Una sentencia de la Audiencia Nacional abrió la posibilidad de aplicar un expediente de regulación temporal de empleo cuando una empresa se ve comprometida por un ‘hackeo’ y no puede continuar su actividad con normalidad.
El 9 de marzo de 2021, una mañana rutinaria en el Servicio Público de Empleo Estatal de España, se convirtió en una jornada de caos y confusión. Un sofisticado ataque de ransomware Ryuk paralizó sus sistemas informáticos, bloqueando el acceso a su página web y deteniendo la gestión de prestaciones por desempleo a nivel nacional. El impacto fue inmediato: miles de citas retrasadas y beneficiarios enfrentando incertidumbre sobre sus prestaciones.
En los días siguientes, los técnicos del SEPE trabajaron incansablemente para recuperar el control. El 11 de marzo lograron reabrir parcialmente el portal web, y para el 15, el sistema de cita previa volvió a estar operativo. Sin embargo, no fue hasta el 20 de abril, más de un mes después, cuando el incidente se consideró totalmente resuelto, aunque aún quedaba trabajo por hacer.
Este ciberataque no solo expuso las vulnerabilidades críticas de una entidad gubernamental, sino que también sirvió de advertencia sobre los potenciales riesgos laborales y legales de tales incidentes en el ámbito empresarial.
Desde una perspectiva laboral, ¿qué ocurre cuando una empresa se ve comprometida por una brecha en sus sistemas de protección y no puede continuar su actividad con normalidad?
La sentencia núm. 37/2022 de la Audiencia Nacional de 14 de marzo de 2022 abordó un caso de hackeo a una organización. En contra del criterio de la Dirección General de Trabajo y la Inspección de Trabajo y Seguridad Social, esta sentencia estableció que un ciberataque podría considerarse un caso de fuerza mayor para aplicar un expediente de regulación temporal de empleo, según lo establecido en el artículo 47.5 del Estatuto de los Trabajadores.
El concepto clásico de fuerza mayor se ha venido asociando por la jurisprudencia con la existencia de un acaecimiento externo del círculo de la empresa y del todo independiente de la voluntad del empresario, que ahonda en la idea de lo extraordinario, catastrófico o desacostumbrado, normalmente insólito, y por ello, no razonablemente previsible, siendo la desconexión entre el evento dañoso y el área de actuación de la empresa, lo que explica y justifica la suspensión de la actividad empresarial.
Por tanto, y conforme se fundamenta en la sentencia de la Audiencia Nacional, entendemos que no todo hackeo permite aplicar un ERTE de fuerza mayor, pero sí en situaciones donde:
Las empresas no solo deben reforzar sus sistemas de seguridad informática, sino también entender a fondo las consecuencias legales de los ciberataques en el contexto laboral. Un conocimiento comprensivo de esta realidad permitirá una preparación más efectiva y una respuesta más acertada en situaciones críticas, lo que permitirá salvaguardar tanto a las organizaciones como a sus empleados. Adaptarse a este escenario no representa únicamente un desafío de resiliencia empresarial, sino una obligación legal y ética que moldeará el futuro del trabajo en la era digital.
En un mundo donde la dependencia de los sistemas digitales es cada vez mayor, las empresas y entidades públicas se ven obligadas a navegar en un mar de riesgos cibernéticos. La digitalización acelerada y el creciente enfoque en la seguridad de la información han aumentado la conciencia sobre la necesidad de proteger los datos. Sin embargo, esto también ha intensificado el interés de los piratas informáticos por acceder a esta información, lo que subraya la necesidad imperativa de una legislación laboral adaptativa, capaz de responder a las complejas interacciones entre ciberseguridad y derecho laboral.