¿Me puede despedir mi empresa por un ciberataque? Esto dice una sentencia del Supremo
Un ataque informático a través de un virus ransomware obligó a Ilunion a cortar sus comunicaciones y suspender su actividad
El Tribunal Supremo considera que un ciberataque a una empresa de atención telefónica que provoca la suspensión de actividad supone una causa de fuerza mayor que permite aplicar un ERTE, al entender que un suceso de este tipo, aunque previsible, no es evitable.
En una sentencia fechada el pasado 11 de junio a la que ha tenido acceso EFE, la sala de lo Social estima parcialmente el recurso del Abogado del Estado, al que se adhirió la CGT, contra un fallo de marzo de 2022 de la sala de lo Social de la Audiencia Nacional.
Ilunion procedió a aplicar a unos 1.000 empleados un ERTE por causa mayor
Los hechos se remontan a junio de 2021, cuando un ataque informático a través de un virus «ransomware» obligó a Ilunion, empresa que presta servicios de atención telefónica, a cortar sus comunicaciones y suspender su actividad.
ERTE en Ilunión
Ilunion procedió a aplicar a unos mil empleados un Expediente Temporal de Regulación de Empleo (ERTE) por causa mayor, que el Estado impugnó al considerar que un ciberataque era previsible, dado que la actividad de la compañía se desarrolla por medios digitales.
Pero el Supremo puntualiza que «no es admisible» que un ataque informático a una empresa de estas características, por muy previsible -y por tanto evitable- que sea, no pueda ser considerado como fuerza mayor, requisito para aplicar un ERTE.
El Supremo puntualiza que «no es admisible» que un ataque informático a una empresa de estas características, no pueda ser considerado como fuerza mayor
Tampoco puede cuestionarse la existencia de fuerza mayor por el hecho de que el «suceso» no haya sido uno de los tradicionalmente considerados como tales, esto es, un incendio o un terremoto, pues la ley no exige que sea un suceso natural, añade el Supremo.
Suceso externo
La principal diferencia entre una causa de fuerza mayor y otra de tipo objetivo técnica «no está en la causalidad natural de la primera y humana en la segunda, sino en el hecho de que la fuerza mayor es un suceso externo, ajeno a la voluntad de la empresa y de carácter extraordinario, y la segunda es una causa introducida, favorecida o exigida por las circunstancias, pero siempre ordinaria y voluntaria», prosigue la sentencia.
La empresa puede haber previsto en su actividad ordinaria la existencia de un ciberataque (previsibilidad), pero hay algunos sucesos de este tipo que rebasan los tenidos en cuenta en el desenvolvimiento ordinario y, por ello, no pueden ser evitados (inevitabilidad).
La empresa puede haber previsto en su actividad ordinaria la existencia de un ciberataque
Por eso, si se trata de un suceso inevitable, «que rebasa los que pueden ser tenidos en cuenta en el curso normal de la vida de la empresa», se trata de un supuesto de fuerza mayor.
Ciberataque
La empresa había previsto la posibilidad de un ciberataque, ya que disponía de las medidas de seguridad «necesarias y suficientes» para evitar un ataque de ciberseguridad y, pese a ellas, el mismo no pudo ser evitado.
Los trabajadores no pudieron trabajar de forma efectiva, añade la Sala, ya que el hecho de estar a disposición no es equivalente a prestación de servicios, y lo relevante es aclarar si los trabajadores estuvieron en disposición de trabajar.
En ese caso, ese tiempo debería ser considerado tiempo efectivo de trabajo y, por tanto, retribuido, cosa distinta de si pudieron hacerlo de forma efectiva, que no fue el caso.