en Laboral y Seguridad Social

Responsabilidades legales de las empresas y sus trabajadores por virus informáticos.

Martí Manent, Abogado y Director de Derecho.com

Ante los efectos de un virus informático, las preguntas sobre los efectos legales que se realizan una vez ha causado graves daños, no siempre se contestan correctamente. La actual penetración de los sistemas y equipos informáticos en el trabajo y en casi todas las actividades hacen que dependamos. Los daños causados por los virus cada vez serán más importantes debidos a la actual dependencia de la informática.

El sábado 25 de enero de 2003, se produjo el ataque del virus informático SQL Slammer, el efecto, la interrupción o mal funcionamiento de equipos informáticos.

Las empresas

¿Éstos son los únicos efectos? No. El virus provocó la interrupción de algunos equipos informáticos que tenían instalado y utilizaban el programa SQL Server o SQL Desktop Engine de la empresa Microsoft, con lo cual dicho virus provocó entre otros efectos, la interrupción o corte del servicio prestado por empresas que ofrecen conexión a Internet, la interrupción del servicio que ofrecen algunas empresas de alojamiento de páginas web, de servicios de telecomunicaciones, etc.. Una vez se produjeron estas interrupciones el efecto dominó empezó a funcionar y muchas empresas que operan a través de Internet o sistemas de comunicación informática se vieron afectadas por el virus, vieron como no podían trabajar; Conexiones a Internet sin funcionar, webs de comercio electrónico inoperativas, bancos con los sistemas de pago cerrados, servicios de correo electrónico bloqueados, entre otros.

¿El resultado? Daños y perjuicios, pérdidas económicas. ¿Quién los pagará? ¿Quién indemnizará por los ingresos no percibidos o las ventas no realizadas? La respuesta que muchas personas piensan, es que nadie asumirá dichas responsabilidades ya que no se conoce el creador del virus o dicha persona o grupo no disponen de patrimonio. Los daños causados por un virus son de origen criminal, terrorista, “pirata” y en virtud de la legislación en vigor, dichas personas deberán afrontar responsabilidades civiles y penales por la creación y difusión de dichos programas informáticos dañinos. En el Código Penal español dichas conductas están tipificadas entre otros en los artículos 263 al 269.

¿Los creadores de los virus son los únicos responsables? No. Es importante distinguir entre diferentes tipos de virus para determinar quien es el responsable de los daños y quien deberá de hacer frente a las indemnizaciones por los perjuicios causados. En el caso concreto del SQL Slammer, para causar daños en los equipos informáticos, el virus aprovechaba una vulnerabilidad (un elemento no protegido o insuficientemente protegido) del programa SQL Server de Microsoft. Hace unos meses Microsoft detectó dicho fallo y lo comunicó a través de sus boletines técnicos, poniendo a disposición de sus clientes un “parche”, un fichero que corregía dichos problemas. En este caso, nos encontramos ante un virus que ataca unos servidores que tienen instalados el programa SQL Server y no había sido actualizado. ¿Estamos ante una negligencia? Puede ser que así sea.

Si una empresa presta un servicio de acceso a Internet, de alojamiento de páginas web, servicios de pagos online para comercios electrónicos o cualquier otro servicio que el ataque del virus puede interrumpir sus servicios, no puede alegar para no afrontar ciertas responsabilidades que dicho ataque es un supuesto de fuerza mayor, ya que en el caso del virus SQL Slammer, el fallo en el programa era conocido, había sido avisado por su fabricante (Microsoft) y además existía desde hacía meses (junio de 2002) la posibilidad de subsanarlo. En estos supuestos, la responsabilidad no queda limitada a la persona que ha creado o divulgado el virus ya que existe un deber de diligencia por parte de las empresas. ¿Existe responsabilidad del fabricante del programa informático? En todo caso, también podría estudiarse si Microsoft, tenía algún deber, desde el momento que descubrió el problema y no sólo anunciar en sus publicaciones dicho fallo. Para introducir un elemento de reflexión, cuando un fabricante de electrodomésticos o automóviles detecta un fallo en sus productos, inserta anuncios en la prensa para que sus clientes conozcan dichos problemas y puedan evitarse daños. ¿Microsoft o cualquier otro fabricante debería de hacer lo mismo?

Los trabajadores

¿Tienen los trabajadores o empleados algún tipo de responsabilidad por los daños causados por virus? Los daños de otro tipo de virus informático que puede generar responsabilidades, a parte de las imputables a su creador o difusor, son los virus que afectan a una empresa cuando uno de sus empleados recibe un correo infectado. La mayoría de las empresas en las que sus trabajadores tienen acceso al correo electrónico, el uso del mismo, está limitado a usos profesionales. En estos casos, si el trabajador recibe un correo electrónico relacionado con su trabajo que está infectado, entendemos que no tendrá ningún tipo de responsabilidad si dicho correo electrónico tenía una apariencia normal y el empleado siguió en todo momento las normas de la empresa.

Los problemas de responsabilidad para un trabajador relacionados con los daños causados por la infección por un virus informático nacen cuando recibe correos electrónicos no relacionados con su trabajo y conoce que dicha utilización del correo electrónico está prohibida por la empresa. Son frecuentes los correos electrónicos enviados entre amigos y familiares que contienen chistes, bromas, fotos, etc., en el caso que uno de estos correos estuviera infectado, el trabajador tendría que afrontar responsabilidades por los daños causados. Si la política de la empresa en relación al correo electrónico prohibía expresamente este tipo de usos o la apertura de cualquier documento adjunto a un correo electrónico, también podrán emprenderse acciones disciplinarias contra el trabajador (artículo 54 y 58 del Estatuto de los Trabajadores).

Es importante tener en cuenta los importantes efectos de responsabilidad civil que pueden originar algunos virus informáticos. Dichos virus generan perdida de tiempo en las empresas, daños económicos, lucro cesante y posibilidad de incurrir en responsabilidades patrimoniales imputables a un empleado o a un proveedor que deja de prestar servicios a sus clientes. La falta de diligencia debida o la no protección razonable de equipos o sistemas informáticos puede causar responsabilidades civiles en el supuesto que se vean afectados por un virus informático que era evitable.