Ciberataques como causa de ERTE por fuerza mayor: tres sentencias de la AN

Cada vez son más las empresas que sufren (o pueden sufrir) ciberataques o hackeos que pueden llegar a comprometer gravemente la actividad de la compañía, llegando incluso (en función del tipo de puestos o servicios prestados por la organización) a paralizarla.

El problema es que la realidad va muy por delante del marco legislativo y ante una situación así, el margen de actuación de la empresa no es precisamente amplio. ¿Qué se puede hacer con la plantilla mientras se solventa el problema? ¿Es un supuesto de fuerza de mayor?

La Audiencia Nacional se ha pronunciado en al menos tres sentencias sobre esta cuestión, fallando a favor de las compañías sobre la consideración como “fuerza mayor”. Ahora bien, dejando claro que, en los casos concretos enjuiciados, en la empresa había implantadas medidas de seguridad para intentar evitar ataques informáticos, aunque éstos finalmente se hayan producido.

Lo primero: ¿qué es la suspensión de contratos por fuerza mayor?

El contrato de trabajo puede ser suspendido temporalmente o bien reducirse la jornada a iniciativa del empresario por causa derivada de fuerza mayor (art. 47 del ET y art. 31 del Real Decreto 1483/2012, de 29 de octubre). Son los “ERTE por fuerza mayor”.

El procedimiento de suspensión de contrato o reducción de jornada por fuerza mayor se inicia mediante solicitud de la empresa dirigida a la autoridad laboral competente, acompañada de los medios de prueba que estime necesarios, y simultánea comunicación a la representación legal de las personas trabajadoras.

Dicha causa ha de ser debidamente constatada por la autoridad laboral, cualquiera que sea el número de trabajadores afectados, previo expediente tramitado al efecto. La autoridad laboral solicitará informe preceptivo de la Inspección de Trabajo y Seguridad Social antes de dictar resolución.

Mientras dure la suspensión o reducción de jornada temporal por fuerza mayor, la relación laboral sigue viva y los trabajadores perciben prestación por desempleo. En el momento que cese la causa que provocó la fuerza mayor, los trabajadores se reincorporan a la empresa.

La resolución de la autoridad laboral que no haya constatado la existencia de fuerza mayor por la empresa podrá ser impugnada por el empresario ante la jurisdicción social, que es lo que sucede en estos dos casos enjuiciados por la Audiencia Nacional (en ambos se estima la demanda interpuesta por la empresa).

La sentencia de la Audiencia Nacional de 26 de mayo de 2023

En esta sentencia, la AN estima el recurso de una compañía que solicitó un ERTE (suspensión temporal de contratos) por fuerza mayor debido a un ciberataque que paralizó gran parte de su actividad (SAN 26 de mayo de 2023).

La compañía atacada es del sector de contact center. (Foto: E&J)

La AN estima la demanda interpuesta por la compañía (sector de contact center), anulando la resolución de la Dirección General de Trabajo por la que se declaraba no constatada la existencia de fuerza mayor.

Ahora bien, deja claro la Audiencia Nacional que la empresa tiene que acreditar que había desplegadas medidas preventivas para intentar evitar estos sucesos, algo que, en el caso concreto enjuiciado, sí ha quedado acreditado.

En el caso concreto planteado, la empresa solicitó la suspensión temporal de contratos por fuerza mayor (654 trabajadores afectados) debido a un ciberataque.

La causa invocada fue una incidencia informática causada por el ataque de un virus ransomeware que se conoció el 4 de junio de 2021 y que determinó aislar la red con el apagado completo de la CPD para frenar la expansión, lo que provocó el cese de la actividad de los 654 trabajadores para los que se solicita suspender contratos por fuerza mayor. A la solicitud acompañaba memoria, informe técnico y comunicaciones enviadas a la RLT sobre la solicitud de suspensión de contratos.

En cuanto a la duración de la suspensión temporal de contratos se indica en la memoria que deberá ser hasta que se haya conseguido reestablecer totalmente la actividad, con el compromiso de la empresa de ir desafectando de manera paulatina al mayor número de trabajadores posible a medida que se fuese recuperando la actividad.

La Dirección General de Trabajo emitió resolución denegatoria al entender no constatada la fuerza mayor. Recurre la empresa a los tribunales y ahora la AN estima el recurso de la empresa.

¿Un ciberataque entra dentro del concepto de fuerza mayor?

