El Tribunal Supremo en su sentencia de fecha 11 de junio de 2024 (recurso 144/2022) ha confirmado la decisión de la Sala de lo Social de la Audiencia Nacional de considerar el ciberataque sufrido por una empresa como causa de fuerza mayor justificativa de un ERTE.
En el caso resuelto una empresa con cinco centros de trabajo en varias provincias y dedicada a la actividad del Contact Center o Telemarketing, consistente en el servicio de atención de llamadas telefónicas, mediante su emisión o su recepción, con la gestión de la información o las incidencias que dicha llamada genera, detectó en sus sistemas informáticos la presencia de un virus ransomware que estaba ocasionando el funcionamiento incorrecto del sistema operativo en un servidor centralizado de un centro de datos y en un servicio de base de datos.
Para evitar la expansión del virus fue necesario apagar por completo el Centro de Procesamiento de Datos (que contiene los servidores donde están instalados los sistemas por donde fluye y se procesa la información digital necesaria para la prestación de los servicios, así como procesos administrativos internos y las infraestructuras de comunicaciones asociadas), así como cortar las comunicaciones con todas las sedes en las que se prestaban los servicios de centro de atención de llamadas y de gestión documental.
Las labores de investigación y comprobación realizadas para detectar e identificar el virus se prolongaron por más de veinte días a lo que hay que añadir que el restablecimiento pleno y seguro de los servidores y del sistema informático en su conjunto requiere de un proceso complejo y lento.
Con fundamento en dicho ataque y la paralización de sus sistemas informáticos la empresa solicitó un ERTE por fuerza mayor para suspender los contratos de trabajo de algo mas de la mitad de su plantilla (casi 1.200 trabajadores de su plantilla cercana a los 2.200 trabajadores), que fue rechazado por el Ministerio de Trabajo al considerar que el ataque informático no era imprevisible y que no se había acreditado la imposibilidad de que los trabajadores afectados prestaran servicios.
La Audiencia Nacional anuló la decisión del Ministerio por haber sido dictada fuera del plazo legal de cinco días establecido para ello, aplicando al efecto el criterio jurisprudencial de que en los casos de solicitudes de constatación de fuerza mayor la falta de resolución en tiempo por parte de la Administración provoca efectos estimatorios de la misma.
A mayores, la Audiencia Nacional estimó la concurrencia de fuerza mayor por el ciberataque sufrido por la empresa señalando que por fuerza mayor se entienden aquellos hechos que, aun siendo previsibles, sean sin embargo inevitables, insuperables e irresistibles, siempre que la causa que los motiva sea independiente y extraña a la voluntad del sujeto obligado, requiriendo que se trate de un acontecimiento externo al círculo de la empresa y del todo independiente de la voluntad del empresario.
Así, estamos ante un ataque informático deliberado por parte de terceros ajenos a la empresa; el secuestro de datos que el cifrado del virus provoca imposibilita a la empresa el dar ocupación efectiva a los trabajadores en la medida que se ha visto afectado el Centro de Procesamiento de Datos (imposibilidad que no se elimina por la disponibilidad de los trabajadores para realizar la actividad laboral); existe una estrecha relación causal entre el ataque y el secuestro de datos y la imposibilidad material de la empresa de dar ocupación de trabajo a los trabajadores; aunque no puede afirmarse que un ataque informático ni la afectación de un virus sean circunstancias totalmente imprevisibles el nivel de diligencia empresarial para prevenir este riesgo ha sido adecuado conforme a lo que una "conducta prudente hubiera podido evaluar", puesto que la empresa contaba con varios medios de seguridad informáticos, realizaba revisiones y controles periódicos de sus sistemas y tenía suscrita una póliza de responsabilidad civil que cubría los riesgos cibernéticos.
La sentencia concluyó que existe fuerza mayor no solo cuando el hecho sea imprevisible sino también cuando siendo previsible resulta inevitable pese a haber adoptado una conducta diligente para evitarlo y que en este caso de ataque cibernético con un virus no se conocen medidas alternativas a las adoptadas por la empresa que hubieran podido impedir el ataque, lo que revela su carácter inevitable.
