{"id":1057,"date":"2022-03-22T17:35:55","date_gmt":"2022-03-22T16:35:55","guid":{"rendered":"https:\/\/www.transformaw.com\/blog\/?p=1057"},"modified":"2022-06-15T11:34:42","modified_gmt":"2022-06-15T09:34:42","slug":"los-ciberataques-en-entornos-de-trabajo-digitalizados-fuerza-mayor-o-riesgo-previsible-y-evitable-con-la-debida-diligencia-de-ciberseguridad","status":"publish","type":"post","link":"https:\/\/www.transformaw.com\/blog\/los-ciberataques-en-entornos-de-trabajo-digitalizados-fuerza-mayor-o-riesgo-previsible-y-evitable-con-la-debida-diligencia-de-ciberseguridad\/","title":{"rendered":"Los ciberataques en entornos de trabajo digitalizados: \u00bfFuerza Mayor o riesgo previsible y evitable con la debida diligencia de ciberseguridad?"},"content":{"rendered":"\n

Crist\u00f3bal Molina Navarrete.
Catedr\u00e1tico de Derecho del Trabajo y de la Seguridad Social.
Universidad de Ja\u00e9n.<\/em><\/p>\n\n\n\n\n\n\n\n

\n\n\n\n

1.Sufrir un ciberataque<\/strong> en un dispositivo electr\u00f3nico, personal o empresarial, est\u00e1 a la orden del d\u00eda y se ha convertido en una \u201criesgo tecnol\u00f3gico y social global\u201d propio de la era digital<\/strong><\/a>. <\/strong>Por lo tanto, toda persona, no solo empresas e instituciones, debemos aprender a convivir con este t\u00edpico riesgo tecnol\u00f3gico, inherente a nuestro tiempo, y prepararnos para evitar, o al menos reducir, dentro de lo posible y razonable, seg\u00fan las competencias digitales (capacidades) de cada cual, las consecuencias m\u00e1s nocivas. Los delitos inform\u00e1ticos se incrementan exponencialmente a\u00f1o tras a\u00f1o, aunque, seg\u00fan se reflejar\u00eda en ciertos informes y constatan especialistas del sector, a menudo este tipo de ciberataques no se denuncian. Un buen n\u00famero de empresas atacadas, para no perder valor reputacional (por la p\u00e9rdida de confianza en la clientela que puede representar), prefieren silenciarlo<\/strong><\/a>.<\/p>\n\n\n\n

La probabilidad de ataques inform\u00e1ticos no se da solo en tiempos de guerra, aunque en las actuales sea una pieza importante, como en la invasi\u00f3n de Ucrania por una b\u00e1rbara decisi\u00f3n rusa<\/strong><\/a>. Que no hay persona o instituci\u00f3n a salvo del riesgo de sufrir ciberdelincuencia lo evidencia, entre otros, el \u201chackeo\u201d al Ministerio de Trabajo<\/strong><\/a>, <\/strong>uno m\u00e1s de una larga lista en la que estuvo tambi\u00e9n <\/strong>el ciberataque al Servicio Estatal P\u00fablico de Empleo <\/strong>(SEPE)<\/a>, que dej\u00f3 de estar disponible varias semanas y retras\u00f3, en plena pandemia, la gesti\u00f3n de medidas como los Expedientes de Regulaci\u00f3n de Empleo (ERTE). En ambos casos el ciberataque fue con un virus inform\u00e1tico tipo ransomware<\/em> y denominado Ryuk<\/strong><\/a>. Los ingresos que genera el uso de este c\u00f3digo inform\u00e1tico v\u00edrico o malicioso no ha dejado de crecer con el tiempo (los desembolsos por estas extorsiones son de 100.000 euros de media y se han triplicado en un a\u00f1o).<\/p>\n\n\n\n

\n\n\n\n

2.<\/strong><\/strong>Conviene advertir que una \u201cfuga o brecha de seguridad\u201d respecto de los datos personales puede tener graves consecuencias econ\u00f3micas, adem\u00e1s, para las empresas, que est\u00e1n obligadas a mantener una elevada diligencia de ciberseguridad a tales fines, seg\u00fan el art. 32 del Reglamento<\/strong><\/a> 2016\/679\/UE, del Parlamento Europeo y del Consejo de 27 de abril DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril, relativo a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales (RGPD). En este precepto (y en el art. 9.1 LOPDGDD<\/strong><\/a>) se establece que, atendiendo al estado de la tecnolog\u00eda, costes de aplicaci\u00f3n, alcance, contexto y fines del tratamiento de datos, \u201cas\u00ed como los riesgos de probabilidad y gravedad variables para los derechos y libertades\u201d, la empresa responsable del tratamiento estar\u00e1 obligada a aplicar \u201cmedidas t\u00e9cnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo\u2026\u201d. Seg\u00fan su apartado 3, la adhesi\u00f3n a un c\u00f3digo de conducta (art. 40 RGPD) o a un mecanismo de certificaci\u00f3n (art. 42 RGPD) podr\u00e1 servir de elemento para demostrar el cumplimiento. Precisamente, la STS, 3\u00aa, 188\/2022, de febrero<\/strong><\/a> <\/strong>ha confirmado la sanci\u00f3n a la empresa, de 40.000 euros, porque:<\/p>\n\n\n\n

\u00abel programa utilizado para la recogida de los datos de los clientes no conten\u00eda ninguna medida de seguridad que permitiese comprobar si la direcci\u00f3n de correo electr\u00f3nico introducida era real o ficticia y si realmente pertenec\u00eda a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello\u201d<\/p>\n\n\n\n

En suma, si la ciberdelincuencia tiende a desplegarse ahora como una aut\u00e9ntica \u201cprofesi\u00f3n\u201d (a\u00fan ilegal), su contrapartida, la ciberseguridad, se ha convertido tanto en un nuevo sector de negocio creciente y con altos rendimientos como en un yacimiento de empleo cualificado. No por casualidad la ciberseguridad es una de las profesiones que m\u00e1s se demandan desde hace varios a\u00f1os<\/strong><\/a>.<\/strong><\/p>\n\n\n\n

\n\n\n\n

3.<\/strong><\/strong><\/strong>En definitiva, el riesgo de ataque v\u00edrico inform\u00e1tico a empresas, organizaciones p\u00fablicas y personas existe, gana presencia en una econom\u00eda y sociedad digitalizadas, se conocen medidas tecnol\u00f3gico-organizativas para poder combatirlo con razonable \u00e9xito y existe obligaci\u00f3n de las empresas que trabajen habitualmente con estos dispositivos de establecerlas. \u00bfEn este escenario actual podr\u00eda tenerse un ataque cibern\u00e9tico a una empresa como un riesgo imprevisible e\/o inevitable, esto es una fuerza mayor a los efectos de solicitar un ERE<\/strong>? A mi juicio dif\u00edcilmente, pero la Audiencia Nacional, en una reciente sentencia (SAN 37\/2022, de 14 de marzo<\/strong><\/a>), parece entender que s\u00ed. En ella da la raz\u00f3n a varias empresas de \u201cContact Center\u201d del Grupo Ilunion, validando sendos ERTE presentados \u2013de forma pionera- por fuerza mayor (ERTE\/FM) a causa de un ciberataque en el verano del a\u00f1o pasado. De este modo, estima el recurso interpuesto por la empresa contra las decisiones de la autoridad laboral de rechazarlos.<\/p>\n\n\n\n

Brevemente, los hechos fueron los siguientes. Las empresas presentaron ERTE por FM ex art. 47 ET como consecuencia del ciberataque sufrido con un virus inform\u00e1tico de tipo \u201cmalware<\/a>\u201d (denominaci\u00f3n gen\u00e9rica de un software que interfiere con el prop\u00f3sito de da\u00f1ar a la persona o empresa usuaria). Como consecuencia, se habr\u00edan visto afectados todos los componentes que dependen de esta infraestructura, las personas trabajadoras de las distintas sociedades estar\u00edan imposibilitadas para utilizar los programas computaciones para operar los servicios de Contact Center y gesti\u00f3n documental para prestar servicios. El virus pudo entrar en su sistema a trav\u00e9s de un enlace malicioso en una web, la infecci\u00f3n de un fichero compartido o con phishing<\/em><\/strong><\/a>.<\/em><\/strong><\/p>\n\n\n\n

El Ministerio de Trabajo y Econom\u00eda Social dej\u00f3 sin efecto sendos ERTE\/FM, presentados por las empresas ILUNION CONTACT CENTER<\/strong><\/a> e ILUNION CONTACT CENTER Centro Especial de Empleo <\/strong>(CEE)<\/a>, ambas del GRUPO ILUNION, el 21 de junio de 2021. Afectaban durante m\u00e1s de 2 meses de verano a un total de 1856 personas (60% de la plantilla). En ambas resoluciones daba raz\u00f3n a los planteamientos sindicales<\/strong><\/a>. En s\u00edntesis, se resaltaba que las empresas no hab\u00edan acreditado el ciberataque, ofreciendo \u00fanicamente documentos de parte (conversaciones con la compa\u00f1\u00eda que da soporte a la empresa). Adem\u00e1s, seg\u00fan el criterio de la ITSS, una empresa perteneciente al sector de las telecomunicaciones, que depende de las novedades inform\u00e1ticas, deber\u00eda asumir lo ciberataques como un t\u00edpico riesgo de gesti\u00f3n telem\u00e1tica, estableciendo las medidas de gesti\u00f3n preventiva adecuadas para garantizar un entorno laboral digital ciberseguro. Un riesgo a tener especialmente en cuenta en el teletrabajo. La certificaci\u00f3n ISO en t\u00e9cnicas de seguridad, como la ISO 2701<\/strong><\/a> y la p\u00f3liza de ciberseguridad contratada en le empresa as\u00ed lo acreditar\u00eda.<\/p>\n\n\n\n

En suma, para la autoridad laboral, se tratar\u00eda de un riesgo previsible y, con la debida diligencia de ciberseguridad, evitable dentro de los procedimientos y protocolos establecidos a tal fin en la empresa. Por lo tanto, no dar\u00eda lugar a una situaci\u00f3n de FM. Adem\u00e1s, la autoridad constata que las personas trabajadoras estuvieron a disposici\u00f3n de la empresa (obligaci\u00f3n de permanecer pendientes de sus equipos), presencialmente o teletrabajando. No obstante, que un ataque viral inform\u00e1tico no sea FM (impropia o fabricada socialmente) que imposibilite su actividad s\u00ed:<\/p>\n\n\n\n

\n
<\/div>\n

\u201c\u2026puede suponer una situaci\u00f3n de car\u00e1cter negativo derivada de causas t\u00e9cnicas conforme al art\u00edculo 47 ET<\/strong>, lo que podr\u00eda dar lugar, en su caso, a la adopci\u00f3n de medidas de suspensi\u00f3n del contrato de trabajo de las personas trabajadoras indicadas por la empresa, pero por causas tecnol\u00f3gicas\u201d (ERTE-CETOP).<\/p>\n

<\/div>\n<\/div>\n\n\n\n
\n\n\n\n

4.<\/strong><\/strong><\/strong>No opina lo mismo la sala social de la AN. A su juicio, de un lado, s\u00ed hubo FM, al ser \u00abacontecimiento externo al c\u00edrculo de la empresa\u2026independiente de la voluntad del empresario (e) imprevisible\u00bb. De otro, que las personas trabajadoras manifiesten su voluntad de realizar la actividad deviene \u201cmero deseo\u201d ante la concurrencia de \u00abuna causa ajena a voluntad\u2026que lo impide\u00bb. Para la Sala, el virus inutiliz\u00f3 gravemente los equipos de trabajo, impidiendo su uso (la empresa suspendi\u00f3 28 campa\u00f1as tras recibirlo, apagando el centro de datos para evitar la propagaci\u00f3n), siendo \u201cesencialmente digital\u201d. Y aunque la empresa lo preve\u00eda en su sistema, certificado internacionalmente, de gesti\u00f3n de seguridad de la informaci\u00f3n, result\u00f3 inevitable pese a adoptar las \u00abmedidas de seguridad razonables para la evitaci\u00f3n del riesgo\u00bb.<\/p>\n\n\n\n

No es la primera vez que un tribunal reconduce los ciberataques, y los apagones digitales que generan, a la fuerza mayor (\u201cfabricada\u201d o cultural, \u201cnatural\u201d). As\u00ed fue el caso, en el orden civil, de la SAP Valladolid 296\/2017, 12 de septiembre<\/strong><\/a>. En este caso, una persona no pudo comparecer en juicio, porque su procuradora no le pudo remitir la informaci\u00f3n correspondiente porque el correo en el que aparec\u00eda llevaba un virus que encriptaba toda la informaci\u00f3n que encontraba a su paso en el sistema (\u201ccryptolocker<\/a><\/em>\u201d). Una situaci\u00f3n calificada por la AP -revocando la sentencia de instancia-:<\/p>\n\n\n\n

\n
<\/div>\n

\u201cuna causa de fuerza mayor<\/strong>, ajena a dicha parte y que mal pudo evitar, que ha impedido le fuera debidamente notificado<\/strong>\u2026, defecto de forma\u2026sustancial que le ha irrogado indefensi\u00f3n, ved\u00e1ndole\u2026acudir al actor a juicio\u2026\u201d (FJ Segundo)<\/p>\n

<\/div>\n<\/div>\n
<\/div>\n\n\n\n

En sentido an\u00e1logo, la STSJ Comunidad Valenciana, contencioso-administrativa, 1991\/2020, 3 de diciembre<\/strong><\/a>. <\/strong>La sentencia estima parcialmente el recurso empresarial. En el caso contra las resoluciones del TEARCV (Tribunal Econ\u00f3mico Administrativo de la Comunidad Valenciana que se desestiman las reclamaciones econ\u00f3mico-administrativas interpuestas contra las sanciones por falta de aportaci\u00f3n de la documentaci\u00f3n aduanera relativa a los correlativos contenedores exportados por la empresa.<\/p>\n\n\n\n

Para la sala contenciosa valenciana un ciberataque que afecta al sistema de todas las compa\u00f1\u00edas del Grupo a nivel mundial, que provoc\u00f3 la p\u00e9rdida de toda la informaci\u00f3n, tanto a nivel documental como operacional, haciendo imposible el acceso a ella (apag\u00f3n digital) y, en consecuencia, al sistema de notificaciones de la Administraci\u00f3n aduanera, puede ser constitutivo de fuerza mayor, entre otras cosas porque as\u00ed fue valorada por la propia Administraci\u00f3n aduanera (se ve que la autoridad laboral tiene criterio distinto). Esta -quedando constatado el ciberataque como hecho no controvertido- le ofreci\u00f3 a la empresa un procedimiento alternativo a la notificaci\u00f3n electr\u00f3nica de los listados de cargas, a fin de que pudiera cumplir con sus obligaciones aduaneras hasta la completa recuperaci\u00f3n de la normalidad. Ahora bien, la sentencia entiende que el ciberataque no puede justificar toda omisi\u00f3n empresarial de estas obligaciones, pues:<\/p>\n\n\n\n

\n
<\/div>\n

\u201cLa aduana\u2026adopt\u00f3 como \u00abmedida alternativa\u00bb, para solventar la situaci\u00f3n del ciberataque, la entrega de listas de carga previas al embarque y la [empresa] no cumpli\u00f3 con dicha exigencia en el caso de 305 contenedores, sin que haya resultado objetivada la concurrencia de fuerza mayor que justifique el incumplimiento\u2026\u201d<\/strong> (FJ 4)<\/p>\n

<\/div>\n<\/div>\n
<\/div>\n\n\n\n
\n\n\n\n

5.<\/strong><\/strong><\/strong>Vemos, pues, c\u00f3mo los ciberataques v\u00edricos van ganando presencia en la vida econ\u00f3mica y empresarial (adem\u00e1s de individual y social). Los creciente conflictos que genera son afrontados por los tribunales como fuente de causas de fuerza mayor, a fin de liberar de los incumplimientos de las obligaciones empresariales imposibilitados por los apagones inform\u00e1ticos. Ahora bien, su intensidad, e incluso inevitabilidad, no exime de una deber de diligencia preventiva especial [y prueba de la relaci\u00f3n de causalidad entre el incumplimiento y el ciberataque como hecho obstativo], si hay alternativas factibles. La citada STS, 3\u00aa, 188\/2022, 15 de febrero considera que la obligaci\u00f3n de adoptar las medidas necesarias para garantizar la seguridad de la informaci\u00f3n no es:<\/p>\n\n\n\n

\n
<\/div>\n

\u00abuna obligaci\u00f3n de resultado, sino una obligaci\u00f3n de medios<\/a>\u00bb.<\/p>\n

