Una sentencia de la Audiencia Nacional abrió la posibilidad de aplicar un expediente de regulación temporal de empleo cuando una empresa se ve comprometida por un ‘hackeo’ y no puede continuar su actividad con normalidad.

El 9 de marzo de 2021, una mañana rutinaria en el Servicio Público de Empleo Estatal de España, se convirtió en una jornada de caos y confusión. Un sofisticado ataque de ransomware Ryuk paralizó sus sistemas informáticos, bloqueando el acceso a su página web y deteniendo la gestión de prestaciones por desempleo a nivel nacional. El impacto fue inmediato: miles de citas retrasadas y beneficiarios enfrentando incertidumbre sobre sus prestaciones.
En los días siguientes, los técnicos del SEPE trabajaron incansablemente para recuperar el control. El 11 de marzo lograron reabrir parcialmente el portal web, y para el 15, el sistema de cita previa volvió a estar operativo. Sin embargo, no fue hasta el 20 de abril, más de un mes después, cuando el incidente se consideró totalmente resuelto, aunque aún quedaba trabajo por hacer.
Este ciberataque no solo expuso las vulnerabilidades críticas de una entidad gubernamental, sino que también sirvió de advertencia sobre los potenciales riesgos laborales y legales de tales incidentes en el ámbito empresarial.
Desde una perspectiva laboral, ¿qué ocurre cuando una empresa se ve comprometida por una brecha en sus sistemas de protección y no puede continuar su actividad con normalidad?
La sentencia núm. 37/2022 de la Audiencia Nacional de 14 de marzo de 2022 abordó un caso de hackeo a una organización. En contra del criterio de la Dirección General de Trabajo y la Inspección de Trabajo y Seguridad Social, esta sentencia estableció que un ciberataque podría considerarse un caso de fuerza mayor para aplicar un expediente de regulación temporal de empleo, según lo establecido en el artículo 47.5 del Estatuto de los Trabajadores.
El concepto clásico de fuerza mayor se ha venido asociando por la jurisprudencia con la existencia de un acaecimiento externo del círculo de la empresa y del todo independiente de la voluntad del empresario, que ahonda en la idea de lo extraordinario, catastrófico o desacostumbrado, normalmente insólito, y por ello, no razonablemente previsible, siendo la desconexión entre el evento dañoso y el área de actuación de la empresa, lo que explica y justifica la suspensión de la actividad empresarial.
Por tanto, y conforme se fundamenta en la sentencia de la Audiencia Nacional, entendemos que no todo hackeo permite aplicar un ERTE de fuerza mayor, pero sí en situaciones donde:

  1. El ataque informático, dirigido por terceros ajenos a la entidad, excede la previsibilidad, evitabilidad y control del empresario. Es decir, los medios, controles, políticas y sistemas de seguridad de la empresa deberían ser adecuados para evitar este tipo de incidentes, conforme a lo esperado de un empresario ordenado y diligente. Como indica la sentencia: «(…) no puede afirmarse que un ataque informático ni la afectación de un virus sean circunstancias totalmente imprevisibles (y el ransomware tampoco) (…). Sin embargo, en este caso concreto, los factores suficientes demuestran que el nivel de diligencia empresarial para prevenir este riesgo ha sido adecuado».
  2. La actividad de la empresa es mayormente digital o una parte importante de la misma se ve afectada por el daño informático sufrido.
  3. Los efectos prolongados de los ciberataques son la causa de que no se pueda prestar el servicio con normalidad, garantía y seguridad. Esto significa que existe una relación de causalidad entre el ataque informático sufrido por la empresa y la imposibilidad de dar ocupación efectiva a los trabajadores.
  4. Se aplica solo para el colectivo de trabajadores que no puede desarrollar su actividad, de forma absoluta y objetiva, ni se les puede dotar de ocupación efectiva porque no se ha restaurado la normalidad y seguridad informática.
  5. En conclusión, la convergencia de los ciberataques y el marco legal de los ERTE de fuerza mayor abre un campo aún poco explorado, que exige un mayor enfoque y entendimiento. Con la ciberseguridad transformándose en un elemento esencial para la continuidad del negocio, resulta fundamental que la legislación laboral se adapte a las nuevas complejidades de este entorno digital.

Las empresas no solo deben reforzar sus sistemas de seguridad informática, sino también entender a fondo las consecuencias legales de los ciberataques en el contexto laboral. Un conocimiento comprensivo de esta realidad permitirá una preparación más efectiva y una respuesta más acertada en situaciones críticas, lo que permitirá salvaguardar tanto a las organizaciones como a sus empleados. Adaptarse a este escenario no representa únicamente un desafío de resiliencia empresarial, sino una obligación legal y ética que moldeará el futuro del trabajo en la era digital.

En un mundo donde la dependencia de los sistemas digitales es cada vez mayor, las empresas y entidades públicas se ven obligadas a navegar en un mar de riesgos cibernéticos. La digitalización acelerada y el creciente enfoque en la seguridad de la información han aumentado la conciencia sobre la necesidad de proteger los datos. Sin embargo, esto también ha intensificado el interés de los piratas informáticos por acceder a esta información, lo que subraya la necesidad imperativa de una legislación laboral adaptativa, capaz de responder a las complejas interacciones entre ciberseguridad y derecho laboral.

Leticia Valle

Departamento de Derecho Laboral de Garrigues