Los ataques informáticos de robo o bloqueo de datos se han convertido en una realidad cotidiana, y en una dificultad de primer orden para el desempeño ordinario de las empresas. La ciberprotección que toda organización necesita se orienta a dos aspectos: la protección técnica, operativa, y la protección jurídica, legal. Esta última es la protagonista de esta noticia.
En los últimos días ha visto la luz la resolución de un recurso de casación que podría marcar un antes y un después en las consecuencias de un ataque informático severo a una empresa: la sentencia 908/2024 de la Sala de los Social del Tribunal Supremo establece que un ataque informático puede generar una situación de fuerza mayor que justifique un ERTE.
Recordamos que un ERTE es un expediente de regulación temporal de empleo que sigue cuando una empresa no es capaz de mantener sus actividades y suspende los contratos de sus trabajadores ante una situación excepcional. ¿Un ataque informático provocaría una situación “excepcional”?
La clave, la inevitabilidad
Para comprender el caso hay que ponerse en antecedentes. En 2021, la empresa Ilunion Contact Center S.A.U., un call center con casi 900 empleados, sufrió un ciberataque de tipo ransomware que comprometió sus actividades de manera crítica: obligó a aislar y desconectar la red informática y el restablecimiento completo de la actividad se estimó en 14 semanas.
En consecuencia, la empresa solicitó un ERTE para unos 600 empleados alegando la imposibilidad de que estos empleados desarrollasen su actividad; la administración pública lo desestimó por considerarlo “previsible”; hoy, el Supremo ratifica la alegación ante la Audiencia Nacional: un ciberataque es previsible, pero también puede ser “inevitable” si supera los medios de control adecuados.
En efecto, la empresa contaba con los mecanismos de ciberdefensa adecuados en vigor, según un informe de la UCO de la Guardia Civil. Lo que viene a decirnos la sentencia es que la empresa debe implementar los medios adecuados, pero que el ataque fue “extraordinario” en los medios que empleó, por lo que los damos causados escapan a su responsabilidad.
La moraleja que podemos extraer de todo esto es clara. Por un lado, toda empresa está obligada a desplegar los medios de ciberprotección adecuados y razonables (según su actividad, su volumen, sus operaciones, etc. y de acuerdo con la ley); y por otro, que es esencial contar con un servicio de asesoría jurídica y de ciberseguro que la proteja ante las consecuencias “inevitables” que puedan producirse.
