Un ciberataque puede ser motivo para declarar un ERTE en un negocio, explican los abogados

Aquellos negocios que se vean gravemente afectados por un ciberataque -al punto de impedir el desarrollo de la actividad profesional con normalidad- pueden declarar un Expediente de Regulación Temporal de Empleo (ERTE) hasta que solucionen la brecha en su seguridad. Así lo establecieron varias sentencias de la Audiencia Nacional, en contra del criterio de la Dirección General de Trabajo y Seguridad Social, en las que se establece que un ataque informático en un negocio podía considerarse un caso de fuerza mayor para practicar un ERTE, amparándose en el artículo 47.5 del Estatuto de los Trabajadores, como explicó Jaume Barcons, abogado laboralista de Gestoría Barcons y profesor de Derecho Laboral, a este medio.

Los datos del Tercer Foro & Developers Challenge Navarra de Seguridad Digital indicaron que el 57% de los pequeños negocios que cierran lo hacen por un ciberataque, ya sea por el rescate que se pide pagar, por la sanción institucional o porque hayan perdido la confianza de los clientes. 

En este foro, que contó con la presencia de numerosos expertos en esta área, “la mayoría de negocios cree que la ciberseguridad se basa en un antivirus y un firewall”, mientras que la ciberdelincuencia se está convirtiendo en una potente industria que cada vez amenaza de más formas a los negocios. 

¿Qué criterios deben tener en cuenta los autónomos para considerar el ciberataque como causa de fuerza mayor? 

Tanto los expertos como los jueces establecen la necesidad de efectuar un análisis pormenorizado para determinar si corresponde encuadrar el ciberataque dentro de un caso de fuerza mayor, ya que no todos los casos respaldarían la suspensión de los contratos. En concreto, la Audiencia Nacional entiende que puede considerarse un caso de fuerza mayor cuando concurren determinados supuestos:

• Refleja imposibilidad e inevitabilidad. Es un supuesto “imprevisible totalmente” y se trata de una fuerza superior al control y a la previsión. 
• Su nivel de gravedad impide cumplir con la obligación contractual del negocio con sus clientes.
• Guarda inimputabilidad. Es decir, no está provocado por el propio negocio o empleados. 
• La actividad de la empresa es mayormente digital o una parte importante del trabajo requiere de los sistemas informáticos y digitales para efectuar su labor. Aquí no entrarían sólo empresas dedicadas al sector digital, “sino que habría que estudiar el caso”, dado que hay otro tipo de negocios que “dependen inevitablemente de las bases de datos y los equipos informáticos para poder efectuar su trabajo”, apuntó Barcons.
• La empresa debe acreditar que guardó medidas de seguridad para tratar de evitar ataques informáticos (nivel de diligencia). Deben existir “medios y políticas de empresa que puedan prever adecuadamente este tipo de circunstancias”, aclaró el abogado. Como recoge la sentencia de AN, en el supuesto se dan "los factores suficientes para concluir que el nivel de diligencia empresarial para prevenir este riesgo ha sido adecuado (...), atendiendo a la naturaleza de la causa del hecho y la limitada capacidad de anticipación que este tipo de intrusión permite, (...) se concluye que el nivel de previsión y precaución es adecuado dentro del grado de esfuerzo y coste de un ordenado y diligente comerciante”. 
• El efecto prolongado del ataque es la causa de que no se pueda prestar el servicio con normalidad, garantía y seguridad. 
• En cualquier caso, se aplica sólo al colectivo de trabajadores que no puede desarrollar su actividad, de forma absoluta y objetiva, a los que no se dota de ocupación efectiva dada la falta de normalidad y seguridad informática. 

En cualquier caso, los expertos recomiendan a los negocios que, desde la prudencia, no sólo refuercen sus sistemas de seguridad, también que comprendan las consecuencias legales de los ataques informáticos desde el ámbito del contexto laboral, con la finalidad de “prepararse y responder de manera más efectiva ante este tipo de incidentes”, detalló el abogado. 

Los autónomos deben obtener la aprobación de la autoridad laboral para aplicar un ERTE por un ciberataque

Jaume Barcons explicó que “los ciberataques podrían provocar un ERTE por fuerza mayor, siempre que cumplan los requisitos estipulados y según la actividad, por tanto, este ERTE debe ser aprobado por la autoridad laboral competente”, quien deberá constatar que, efectivamente, se cumple con estas características.

A diferencia de lo que sucede con los ERTE por causas económicas, técnicas, organizativas o de producción, no se produce una negociación con la representación legal de los trabajadores, sino que se trata de “un proceso más ágil, que requiere de actuación rápida y que constata la autoridad laboral”, apuntó Barcons. 

Uno de los requerimientos para proceder pasa por realizar una memoria de las causas que motivan el ERTE, con una argumentación clara en la que se refleje que el negocio o empresa depende del sistema informático y de la red para poder continuar con su actividad económica, y que, según la jurisprudencia, deben estar producidas por una situación “inevitable y externa”. 

A su vez, en el caso de que el autónomo hubiera empleado sistemas de seguridad y protección, sería importante incluir “aquellas medidas que se hayan previsto con anterioridad y no hayan surtido efecto”, y presentar esta información en la memoria ante la autoridad laboral. 

Como añadió Barcons, si la autoridad laboral competente no lo aprueba, el autónomo puede recurrir, siempre que no pueda continuar la actividad económica a causa de un ciberataque o hackeo.

¿Qué medidas pueden implementar los autónomos en sus negocios para mantener la seguridad informática?

Según la asesoría Tekpyme, hay una serie de pautas básicas que los negocios deben tener en cuenta para mantener sus equipos y dispositivos protegidos contra ciberataques y otras amenazas informáticas, más allá de la mera instalación de antivirus y software de seguridad. Entre ellos se encuentran los siguientes: 

• Actualizar regularmente los sistemas operativos y software utilizados en la empresa, ya que los parches de seguridad permiten corregir vulnerabilidades. 
• Tener instalado y mantener actualizado un firewall confiable para filtrar y bloquear el tráfico no autorizado.
• Implementar una política de acceso restringido entre los usuarios y los empleados.
• Llevar a cabo auditorías de seguridad con regularidad para poder analizar puntos débiles y prever circunstancias. 
• Utilizar sistemas de autenticación de dos factores para obtener un nivel adicional de seguridad.
• Instaurar políticas de navegación segura mediante el bloqueo del acceso a sitios web sospechosos o no relacionados con el puesto de la actividad. 
• Crear y almacenar correctamente copias de seguridad periódicas de la información que contiene datos sensibles sobre el negocio. 
• Monitorear y registrar el tráfico de red y los eventos de seguridad con el fin de identificar comportamientos anormales o irregulares, y tomar las medidas preventivas adecuadas. 
• Suministrar formación continua en ciberseguridad a los empleados del negocio que lo requieran, promoviendo las buenas prácticas.