AN. El ataque informático a través de un virus ransomeware en una actividad empresarial que gravita sobre una arquitectura esencialmente digital puede subsumirse en el concepto de fuerza mayor

Fuerza mayor; ataque informático; empresas de arquitectura digital. Hombre encapuchado usando un portátil. Hacker, concepto de delito en internet

ERTE por fuerza mayor. Sector de contact center. Ataque informático a través de un virus ransomeware en una actividad empresarial que gravita sobre una arquitectura esencialmente digital.

El ataque informático por parte de terceros ajenos a la compañía en las condiciones señaladas (que se traduce en el secuestro de la información clave de la empresa, afectando de forma determinante a su operatividad) puede subsumirse en el concepto de fuerza mayor por lo siguiente: Primero, el origen humano del hecho obstativo no impide que pueda subsumirse un hecho imposibilitante en el concepto de fuerza mayor. Segundo, concurre una imposibilidad absoluta y objetiva sobre una de las prestaciones esenciales empresariales del contrato de trabajo (dar ocupación efectiva), ya que se ha producido la inutilización de servidores, sistemas electrónicos, computadoras (en número aproximado 1.200) e impresoras (afectando en un primer estadio, en la ejecución de 28 campañas - y a 1.192 empleados). Esta circunstancia no queda desvirtuada, por el informe de CGT cuyo contenido se incorpora parcialmente a la resolución de la directora general de trabajo, en el que se afirma que los empleados quedaron a disposición de la empresa, siendo ello elemento suficiente para impedir la suspensión de sus contratos. El argumento no es admisible, porque la mera manifestación de «disponibilidad» no es equivalente a la ocupación efectiva, cuando hay imposibilidad objetiva de prestar servicios laborales. Tercero, existe una relación causal entre el incumplimiento de la obligación y el hecho obstativo, ya que el ciberincidente sufrido en los sistemas ubicados en todas las sedes de la compañía impactó sobre todos los componentes que dependen de esta infraestructura y, en consecuencia, se resintió la prestación de servicios por la imposibilidad de los agentes de utilizar los programas computacionales para operar los servicios de contact center y gestión documental en todas las sedes. Cuarto, dado el nivel de diligencia preventiva adoptado por la demandante puede afirmarse que concurre la nota de inimputabilidad y (como mínimo) la de inevitabilidad. En este supuesto, pese a tratarse de un riesgo conocido (y, por ende, previsible), se dan suficientes elementos para entender que el nivel de diligencia empresarial para prevenir este riesgo ha sido el suficientemente elevado como para descartar que su conducta empresarial pueda calificarse como negligente (y por ello imputable). Especialmente porque las medidas que conforman la «Política de seguridad de la información» de la compañía constituyen medidas de precaución adecuadas dentro del grado de esfuerzo y coste de un «ordenado y diligente comerciante». Impugnación de la desestimación por silencio administrativo del recurso de alzada interpuesto por la empresa frente a la Resolución de la Dirección General de Trabajo por la que se denegaba la constatación de fuerza mayor en que se funda el ERTE. En el caso analizado, desde que se efectuó la solicitud de constatación de fuerza mayor el 21 de junio de 2021, hasta que se dictó resolución, el 15 de julio de 2021, transcurrieron un total de 18 días hábiles, y un total de 20 días hábiles hasta ser notificado, lo que excede, con creces el plazo de 5 días hábiles máximo para dictar resolución que habilita el artículo 33 del RD 1483/2012. Para la resolución denegatoria de la fuerza mayor se utilizó como elemento de justificación para la resolución extemporánea de la solicitud, el incidente de ciberseguridad sufrido a partir del día 9 de junio de 2021 por el Ministerio de Trabajo y Economía Social, que motivó el dictado de Resolución por parte de la Dirección General de Empleo, de fecha 16 de junio de 2021, por la que se ampliaban los plazos en el ámbito de actuación y funcionamiento hasta la resolución de las incidencias (8 de julio). Esto es, no se utilizó como argumento el posible retraso en que pudiera haber incurrido la Inspección de Trabajo en la evacuación de informe -que, entre otras cosas, no resultaría admisible dado que nada se comunicó a la demandante sobre la suspensión del plazo-, sino la cita expresa de la resolución de 16 de junio de 2021. Sin embargo, no puede excusar la administración su falta de resolución en el tiempo legalmente exigido sobre la base de tal fundamento, ya que si bien es cierto que el artículo 32.4 de la LPAC permite la suspensión y ampliación de plazos para resolver ante el acontecimiento de incidencia técnica, no es menos cierto que el mismo exige que la citada incidencia haya imposibilitado el funcionamiento ordinario del sistema o aplicación que corresponda. De esta forma, la existencia de actuaciones dentro del expediente anteriores a la citada fecha 8 de julio de 2021 revelan que, en el eventual caso de haber existido la incidencia que pretendidamente motiva la ampliación del plazo, esta no impedía el desarrollo de actividad en la Administración, sin que se presente prueba en contrario, por lo que la resolución dictada por la Administración debe entenderse extemporánea, debiendo aplicarse los efectos del silencio estimatorio, lo que implica la declaración de nulidad de la Resolución y la aprobación del ERTE por fuerza mayor por silencio administrativo positivo.

(SAN, Sala de lo Social, de 14 de marzo de 2022, núm. 37/2022)

Te puede interesar: