ERTE por fuerza mayor. Sector de contact center. Ataque informático a través de un virus ransomeware en una actividad empresarial que gravita sobre una arquitectura esencialmente digital. El ataque informático por parte de terceros ajenos a la compañía en las condiciones señaladas (que se traduce en el secuestro de la información clave de la empresa, afectando de forma determinante a su operatividad) puede subsumirse en el concepto de fuerza mayor por lo siguiente: Primero, el origen humano del hecho obstativo no impide que pueda subsumirse un hecho imposibilitante en el concepto de fuerza mayor. Segundo, concurre una imposibilidad absoluta y objetiva sobre una de las prestaciones esenciales empresariales del contrato de trabajo (dar ocupación efectiva), ya que se ha producido la inutilización de servidores, sistemas electrónicos, computadoras (en número aproximado 1.200) e impresoras (afectando en un primer estadio, en la ejecución de 28 campañas - y a 1.192 empleados). Esta circunstancia no queda desvirtuada, por el informe de CGT cuyo contenido se incorpora parcialmente a la resolución de la directora general de trabajo, en el que se afirma que los empleados quedaron a disposición de la empresa, siendo ello elemento suficiente para impedir la suspensión de sus contratos. El argumento no es admisible, porque la mera manifestación de «disponibilidad» no es equivalente a la ocupación efectiva, cuando hay imposibilidad objetiva de prestar servicios laborales. Tercero, existe una relación causal entre el incumplimiento de la obligación y el hecho obstativo, ya que el ciberincidente sufrido en los sistemas ubicados en todas las sedes de la compañía impactó sobre todos los componentes que dependen de esta infraestructura y, en consecuencia, se resintió la prestación de servicios por la imposibilidad de los agentes de utilizar los programas computacionales para operar los servicios de
contact center y gestión documental en todas las sedes. Cuarto, dado el nivel de diligencia preventiva adoptado por la demandante puede afirmarse que concurre la nota de inimputabilidad y (como mínimo) la de inevitabilidad. En este supuesto, pese a tratarse de un riesgo conocido (y, por ende, previsible), se dan suficientes elementos para entender que el nivel de diligencia empresarial para prevenir este riesgo ha sido el suficientemente elevado como para descartar que su conducta empresarial pueda calificarse como negligente (y por ello imputable). Especialmente porque las medidas que conforman la «Política de seguridad de la información» de la compañía constituyen medidas de precaución adecuadas dentro del grado de esfuerzo y coste de un «ordenado y diligente comerciante».
Impugnación de la desestimación por silencio administrativo del recurso de alzada interpuesto por la empresa frente a la Resolución de la Dirección General de Trabajo por la que se denegaba la constatación de fuerza mayor en que se funda el ERTE. En el caso analizado, desde que se efectuó la solicitud de constatación de fuerza mayor el 21 de junio de 2021, hasta que se dictó resolución, el 15 de julio de 2021, transcurrieron un total de 18 días hábiles, y un total de 20 días hábiles hasta ser notificado, lo que excede, con creces el plazo de 5 días hábiles máximo para dictar resolución que habilita el artículo 33 del RD 1483/2012. Para la resolución denegatoria de la fuerza mayor se utilizó como elemento de justificación para la resolución extemporánea de la solicitud, el incidente de ciberseguridad sufrido a partir del día 9 de junio de 2021 por el Ministerio de Trabajo y Economía Social, que motivó el dictado de Resolución por parte de la Dirección General de Empleo, de fecha 16 de junio de 2021, por la que se ampliaban los plazos en el ámbito de actuación y funcionamiento hasta la resolución de las incidencias (8 de julio). Esto es, no se utilizó como argumento el posible retraso en que pudiera haber incurrido la Inspección de Trabajo en la evacuación de informe -que, entre otras cosas, no resultaría admisible dado que nada se comunicó a la demandante sobre la suspensión del plazo-, sino la cita expresa de la resolución de 16 de junio de 2021. Sin embargo, no puede excusar la administración su falta de resolución en el tiempo legalmente exigido sobre la base de tal fundamento, ya que si bien es cierto que el artículo 32.4 de la LPAC permite la suspensión y ampliación de plazos para resolver ante el acontecimiento de incidencia técnica, no es menos cierto que el mismo exige que la citada incidencia haya imposibilitado el funcionamiento ordinario del sistema o aplicación que corresponda. De esta forma, la existencia de actuaciones dentro del expediente anteriores a la citada fecha 8 de julio de 2021 revelan que, en el eventual caso de haber existido la incidencia que pretendidamente motiva la ampliación del plazo, esta no impedía el desarrollo de actividad en la Administración, sin que se presente prueba en contrario, por lo que la resolución dictada por la Administración debe entenderse extemporánea, debiendo aplicarse los efectos del silencio estimatorio, lo que implica la declaración de nulidad de la Resolución y la aprobación del ERTE por fuerza mayor por silencio administrativo positivo. (Vid. STS, Sala de lo Social, de 11 de junio de 2024, rec. núm. 144/2022 -
NSJ066576-, que casa y anula en parte esta sentencia)
Doña Emilia Ruiz-Jarabo Quemada.
AUD.NACIONAL SALA DE LO SOCIAL
GOYA 14 (MADRID)
Tfno: 914007258
Correo electrónico:
Equipo/usuario: CEA
NIG: 28079 24 4 2022 0000013
Modelo: ANS105 SENTENCIA
IAA IMPUGNACION DE ACTOS DE LA ADMINISTRACION 0000013 /2022
Procedimiento de origen: /
Sobre: IMPG. ACTOS ADMINISTRACION
Ponente Ilmo/a. Sr/a: EMILIA RUIZ-JARABO QUEMADA
SENTENCIA
ILMO/A. SR./SRA.PRESIDENTE:
Dª EMILIA RUIZ-JARABO QUEMADA
ILMOS/AS. SRES./SRAS. MAGISTRADOS/AS :
D.RAMÓN GALLO LLANOS
Dª ANUNCIACIÓN NUÑEZ RAMOS
En MADRID, a catorce de marzo de dos mil veintidós.
La Sala de lo Social de la Audiencia Nacional compuesta por los Sres./as. Magistrados/as citados al margen y
EN NOMBRE DEL REY
Han dictado la siguiente
SENTENCIA
En el procedimiento IMPUGNACION DE ACTOS DE LA ADMINISTRACION 0000013 /2022 seguido por demanda de ILUNION CONTACT CENTER, S.A.U.(letrado D. Juan José Jiménez Remedios), contra MINISTERIO DE TRABAJO Y ECONOMIA SOCIAL(Abogado del Estado) sobre IMPG. ACTOS ADMINISTRACION. Ha sido Ponente el Ilmo./a. Sr./a. D./ña. EMILIA RUIZ-JARABO QUEMADA
Primero.
- Según consta en autos, el 14 de enero de 2022, D. JUAN JOSÉ JIMÉNEZ REMEDIOS, Letrado del Ilustre Colegio de Abogados de Sevilla, actuando en nombre y representación de ILUNION CONTACT CENTER, S.A.U., presentó demanda contra, el MINISTERIO DE TRABAJO Y ECONOMÍA SOCIAL, sobre, IMPUGNACIÓN DE ACTOS ADMINISTRATIVOS EN MATERIA LABORAL Y DE SEGURIDAD SOCIAL,
Segundo.
-La Sala designó ponente señalándose el día 23 de febrero de 2022, para los actos de conciliación y, en su caso, juicio.
Tercero.
- Llegado el día señalado, tuvo lugar la celebración del acto del juicio, en cuyo acto, la parte actora, se afirmó y ratificó en la demanda, en materia de IMPUGNACIÓN DE ACTOS ADMINISTRATIVOS EN MATERIA LABORAL Y DE SEGURIDAD SOCIAL, frente el silencio administrativo de la Excelentísima Ministra de Trabajo y Economía Social confirmatorio de la Resolución dictada por la Sra. Directora General de Trabajo, de fecha 15 de julio de 2021, dictada en el expediente de regulación de empleo NUM000, solicitando que se dicte sentencia en virtud de la cual se declare no conforme a derecho el acto impugnado y su anulación total y proceda a reconocer y constatar expresamente la concurrencia de fuerza mayor habilitando a la empresa a la adopción de las medidas suspensivas reconocidas en el artículo 47 del Estatuto de los Trabajadores respecto de los trabajadores afectados, (i) por la concurrencia de la nulidad del procedimiento y de la Resolución impugnada en base a los argumentos contenidos la presente demanda y/o (ii) subsidiariamente por los motivos de fondo expuestos.
Frente a tal pretensión, el Abogado del Estado se opone a la demanda, alega que no se resuelva el recurso de alzada, pero hay un informe previo siendo lo relevante valorar la documentación presentada en la solicitud y resolver si procede o no aprobar el ERTE por fuerza mayor. No sólo en la administración la que deniega el ERTE por fuerza mayor, es significativo el informe de la Inspección de Trabajo. No se aporta documentación que acredite el ciberataque, había previsibilidad del acontecimiento, la empresa pertenece al sector de las telecomunicaciones. Con independencia de si concurren los requisitos de imprevisibilidad o inevitabilidad, o si ha habido una diligencia debida por la empresa, lo cierto es que la causa de fuerza mayor suspensiva tiene como requisito la imposibilidad de trabajar, aspecto que no ha quedado acreditado a la luz de las declaraciones de los trabajadores y la justificación documental aportada por la parte social. Los trabajadores han estado en todo momento a disposición de la empresa, ya sea presencialmente o teletrabajando, y han informado sobre sus descansos, comienzo y final de la jornada, así como de citas médicas para poder ausentarse de su puesto de trabajo.
