TS. Empresas digitales que sufren ataques informáticos. El Supremo confirma que cabe solicitar un ERTE por fuerza mayor, pudiendo la Administración resolver pasados 5 días en caso de incidencia técnica
Sector de contact center. Ataque informático a través de un virus ransomeware en una actividad empresarial que gravita sobre una arquitectura esencialmente digital. Solicitud de ERTE por fuerza mayor. Determinación de si se entiende estimada por silencio positivo al haber resuelto la Administración demandada más allá del plazo de 5 días legalmente establecido.
En el caso analizado, el Ministerio de Trabajo y Economía Social sufrió un ciberataque que afectó gravemente a sus servicios e imposibilitó su funcionamiento ordinario, de modo que hubo de dictar una Resolución ad hoc, de fecha 16 de junio de 2021, para ampliar los plazos administrativos, al amparo del artículo 32.4 de la LPACAP, ya que la incidencia técnica sufrida imposibilitaba el funcionamiento ordinario del sistema, sin que el mero hecho de que el Registro General del Ministerio pudiera funcionar de forma aislada (como, por ejemplo, el 3 de julio, al que se refiere la Sentencia recurrida), convierta a ese hecho aislado en una regla general de funcionamiento ordinario de todos los servicios. No hay que olvidar que la ampliación de los plazos regulada en el artículo 32 de la LPACAP tiene un régimen jurídico distinto en función de si la misma deriva o no de un incidente técnico. En el artículo 32.1 se regula la ampliación por circunstancias que lo aconsejen, lo que requiere la notificación a los interesados. Pero si la ampliación deriva de una incidencia técnica, el artículo 32.4 solo exige la publicación en la sede electrónica, tanto de la incidencia técnica acontecida como de la ampliación concreta del plazo no vencido, ya que, en este caso, a tenor de lo dispuesto en la propia LPACAP, la ampliación perdura hasta que se resuelva el problema. En cualquier caso, si accedemos a la sede electrónica del Ministerio de Trabajo, comprobamos como consta la publicación de la incidencia y, también, la determinación de la ampliación concreta del plazo no vencido: desde el 16 de junio hasta el 8 de julio. Así, pues, la Resolución ampliatoria de 16 de junio de 2021 (no impugnada, ni impugnable, en este proceso ante el orden social), determinó con total licitud que la ampliación de los plazos no vencidos alcanzara hasta que se solucionase el problema. Por consiguiente, no cabe en modo alguno entender que la Administración dictó su resolución fuera de plazo y que, por ende, la empresa haya visto estimada por silencio positivo su solicitud de ERE por fuerza mayor. No obstante, entrando en el fondo del asunto en relación con la existencia de causa de fuerza mayor, la afirmación de que un ataque de ciberseguridad sufrido por una empresa, cuya prestación se desarrolla mediante el uso de sistemas informáticos, software, aplicaciones, etc., no pueda ser calificado de fuerza mayor, sino en todo caso una causa técnica o productiva, no es admisible, pues el hecho de que sea previsible un ataque de este tipo en una empresa cuyos medios materiales son esencialmente digitales, como lo son los ordenadores, no lo convierte en evitable. Tampoco puede cuestionarse la existencia de fuerza mayor por el hecho de que el suceso no haya sido uno de los tradicionalmente considerados como tales, esto es, un incendio o un terremoto, pues el artículo 1.105 del CC no exige que sea un suceso natural, puede ser de otro tipo, atendida la realidad social en la que nos hallamos, una sociedad tecnológica, donde los sucesos pueden ser provocados por la acción del hombre. En ese sentido, la principal diferencia entre una causa de fuerza mayor y otra de tipo objetivo o técnica no está en la causalidad natural de la primera y humana en la segunda, sino en el hecho de que la fuerza mayor es un suceso externo, ajeno a la voluntad de la empresa y de carácter extraordinario, y la segunda es una causa introducida, favorecida o exigida por las circunstancias, pero siempre ordinaria y voluntaria. La empresa puede haber previsto en su actividad ordinaria la existencia de un ciberataque (previsibilidad), pero hay algunos sucesos de este tipo que rebasan los tenidos en cuenta en el desenvolvimiento ordinario y, por ello, no pueden ser evitados (inevitabilidad). Por eso, si se trata de un suceso inevitable, que rebasa los que pueden ser tenidos en cuenta en el curso normal de la vida de la empresa, estaremos ante un supuesto de fuerza mayor. Por otro lado, el hecho de que los trabajadores hubieran estado en todo momento a disposición de la empresa, ya sea presencialmente o teletrabajando, informando sobre sus descansos, comienzo y final de la jornada, así como de citas médicas para poder ausentarse de su puesto de trabajo, de ello no cabe concluir que existiera efectiva prestación de servicios. En definitiva, se acredita la producción del suceso de carácter ajeno a la empresa, su inevitabilidad, así como una efectiva imposibilidad de trabajar. Como consecuencia de cuanto precede se impone la estimación parcial del recurso, considerando que no hubo silencio positivo, pero en cuanto al fondo, procede confirmar la decisión de instancia que apreció la existencia de fuerza mayor. (Vid. SAN, Sala de lo Social, de 14 de marzo de 2022, núm. 37/2022, casada y anulada en parte por esta sentencia).
(STS, Sala de lo Social, de 11 de junio de 2024, rec. núm. 144/2022)
Te puede interesar:
- AN. El ataque informático a través de un virus ransomeware en una actividad empresarial que gravita sobre una arquitectura esencialmente digital puede subsumirse en el concepto de fuerza mayor
- AN. Fuerza mayor. Solicitud de suspensión de contratos por sufrir la empresa un ciberataque. No puede denegarse por la autoridad laboral bajo el pretexto de que no se trata de un acontecimiento imprevisible e inevitable