Un ciberataque contra una empresa de atención telefónica que causa la suspensión de la actividad es una causa de fuerza mayor para poder aplicar un Expediente de Regulación de Empleo Temporal (ERTE). Así lo considera el Tribunal Supremo, que entiende que un suceso de este tipo, puede ser previsible, pero no evitable.
En una sentencia del pasado 11 de junio, a la que ha tenido acceso la agencia Efe, la sala de lo Social estima parcialmente el recurso del Abogado del Estado, al que se adhirió la CGT, contra un fallo de marzo de 2022 de la sala de lo Social de la Audiencia Nacional.
Los hechos se remontan a junio de 2021, cuando un ataque informático a través de un virus "ransomware" obligó a Ilunion, empresa que presta servicios de atención telefónica, a cortar sus comunicaciones y suspender su actividad.
ERTE a unos 1.000 empleados
Ilunion procedió a aplicar a unos 1.000 empleados un Expediente Temporal de Regulación de Empleo (ERTE) por causa mayor, que el Estado impugnó al considerar que un ciberataque era previsible, dado que la actividad de la compañía se desarrolla por medios digitales.
Sin embargo, el Supremo puntualiza que "no es admisible" que un ataque informático a una empresa de estas características, por muy previsible -y por tanto evitable- que sea, no pueda ser considerado como fuerza mayor, requisito para aplicar un ERTE.
Tampoco puede cuestionarse la existencia de fuerza mayor por el hecho de que el "suceso" no haya sido uno de los tradicionalmente considerados como tales, esto es, un incendio o un terremoto, pues la ley no exige que sea un suceso natural, remarca el Alto Tribunal.
La principal diferencia entre una causa de fuerza mayor y otra de tipo objetivo técnica "no está en la causalidad natural de la primera y humana en la segunda, sino en el hecho de que la fuerza mayor es un suceso externo, ajeno a la voluntad de la empresa y de carácter extraordinario, y la segunda es una causa introducida, favorecida o exigida por las circunstancias, pero siempre ordinaria y voluntaria", prosigue la sentencia.
La empresa puede haber previsto en su actividad ordinaria la existencia de un ciberataque (previsibilidad), pero hay algunos sucesos de este tipo que rebasan los tenidos en cuenta en el desenvolvimiento ordinario y, por ello, no pueden ser evitados (inevitabilidad). Por eso, si se trata de un suceso inevitable, "que rebasa los que pueden ser tenidos en cuenta en el curso normal de la vida de la empresa", se trata de un supuesto de fuerza mayor.
Se había previsto la posibilidad de un ciberataque
La compañía había previsto la posibilidad de un ciberataque, ya que disponía de las medidas de seguridad "necesarias y suficientes" para evitar un ataque de ciberseguridad y, pese a ellas, el mismo no pudo ser evitado. Los trabajadores no pudieron trabajar de forma efectiva, añade la Sala, ya que el hecho de estar a disposición no es equivalente a prestación de servicios, y lo relevante es aclarar si los trabajadores estuvieron en disposición de trabajar.
En ese caso concreto, el tiempo debería ser considerado tiempo efectivo de trabajo y, por tanto, retribuido, cosa distinta de si pudieron hacerlo de forma efectiva, que no fue el caso.
Comentarios