Grave ciberataque a Correos: la justicia declara improcedente el despido de su jefe de sistemas por no evitar los daños
El TSJ de Madrid descarta la conexión entre las funciones del empleado y las conductas reprochadas de forma genérica por la empresa
Para justificar un despido, no cabe reprochar de modo genérico el incumplimiento de las funciones del trabajador en atención a su puesto. Por el contrario, se requiere la perfecta identificación de sus tareas y responsabilidades, así como una conexión entre su conducta y el perjuicio causado al empleador.
Así se desprende de una reciente sentencia del Tribunal Superior de Justicia de Madrid (cuyo texto puede consultar aquí), que confirma la improcedencia del despido del jefe de área de sistemas del servicio de paquetería urgente de Correos. La empresa le hizo responsable de los daños generados por un ciberataque que paralizó los ordenadores durante cinco días de 2021. Los magistrados, sin embargo, no entienden probada su supuesta conducta irregular ni su relación con los efectos del asalto, a lo que se une que llevaba solo veintiséis días en su cargo.
Grave ciberataque
Según los hechos probados de la sentencia, el empleado prestaba servicios para Correos Express paquetería urgente S.A., y el ataque informático, provisto de un “virus habitual muy potente”, produjo daños valorados en casi 320.000 euros.
Según el expediente, el 26 de diciembre de 2021 los atacantes se hicieron con unas credenciales a través de una plataforma de acceso a escritorios virtuales, “entraron en los servidores y cifraron discos”.
El trabajador tenía competencias como “responsable de seguridad en el departamento de tecnología y sistemas”. En el organigrama, la estructura de seguridad se componía de un subdirector de tecnología; en un escalón inferior, varios gerentes de sistemas y, a continuación, el propio responsable de seguridad.
En marzo de 2022, se produjo el despido. La carta describió la falta de “control de los equipos y material informático con acceso a los sistemas” y la ausencia de “medidas de seguridad adecuadas”. Las únicas que existían eran “muy elementales, completamente gratuitas y sin coste alguno”. Correos achacó al trabajador no haber “evitado en gran medida el ataque informático”. Además, lo culpó por no “haber hecho una contención de gasto”, tras comprobar que la factura telefónica de los contratos de la empresa se había “disparado en lo relativo a la parte variable del consumo de datos, SMS”.
Meses después, el Juzgado de lo Social número 47 de Madrid declaró improcedente el despido. La empresa, a continuación, presentó recurso de suplicación ante el tribunal autonómico, que confirma el fallo.
Reproche genérico
Los magistrados analizan cuáles son, exactamente, las funciones del empleado, y determinan que la descripción realizada por la empresa no fue detallada. En cualquier caso, razonan, la “pretendida necesidad de describir las funciones de cada empleado en el organigrama de control de sistemas” trató de suplirse a posteriori, en fase de recurso: hubo una “falta de explicación en la imputación”. Además, el organigrama permitió comprobar que otros implicados, como el subdirector, tenían “facultades para acordar la implantación de esas medidas de control”.
Por otra parte, el reclamante adquirió su categoría el 1 de noviembre de 2021, y el ataque tuvo lugar el día 26. Se probó que los llamados IPS (sistemas de prevención de intrusos) y Proxy (servidores que reciben las conexiones de los clientes) fueron adquiridos por la empresa en 2018 y 2020, respectivamente: “el demandante no era responsable de seguridad en esas fechas”. Así, no debía achacársele “la falta de implantación anterior a su posesión de la categoría” ni se entiende que, tras veintiséis días, “tuviese que haber realizado inexorablemente una implantación que no habría realizado su antecesor”.
La resolución censura a la empleadora por imponer al operario “una responsabilidad en sentido general”, a modo de “máximo encargado de la seguridad”. Esa falta de claridad “no debe ser soportada por el trabajador, sino por aquel que realiza la imputación”, concluye.
En definitiva, indica el fallo, la mercantil trató de “imponer un reproche a alguien en el seno de la empresa”, pero el despido y la elección del responsable “no tiene cobertura cierta, evidente y definitiva” conforme a las normas reguladoras de las sanciones disciplinarias. Por tal motivo, solo cabe confirmar la improcedencia del despido.