La AN entiende que sí es un supuesto que cabe incardinar (cumpliendo unos requisitos) como «fuerza mayor»

Razona la sentencia que, aunque es cierto que evidentemente los ataques informáticos no pueden ser considerados acontecimientos imprevisibles pues su existencia está a la orden del día, el art. 1105 Código Civil no aprecia la fuerza mayor en la concurrencia de imprevisión e inevitabilidad, sino que la califica como la consistente en aquellos sucesos que no hubieran podido preverse, o que, previstos, fueran inevitables.

Por tanto, lo que debemos analizar en el presente caso es si el previsible ataque informático resultaba inevitable.

La evitabilidad o inevitabilidad de un suceso, al igual que acontece con los accidentes de trabajo, no impone la consecución necesaria de un resultado, en este caso que el ataque informático sea siempre neutralizado (como tampoco la legislación impone la obligación de que no se produzca un accidente laboral), sino que se hayan adoptado todas las medidas preventivas disponibles para su neutralización.

Y en el presente caso, entiende la AN que la prueba practicada es demostrativa de que la empresa contaba con toda una serie de medios para atajar estos ataques, en lo racionalmente posible y conforme los conocimientos técnicos normalizados

No se aprecia en este caso, porque tampoco se alega, una conducta defectuosa en sus obligaciones preventivas en materia de seguridad informática, por lo que debemos concluir de que pese a las medidas adecuadas que se adoptaban por la empresa el ataque tuvo lugar.

Ataque que resultó ser de la suficiente sofisticación, al punto de no haberse podido aún acreditar pese a los informes técnicos y del UCO (informe de la UCO de la Guardia Civil sobre el virus padecido), cuál fue el mecanismo de entrada del virus en la intranet de la empresa.

Por todas estas razones el recurso interpuesto por la empresa debe ser estimado.

Audiencia Nacional. (Foto: Archivo)

La sentencia de la Audiencia Nacional de 14 de marzo de 2022

El caso también alude a la misma empresa de la sentencia del 26 de mayo de 2023. Se estima por silencio administrativo la solicitud de declaración de fuerza mayor formulada por la empresa.

Razona la sentencia sobre la posible concurrencia de fuerza mayor que la legislación laboral no recoge una definición de lo que debe entenderse por imposibilidad objetiva sobrevenida, aunque son diversos los preceptos que hacen referencia a la misma. Al margen de lo que se conoce doctrinalmente como derecho de la emergencia (fundamentalmente desarrollado como consecuencia de la crisis sanitaria derivada del Covid-19), el concepto «fuerza mayor» aparece de forma expresa en diversas disposiciones del ET (artículos 37.7, 45.1.i, 47.2 y 3, 49.1.h, 50.1.c, y 51.7) y, en otras ocasiones, también se hace referencia a supuestos en los que de forma sobrevenida, concurre un hecho obstativo imposibilitante que impide el cumplimiento de las prestaciones pactadas en el contrato de trabajo ( artículos 45.1.c, 49.1.e y 49.1.g del ET).

Por su parte, la doctrina judicial civilista, por todas, STS (Sala de lo Civil) de 22 de noviembre de 2018, ha anudado la circunstancia de fuerza mayor a:

«Una fuerza superior a todo control y previsión que debe ponderarse -a efectos de su concurrencia- con la normal y razonable previsión que las circunstancias exijan adoptar en cada supuesto concreto”

Sobre esta nota se ha entendido que debe procederse a una evaluación estudiándose la singularidad en cada caso concreto.

Pues bien, aplicando esto al caso concreto enjuiciado, sobre la concurrencia de causa de fuerza mayor como consecuencia del ataque de virus ransomware en la empresa, entiende la AN que el análisis de los elementos configuradores de la fuerza mayor de los apartados anteriores permite concluir que el ataque informático a través de un virus ransomeware que se traduce en el «secuestro» de la información clave de la empresa, afectando de forma determinante a su operatividad, puede ser calificado como un supuesto de fuerza mayor.

En efecto, concurren todos los elementos configuradores que permiten concluir la existencia de causa de fuerza mayor:

• Imposibilidad
• existencia de una relación causal entre el incumplimiento de la obligación contractual y el hecho obstativo
• inimputabilidad y (al menos) inevitabilidad.

Elementos aplicados a la situación concreta descrita en la solicitud de constatación de fuerza mayor, formulada por la empresa.

