarte a seguir nuestro blog y recordarte que puedes contactar con nosotros sin compromiso a través del siguiente formulario.
[wpforms id=”2085″]