La Sala de lo Social del Tribunal Supremo, en sentencia de 11 de junio de 2024, fija que un ciberataque sufrido por una empresa cuya prestación de servicios se desarrolla mediante el uso de sistemas informáticos puede ser calificado como fuerza mayor. Por lo tanto, la empresa puede solicitar un ERTE.
El Alto Tribunal descarta los argumentos de la parte sindical, que consideraban que solo se debía calificar como ERTE por causas ETOP, en concreto, técnica o productiva y no por fuerza mayor. Esta negativa se basa en la consideración de que, aunque sea previsible no lo convierte en evitable. En este caso, el Ministerio de Trabajo y Economía Social fue quien sufrió el ciberataque de un servicio atendido por Ilunion Contact Center.
La ponente, la Excma. Sra. Magistrada Dña. María Luz García Paredes, hace un repaso a la jurisprudencia del Alto Tribunal, destacando la sentencia de la propia Sala de 22 de septiembre (RC 75/2021), que dice: "Con carácter general, el concepto de fuerza mayor debe ser entendido como un acontecimiento externo al círculo de la empresa y del todo independiente de la voluntad del empresario, que, a su vez, sea imprevisible". Menciona la sentencia de 25 de julio de 1989, que indica que "sobre todo, se trate de un acontecimiento no definitivo o sin vocación de permanencia que conlleve una simple imposibilidad temporal de que la prestación laboral se lleve a cabo". Se trataría, en suma, de una imposibilidad temporal y sobrevenida de la prestación de servicios no imputable ni atribuible al empleador.
Por otra parte, la magistrada recuerda la sentencia de la sala 22 de julio de 2015 (Recurso: 4/2012), en la que se afirma que: "En su consecuencia, y como corolario de todo lo expuesto, ha de entenderse por fuerza mayor y, por ende, por 'situación extraordinaria', un acontecimiento externo al círculo de la empresa, absolutamente independiente de la voluntad de esta, que sea imprevisible o, siendo previsible, sea inevitable, requisitos estos que no concurren en el presente caso".
Tampoco puede cuestionarse la existencia de fuerza mayor por el hecho de que el "suceso" no haya sido uno de los tradicionalmente considerados como tales, es decir, un incendio o un terremoto, pues el art. 1105 del Código Civil no exige que sea un suceso natural; puede ser de otro tipo, atendida la realidad social en la que nos hallamos, una sociedad tecnológica donde los sucesos pueden ser provocados por la acción del hombre.
La principal diferencia entre una causa de fuerza mayor y otra tipo ETOP no radica en la causalidad natural de la primera y humana en la segunda, sino en el hecho de que la fuerza mayor es un suceso externo, ajeno a la voluntad de la empresa y de carácter extraordinario, mientras que la segunda es una causa introducida, favorecida o exigida por las circunstancias, pero siempre ordinaria y voluntaria.
La empresa puede haber previsto en su actividad ordinaria la existencia de un ciberataque (previsibilidad), pero hay algunos sucesos de este tipo que rebasan los tenidos en cuenta en el desenvolvimiento ordinario y, por ello, no pueden ser evitados (inevitabilidad). Por eso, si se trata de un suceso inevitable que rebasa los que pueden ser tenidos en cuenta en el curso normal de la vida de la empresa, estaremos ante un supuesto de fuerza mayor.
En definitiva, recogiendo los criterios de la Sala Primera, por fuerza mayor debe entenderse "aquellos hechos que, aun siendo previsibles, sean sin embargo inevitables, insuperables e irresistibles, siempre que la causa que los motive sea independiente y extraña a la voluntad del sujeto obligado". También se ha hecho referencia a este elemento como "sucesos imprevistos e inevitables que rebasan los tenidos en cuenta en el curso normal de la vida y extraños al desenvolvimiento ordinario de un proceso industrial".
Evalúa la ponente que, en el terreno de lo inevitable, los hechos probados demuestran que la empresa había previsto la posibilidad de un ciberataque, ya que disponía de las medidas de seguridad necesarias y suficientes para evitarlo.
Pese a estas medidas, el ataque no pudo ser evitado, como lo demuestra el informe técnico aportado.
Resulta muy interesante la valoración que realiza la sentencia sobre los argumentos de CGT, que defendía que el suceso se habría evitado de haber tenido una copia de seguridad o un segundo CPD. Sin embargo, la sala concluye que lo cierto es que, como consta probado, el 'ransomware' es un programa de software malicioso que puede infectar un equipo o una red, cifrando la información, y que los métodos de entrada de este malware son variados: mediante un enlace malicioso en una página web o la infección de un fichero compartido, siendo el más habitual el 'phishing', es decir, a través de los ordenadores de los propios usuarios, en este caso, trabajadores.
El hecho de estar a disposición no es equivalente a prestación de servicios. Lo que aquí procede analizar es si realmente existió la imposibilidad de trabajar, no si los trabajadores estuvieron en disposición de trabajar, lo que en todo caso podría determinar que ese tiempo debería ser considerado tiempo efectivo de trabajo y, por tanto, retribuido, lo que es distinto a la cuestión que ahora nos ocupa, que es determinar si pudieron trabajar de forma efectiva.
Con respecto a los plazos, la sentencia estima que no cabe en modo alguno entender que la Administración dictó su resolución fuera de plazo y que, por ende, la empresa haya visto estimada por silencio positivo su solicitud de ERE por fuerza mayor. La ampliación de los plazos viene regulada en el artículo 32 de la Ley del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP) y tiene un régimen jurídico distinto en función de si la misma deriva o no de un incidente técnico.
En el artículo 32.1 se regula la ampliación por circunstancias que lo aconsejen, lo que requiere la notificación a los interesados. Pero si la ampliación deriva de una incidencia técnica, el artículo 32.4 solo exige la publicación en la sede electrónica tanto de la incidencia técnica acontecida como de la ampliación concreta del plazo no vencido, ya que, en este caso, a tenor de lo dispuesto en la propia LPACAP, la ampliación perdura hasta que se resuelva el problema.