El artículo 22 LPA no se aplica al presente supuesto, se amplían los plazos en el ámbito de actuación del Ministerio de Trabajo y Economía Social, resulta de aplicación el artículo 32.4 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que prevé la ampliación de los plazos y términos en el ámbito de actuación de las Administraciones Públicas ante en la existencia de una incidencia técnica que haya imposibilitado el funcionamiento ordinario del sistema o aplicación que corresponda, y hasta que se solucione el problema, estableciendo asimismo, la obligación de publicar esta circunstancia en la sede electrónica afectada, tal y como establece la Resolución de la Subsecretaría de Trabajo y Economía Social de 16 de junio de 2021.
Del análisis de la documentación aportada por la mercantil en la solicitud del referido procedimiento de declaración de fuerza mayor presentado se comprueba que existen campañas en la empresa que no se vieron afectadas por el incidente, dando lugar, tal como indica el informe de la Inspección de Trabajo y Seguridad Social, a la reorganización de las funciones de los trabajadores. El hecho de que se compruebe que efectivamente no hay una imposibilidad para trabajar es motivo suficiente para denegar la fuerza mayor alegada ya que la finalidad o consecuencia de ésta es la suspensión del contrato de trabajo y/o la reducción de jornada de la plantilla de la empresa. Por todo lo expuesto anteriormente, considera que las razones que aporta la empresa no resultan suficientes a los efectos de su calificación como determinante de una situación de fuerza mayor. La remisión a los posibles impedimentos previsibles en su actividad principal no muestra la vinculación directa con fuerza mayor establecida en el artículo 47 del Estatuto de los Trabajadores, sino que se debieron reconducir a causas técnicas, organizativas o de producción.
Cuarto.
- Recibido el pleito aprueba, se practicaron las pruebas propuestas por las partes y declaradas pertinentes, con el resultado que consta en el acta levantada al efecto.
Quinto.
-En la tramitación de estos autos se han observado todas las prescripciones legales.
Resultado y así se declaran, los siguientes
HECHOS PROBADOS
Primero.
- En fecha 21 de junio de 2021, se efectuó por la empresa demandante, ante la Dirección General de Empleo del Ministerio de Trabajo y Economía Social, solicitud de constatación de fuerza mayor, en que se fundaba expediente de regulación temporal de empleo que contemplaba medidas suspensivas y de reducción de jornada, que afectaban a un total de 1.192 trabajadores de la empresa, distribuidos en sus centros de trabajo de Madrid, Barcelona, Sevilla y Logroño.
Segundo.
. - El 4 de julio de 2021, se recibió comunicación mediante correo electrónico, del registro electrónico redsara, por el que se comunicaba que, la solicitud estaba siendo tramitada por la oficina de Registro General del Ministerio de Trabajo, Migraciones y Seguridad social.
Tercero.
.- El 19 de julio de 2021, se recibió Resolución dictada por la Sra. Directora General de Trabajo Dª Purificacion, de fecha 15 de julio de 2021, por la que se denegaba la constatación de fuerza mayor en que se funda el Expediente de Regulación Temporal de Empleo (ERTE) solicitado por Ilunion Conctact Center, S.A.U. (en lo sucesivo, "ICC", la "Empresa" o la "Compañía"), confiriendo el plazo de un mes para formular recurso de alzada, de conformidad con lo previsto en los artículos 121 y 122 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas ("Ley 39/2015"). (Descriptor 3)
Cuarto.
. - El 13 de agosto de 2021 la parte actora presentó Recurso de Alzada frente a la antedicha Resolución denegatoria; todo ello, al amparo de lo dispuesto en los artículos 112, 121 y 122 de la Ley 39/2015. (Descriptor 4).
Quinto.
I. Ilunion Contact Center, S.A.U., es una sociedad perteneciente al Grupo Ilunion -participado íntegramente por la Fundación ONCE dedicada desde sus inicios a la actividad del Contact Center o Telemarketing, consistente en el servicio de atención de llamadas telefónicas, mediante su emisión o su recepción, con la gestión de la información o las incidencias que dicha llamada genera. Forma parte intrínseca de su objeto social la promoción laboral de trabajadores discapacitados mediante la realización de todas aquellas acciones de marketing a través del teléfono como son promociones, ventas, sondeos, encuestas y estudios de mercado.
II. La empresa cuenta con 5 centros de trabajo distribuidos por la geografía nacional, enclavados en las provincias de Madrid, Sevilla, Barcelona; Jaén y La Rioja.
III. Dentro de la tipología de servicios del sector de Contact Center, la actividad principal de la empresa se corresponde con los servicios de Atención al Cliente, que representan el 48% del sector. Esta tipología de Servicios sitúa a Ilunion como un proveedor eminentemente de atención. Entre los sectores a los que pertenecen los clientes de la Sociedad hemos de destacar los siguientes:
- Clientes sector privado:
o Sector Seguros: Segurcaixa Adeslas, Sanitas.
o Sector Transporte: Renfe/ Enterprice Atesa
o Sector Turismo: NH/ Hesperia/ Ilunion Hotels
o Sector Industria: Zardoya Otis o Sector Juego: ONCE
- Clientes administración pública:
o La Rioja (Cita Previa Sanitaria).
o EPES (Salud Responde),
o Consorcio Transporte Publico Andalucía.
o CAM (Campaña 012)
Cada sector requiere una solución determinada para cada tipología de campaña ejecutada por la empresa. Asimismo, cada cliente y la campaña de cada cliente requieren soluciones diferentes, específicas y personalizadas para cada servicio.
Por motivos de eficiencia, la distribución de la plantilla del colectivo de operadores se organice por campañas y la especialización de los empleados en cada una de ellas; de tal forma que, cuanto mayor sea la demanda de llamadas de una campaña, habrá que destinar a un mayor número de operadores a la misma.
Además, no sólo las funciones de los empleados son diferentes dependiendo del sector o cliente para el que desarrolle sus tareas de campaña, sino que, cada sector se comporta de manera diferente, con patrones de oferta y demanda diferentes, y con amenazas y oportunidades de mercado diferentes, de modo que, la adscripción de los empleados a campañas concretas favorece su especialización y permite la prestación de servicios de mayor eficiencia a los clientes de la empresa.
IV. Para poder desarrollar dichas actividades, Ilunion Contact Center cuenta en la actualidad con dos áreas diferenciadas: personal de Estructura y personal de Operaciones. El personal de Estructura se subdivide en 6 áreas: (i) el personal dedicado a labores de apoyo técnico de sistemas de información, (ii) personal comercial (iii) departamento financiero (iv) área de Recursos humanos y relaciones laborales (v) personal encargado de tareas relacionadas con servicios generales y (vi) unidad de apoyo.
Por su parte en el área de Operaciones se encuadran las diferentes ubicaciones físicas donde se prestan los servicios propios de la actividad de la Sociedad y que se encuentras ubicados en los centros de trabajo previamente señalados. Este colectivo de "Operaciones" es el encargado de llevar a cabo las actividades y funciones que engloban los servicios de telemarketing y Contact Center de Ilunion Contact Center.
V. La Compañía emplea a un total de 2.158 personas trabajadoras, de las que afectadas por las medidas suspensivas y de reducción de jornada que se propusieron, únicamente estarían 1.192 dada cuenta de que éste fue el número de empleados que vieron imposibilitado el desarrollo de su actividad laboral.
VI. Ilunion Contact Center, S.A.U pertenece junto con las sociedades Ilunion CEE Contact Center, S.A.U. y FITEX Ilunion, S.A. a la división del Grupo Ilunion, denominada ILUNION CONTACT CENTER BPO, división que tiene como actividad los servicios de centro de atención de llamadas y de gestión documental.
VII. Las tres sociedades que conforman ILUNION CONTACT CENTER BPO cuentan con una infraestructura común, que se asienta principalmente en Madrid, aunque también existen sistemas específicos en el resto de las sedes de las mencionadas mercantiles. Es en la sede de Madrid situada en la Calle Julián Camarillo donde se encuentra el Centro de Procesamiento de Datos (en adelante "CPD"), que contiene los servidores donde están instalados los sistemas por donde fluye y se procesa la información digital necesaria para la prestación de los servicios, así como procesos administrativos internos y las infraestructuras de comunicaciones asociadas. Igualmente se encuentra el equipo físico de la centralita de llamadas, que es la infraestructura principal utilizada en los servicios, dado que gestiona todas las conversaciones telefónicas, el principal medio para el contacto que tienen los clientes finales con los servicios prestados. Por todo lo anterior, la actividad de los trabajadores de las tres sociedades depende de forma esencial del correcto funcionamiento de la mencionada infraestructura tecnológica y del CPD. Y ello, por cuanto necesitan para desarrollar su actividad de una computadora profesional con sistema operativo Windows.
VIII. El día 4 de junio de 2021 a las 5:15 a.m. se recibe en Ilunion Contact Center una incidencia alertando de que los Virtual Desktop Infrastructure (tecnología de virtualización de escritorio que almacena un sistema operativo en un servidor centralizado de un centro de datos) no funcionaban correctamente.
Detectada la mencionada incidencia se contacta con la compañía que da soporte a las tres sociedades que conforman la unidad Ilunion Contact Center BPO, la empresa externa Unified Cloud Services (en adelante "UCS"), para identificar el problema y aplicar una solución. En ese periodo de tiempo se detecta que un servicio de Base de Datos tampoco funciona correctamente.
IX. A las 6:02 a.m. UCS informa de que se está generando tráfico de datos hacia ellos y que sospecha que se trata de un virus ransomware. A las 6:40 a.m. se apaga el CPD completo y se procede a cortar las comunicaciones con todas las sedes de la división Contact Center BPO para evitar la distribución del virus.
X. Inmediatamente, se informa del incidente a Grupo Ilunion, el cual convoca al Grupo de Respuesta ante Incidentes de Ilunion (GRI), formado diferentes proveedores externos de servicios y sistemas afectados por el incidente entre otros: CIOs del Grupo Ilunion y de la unidad de Contact Center, Responsable de Seguridad de los Sistemas de Información, Departamento Jurídico, Responsable de Infraestructura y Comunicaciones, y los equipos de soporte externo de Seguridad de la empresa UST-Global y de la consultora independiente Deloitte, decidiendo activar el incidente en la póliza de ciberseguridad del Grupo.
En el seno de dicho Grupo de Respuesta se definen las líneas de trabajo principales asociadas al plan de acción para asegurar la contención, erradicación y recuperación del entorno afectado con la mayor agilidad y garantías posible; repartiéndose asimismo las tareas entre los distintos equipos involucrados.
A las 08:53 a.m. Deloitte -experto independiente- procede a la activación del equipo de Respuesta a Ciberemergencias (Cyber Emergency Managment) e inicia el análisis forense comenzando por un equipo aislado de la red que se identifica como infectado.
Se buscan en dicho portátil artefactos infectados por el malware y se identifican los siguientes:
ASWA_Install_Log_000.log.RYK
DumpStack.log.tmp.RYK
Clasificación: Interna
Icr.txt.RYK
MSCCHRT20.OCX.RYK
RyukReadMe.html
Se concluye por la extensión de los archivos que se trata del ransomware RYUK.
Las labores de investigación y comprobación realizadas por dicha empresa independiente -en estrecha colaboración con la Empresa y el resto de las sociedades de la unidad afectada, así como los 8 proveedores externos de servicios de estas- se han prologado por más de veinte días.
XII. El 4 de junio de 2021, se informa de la brecha de seguridad sufrida a la Agencia Española de Protección de Datos (en lo sucesivo, "AEPD"), conforme a lo dispuesto en el artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. El día 6 de junio de 2021 se actualiza dicha información.
XIII. El mismo día en el que se detecta el incidente, esto es, el 4 de junio de 2021, se remite comunicación a todos los clientes informándoles de:
La existencia de un posible incidente de ciberseguridad.
Las medidas preventivas adoptadas por la Empresa para evitar posibles fugas de información, así como otro tipo de consecuencias. Entre las medidas principales, destaca la desconexión del Centro de Procesamiento de Datos.
De la activación de todos los protocolos correspondientes.
Del grado de afectación de dichos hechos a los servicios prestados por la Empresa.
Los días posteriores al incidente (5, 6, 7 y 8 de junio), se remiten nuevas comunicaciones a los clientes de la división, actualizando la información disponible sobre el incidente y los avances de la investigación:
Las nuevas medidas preventivas adoptadas.
La tipología del virus y todos los datos obtenidos de la investigación forense.
El grado de afectación a los servicios prestados.
XIV. Se informa inmediatamente a los trabajadores y a su representación unitaria de la imposibilidad de prestar servicios en las unidades afectadas, por la inutilización de las computadoras, impresoras, escáner, etc. así como consecuencia del riesgo existente en materia de seguridad de la información de no adoptarse las mencionadas medidas y la cesión de la actividad en las unidades afectadas.
XV. Asimismo, una vez detectada la incidencia, desde la Dirección General se alerta de la incidencia informática a la Dirección de Contact Center BPO, así como del apagado del CPD, con la finalidad de que dichos responsables trasladen la información a los equipos de trabajo.
De esta forma, se va informando de la incidencia a todos los equipos afectados, instándoles a cesar en la prestación de servicios como medida adoptada por el GRI -esto es, no solo por la Empresa y Grupo Ilunion, sino siguiendo las recomendaciones de las empresas independientes UCS y Deloitte-.
Asimismo, se convoca a la representación unitaria de los trabajadores para abordar con inmediatez la situación y valorar las distintas opciones a adoptar.
XVI. El equipo de Forensic de la empresa externa Deloitte, pese a haber efectuado informe definitivo tras una investigación de más de veinte días la cual comenzó en el mismo momento en el que se detectó la presencia del virus -que en el momento de realización de la solicitud de constatación de fuerza mayor no era de carácter definitivo- no ha podido evidenciar el vector de entrada del ransomware. De esta forma, si bien se afirma en el antedicho informe que toda la actividad maliciosa se llevó a cabo por dos usuarios del dominio de la organización, se indica que no se ha podido evidencia como se han podido comprometer las credenciales de dichos usuarios.
Del informe definitivo, que constata las conclusiones alcanzadas ya de forma preliminar, de fecha 14 de julio de 2021 (documento nº 2 de los acompañados al Recurso de Alzada), que elabora la empresa externa Deloitte, se colige lo siguiente:
La infección viene motivada por un ransomware de la familia Ryuk.
Se descarta una posible vulnerabilidad del sistema de seguridad perimetral de la organización como posible vector de entrada del virus.
Las medidas adoptadas proactivamente por parte de la división ILUNION CONTACT CENTER BPO para la contención y recuperación del entorno afectado por el incidente han sido adecuadas, llevándose a cabo de forma ágil y mitigando por lo tanto considerablemente el riesgo de potenciales impactos adicionales o reincidencia a corto plazo. Cabe señalar las medidas a las que se refiere el mencionado informe y que fueron adoptadas con la finalidad de contener el impacto del incidente:
o Apagado completo del CPD de la organización, con el fin de frenar la propagación del ransomware mientras se desarrolla la investigación forense del escenario identificado. De este modo, no existe tráfico saliente desde la organización a otros posibles servicios, ya que la red se encuentra completamente aislada.
o Estudio de la implantación de un EDR, para la detección temprana de posibles piezas de malware que puedan registrarse en los equipos, así como la detección de los IOCs asociados a las piezas de malware extraídas propiamente del escenario acontecido y referentes al ransomware Ryuk y otros módulos de malware comúnmente empleados durante las fases de escalada de privilegios, movimientos laterales y comunicación contra servidores C&C de la cadena de ataque.
o Deshabilitación de todas las unidades mapeadas y carpetas compartidas en red.
o Revisión de creación o modificación ilegítima de nuevos usuarios a nivel de Active Directory.
Asimismo, no se detectan o refieren brechas o fallos en la adopción de medidas preventivas por la Empresa.
Prueba evidente, no solo de la rigidez del sistema de seguridad existente en la Empresa, sino también de la efectividad de las medidas adoptadas por la Empresa es que, pese a la actividad ilegítima sufrida en los servidores, según se desprende del informe la exfiltración de información de la organización se considera muy baja.
XVII. El incidente se ha producido, pese a las políticas de seguridad de la información existentes en todas las empresas pertenecientes a la división ILUNION CONTACT CENTER BPO, entre las que cabe destacar las siguiente:
Existencia de un Sistema de Gestión de Seguridad de la Información (SGCI) basado en la necesidad de que la Información esté en continua evolución y que dicha evolución en la madurez 11 esté documentada y pueda ser verificada. Sistema que es revisado anualmente.
El modelo en el que se basa el SGSI de ILUNION Contact Center BPO es el denominado Modelo PDCA (Planificar, Hacer, Revisar, Actuar, por sus siglas en inglés) con lo que anualmente, se hace una revisión de las medidas de seguridad que están implantadas y se promueve una mejora continua, basados en un análisis de riesgos.
Certificación ISO/IEC 27001 de técnicas de seguridad de la información otorgada por AENOR y renovada anualmente por auditorías. Certificación ISO/IEC 27002 que desarrolla controles específicos distribuidos en 13 capítulos, que suman 133 controles.
A nivel organizativo, la Empresa cuenta con un entramado de políticas, normas y procedimientos de seguridad que establecen las pautas para actuar de forma segura en torno a la información. Asimismo, la Empresa dispone de una Política de Seguridad (PO01) de la cual se derivan normas que cubren todos los capítulos que se desarrollan en la ISO 27002.
Activos e información inventariados y controlados de forma periódica y clarificados según las dimensiones de seguridad (Integridad, Disponibilidad y Confidencialidad).
Control de acceso de tipo lógico a los sistemas en función de las necesidades del negocio y basados en el principio de mínimo privilegio.
En lo referido a seguridad física de las instalaciones, se tienen establecidos controles de acceso y de seguridad ante amenazas externas y ambientales, así como seguridad interna para proteger los activos que en ellas se encuentren.
Controles que regulan la seguridad en la operativa diaria sobre los sistemas de información, que comprenden la asignación nominativa de usuarios con exigencia de contraseñas complejas para su login; revisión periódica de los permisos y privilegios de los usuarios, con énfasis en aquellos usuarios administradores; segmentación de redes destinadas a servicios diferenciados; gestión de conexiones remotas seguras; programa antivirus actualizado en todos los equipos, gestionado de forma centralizada; realización periódica de copias de seguridad y almacenamiento en lugares seguros.
El ciclo de desarrollo de software, así como de su adquisición a terceros, está fundamentado en protocolos robustos que exigen el desarrollo seguro, con garantías de actualización periódica y en los casos en que sea aplicable, auditorías específicas de hacking ético.
Se tiene una plataforma de trabajo extendida a todos los miembros de la organización, para la gestión integral de incidentes, mediante la cual se mantiene un flujo de trabajo controlado y documentado de todos los eventos que pueden afectar la seguridad de la información en la empresa.
Apoyo en empresas de soporte especializadas como Unified Cloud Services.
Forensic con auditoría realizado por una empresa independiente, Deloitte.
Antivirus Kaspersky en todos los portátiles y ordenadores de sobremesa, así como en los servidores de toda la división.
Firewall para el control y autorización de tráfico e IDS de la empresa Fortinet en el perímetro de seguridad del Centro de Procesamiento de datos, que realizan un filtrado de las conexiones y análisis del caudal de tráfico de entrada y salida de Contact Center.
XVIII. El ciber-incidente se ha sufrido en los sistemas ubicados en todas las sedes de las empresas que conforman la división ILUNION CONTACT CENTER BPO y en todos los ordenadores instalados (alrededor de 1.200 equipos diferentes). Consecuencia de que se han visto afectados todos los componentes que dependen de esta infraestructura, los trabajadores de las distintas sociedades se han visto imposibilitados para utilizar los programas computaciones para operar los servicios de Contact Center y gestión documental y, con ello, para prestar servicios.
XIX. Consecuencia de lo anterior, con fecha 4 de junio de 2021, se suspendieron la mayor parte de los servicios que se prestaban a los clientes, quedando con ello sin actividad los empleados vinculados a dichas campañas, ante la imposibilidad de uso de las herramientas informáticas esenciales para el desarrollo de la actividad laboral. Y todo ello, por los riesgos anteriormente expuestos.
Concretamente, se han visto afectadas por el ciberataque las 28 campañas desarrolladas para distintos clientes en los términos que se explicita en el apartado XIX de la demanda, que se da por reproducido.
XX. Es preciso señalar que el restablecimiento pleno y seguro de los servidores y del sistema informático en su conjunto requiere de un proceso complejo y lento, el cual ha sido desarrollado en el Informe Técnico, que se acompañó a la solicitud de expediente suspensivo como documento nº 6 y que, en todo caso, justifica que la duración de la medida de ERTE que se proponía por la Compañía.
El ransomware es un programa de software malicioso que puede infectar un equipo o una red, cifrando la información, y que, con carácter general, muestra o genera mensajes que exigen el pago de una suma dineraria en criptodivisas para restablecer el funcionamiento del sistema.
Los métodos de entrada de este malware son variados: mediante un enlace malicioso en una página web o la infección de un fichero compartido, siendo el más habitual el phishing. Es por esto por lo que, además del control de navegación para evitar sitios sospechosos de ocultar malware, de la continua actualización de los sistemas, de la protección de los mismos y de las medidas preventivas de backup -todas ellas implementadas en la forma explicitada con anterioridad por la empresa demandante- es imposible mantener una protección total ante una incidencia de este tipo.( Memoria explicativa de las causas e informe técnico que se acompañaban a la misma como documentos 5 y 6, que obran en el expediente administrativo y descriptores 28 y 29, que se dan por íntegramente reproducidos )
Sexto.
-El número y clasificación profesional de trabajadores afectados por la medida, especificados por centro de trabajo, provincia y comunidad autónoma, es el relacionado en la descripción 27, cuyo contenido, se da por reproducido.
Se da por reproducida la relación de trabajadores afectados por el ataque informático donde se refleja la recuperación paulatina de la actividad de la Empresa en el período comprendido entre el 4 de junio y el 24 de julio de 2021. (descripción 81)
Séptimo.
. -Se dan por reproducidos los documentos relativos a la política de seguridad de la información de la empresa. (Descripción 32). Descripción de la arquitectura general de la red corporativa de ILUNION CONTACT CENTER BPO. (descripción 34). El Mapa de la red ILUNION CONTACT CENTER BPO. (descripción 35). Contrato de prestación de servicios VID entre la demandante y Unified Cloud Services de 1 de mayo de 2020. (descripción 36). El procedimiento de gestión de Incidencias de Seguridad Informática. (descripción 37). El Manual de respuesta técnica frente a Ransomware. (descripción 38). La Póliza de Responsabilidad Civil por Riesgos Cibernéticos suscrita por Grupo Ilunion y sus filiales con la compañía de seguros AIG EUROPE, S.A. (descripción 39). Certificado de la compañía de seguros AIG EUROPE, S.A. relativo a la póliza del Grupo Ilunion y sus filiales para el periodo comprendido entre el 24 de abril de 2021 y el 24 de abril a las 2022. (descripción 40). El Manual en materia de seguridad de la información y ciberseguridad facilitado a la plantilla con ocasión de los cursillos de iniciación en la Empresa. Mediante distintos módulos se informa a los trabajadores de las pautas de prevención en el manejo en el día a día de los distintos dispositivos informáticos y aplicaciones puestas a su disposición. (descripción 78)
Octavo.
-El 14 de julio de 2021, se emitió informe por la Inspección de Trabajo y Seguridad Social que concluye, A criterio de la actuante, de conformidad con el art. 47.3 y 51.7 del Texto Refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, y en los artículos 31 y siguientes del Real Decreto 1483/2012 de 29 de octubre, por el que se aprueba el Reglamento de los procedimientos de despido colectivo, la solicitud formulada no puede encuadrarse en los supuestos de suspensión por fuerza mayor. En virtud de lo expuesto, se informa desfavorablemente a la fuerza mayor invocada del art. 47.3 del Estatuto de los Trabajadores. (descripción 4 del expediente administrativo)
Noveno.
. -Se ha agotado la vía administrativa, habiéndose interpuesto recurso de alzada por la parte demandante en plazo, que ha sido desestimada por silencio administrativo al haber transcurrido el plazo de tres meses para su resolución sin que recaiga resolución expresa. (expediente administrativo)
Decimo.
. -Consta en el expediente administrativo, informe del Subdirector General de Relaciones Laborales que considera que las razones que aporta la empresa no resultan suficientes a los efectos de su calificación como determinante de una situación de fuerza mayor. La remisión a los posibles impedimentos previsibles en su actividad principal no muestra la vinculación directa con fuerza mayor establecida en el artículo 47 del Estatuto de los Trabajadores, sino que lleva a la conclusión de que se debieron reconducir a causas técnicas, organizativas o de producción.
Se han cumplido las previsiones legales.
Primero.
- En cuanto a los hechos declarados probados, los mismos se obtienen de los documentos que en ellos se indica, dando con ello cumplimiento a lo establecido en el artículo 97.2 de la LRJS.
Segundo.
-Se interpone, en el plazo de dos meses contados desde que se entiende agotada la vía administrativa, DEMANDA DE IMPUGNACIÓN DE ACTOS ADMINISTRATIVOS EN MATERIA LABORAL Y DE SEGURIDAD SOCIAL, frente a la desestimación por silencio administrativo, del recurso de alzada interpuesto por la empresa frente a la Resolución dictada por la Sra. Directora General de Trabajo de fecha 15 de julio de 2021, por la que se denegaba la constatación de fuerza mayor en que se funda el Expediente de Regulación Temporal de Empleo (ERTE)
1.- La empresa solicita la revocación de la Resolución íntegra, dado que la misma resulta extemporánea, siendo de aplicación el silencio estimatorio o silencio positivo, haciendo alusión a los siguientes preceptos legales: artículos 51.7 del Real Decreto Legislativo 2/2015 por el que se aprueba el Texto Refundido del Estatuto de los Trabajadores; artículo 33.1 del Real Decreto 1483/2012 en concordancia con lo previsto en los artículos 24. 2 A), 30, 31, 22, 23 Y 40.2 de la Ley 39/2015 de Procedimiento Administrativo Común y a la STS de 25-01-2021, rec. 125/2020.
De los hechos declarados probados, resulta que:
- El 21 de junio de 2021, se presentó solicitud de constatación de fuerza mayor por mi representada ante la Autoridad Laboral competente.
- El 9 de julio de 2021, se recibió requerimiento de documentación por parte de la Inspección de Trabajo y de la Seguridad Social, citando a la Empresa a comparecencia en fecha 13 de julio de 2021.
- El 15 de julio de 2021, se dicta la resolución recurrida por medio del presente por la Autoridad Laboral competente, siendo la misma notificada a la parte actora en fecha 19 de julio del año corriente.
Tal y como se sostiene en la demanda, fijados los elementos temporales esenciales, debe procederse a la revocación de la resolución íntegra toda vez que la misma resulta extemporánea y, de conformidad con lo previsto en el artículo 24.3 a) de la LPAC, en caso de estimación por silencio, las resoluciones extemporáneas de procedimientos iniciados a solicitud de interesado solo pueden ser confirmatorias de éste.
El artículo 33.1 del Real Decreto 1483/2012, dispone que la Autoridad Laboral dictará resolución en el plazo máximo de 5 días a contar desde la fecha de entrada de la solicitud en el registro del órgano competente para su tramitación ( arts. 51.7 y 33.1 RPDC), y la notificará a la empresa interesada dentro del plazo de 10 días a partir de la fecha en que haya sido dictada ( art. 40.2 LPAC). Dichos días, de conformidad con lo estipulado por los arts. 30 y 31 de la LPAC son hábiles.
No obstante, el plazo máximo legal para resolver el procedimiento y notificar la resolución se podrá suspender o ampliar en los términos previstos en los arts. 22 y 23 de la LPAC, respectivamente. En efecto, el art. 22 de la LPAC dispone que el transcurso del plazo máximo legal para resolver el procedimiento y notificar la resolución se podrá suspender en determinados supuestos, a saber:
[...] Cuando "se soliciten informes preceptivos a un órgano de la misma o distinta Administración, por el tiempo que medie entre la petición, que deberá comunicarse a los interesados, y la recepción del informe, que igualmente deberá ser comunicada a los mismos", y sin que este plazo de suspensión pueda "exceder 16 en ningún caso de tres meses" [ art. 22.1.d) LPAC]. En caso de no recibirse el informe en el plazo indicado, proseguirá el procedimiento [ art. 22.1.d) LPAC].
Cuando la autoridad no dictase y notificase resolución expresa en el plazo máximo de cinco más diez días previsto en los arts. 51.7 y 33.1del ET y del RPDC y 40.2 de la LPAC, ha de estarse a lo dispuesto en el art. 24.1 de la LPAC (silencio estimatorio o positivo). Ha de tenerse en consideración, a estos efectos, que en el ERTE por fuerza mayor el informe de la ITSS es preceptivo y no potestativo. Por tanto, si bien es cierto que el informe de la ITSS suspende conforme al artículo 22 LPAC el plazo de 5 días hábiles para resolver, conforme a la literalidad de la norma, deberá comunicarse al interesado dicha suspensión. Por tanto, dada cuenta de que no se ha efectuado dicha comunicación, en ningún caso podría haberse producido la suspensión del plazo para resolver de conformidad con los artículos citados.
Por tanto, en los casos de solicitudes de constatación de fuerza mayor, la falta de resolución en tiempo por parte de la Administración provoca efectos estimatorios de la misma, siendo esta conclusión previsión legal expresa conforme a lo previsto en el artículo 24.1 LPAC y, habiendo sido expresamente resuelto por el Tribunal Supremo en Sentencia de fecha 25 de enero de 2021,rec.125/2020, el cual se ha pronunciado sobre el sentido del silencio por parte de la Autoridad Laboral ante la solicitud de ERTE por causa de fuerza mayor afirmando que el mismo debe ser estimatorio o positivo. El caso analizado en la Sentencia de referencia se refiere a la decisión de distintos Ayuntamientos de distintas Comunidades Autónomas, de suspender el servicio de escuela infantil o guarderías municipales, acatando la orden de cierre de escuelas infantiles dictadas al inicio del Estado de Alarma. Ello provocó que las distintas empresas concesionarias del servicio de guardería municipal solicitasen ERTE por causa de Fuerza mayor, que fue aprobado por la Autoridad Laboral competente, pero de forma extemporánea -esto es, transcurrido el plazo legal de 5 días desde la solicitud por parte de la empresa-.
Concluye el TS sobre este aspecto, afirmando la aplicación del silencio positivo. Se afirma en dicha resolución que, "La empresa cumplió con las exigencias del art. 22.2 del RD-L. 8/2020 , por lo que nada impide que opere el silencio administrativo positivo. Cierto es que no se refiere a esta figura el RD-Ley 8/2020, de 17 de marzo , de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19, pero así resulta del Real Decreto-Ley 9/2020 de 27 de marzo , tanto en el preámbulo con remisión al art. 24 de la Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones Públicas , de 1 de octubre (que como regla general, otorga al mismo sentido positivo, no encontrándonos ante un supuesto en el que se establezca lo contrario), como en el propio articulado en relación a la constatación de la fuerza mayor vinculada al COVID-19 para aplicar medidas temporales de suspensión de contratos de trabajo o de reducción de la jornada laboral , se deben entender estimadas por silencio administrativo positivo en el supuesto de que no se dicte una resolución expresa en el plazo de 5 días ( artículo 22.2.c del RDL 8/2020)" . Doctrina que es de aplicación al supuesto de autos con independencia de que la causa de fuerza mayor esté fundada en causa no asociada a la crisis sanitaria.
En este caso, desde que se efectúa la solicitud de constatación de fuerza mayor en fecha 21 de junio de 2021, hasta que se dicta resolución, fecha 15 de julio de 2021, transcurren un total de 18 días hábiles, y un total de 20 días hábiles hasta ser notificado, lo que excede, con creces el plazo de 5 días hábiles máximo para dictar resolución que habilita el meritado artículo 33.
Llegados a este punto, ha de resaltarse que en el Antecedente Quinto de la resolución denegatoria de la fuerza mayor se utiliza como elemento de justificación para la resolución extemporánea de la solicitud, el incidente de ciberseguridad sufrido a partir del día 9 de junio de 2021 por el Ministerio de Trabajo y Economía Social, que motivó el dictado de Resolución por parte de la Dirección General de Empleo, de fecha 16 de junio de 2021, por la que se ampliaban los plazos en el ámbito de actuación y funcionamiento hasta la resolución de las incidencias. Esto es, no se utiliza como argumento el posible retraso en que pudiera haber incurrido la Inspección de Trabajo en la evacuación de informe -que, entre otras cosas, no resultaría admisible dado que nada se comunicó a la demandante sobre la suspensión del plazo-, sino la cita expresa de la resolución de 16 de junio de 2021.
Lo cierto es que no puede excusar la administración su falta de resolución en el tiempo legalmente exigido sobre la base de tal fundamento y ello por cuanto:
- Se afirma en el antecedente quinto que, la suspensión de los plazos provocada por la resolución de la dirección general de fecha 16 de junio de 2021, afecta, entre otros a los procedimientos previstos en el Reglamento aprobado por el Real decreto 1483/2012, de 29 de octubre, aplicable al expediente de referencia.
- Que el plazo se ha visto suspendido desde fecha 16 de junio de 2021 a fecha 8 de julio de 2021.
Sin embargo, constan actuaciones efectuadas en el expediente administrativo en el plazo comprendido entre las citadas fechas, y en concreto, al menos, en fecha 3 de julio de 2021, se efectuó actuación de entrada y registro de la solicitud efectuada por la parte demandante en el registro del Ministerio de Trabajo y Economía Social, tal y como consta en el expediente administrativo.
Si bien es cierto que, como acertadamente se contempla en la resolución citada por la administración, la Ley de Procedimiento Administrativo Común, permite suspensión y ampliación de plazos para resolver ante el acontecimiento de incidencia técnica ( artículo 34.2 LPAC), no es menos cierto que, el mismo exige que la citada incidencia haya imposibilitado el funcionamiento ordinario del sistema o aplicación que corresponda. De modo que, la existencia de actuaciones dentro del expediente anteriores a la citada fecha 8 de julio de 2021, revelan que, en el eventual caso de haber existido la incidencia que pretendidamente motiva la ampliación del plazo, esta no impedía el desarrollo de actividad de la Administración, sin que se presente prueba en contrario, por lo que la resolución dictada por la Administración debe entenderse extemporánea.
Siendo la misma extemporánea, deben aplicarse los efectos del silencio estimatorio.
Por todo ello procede la declaración de la nulidad de la Resolución denegatoria de la fuerza mayor dictada por la Sra. Directora General de Trabajo, de fecha 15 de julio de 2021 toda vez que la misma es extemporánea, debiéndose declarar la nulidad de la Resolución y aprobar el ERTE por Fuerza Mayor por silencio administrativo positivo.
Tercero.
Aun admitiendo, a los meros efectos dialécticos, que con motivo del ciberataque sufrido por el Ministerio de Trabajo y Economía Social, sea de aplicación la Resolución de la Dirección General de fecha 16 de junio de 2021 y la ampliación de los plazos administrativos en virtud del artículo 32.4 de la LPAC, que no procede en este caso, por lo ya razonado, la demanda igualmente debe merecer favorable acogida porque se estima la concurrencia de fuerza mayor en que se funda el expediente de regulación temporal de empleo que justifica la suspensión / reducción de jornada planteada por la empresa.
Son tres los argumentos de la resolución administrativa para denegar la solicitud de constatación de fuerza mayor:
(i) La falta de aportación de informe o documentación que acredite el ciberataque sufrido.
(ii) La previsibilidad del acontecimiento -se entiende el ciberataquedada cuenta de que se trata de una empresa perteneciente al sector de las telecomunicaciones y, constaba como riesgo posible en la política de seguridad de información de la compañía.
(iii) La inexistencia de imposibilidad de desarrollo de servicios laborales, sobre la base de la afirmación de los representantes sindicales de que los trabajadores estaban a disposición de la empresa.
A) En relación a la aportación de todos los elementos acreditativos del acaecimiento del incidente informático, en cumplimiento de lo preceptuado en los artículos 47.3 et y 51.7 ET en concordancia con lo previsto en los artículos 32 y 33.3 del Real Decreto 1483/2012.
La empresa indica que el virus ha podido entrar en su sistema informático a través de un enlace malicioso en una página web, la infección de un fichero compartido o mediante phishing.
De la prueba practicada, se acredita el acaecimiento del ciber incidente, tal y como se desprende:
I. Del informe técnico de los servicios informáticos de la Compañía (que se acompañaba como documento nº 6 a la solicitud de constatación de fuerza mayor), signado por D. Feliciano CIO (Chief Information Officer; o director de Tecnologías) del grupo Illunion, que fue ratificado en el acto del juicio, en el que se constata y relatan los acontecimientos relativos al ciberataque y, en concreto, el virus ransomware con que fueron infectados los sistemas de Illunion en fecha 4 de junio de 2021.
En dicho informe, que damos por íntegramente reproducido, se acredita junto con la documentación que se anexiona formando parte indisoluble de este- la existencia del ciberataque, reproduciendo al efecto que:
"El objeto de este documento es informar al respecto del incidente de ciberseguridad sucedido en la división del Grupo Ilunion, Ilunion Contact Center BPO el 4 de junio de 2021.
El día 4 de junio de 2021 a las 5:15 a.m. se recibe una incidencia en Ilunion Contact Center informando que los servicios de VDI no funcionan correctamente, se contacta con la compañía que da soporte, Unified Cloud Services (UCS), para identificar el problema y aplicar una solución. Posteriormente se detecta que un servicio de Base de Datos tampoco funciona correctamente.
A las 6:02 a.m. UCS informa que se está generando tráfico hacia ellos y que sospecha que se trata de un virus ransomware y a las 6:40 a.m. se apaga el CPD completo y se procede a cortar las comunicaciones con todas las sedes de Contact Center para evitar la distribución. Se adjunta como Documento nº 1, informe de UCS de su sistema de ticketing con trazabilidad de la incidencia.
Se inicia el análisis forense con la ayuda del equipo de Deloitte, comenzando por un equipo aislado de la red que se identifica como infectado. Se buscan en este portátil artefactos infectados por el malware y se identifican los siguientes:
ASWA_Install_Log_000.log.RYK
DumpStack.log.tmp.RYK
Clasificación: Interna
Icr.txt.RYK
MSCCHRT20.OCX.RYK
RyukReadMe.html
Se concluye por la extensión de los archivos que se trata del ransomware RYUK.
Durante la mañana del viernes, 4 de junio, fue comunicado a la Agencia Española de Protección de Datos (AEPD) la brecha de seguridad sufrida. Dicha comunicación fue actualizada el domingo, 6 de junio. Se adjuntan al presente Informe como Documentos nº 2, 3, 4 y 5, las comunicaciones realizadas a la AEPD.
El Ciber incidente sufrido en los sistemas ubicados en todas las sedes de la compañía, que tras las investigaciones y medidas necesarias se determinó que se debió al ransomware conocido como Ryuk, impactó sobre todos los componentes que dependen de esta infraestructura, y, en consecuencia, se resiente la prestación de servicios por la imposibilidad de los agentes de utilizar los programas computacionales para operar los servicios de contact center y gestión documental en todas las sedes. En el momento del incidente, se encontraban operando en el CPD corporativo (servicios básicos de red, autentificación, procesos, cti, base de datos y aplicaciones), así como en las diferentes sedes de la organización, de los que 114 fueron 26 afectados y por lo tanto quedaron inoperativos por este incidente. Del mismo modo, todas aquellas computadoras que estaban instaladas en las diferentes sedes de la compañía fueron afectadas por el incidente, quedando totalmente inoperativas (1200 equipos diferentes).
II. Del Informe forense elaborado por firma externa independiente, que se acompañaba como Anexo VIII del documento nº 6, anexionado a la solicitud inicial de constatación de fuerza mayor y el que se aportó en el curso del procedimiento administrativo (documento nº 2 de los acompañados al Recurso de Alzada informe definitivo que, asimismo, fue aportado a la Inspección de Trabajo en fecha 13 de julio de 2021). En el citado informe forense En el mismo se relataba exhaustivamente i) el ataque sufrido; ii) la suficiencia y adecuación de las medidas adoptadas por la Empresa y iii) el impacto del mismo en el normal funcionamiento de la Compañía.
Se efectúa específica valoración sobre las consecuencias del ataque, la imposibilidad de conocer el vector de entrada y la diligencia debida de la Compañía en el despliegue de las medidas de seguridad informática necesarias.
Tras el análisis de las máquinas adquiridas, se han identificado diversas piezas de malware asociadas al ransomware Ryuk.
Respecto al vector de entrada empleado por los atacantes para el acceso a la organización, no ha sido posible evidenciarlo fehacientemente en base a los logs y artefactos digitales disponibles. Se valoran no obstante tres hipótesis posibles: (...)
Se efectuaron comunicaciones sobre la brecha de seguridad ocasionada, como consecuencia del ataque informático, a la Agencia Española de Protección de Datos. (adjuntas al informe técnico aportado en la solicitud de fuerza mayor (como anexo II a V) y obrante en el expediente administrativo.)
Se efectuaron comunicaciones a los clientes sobre el ciberataque producido y la imposibilidad de prestación de los servicios, que se acompañó a la solicitud de constatación de fuerza mayor como anexo XIII del documento nº 6 (informe técnico que se acompañó a la solicitud de fuerza mayor).
B) Sobre la concurrencia de causa de fuerza mayor derivada del bloqueo de los sistemas informáticos de la compañía como consecuencia del sufrimiento de ataque informático mediante virus ransoware, de conformidad con lo previsto en los artículos 47.3 et y 51.7 ET en concordancia con los previsto en los artículos 32 y 33.3 del Real Decreto 1483/2012 así como de la jurisprudencia que lo interpreta. adopción de medidas de seguridad diligentes e inevitabilidad del suceso.
La legislación laboral no recoge una definición de lo que debe entenderse por imposibilidad objetiva sobrevenida, aunque son diversos los preceptos que hacen referencia a la misma. Al margen de lo que se conoce doctrinalmente como derecho de la emergencia (fundamentalmente desarrollado como consecuencia de la crisis sanitaria derivada del Covid-19), el concepto "fuerza mayor" aparece de forma expresa en diversas disposiciones del ET (artículos 37.7, 45.1.i, 47.2 y 3, 49.1.h, 50.1.c, y 51.7) y, en otras ocasiones, también se hace referencia a supuestos en los que de forma sobrevenida, concurre un hecho obstativo imposibilitante que impide el cumplimiento de las prestaciones pactadas en el contrato de trabajo ( artículos 45.1.c, 49.1.e y 49.1.g todos ellos del ET).
La Sala IV del Tribunal Supremo, en S. de 8 de julio de 2008 (rec. 1857/2007), sostiene: " La fuerza mayor se configura en el marco de la regulación de los efectos del incumplimiento del contrato ( artículo 1105 del Código Civil en relación con los artículos 1101 , 1102 , 1103 y 1104 del mismo texto legal ) como un criterio de imputación (fuerza mayor y caso fortuito frente a culpa y dolo). (...) como muestran los antecedentes de la regulación actual - en concreto el artículo 76. 6ª LCT y el artículo 20 de la LRL -, lo que hay que determinar es si concurren los dos elementos que configuran el supuesto extintivo específico de los artículos 49.h ) y 51.12 del Estatuto de los Trabajadores : la imposibilidad definitiva de la prestación de trabajo y el carácter de fuerza mayor de la acción que la determina".
la STS, (Sala de lo Contencioso-Administrativo), de 19 de octubre de 1994 (rec 2949/1990), analizando el debate -entre fuerza mayor y caso fortuito, se concluye sobre las notas de imprevisibilidad o inevitabilidad que: " La fuerza mayor es el suceso que está fuera del círculo de actuación obligado que no hubiera podido preverse o que, previsto, fuera inevitable, y en orden a su apreciación en el ámbito jurídico, se ha de tener en cuenta que aunque en el terreno doctrinal es opinión dominante, la que viene a identificar las figuras del caso fortuito y la fuerza mayor, algún sector de la doctrina entiende que existen diferencias entre uno y otra, y que en la fuerza mayor no sólo es imprevisible sino además inevitable o irresistible (vis cui resistiti non potest)."
La Sala IV del TS, en S. de 22 de julio de 2015, rec. 4/2012 ha definido la causa de fuerza mayor como: " Aquellos hechos que, aun siendo previsibles, sean sin embargo inevitables, insuperables e irresistibles, siempre que la causa que los motiva sea independiente y extraña a la voluntad del sujeto obligado."
Como recogen las sentencias del 7 de junio y 28 de septiembre de 1988 y 10 de noviembre del mismo año " la fuerza mayor se caracteriza por dimanar de sucesos imprevistos e inevitables que rebasan los tenidos en cuenta en el curso normal de la vida y extraños al desenvolvimiento ordinario de un proceso industrial" o como dice la del 3 de noviembre de 1988, en aplicación concreta al caso litigioso, el suceso " no tuvo una causa externa o ajena al funcionamiento del servicio"; y la sentencia de la Sala III de este Tribunal de 29 de junio de 1998 (recurso 4505/1992), dictada sobre exoneración de la cotización a la Seguridad Social como consecuencia de la suspensión de contratos de trabajo, señalaba que , " Resulta de aplicación al supuesto que nos ocupa la Sentencia de esta Sala de 7 de marzo de 1995 , que define la fuerza mayor como un acontecimiento externo al círculo de la empresa y del todo independiente de la voluntad del empresario, que a la vez sea imprevisible. En el mismo sentido la Sentencia de 16 de mayo de 1995 , según la cual la fuerza mayor es un concepto jurídico indeterminado que comprende no solamente las causas a que se refería el art. 76.6 de la Ley de 26 de enero de 1944 del Contrato de Trabajo , sino a cualquier otra que dimane de un hecho externo ajeno a la esfera de actividad del empresario, doctrina acorde con la naturaleza de la fuerza mayor que en cada caso debe ser estimada o no, y que comporta que el hecho determinante del incumplimiento de una obligación, aunque pudiera preveerse, resulte inevitable".
La doctrina judicial civilista, por todas, STS (Sala de lo Civil) de 22 de noviembre de 2018, ha anudado la circunstancia de fuerza mayor a:
" Una fuerza superior a todo control y previsión que debe ponderarse -a efectos de su concurrencia- con la normal y razonable previsión que las circunstancias exijan adoptar en cada supuesto concreto." S
Sobre esta nota se ha entendido que debe procederse a una evaluación estudiándose la singularidad en cada caso concreto, pues, se trata de un concepto jurídico que debe deducirse del conjunto de circunstancias que motiven el hecho o acontecimiento que sobreponiéndose a la voluntad del obligado lo determinan a quebrantar la obligación que le corresponda, ya que siendo la posibilidad de prever los sucesos un concepto amplio, hay que entenderlo en su aplicación legal y práctica, como excluyente de aquellos sucesos totalmente insólitos o extraordinarios que, aunque no imposibles físicamente, no son de los que puede calcular una conducta prudente.
Sobre la concurrencia de causa de fuerza mayor como consecuencia del ataque de virus ransomware en Ilunion Contac Center, S.A.U. El análisis de los elementos configuradores de la fuerza mayor de los apartados anteriores permite concluir que el ataque informático a través de un virus ransomeware que se traduce en el "secuestro" de la información clave de la empresa, afectando de forma determinante a su operatividad, puede ser calificado como un supuesto de fuerza mayor.
En efecto, concurren todos los elementos configuradores que permiten concluir la existencia de causa de fuerza mayor: imposibilidad, existencia de una relación causal entre el incumplimiento de la obligación contractual y el hecho obstativo, inimputabilidad y (al menos) inevitabilidad. Elementos aplicados a la situación concreta descrita en la solicitud de constatación de fuerza mayor, formulada por la empresa.
(i) Sobre la naturaleza del hecho obstativo: tal y como se describe en los hechos declarados probados, se produjo en fecha 4 de junio de 2021 un ataque informático deliberado (en este caso, en forma de ransomware) por parte de terceros ajenos a la Empresa.
Tal circunstancia, resulta subsumible en el concepto de fuerza mayor, el origen "humano" (e, incluso, "intencionado") del hecho obstativo, no es una circunstancia suficiente para descartar una posible concurrencia de una fuerza mayor.
(ii) Sobre la concurrencia de un hecho obstativo, resulta acreditado, y así se colige del contenido de los informes periciales, que el secuestro de datos que el cifrado provoca tiene una afectación claramente obstativa en el cumplimiento de las prestaciones contractuales acordadas. Especialmente porque imposibilita la oportunidad empresarial de ofrecer la prestación de trabajo a las personas trabajadoras, en la medida que se ha visto afectado el Centro de Procesamiento de Datos, en la división ILUNION CONTACT CENTER BPO, se ha producido la inutilización de servidores, sistemas electrónicos, computadoras (en número aproximado 1.200) e impresoras (afectando en un primer estadio, en la ejecución de 28 campañas - y a 1.192 empleados de la Empresa).
Esta circunstancia no puede quedar desvirtuada, por el informe de CGT cuyo contenido se incorpora parcialmente a la resolución de la Directora General de Trabajo, en el que se afirma que, los empleados quedaron a disposición de la empresa, siendo ello elemento suficiente para impedir la suspensión de sus contratos. El argumento no es admisible porque la mera manifestación de "disponibilidad" no es equivalente a la ocupación efectiva, cuando hay imposibilidad objetiva de prestar servicios laborales.
Es decir, las personas trabajadoras pueden manifestar estar disponibles para realizar actividad laboral, pero la disponibilidad se traduce en la manifestación del mero deseo de querer trabajar, pero sin poder hacerlo porque existe una causa, ajena a voluntad de empleados y empresa, que lo impide.
(iii) Sobre la existencia de una relación de causalidad.- Existe una estrecha relación causal entre el hecho obstativo (el ataque y el "secuestro" de datos) y la imposibilidad material de la empresa de dar ocupación de trabajo a las personas trabajadoras , tal y como se acredita en informe técnico) del que se desprende que, el ciberincidente sufrido en los sistemas ubicados en todas las sedes de la compañía, que tras las investigaciones y medidas necesarias se determinó que se debió al ransomware conocido como Ryuk, impactó sobre todos los componentes que dependen de esta infraestructura, y, en consecuencia, se resiente la prestación de servicios por la imposibilidad de los agentes de utilizar los programas computacionales para operar los servicios de contact center y gestión documental en todas las sedes. En el momento del incidente, se encontraban operando en el CPD corporativo (servicios básicos de red, autentificación, procesos, cti, base de datos y aplicaciones), así como en las diferentes sedes de la organización, de los que 114 fueron afectados y por lo tanto quedaron inoperativos por este incidente. Del mismo modo, todas aquellas computadoras que estaban instaladas en las diferentes sedes de la compañía fueron afectadas por el incidente, quedando totalmente inoperativas (1200 equipos diferentes).
(iv) Sobre la inimputabilidad y la imprevisibilidad o la inevitabilidad. -sin duda, estos son los elementos más determinantes de este supuesto. Y, por este motivo, conviene un análisis pormenorizado.
Para poder determinar esta cuestión es oportuno, evaluar si el riesgo era imprevisible o, si previsto, inevitable. Especialmente porque, en función de la naturaleza del hecho sobrevenido, podrá delimitarse la diligencia requerida a través del análisis de las medidas preventivas o de seguridad adoptadas (esto es, si se agotaron cuantas medidas de precaución incumben a la Empresa en la evitación de este fenómeno).
En primer lugar, no puede afirmarse que un ataque informático ni la afectación de un virus sean circunstancias totalmente imprevisibles (y el ransomeware tampoco), y en este sentido se pronuncia la Administración actuante, la Inspección de Trabajo y, la resolución recurrida.
Ahora bien, en este supuesto, concurren los factores suficientes para concluir que el nivel de diligencia empresarial para prevenir este riesgo ha sido adecuado conforme a lo que una "conducta prudente hubiera podido evaluar".
En efecto, atendiendo a la naturaleza de la causa del hecho obstativo (claramente "independiente y extraña a la voluntad del sujeto obligado" y la limitada capacidad de anticipación que este tipo de intrusión permite), la variada y revisión periódica del conjunto de medidas que conforman la Política de seguridad de la información de Ilunion permiten concluir que el nivel de previsión y precaución es adecuado dentro del grado de esfuerzo y coste de un ordenado y diligente comerciante.
Tal y como recogen los dos informes -técnico y pericial- obrantes en el expediente administrativo, la Compañía contaba con los siguientes medios de seguridad informáticos:
Tiene implantado sistema de gestión de seguridad de la información; basándose en la necesidad de que la Seguridad de la Información esté en continua evolución y que dicha evolución en la madurez esté documentada y pueda ser verificada. Política de seguridad que damos por íntegramente reproducida. Dentro de esta política de seguridad, existen dos procedimientos concretos de respuesta técnica ante ataques ransomware.
Dentro de la citada política, la compañía cuenta con una "política de uso aceptable de los sistemas de información", en el que, entre otras medidas, se contemplan:
* Medidas de seguridad en el acceso por los usuarios a las instalaciones de la empresa, mediante tarjetas identificativas y controles de acceso.
* Instrucciones de seguridad en el uso de equipamiento informático, no permitiéndose manipulación del mismo por personal no autorizado -equipo de mantenimiento informático.
* Medidas de seguridad en el uso de cableado y conexiones.
* Medidas de seguridad de dispositivos móviles. - Medidas de control de acceso a lógico y a sistemas de información.
* Medidas de construcción de contraseñas seguras de carácter intransferibles.
* Medidas de seguridad para uso y bloqueo de sistemas, así como de uso de software.
* Medidas de control y uso del correo electrónico.
Desde el año 2017, cuanta con la certificación ISO/IEC 27001 de técnicas de seguridad de la información, otorgada por AENOR, y que es renovada anualmente mediante auditorías, siendo que, en el momento del acaecimiento del incidente de méritos, estaba plenamente vigente (Anexo VI del documento nº 6 de los acompañados a la solicitud inicial de constatación de fuerza mayor). Esta norma planta un marco de gestión para llevar el sistema de gestión.
Certificación ISO/IEC 27001, otorgada igualmente por AENOR, vigente en el momento del acaecimiento del incidente de 52 ciberseguridad (Anexo VII del documento nº 6 de los acompañados a la solicitud inicial de constatación de fuerza mayor), que desarrolla controles específicos distribuidos en 13 capítulos que suman 133 controles.
El modelo en el que se basa el sistema o política de gestión de seguridad es el Modelo PDCA (Planificar, Hacer, Revisar, Actual) con lo que anualmente, se hace una revisión de las medidas de seguridad que están implantadas y se promueve una mejora continúa basado en análisis de riesgos.
La empresa tenía instalado, con las licencias debidamente renovadas en el momento de acaecimiento del ciberincidente, el Antivirus Karpersky. El equipo de servicios informáticos de la empresa, en el momento de su instalación -con carácter previo al ciberataque- pudo comprobar mediante pruebas con el ransomware como el antivirus lo detecta y elimina. En este sentido, se aportaron junto al Recurso de Alzada como documentos 13.2 y 13.4 los presupuestos de renovación del antivirus y la factura emitida.
Ilunion tenía contratado servicios de creación y control de puestos virtuales con la empresa Unified Cloud Services (documento nº 7 de los acompañados al Recurso de Alzada), desde fecha 1 de mayo de 2020 -data del último de los contratos que se aportan-. En dicho contrato de prestación de servicios se contemplan la implantación de sistema de seguridad informática.
La compañía tiene cubierto, mediante póliza de Responsabilidad Civil suscrita con AIG Europe, S.A. (documento nº 8 de los acompañados al Recurso de Alzada) Riesgos Cibernéticos por valor superior a 5.000.0000 de euros, abonándose una prima anual superior a los 146.000 euros por parte de la empresa, estando la misma vigente hasta 24 de abril de 2022.
Cuenta, dentro de la política de seguridad de la información de la empresa, con apartado específico sobre la seguridad operativa diaria (documento nº 12 de los acompañados al Recurso de Alzada), en el que se contempla de forma específica la gestión de contraseñas de usuarios, la verificación de los acceso, modificaciones y resto de medidas de seguridad aplicables de forma continua en la empresa.
Ilunion, además cuenta con los servicios de Telefónica Soluciones de Informática y Comunicaciones de España, S.A.U., para la prestación de servicios de soporte y gestión de dispositivos de seguridad (documento nº 13 de los acompañados al Recurso de Alzada), relativo a los sistemas de telecomunicaciones, con un precio anual que supera los 20.000 euros (documento nº 13.3. de los acompañados al Recurso de Alzada).
Se acredita, por tanto, que la Empresa había cumplido con el nivel de diligencia debido, así se hace constar en el informe aportado en el que se recoge que la actuación y medios de seguridad de la empresa para la evitación del ataque eran los adecuados.
Cabe citar La Sentencia de la Audiencia Provincial de Valladolid de fecha 12 de septiembre de 2017 (rec. 197/2017), en la que se declara la nulidad de lo actuado porque la representación procesal no recibió la citación para el acto del juicio remitida a través del sistema Lexnet por padecer el ordenador de la procuradora el día de su envío la invasión de un virus que encriptaba los mensajes que le eran remitidos.
Argumentando que," En su consecuencia y conforme a lo dispuesto en los arts. 162 , 225.3 º y 227 de la LEC , entendemos procede decretar la nulidad de lo actuado a partir del proveído de fecha 14 de noviembre de 2016 por el que se realizaba el señalamiento del acto del juicio y se daba traslado a la parte actora de las manifestaciones del testigo-perito propuesto por esta para no comparecer a juicio. Ello por cuanto ha concurrido una causa de fuerza mayor, ajena a dicha parte y que mal pudo evitar, que ha impedido le fuera debidamente notificado dicho proveído, defecto de forma este de carácter sustancial que le ha irrogado indefensión vedándole nada menos que acudir al actor a juicio con su representación y defensa procesal para allí hacer valer las pruebas pertinentes, intervenir en las propuestas de contrario y realizar las alegaciones que estimare convenientes."
Por tanto, no puede afirmarse como se recoge en la resolución recurrida, que el ataque por ser previsible no puede constituir causa de fuerza mayor y ello por cuanto:
- La fuerza mayor no se reduce a los supuestos de carácter imprevisible, sino también a aquellos que, siendo previsibles, resultan inevitables.
- Cuando se trata de supuestos previsibles, la inevitabilidad debe analizarse ponderando, de un lado, las medidas implantadas por la empresa para la evitación del ataque y, de otro, la complejidad de la circunstancia externa que provoca la imposibilidad objetiva. Analizadas las medidas de seguridad, por consultora externa en informe forense, se constata como eran las propias de un comerciante diligente, sin que pueda imputarse comportamiento negligente y, además, si quiera se conocen medidas alternativas que hubiera podido impedir el ataque del virus, lo que revela su carácter inevitable, debiendo, por tanto, subsumirse en el supuesto de fuerza mayor.
C) Sobre la concurrencia de causa de fuerza mayor derivada del bloqueo de los sistemas informáticos de la compañía como consecuencia del sufrimiento de ataque informático mediante virus ransoware, de conformidad con lo previsto en los artículos 47.3 y 51.7 et en concordancia con lo previsto en los artículos 32 y 33.3 del Real Decreto 1483/2012 así como de la jurisprudencia que lo interpreta. acreditación de los efectos impeditivos del desarrollo de la actividad laboral.
Como tercer argumento que conduce a la Administración actuante a resolver la inexistencia de causa de fuerza mayor, se esgrime en la resolución de méritos que:
"En tercer lugar, la fuerza mayor implica la imposibilidad de trabajar, dando lugar a la suspensión del contrato de trabajo o la reducción de la jornada de los trabajadores de la plantilla afectada. Siguiendo el informe de la Inspección de Trabajo y Seguridad Social, que, con ambas partes, dicha imposibilidad "no ha quedado acreditada a la luz de las declaraciones de los trabajadores y la justificación documental aportada por la parte social. Y es que, aunque están de acuerdo en que la actividad ordinaria se ha visto afectada, los trabajadores han estado en todo momento a disposición de la empresa, ya sea presencialmente o teletrabajando, y han informado sobre sus descansos, comienzo y final de la jornada, así como de citas médicas para poder ausentarse de su puesto de trabajo." Por las razones expuestas, ni se acredita documentalmente la producción del suceso, ni se acreditan los requisitos de imprevisibilidad e inevitabilidad del mismo, ni consta que se haya producido una efectiva imposibilidad de trabajar."
Tal y como hemos expuesto, el secuestro de datos tiene una afectación obstativa en el cumplimiento de las prestaciones contractuales acordadas porque imposibilita la oportunidad empresarial de ofrecer la prestación de trabajo a las personas trabajadoras. En efecto, en la medida que se ha visto afectado el Centro de Procesamiento de Datos, en la división ILUNION CONTACT CENTER BPO, se ha producido la inutilización de servidores, sistemas electrónicos, computadoras (en número aproximado 1.200) e impresoras, afectando en un primer estadio a un total de 1.192 empleados.
Se reconoce por parte de CGT, y se reproduce en la resolución ahora recurrida, la existencia del ciberincidente y los efectos obstativos que el mismo ha producido sobre el normal desarrollo de la actividad laboral, que no pueden quedar desvirtuados por la manifestación de que los trabajadores "quedaron en régimen de disponibilidad para la empresa" siendo ello elemento suficiente para impedir la suspensión de sus contratos, pues lo relevante es ,la imposibilidad objetiva de prestar servicios laborales.
En el Anexo del documento nº 6 obrante en el expediente administrativo, se aportan:
-Comunicaciones remitidas a los trabajadores entre fechas 4 y 8 de junio de 2021, con el siguiente tenor literal: Desde el mismo momento en que se tuvo conocimiento del ataque informático sufrido en Ilunion Contact Center se están buscando soluciones efectivas que permitan reincorporar al mayor número de trabajadores a su puesto de trabajo y en el menor tiempo posible, como de hecho así está sucediendo.
Sin perjuicio de ello, hasta que sea posible reactivar al 100% de la plantilla, se está valorando la necesidad de regular las relaciones laborales exclusivamente de aquellos trabajadores que no estén pudiendo trabajar de una manera efectiva.
Esta regulación, en todo caso, afectaría al menor número de trabajadores posible durante el tiempo exclusivamente requerido para la recuperación de este ataque informático que ha inutilizado la mayor parte de las herramientas de trabajo disponibles.
-Comunicaciones efectuadas sobre la brecha de seguridad ocasionada, como consecuencia del ataque informático, a la Agencia Española de Protección de Datos, sobre la brecha de seguridad ocasionada como consecuencia del ciberincidente. En la misma se contempla como:
Se recibió llamada de un proveedor de servicios informáticos: Unified Cloud Services, S.L. indicando que está recibiendo tráfico de datos hacia ellos y que se trata de un ransomware.
Se ha procedido a la desconexión de los sistemas y análisis de la situación: análisis de los activos infectados (...) activación de la póliza de seguridad.
-Comunicaciones efectuadas a los clientes sobre el ciberataque producido y la imposibilidad de prestación de los servicios, se anexionaron en los términos explicitados, un total de 131 comunicaciones efectuadas a clientes acerca de la imposibilidad de continuar prestando servicios como consecuencia del ciberataque producido.
De todo lo expuesto podemos concluir que:
El ataque informático a través de un virus ransomeware en una actividad empresarial que gravita sobre una "arquitectura" esencialmente digital como la que lleva a cabo la demandante puede subsumirse en el concepto de fuerza mayor por lo siguiente:
- Primero, el origen humano del hecho obstativo no impide que pueda subsumirse un hecho imposibilitante en el concepto de fuerza mayor;
- Segundo, concurre una imposibilidad absoluta y objetiva sobre una de las prestaciones esenciales empresariales del contrato de trabajo (dar ocupación efectiva);
- Tercero, existe una relación causal entre el incumplimiento de la obligación y el hecho obstativo;
- Cuarto, dado el nivel de diligencia preventiva adoptado por la demandante puede afirmarse que concurre la nota de inimputabilidad y (como mínimo) la de inevitabilidad. En este supuesto, pese a tratarse de un riesgo conocido (y, por ende, previsible), se dan suficientes elementos para entender que el nivel de diligencia empresarial para prevenir este riesgo ha sido el suficientemente elevado como para descartar que su conducta empresarial pueda calificarse como negligente (y por ello imputable), Especialmente porque las medidas que conforman la "Política de seguridad de la información" de la compañía constituyen medidas de precaución adecuadas dentro del grado de esfuerzo y coste de un "ordenado y diligente comerciante".
Como consecuencia de cuanto precede se impone la estimación de la demanda y la anulación de la Resolución de fecha 15 de julio de 2021 de La Dirección General de Trabajo declarando estimada por silencio administrativo la solicitud de declaración de fuerza mayor formulada por la empresa ILUNION CONTACT CENTER, S.A.U., como causa de la suspensión de relaciones laborales de los trabajadores afectados de su plantilla.
VISTOS los preceptos legales citados y demás de general y pertinente aplicación,
Estimamos la demanda formulada por D. JUAN JOSÉ JIMÉNEZ REMEDIOS, Letrado del Ilustre Colegio de Abogados de Sevilla, actuando en nombre y representación de ILUNION CONTACT CENTER, S.A.U., contra, el MINISTERIO DE TRABAJO Y ECONOMÍA SOCIAL, sobre, IMPUGNACIÓN DE ACTOS ADMINISTRATIVOS EN MATERIA LABORAL Y DE SEGURIDAD SOCIAL, declaramos la nulidad del acto impugnado, declaramos estimada por silencio administrativo la solicitud de declaración de fuerza mayor formulada por la empresa ILUNION CONTACT CENTER, S.A.U., como causa de la suspensión de relaciones laborales de los trabajadores afectados de su plantilla.
Notifíquese la presente sentencia a las partes advirtiéndoles que, contra la misma cabe recurso de Casación ante el Tribunal Supremo, que podrá prepararse ante esta Sala de lo Social de la Audiencia Nacional en el plazo de CINCO DÍAS hábiles desde la notificación, pudiendo hacerlo mediante manifestación de la parte o de su abogado, graduado social o representante al serle notificada, o mediante escrito presentado en esta Sala dentro del plazo arriba señalado.
Al tiempo de preparar ante la Sala de lo Social de la Audiencia Nacional el Recurso de Casación, el recurrente, si no goza del beneficio de Justicia Gratuita, deberá acreditar haber hecho el depósito de 600 euros previsto en art. 229.1.b de la Ley Reguladora de la Jurisdicción Social, y, en el caso de haber sido condenado en sentencia al pago de alguna cantidad, haber consignado la cantidad objeto de condena de conformidad con el art. 230 del mismo texto legal, todo ello en la cuenta corriente que la Sala tiene abierta en el Banco de Santander Sucursal de la Calle Barquillo 49, si es por transferencia con el nº 0049 3569 92 0005001274 haciendo constar en las observaciones el nº 2419 0000 00 0013 22 (IBAN ES55) ; si es en efectivo en la cuenta nº 2419 0000 00 0013 22 (IBAN ES55), pudiéndose sustituir la consignación en metálico por el aseguramiento mediante aval bancario, en el que conste la responsabilidad solidaria del avalista.
Llévese testimonio de esta sentencia a los autos originales e incorpórese la misma al libro de sentencias.
Así por nuestra sentencia lo pronunciamos, mandamos y firmamos.
La difusión del texto de esta resolución a partes no interesadas en el proceso en el que ha sido dictada sólo podrá llevarse a cabo previa disociación de los datos de carácter personal que los mismos contuvieran y con pleno respeto al derecho a la intimidad, a los derechos de las personas que requieran un especial deber de tutelar o a la garantía del anonimato de las víctimas o perjudicados, cuando proceda.
Los datos personales incluidos en esta resolución no podrán ser cedidos, ni comunicados con fines contrarios a las leyes.
El contenido de la presente resolución respeta fielmente el suministrado de forma oficial por el Centro de Documentación Judicial (CENDOJ). La Editorial CEF, respetando lo anterior, introduce sus propios marcadores, traza vínculos a otros documentos y hace agregaciones análogas percibiéndose con claridad que estos elementos no forman parte de la información original remitida por el CENDOJ.