La empresa Ilunion Contact Center S.A.U. fue obligada a suspender sus actividades a causa de un ataque informático "ransoware"
El Tribunal Supremo considera que un ciberataque contra una empresa puede ser causa de fuerza mayor para justificar un Expediente de Regulación de Empleo Temporal (ERTE).
Así lo confirma la Sala de lo Social en una reciente sentencia, en la que ratifica la postura de la Audiencia Nacional (AN) ante el caso de Ilunion Contact Center S.A.U., que sufrió un ataque informático a través de un virus llamado "ransoware" y obligó a la compañía a realizar medidas suspensivas y de reducción de la jornada.
La aplicación del ERTE afectó a un total de 1.192 trabajadores de la empresa. El Estado lo impugnó al considerar que un ciberataque era previsible, ya que el desarrollo empresarial se realizaba por medios digitales.
Una postura que no aprueba el Alto tribunal. Desde su perspectiva, entiende que la afirmación de que un ataque de ciberseguridad sufrido por una empresa –cuya prestación se desarrolla mediante el uso de sistemas informáticos, software, aplicaciones, etc.– no pueda ser calificado de fuerza mayor, sino en todo caso una causa técnica o productiva, "no es admisible, pues el hecho de que sea previsible un ataque de este tipo en una empresa cuyos medios materiales son esencialmente digitales, como lo son los ordenadores, no lo convierte en evitable".
De igual modo, defiende que tampoco puede cuestionarse la existencia de fuerza mayor por el hecho de que el "suceso" no haya sido uno de los tradicionalmente considerados como tales, es decir, un incendio o un terremoto, ya que el artículo 1.105 del Código Civil (CC) no exige que sea un suceso natural, puede ser de otro tipo, atendida a la realidad social en la que nos hallamos, una sociedad tecnológica, donde los sucesos pueden ser provocados por la acción del hombre.
En ese sentido, la Sala precisa que la principal diferencia entre una causa de fuerza mayor y otra de tipo objetivo técnica "no está en la causalidad natural de la primera y humana en la segunda, sino en el hecho de que la fuerza mayor es un suceso externo, ajeno a la voluntad de la empresa y de carácter extraordinario, y la segunda es una causa introducida, favorecida o exigida por las circunstancias, pero siempre ordinaria y voluntaria".
Asimismo, añade que "la empresa puede haber previsto en su actividad ordinaria la existencia de un ciberataque (previsibilidad), pero hay algunos sucesos de este tipo que rebasan los tenidos en cuenta en el desenvolvimiento ordinario y, por ello, no pueden ser evitados (inevitabilidad)". Por eso, si se trata de un suceso inevitable, que rebasa los que pueden ser tenidos en cuenta en el curso normal de la vida de la empresa, "estaremos ante un supuesto de fuerza mayor".
Los hechos probados ponen de manifiesto que la empresa había previsto la posibilidad de un ciberataque, ya que disponía de las medidas de seguridad necesarias y suficientes para evitar un ataque de ciberseguridad y, pese a ellas, el mismo no pudo ser evitado.
Se suspendieron la mayor parte de los servicios que se prestaban a los clientes, quedando con ello sin actividad los empleados vinculados a dichas campañas, ante la imposibilidad de uso de las herramientas informáticas esenciales para el desarrollo de la actividad laboral. Asimismo, se cortó toda posibilidad de tráfico saliente desde la organización a otros posibles servicios, ya que la red se encontraba completamente aislada y se remitieron comunicaciones a los clientes sobre el ciberataque producido y la imposibilidad de prestación de los servicios.
Solo algunos trabajadores podían prestar servicios, pero la mayoría simplemente quedó a disposición de la empresa, siendo que el número de trabajadores incluidos en el ERTE inferior al de los equipos afectados y, muy inferior, también, a la plantilla de la empresa.
Fuente: Noticias Jurídicas