<\/div>\n<\/div>\n
<\/div>\n\n\n\n

En el caso contencioso-administrativo, precisamente por no constatarse que la empresa desplegara ese deber de conducta diligente se condena a la empresa. Esta no puede eludir su responsabilidad imputando el fallo del sistema a un error humano, de una persona empleada. <\/strong>Aunque esta s\u00ed pueda ser sancionada disciplinariamente si se entiende que ha incurrido en negligencia a la hora de afrontar su propio deber de actuar de conformidad con las instrucciones de ciberseguridad<\/strong><\/a> recibidas).<\/p>\n\n\n\n

La SAN 37\/2022, de 14 de marzo s\u00ed considera diligente la acci\u00f3n realizada por la empresa para evitar, no el ciberataque (resultado lesivo constatado), pero s\u00ed sus efectos m\u00e1s nocivos, exigi\u00e9ndole un apag\u00f3n informativo para evitar la propagaci\u00f3n, con lo que se hizo objetivamente imposible la prestaci\u00f3n. De ah\u00ed, a su entender, la validez y eficacia del ERTE\/FM, cuyos beneficios sociales son superiores, como se sabe, al ERTE-CETOP.  Veremos si el TS, sala social, es de la misma opini\u00f3n (sin duda discutida y discutible) que la AN, en el seguro recurso de casaci\u00f3n que sindicalmente se plantear\u00e1, por cuanto han sido muy cr\u00edticos con este tratamiento jurisdiccional de la cuesti\u00f3n.<\/p>\n\n\n\n

\n\n\n\n

6.<\/strong><\/strong><\/strong>No podemos profundizar m\u00e1s aqu\u00ed en tan sugerente e innovadora decisi\u00f3n. Solo realizaremos una \u00faltima anotaci\u00f3n con car\u00e1cter general sobre la transcendencia que, d\u00eda a d\u00eda, y crisis tras crisis, transici\u00f3n tras transici\u00f3n, transformaci\u00f3n tras transformaci\u00f3n est\u00e1n adquiriendo los mecanismos ERTE, en especial por fuerza mayor (pandemia, crisis energ\u00e9tica, la erupci\u00f3n del volc\u00e1n de La Palma, la tormenta Filomena, transici\u00f3n digital, cambio clim\u00e1tico, guerra de Rusia contra Ucrania y su impacto econ\u00f3mico global, etc.). El concepto de FM cada vez se separa m\u00e1s de \u201cfuentes naturales\u201d (cat\u00e1strofes naturales) para conformarse con \u201cfuentes socialmente fabricadas\u201d (\u201ccalamidades humanas\u201d), en las que la \u201cmano humana\u201d es m\u00e1s visible (tambi\u00e9n en los futuros ERTE\/FM ambiental, a medida que se hagan m\u00e1s patentes los desastres asociados al cambio clim\u00e1tico). En esta \u00f3ptica, no es de extra\u00f1ar que el nuevo mecanismo \u201cRED-FE\u201d (Flexibilizaci\u00f3n y Estabilizaci\u00f3n del Empleo) haya iniciado su andadura, al menos parcialmente, en una norma relativa a la extrema sequ\u00eda que tanto golpea, tambi\u00e9n, al sector agrario RD-L 4\/2022, de 15 de marzo, por el que se adoptan medidas urgentes de apoyo al sector agrario por causa de la sequ\u00eda<\/a>. Pero esta es ya otra historia, que seguiremos contando en este y otros espacios, porque nos dar\u00e1 muchos m\u00e1s cap\u00edtulos, y sobresaltos.<\/p>\n","protected":false},"excerpt":{"rendered":"

Crist\u00f3bal Molina Navarrete.Catedr\u00e1tico de Derecho del Trabajo y de la Seguridad Social.Universidad de Ja\u00e9n.<\/p>\n","protected":false},"author":1,"featured_media":1059,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1057","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria"],"_links":{"self":[{"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/posts\/1057"}],"collection":[{"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/comments?post=1057"}],"version-history":[{"count":18,"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/posts\/1057\/revisions"}],"predecessor-version":[{"id":1133,"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/posts\/1057\/revisions\/1133"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/media\/1059"}],"wp:attachment":[{"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/media?parent=1057"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/categories?post=1057"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.transformaw.com\/blog\/wp-json\/wp\/v2\/tags?post=1057"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}