AN. Fuerza mayor. Solicitud de suspensión de contratos por sufrir la empresa un ciberataque. No puede denegarse por la autoridad laboral bajo el pretexto de que no se trata de un acontecimiento imprevisible e inevitable
Fuerza mayor. Solicitud de suspensión de contratos por un ataque informático. Inutilización de servidores, sistemas electrónicos, computadoras e impresoras. Denegación por la autoridad laboral por no tratarse de un acontecimiento imprevisible e inevitable.
Evidentemente los ataques informáticos no pueden ser considerados acontecimientos imprevisibles, pues su existencia está a la orden del día, pero el artículo 1105 del CC no aprecia la fuerza mayor en la concurrencia de imprevisión e inevitabilidad, sino que la califica como la consistente en aquellos sucesos que no hubieran podido preverse, o que, previstos, fueran inevitables. Por tanto, lo que debe analizarse es si el previsible ataque informático resultaba inevitable. La evitabilidad o inevitabilidad de un suceso, al igual que acontece con los accidentes de trabajo, no impone la consecución necesaria de un resultado, en este caso que el ataque informático sea siempre neutralizado (como tampoco la legislación impone la obligación de que no se produzca un accidente laboral), sino que se hayan adoptado todas las medidas preventivas disponibles para su neutralización. Y en el presente caso la prueba practicada es demostrativa de que la empresa contaba con toda una serie de medios para atajar estos ataques, en lo racionalmente posible y conforme a los conocimientos técnicos normalizados. Así, a nivel organizativo, cuenta con un entramado de políticas, normas y procedimientos de seguridad que establecen las pautas para actuar de forma segura en torno a la información. Existen, asimismo, controles que regulan la seguridad en la operativa diaria sobre los sistemas de información, que comprenden la asignación nominativa de usuarios con exigencia de contraseñas complejas para su login; revisión periódica de los permisos y privilegios de los usuarios, con énfasis en aquellos usuarios administradores; segmentación de redes destinadas a servicios diferenciados; gestión de conexiones remotas seguras; programa antivirus actualizado (Kaspersky) en todos los equipos, gestionado de forma centralizada; realización periódica de copias de seguridad y almacenamiento en lugares seguros. En este contexto, no se aprecia una conducta defectuosa en sus obligaciones preventivas en materia de seguridad informática, por lo que debemos concluir que pese a las adecuadas medidas que se adoptaron por la compañía el ataque tuvo lugar. Ataque que resultó ser de la suficiente sofisticación, al punto de no haberse podido aún acreditar pese a los informes técnicos y del UCO cuál fue el mecanismo de entrada del virus en la intranet de la empresa.
(SAN, Sala de lo Social, de 26 de mayo de 2023, núm. 67/2023)
Te puede interesar:
- TS. Es improcedente y no nulo el despido objetivo sin causa acreditada asociado a la pandemia
- TS. Fuerza mayor derivada de las consecuencias de la COVID-19. La omisión del trámite de audiencia y de la apertura de un periodo de prueba no son irregularidades del procedimiento administrativo que aboquen a la nulidad de la resolución
- AN. El ataque informático a través de un virus ransomeware en una actividad empresarial que gravita sobre una arquitectura esencialmente digital puede subsumirse en el concepto de fuerza mayor