Cristóbal Molina Navarrete.
Catedrático de Derecho del Trabajo y de la Seguridad Social.
Universidad de Jaén.
1.Sufrir un ciberataque en un dispositivo electrónico, personal o empresarial, está a la orden del día y se ha convertido en una “riesgo tecnológico y social global” propio de la era digital. Por lo tanto, toda persona, no solo empresas e instituciones, debemos aprender a convivir con este típico riesgo tecnológico, inherente a nuestro tiempo, y prepararnos para evitar, o al menos reducir, dentro de lo posible y razonable, según las competencias digitales (capacidades) de cada cual, las consecuencias más nocivas. Los delitos informáticos se incrementan exponencialmente año tras año, aunque, según se reflejaría en ciertos informes y constatan especialistas del sector, a menudo este tipo de ciberataques no se denuncian. Un buen número de empresas atacadas, para no perder valor reputacional (por la pérdida de confianza en la clientela que puede representar), prefieren silenciarlo.
La probabilidad de ataques informáticos no se da solo en tiempos de guerra, aunque en las actuales sea una pieza importante, como en la invasión de Ucrania por una bárbara decisión rusa. Que no hay persona o institución a salvo del riesgo de sufrir ciberdelincuencia lo evidencia, entre otros, el “hackeo” al Ministerio de Trabajo, uno más de una larga lista en la que estuvo también el ciberataque al Servicio Estatal Público de Empleo (SEPE), que dejó de estar disponible varias semanas y retrasó, en plena pandemia, la gestión de medidas como los Expedientes de Regulación de Empleo (ERTE). En ambos casos el ciberataque fue con un virus informático tipo ransomware y denominado Ryuk. Los ingresos que genera el uso de este código informático vírico o malicioso no ha dejado de crecer con el tiempo (los desembolsos por estas extorsiones son de 100.000 euros de media y se han triplicado en un año).
2.Conviene advertir que una “fuga o brecha de seguridad” respecto de los datos personales puede tener graves consecuencias económicas, además, para las empresas, que están obligadas a mantener una elevada diligencia de ciberseguridad a tales fines, según el art. 32 del Reglamento 2016/679/UE, del Parlamento Europeo y del Consejo de 27 de abril DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD). En este precepto (y en el art. 9.1 LOPDGDD) se establece que, atendiendo al estado de la tecnología, costes de aplicación, alcance, contexto y fines del tratamiento de datos, “así como los riesgos de probabilidad y gravedad variables para los derechos y libertades”, la empresa responsable del tratamiento estará obligada a aplicar “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…”. Según su apartado 3, la adhesión a un código de conducta (art. 40 RGPD) o a un mecanismo de certificación (art. 42 RGPD) podrá servir de elemento para demostrar el cumplimiento. Precisamente, la STS, 3ª, 188/2022, de febrero ha confirmado la sanción a la empresa, de 40.000 euros, porque:
«el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello”
En suma, si la ciberdelincuencia tiende a desplegarse ahora como una auténtica “profesión” (aún ilegal), su contrapartida, la ciberseguridad, se ha convertido tanto en un nuevo sector de negocio creciente y con altos rendimientos como en un yacimiento de empleo cualificado. No por casualidad la ciberseguridad es una de las profesiones que más se demandan desde hace varios años.
3.En definitiva, el riesgo de ataque vírico informático a empresas, organizaciones públicas y personas existe, gana presencia en una economía y sociedad digitalizadas, se conocen medidas tecnológico-organizativas para poder combatirlo con razonable éxito y existe obligación de las empresas que trabajen habitualmente con estos dispositivos de establecerlas. ¿En este escenario actual podría tenerse un ataque cibernético a una empresa como un riesgo imprevisible e/o inevitable, esto es una fuerza mayor a los efectos de solicitar un ERE? A mi juicio difícilmente, pero la Audiencia Nacional, en una reciente sentencia (SAN 37/2022, de 14 de marzo), parece entender que sí. En ella da la razón a varias empresas de “Contact Center” del Grupo Ilunion, validando sendos ERTE presentados –de forma pionera- por fuerza mayor (ERTE/FM) a causa de un ciberataque en el verano del año pasado. De este modo, estima el recurso interpuesto por la empresa contra las decisiones de la autoridad laboral de rechazarlos.
Brevemente, los hechos fueron los siguientes. Las empresas presentaron ERTE por FM ex art. 47 ET como consecuencia del ciberataque sufrido con un virus informático de tipo “malware” (denominación genérica de un software que interfiere con el propósito de dañar a la persona o empresa usuaria). Como consecuencia, se habrían visto afectados todos los componentes que dependen de esta infraestructura, las personas trabajadoras de las distintas sociedades estarían imposibilitadas para utilizar los programas computaciones para operar los servicios de Contact Center y gestión documental para prestar servicios. El virus pudo entrar en su sistema a través de un enlace malicioso en una web, la infección de un fichero compartido o con phishing.
El Ministerio de Trabajo y Economía Social dejó sin efecto sendos ERTE/FM, presentados por las empresas ILUNION CONTACT CENTER e ILUNION CONTACT CENTER Centro Especial de Empleo (CEE), ambas del GRUPO ILUNION, el 21 de junio de 2021. Afectaban durante más de 2 meses de verano a un total de 1856 personas (60% de la plantilla). En ambas resoluciones daba razón a los planteamientos sindicales. En síntesis, se resaltaba que las empresas no habían acreditado el ciberataque, ofreciendo únicamente documentos de parte (conversaciones con la compañía que da soporte a la empresa). Además, según el criterio de la ITSS, una empresa perteneciente al sector de las telecomunicaciones, que depende de las novedades informáticas, debería asumir lo ciberataques como un típico riesgo de gestión telemática, estableciendo las medidas de gestión preventiva adecuadas para garantizar un entorno laboral digital ciberseguro. Un riesgo a tener especialmente en cuenta en el teletrabajo. La certificación ISO en técnicas de seguridad, como la ISO 2701 y la póliza de ciberseguridad contratada en le empresa así lo acreditaría.
En suma, para la autoridad laboral, se trataría de un riesgo previsible y, con la debida diligencia de ciberseguridad, evitable dentro de los procedimientos y protocolos establecidos a tal fin en la empresa. Por lo tanto, no daría lugar a una situación de FM. Además, la autoridad constata que las personas trabajadoras estuvieron a disposición de la empresa (obligación de permanecer pendientes de sus equipos), presencialmente o teletrabajando. No obstante, que un ataque viral informático no sea FM (impropia o fabricada socialmente) que imposibilite su actividad sí:
“…puede suponer una situación de carácter negativo derivada de causas técnicas conforme al artículo 47 ET, lo que podría dar lugar, en su caso, a la adopción de medidas de suspensión del contrato de trabajo de las personas trabajadoras indicadas por la empresa, pero por causas tecnológicas” (ERTE-CETOP).
4.No opina lo mismo la sala social de la AN. A su juicio, de un lado, sí hubo FM, al ser «acontecimiento externo al círculo de la empresa…independiente de la voluntad del empresario (e) imprevisible». De otro, que las personas trabajadoras manifiesten su voluntad de realizar la actividad deviene “mero deseo” ante la concurrencia de «una causa ajena a voluntad…que lo impide». Para la Sala, el virus inutilizó gravemente los equipos de trabajo, impidiendo su uso (la empresa suspendió 28 campañas tras recibirlo, apagando el centro de datos para evitar la propagación), siendo “esencialmente digital”. Y aunque la empresa lo preveía en su sistema, certificado internacionalmente, de gestión de seguridad de la información, resultó inevitable pese a adoptar las «medidas de seguridad razonables para la evitación del riesgo».
No es la primera vez que un tribunal reconduce los ciberataques, y los apagones digitales que generan, a la fuerza mayor (“fabricada” o cultural, “natural”). Así fue el caso, en el orden civil, de la SAP Valladolid 296/2017, 12 de septiembre. En este caso, una persona no pudo comparecer en juicio, porque su procuradora no le pudo remitir la información correspondiente porque el correo en el que aparecía llevaba un virus que encriptaba toda la información que encontraba a su paso en el sistema (“cryptolocker”). Una situación calificada por la AP -revocando la sentencia de instancia-:
“una causa de fuerza mayor, ajena a dicha parte y que mal pudo evitar, que ha impedido le fuera debidamente notificado…, defecto de forma…sustancial que le ha irrogado indefensión, vedándole…acudir al actor a juicio…” (FJ Segundo)
En sentido análogo, la STSJ Comunidad Valenciana, contencioso-administrativa, 1991/2020, 3 de diciembre. La sentencia estima parcialmente el recurso empresarial. En el caso contra las resoluciones del TEARCV (Tribunal Económico Administrativo de la Comunidad Valenciana que se desestiman las reclamaciones económico-administrativas interpuestas contra las sanciones por falta de aportación de la documentación aduanera relativa a los correlativos contenedores exportados por la empresa.
