El escenario es clásico y doloroso: un empleado del departamento financiero recibe un correo electrónico, descarga un adjunto infectado (Ransomware) o realiza una transferencia bancaria fraudulenta (Fraude del CEO). El daño económico y reputacional para la empresa es inmenso. La reacción visceral de la dirección suele ser inmediata: despido disciplinario.
Sin embargo, en los tribunales, la ecuación no es tan simple. ¿Puede un clic equivocado costarte el puesto de trabajo? La respuesta corta es: depende de si la empresa hizo sus deberes antes que el empleado.
Análisis Jurídico: La delgada línea de la «Buena Fe»
Para que un despido disciplinario por caer en una estafa de phishing sea declarado procedente, debemos acudir al artículo 54 del Estatuto de los Trabajadores. La empresa suele alegar la «transgresión de la buena fe contractual» o la «disminución continuada y voluntaria en el rendimiento».
El problema jurídico radica en la palabra «culpable».
La jurisprudencia actual tiende a diferenciar entre dos tipos de error:
- Error Excusable: El ataque era sofisticado (spear phishing), el empleado actuó con la diligencia promedio y, lo más importante, la empresa no había proporcionado formación específica ni medidas técnicas de barrera. En este caso, el despido será improcedente.
- Negligencia Grave (Inexcusable): El empleado se saltó protocolos expresos, ignoró advertencias de seguridad activas o actuó con una desidia absoluta (ej. desactivar el antivirus para descargar un archivo). Solo aquí el despido tiene viabilidad.
Si la empresa no ha implementado medidas de seguridad técnicas (filtros antispam, MFA) ni organizativas (formación, protocolos de pagos), está trasladando su responsabilidad empresarial al eslabón más débil. Y eso, señores, no cuela ante un juez.
El papel del Compliance y la ISO 27001
No basta con decir «tened cuidado». La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y normativas como la ISO 27001 ponen el foco en la responsabilidad proactiva.
Si una empresa sufre una brecha de seguridad por un error humano y la AEPD (Agencia Española de Protección de Datos) investiga, lo primero que pedirá es el registro de formación. Si no puedes demostrar que ese empleado fue entrenado para detectar un fraude, la multa te la llevas tú y el despido se anula.
Consejos Prácticos para Empresas (Antes de firmar el finiquito)
- Auditoría Forense antes del Despido: No actúes en caliente. Analiza si el correo era fácilmente detectable o una suplantación de identidad perfecta. La calidad del engaño atenúa la culpa del trabajador.
- Protocolos de «Cuatro Ojos»: Implementa normas internas donde cualquier transferencia superior a X cantidad requiera la validación de dos personas distintas. Esto elimina el riesgo del «clic solitario».
- Formación (Simulada): Deja de enviar PowerPoints. Contrata campañas de phishing ético simulado. Quien caiga en la simulación necesita refuerzo, no un despido (todavía). Eso genera evidencia de que la empresa se preocupa por la seguridad.
Conclusión
El ciberespacio es un entorno laboral hostil. Pretender que un administrativo tenga los conocimientos de un analista de ciberseguridad por ciencia infusa es absurdo. Antes de despedir a alguien por «picar» en un anzuelo, revisa si tú le diste el escudo para defenderse o si lo mandaste a la guerra con un tenedor.