Y esto es así (entre otros) porque resulta acreditado (informes periciales) que el secuestro de datos que el cifrado provoca tiene una afectación claramente obstativa en el cumplimiento de las prestaciones contractuales acordadas, especialmente porque imposibilita la oportunidad empresarial de ofrecer la prestación de trabajo a las personas trabajadoras, en la medida que se ha visto afectado el Centro de Procesamiento de Datos.

¿Se puede entender “imprevisible” un ataque informático?

Sobre la inimputabilidad y la imprevisibilidad o la inevitabilidad en caso de ciberataque, la AN deja claro que conviene un análisis pormenorizado.

Para poder determinar esta cuestión es oportuno evaluar si el riesgo era imprevisible o, si previsto, inevitable. Especialmente porque, en función de la naturaleza del hecho sobrevenido, podrá delimitarse la diligencia requerida a través del análisis de las medidas preventivas o de seguridad adoptadas (esto es, si se agotaron cuantas medidas de precaución incumben a la Empresa en la evitación de este fenómeno).

En primer lugar, no puede afirmarse que un ataque informático ni la afectación de un virus sean circunstancias totalmente imprevisibles (y el ransomeware tampoco), y en este sentido se pronuncia la Administración actuante, la Inspección de Trabajo y, la resolución recurrida.

Ahora bien, en este supuesto, concurren los factores suficientes para concluir que el nivel de diligencia empresarial para prevenir este riesgo ha sido adecuado conforme a lo que una «conducta prudente hubiera podido evaluar».

Y en este caso, ha quedado acreditado (informes técnico y pericial) que la compañía contaba con varios medios de seguridad informáticos para intentar evitar (aunque no lo haya conseguido) estos ataques.

La sentencia de la AN de 8 de abril de 2022

En este caso, la AN también declara estimada por silencio administrativo la solicitud de declaración de fuerza mayor formulada por la empresa como causa de la suspensión de relaciones laborales de los trabajadores afectados de su plantilla.

Además, señala la sentencia que el ataque informático a través de un virus ransomeware en una actividad empresarial que gravita sobre una «arquitectura» esencialmente digital como la que lleva a cabo la demandante puede subsumirse en el concepto de fuerza mayor por lo siguiente:

1. El origen humano del hecho obstativo no impide que pueda subsumirse un hecho imposibilitante en el concepto de fuerza mayor;
2. Concurre una imposibilidad absoluta y objetiva sobre una de las prestaciones esenciales empresariales del contrato de trabajo (dar ocupación efectiva);
3. Existe una relación causal entre el incumplimiento de la obligación y el hecho obstativo;
4. Dado el nivel de diligencia preventiva adoptado por la demandante puede afirmarse que concurre la nota de inimputabilidad y (como mínimo) la de inevitabilidad

Conclusiones

Aunque sería muy interesante que algunos de los casos llegaran al TS, podemos tener en cuenta lo siguiente:

1. Es preciso contar con un marco laboral que contemple expresamente estas situaciones. En primer lugar, la realidad va muy por delante del marco laboral y sería más que deseable regular expresamente los ciberataques como supuesto de causa de suspensión temporal de los contratos por fuerza mayor, puesto que la posibilidad de sufrir un hackeo o cibearataque que paralice la actividad (total o parcial) de una empresa es cada vez mayor.
2. No todo ciberataque va a justificar que una empresa pueda suspender los contratos por fuerza mayor. Las sentencias de la Audiencia Nacional son muy claras al respecto. Por un lado, hay que analizar las circunstancias concurrentes en cada caso y, por otro, la empresa deberá poder acreditar que existían medidas de seguridad informática para tratar de evitar ciberataques.

Normativa y jurisprudencia

Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.

Real Decreto 1483/2012, de 29 de octubre, por el que se aprueba el Reglamento de los procedimientos de despido colectivo y de suspensión de contratos y reducción de jornada

Real Decreto de 24 de julio de 1889 por el que se publica el Código Civil (art. 1105)

Sentencia de la Audiencia Nacional de 26/05/2023 Nº de Recurso: 14/2022 Nº de Resolución: 67/2023

Sentencia de la Audiencia Nacional de fecha: 14/03/2022 Nº de Recurso: 13/2022 Nº de Resolución: 37/2022

Sentencia de la Audiencia Nacional de fecha 08/04/2022 Nº de Recurso: 14/2022 Nº de Resolución: 53/2022