Para la sala contenciosa valenciana un ciberataque que afecta al sistema de todas las compañías del Grupo a nivel mundial, que provocó la pérdida de toda la información, tanto a nivel documental como operacional, haciendo imposible el acceso a ella (apagón digital) y, en consecuencia, al sistema de notificaciones de la Administración aduanera, puede ser constitutivo de fuerza mayor, entre otras cosas porque así fue valorada por la propia Administración aduanera (se ve que la autoridad laboral tiene criterio distinto). Esta -quedando constatado el ciberataque como hecho no controvertido- le ofreció a la empresa un procedimiento alternativo a la notificación electrónica de los listados de cargas, a fin de que pudiera cumplir con sus obligaciones aduaneras hasta la completa recuperación de la normalidad. Ahora bien, la sentencia entiende que el ciberataque no puede justificar toda omisión empresarial de estas obligaciones, pues:
“La aduana…adoptó como «medida alternativa», para solventar la situación del ciberataque, la entrega de listas de carga previas al embarque y la [empresa] no cumplió con dicha exigencia en el caso de 305 contenedores, sin que haya resultado objetivada la concurrencia de fuerza mayor que justifique el incumplimiento…” (FJ 4)
5.Vemos, pues, cómo los ciberataques víricos van ganando presencia en la vida económica y empresarial (además de individual y social). Los creciente conflictos que genera son afrontados por los tribunales como fuente de causas de fuerza mayor, a fin de liberar de los incumplimientos de las obligaciones empresariales imposibilitados por los apagones informáticos. Ahora bien, su intensidad, e incluso inevitabilidad, no exime de una deber de diligencia preventiva especial [y prueba de la relación de causalidad entre el incumplimiento y el ciberataque como hecho obstativo], si hay alternativas factibles. La citada STS, 3ª, 188/2022, 15 de febrero considera que la obligación de adoptar las medidas necesarias para garantizar la seguridad de la información no es:
En el caso contencioso-administrativo, precisamente por no constatarse que la empresa desplegara ese deber de conducta diligente se condena a la empresa. Esta no puede eludir su responsabilidad imputando el fallo del sistema a un error humano, de una persona empleada. Aunque esta sí pueda ser sancionada disciplinariamente si se entiende que ha incurrido en negligencia a la hora de afrontar su propio deber de actuar de conformidad con las instrucciones de ciberseguridad recibidas).
La SAN 37/2022, de 14 de marzo sí considera diligente la acción realizada por la empresa para evitar, no el ciberataque (resultado lesivo constatado), pero sí sus efectos más nocivos, exigiéndole un apagón informativo para evitar la propagación, con lo que se hizo objetivamente imposible la prestación. De ahí, a su entender, la validez y eficacia del ERTE/FM, cuyos beneficios sociales son superiores, como se sabe, al ERTE-CETOP. Veremos si el TS, sala social, es de la misma opinión (sin duda discutida y discutible) que la AN, en el seguro recurso de casación que sindicalmente se planteará, por cuanto han sido muy críticos con este tratamiento jurisdiccional de la cuestión.
6.No podemos profundizar más aquí en tan sugerente e innovadora decisión. Solo realizaremos una última anotación con carácter general sobre la transcendencia que, día a día, y crisis tras crisis, transición tras transición, transformación tras transformación están adquiriendo los mecanismos ERTE, en especial por fuerza mayor (pandemia, crisis energética, la erupción del volcán de La Palma, la tormenta Filomena, transición digital, cambio climático, guerra de Rusia contra Ucrania y su impacto económico global, etc.). El concepto de FM cada vez se separa más de “fuentes naturales” (catástrofes naturales) para conformarse con “fuentes socialmente fabricadas” (“calamidades humanas”), en las que la “mano humana” es más visible (también en los futuros ERTE/FM ambiental, a medida que se hagan más patentes los desastres asociados al cambio climático). En esta óptica, no es de extrañar que el nuevo mecanismo “RED-FE” (Flexibilización y Estabilización del Empleo) haya iniciado su andadura, al menos parcialmente, en una norma relativa a la extrema sequía que tanto golpea, también, al sector agrario RD-L 4/2022, de 15 de marzo, por el que se adoptan medidas urgentes de apoyo al sector agrario por causa de la sequía. Pero esta es ya otra historia, que seguiremos contando en este y otros espacios, porque nos dará muchos más capítulos, y sobresaltos.