El Ministerio de Trabajo recurrió la sentencia pero su recurso es solo es estimado parcialmente por el Tribunal Supremo en cuanto a considerar que la resolución del Ministerio rechazando el ERTE se dictó dentro del plazo al haber sido ampliado a raíz de una incidencia técnica en los sistemas informáticos de la Administración, pero manteniendo la decisión de considerar justificada la causa de fuerza mayor.
Para resolver la cuestión controvertida la sentencia parte de que el ciberataque sufrido por la empresa era previsible y ajeno a la voluntad de la empresa y de que por fuerza mayor deben entenderse aquellos hechos que aún siendo previsibles, sean sin embargo inevitables, insuperables e irresistibles, siempre que la causa que los motiva sea independiente y extraña a la voluntad del sujeto obligado o, en otras palabras, sucesos imprevistos e inevitables que rebasan los tenidos en cuenta en el curso normal de la vida y extraños al desenvolvimiento ordinario de un proceso industrial.
Por tanto no es necesario que concurra la imprevisibilidad sino que es suficiente que el hecho, aunque sea previsible, sea inevitable, por lo que el Tribunal Supremo rechaza los argumentos del Ministerio en el sentido que un ataque de ciberseguridad sufrido por una empresa, cuya prestación se desarrolla mediante el uso de sistemas informáticos, software, aplicaciones, etc., no puede ser calificado de fuerza mayor, sino en todo caso una causa técnica o productiva.
Igualmente la sentencia rechaza que se niegue la existencia de fuerza mayor por el hecho de que el suceso no haya sido uno de los tradicionalmente considerados como tales, esto es, un incendio o un terremoto, pues el artículo 1105 del Código Civil al definir qué se entiende por fuerza mayor no exige que sea un suceso natural sino que puede ser también provocado por la acción del hombre.
La empresa puede haber previsto en su actividad ordinaria la existencia de un ciberataque (previsibilidad), pero hay algunos sucesos de este tipo que rebasan los tenidos en cuenta en el desenvolvimiento ordinario y, por ello, no pueden ser evitados (inevitabilidad). Por eso, si se trata de un suceso inevitable, que rebasa los que pueden ser tenidos en cuenta en el curso normal de la vida de la empresa, el Tribunal Supremo considera que estaremos ante un supuesto de fuerza mayor.
La empresa había previsto la posibilidad de un ciberataque, ya que disponía de las medidas de seguridad necesarias y suficientes para evitar un ataque de ciberseguridad y, pese a ellas, el mismo no pudo ser evitado, debiendo tenerse en cuenta que es imposible mantener una protección total ante una incidencia como la sufrida por la empresa.
La sentencia también rechaza el argumento de que no hubo imposibilidad objetiva de prestar servicios por los trabajadores ya que estos siguieron prestando su actividad mediante su puesta a disposición de la empresa durante toda su jornada, ya sea presencialmente o teletrabajando, e informaron a la empresa sobre sus descansos, comienzo y final de la jornada.
El Tribunal considera que el hecho de estar a disposición no es equivalente a prestación de servicios y que en este caso el número de trabajadores incluidos en el ERTE es inferior al de los equipos afectados y, muy inferior, también, a la plantilla de la empresa, lo que es indicativo de que algunos trabajadores pudieron seguir trabajando con normalidad pero no así el resto de ellos, habiendo quedado probado que se suspendieron la mayor parte de los servicios que se prestaban a los clientes y fue necesario apagar por completo el Centro de Procesamiento de Datos así como cortar las comunicaciones con todas las sedes en las que se prestaban los servicios de centro de atención de llamadas y de gestión documental.
En definitiva, la sentencia entiende acreditada la existencia de causa de fuerza mayor por la producción de un suceso inevitable de carácter ajeno a la empresa que supuso una efectiva imposibilidad de trabajar.