A pesar de que el artículo 20 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LPDPPP) en México obliga a que las empresas informen si han sido vulneradas de forma cibernética, esto es de manera general, y el artículo no contempla una sanción por ello, lo que de acuerdo con analistas dificulta el seguimiento, impacto y reacción ante un incidente de este tipo, como es el caso de WannaCry.
“Existe normatividad sectorial, como por ejemplo en materia bancaria, que también obliga a las instituciones afectadas a notificar a los usuarios afectados la vulneración de la seguridad de su información. El tema es que realmente no hay sanción por su incumplimiento”, dijo Rodrigo Orenday, abogado y asociado senior del grupo de Tecnología, Medios y Telecomunicaciones de Santamarina y Steta, en entrevista con Expansión.
Leer más en: CNN Expansión.
