Ponemos en su conocimiento que el pasado 23 de setiembre de 2022, la Superintendencia de Servicios Financieros (en adelante, la “SSF”) del Banco Central del Uruguay (el “BCU”) publicó un proyecto normativo (el “Proyecto”) por medio del cual se pretende modificar algunos aspectos de la normativa vigente relativa a tercerizaciones de servicios y a la normativa vigente en materia de resguardo de datos, aplicable a las distintas entidades supervisadas. En ese sentido, el Proyecto incorpora modificaciones a la Recopilación de Normas de Regulación y Control del Sistema Financiero (la “RNRCSF”), a la Recopilación de Normas de Mercado de Valores (la “RNMV”), a la Recopilación de Normas de Fondos Previsionales (la “RNCFP”), y a la Recopilación de Normas de Seguros y Reaseguros (la “RNSR”, y conjuntamente con la RNRCSF, la RNMV, y la RNCFP, las “Recopilaciones del BCU”). No se modifica la normativa del Área de Sistema de Pagos.

En ese sentido, el Proyecto modifica –en general– el régimen aplicable a las tercerizaciones de servicios y la normativa en materia de acceso y resguardo de información, vinculadas a (i) instituciones de intermediación financiera, (ii) empresas administradoras de crédito, (iii) empresas de servicios financieros, (iii) casas de cambio, (iv) representaciones, (v) empresas de transferencias de fondos, (vi) empresas de transporte de valores, (vii) empresas prestadoras de servicios de arrendamiento y custodia de cofres de seguridad, (viii) empresas administradoras de plataformas para préstamos entre personas, (ix) bolsas de valores, (x) empresas administradoras de plataformas de financiamiento colectivo, (xi) intermediarios de valores, (xii) sociedades administradoras de fondos de inversión, (xiii) fiduciarios financieros, (xiv) asesores de inversión, (xv) gestores de portafolios, (xvi) cajas de valores, (xvii) administradoras de fondos de ahorro previsional, y (xviii) empresas aseguradoras y reaseguradoras.

El Proyecto se encuentra disponible a través del siguiente link, y las instituciones podrán presentar comentarios vía correo electrónico a ssfproyectonormativoif@bcu.gub.uy. El plazo para la recepción de comentarios al Proyecto vencerá improrrogablemente el 14 de octubre de 2022.

En el presente informe desarrollaremos las principales modificaciones que se introducirían a través del Proyecto a las Recopilaciones del BCU.

    1. Modificaciones a la normativa regulatoria en materia de tercerización de servicios

Las modificaciones contempladas en el Proyecto a este respecto abarcan (i) por una parte, modificaciones al régimen de autorización de las tercerizaciones de servicios prestados por terceros radicados en Uruguay, y (ii) por otra parte, modificaciones al régimen de autorización de las tercerizaciones de servicios que son prestados por terceros radicados fuera de Uruguay o de los servicios que son prestados total o parcialmente desde el exterior.

    1.1 Tercerizaciones de servicios con proveedores radicados en Uruguay

A este respecto, el Proyecto introduciría nuevos requisitos mínimos a ser cumplidos a efectos de que las tercerizaciones de servicios que sean brindados desde Uruguay por parte de proveedores radicados en el país se entiendan tácitamente autorizadas.

Sin perjuicio de las modificaciones previstas en el Proyecto, interesa destacar que éste incluye soluciones transitorias, disponiendo que (i) las modificaciones correspondientes serán aplicables a aquellos contratos que fueren firmados a partir de la entrada en vigor de las modificaciones respectivas, y (ii) respecto de aquellos contratos que se encontraren vigentes al momento de entrada en vigor de las modificaciones contempladas en el Proyecto, dichas modificaciones deberán incorporarse en oportunidad de la renovación de los contratos de que se trate.

A continuación detallamos las principales novedades que se introducirían a través del Proyecto con respecto al contenido mínimo que deben presentar los contratos a efectos de que las tercerizaciones se consideren tácitamente autorizadas:

1. Con respecto a los contratos en virtud de los cuales se tercericen servicios que impliquen procesamiento de datos, se incorpora la necesidad de incluir en dichos contratos una obligación a cargo del proveedor en virtud de la cual, al momento de finalización del contrato respectivo, éste se comprometa a: (a) transferir los datos a quien la institución supervisada disponga; y (b) eliminarlos, una vez confirmada la disponibilidad e integridad de los mismos en el destino. Sobre este último punto llamamos la atención de que es posible que por el régimen legal o regulatorio aplicable a la entidad en que se tercerizan los servicios, puede suceder que no sea posible cumplir con dicho requerimiento. Por lo tanto, sugerimos evalúen incluir en sus comentarios al BCU dicha advertencia.
2. En lo que atañe a la obligación de proporcionar acceso irrestricto a los datos y a toda la documentación e información técnica relacionada con los servicios tercerizados, el Proyecto agrega que dicha obligación será aplicable no solo con respecto al encargado de realizar las auditorías o evaluaciones periódicas por parte de la SSF del BCU o la institución supervisada –de conformidad con lo ya previsto–, sino que también frente al responsable del proceso de intervención, resolución o liquidación, en caso de corresponder.
3. Se agrega la necesidad de incorporar una obligación a cargo del proveedor en virtud de la cual éste deberá informar a la institución supervisada sobre cualquier evento que pueda afectar significativamente la prestación del servicio tercerizado de que se trate.
4. Se incluye el requerimiento de incluir una obligación a cargo del proveedor bajo la cual éste se comprometa a continuar brindando el servicio aun cuando la institución supervisada se encuentre en proceso de intervención, resolución o liquidación. Llamamos la atención respecto de este punto, ya que puede no ser aceptable para algunos prestadores de servicios internacionales atenerse a esta situación. No obstante, también consideren que esta obligación va en línea con lo previsto bajo el artículo 68 de la Ley N° 18.387, sobre concursos y reorganización empresarial, que prevé que, con relación a los contratos que hubiera celebrado el concursado, serán nulas las estipulaciones contractuales que declaren resuelto el contrato o atribuyan la facultad de resolución a cualquiera de las partes en caso de insolvencia o de declaración de concurso del deudor concursado.
   
   

De forma complementaria, el Proyecto prevé que todos los requerimientos mencionados precedentemente deberán también ser incluidos en los contratos que se pudieren celebrar terceros subcontratados. 

De esta forma, se amplía las cláusulas a ser contenidas en los subcontratos que pudieren celebrarse por los proveedores de servicios tercerizados, ya que en el régimen vigente al día de hoy no se establecía la obligación de incluir en dichos subcontratos cláusulas (i) relativas a los procedimientos para obtener la información necesaria para que el servicio se pueda continuar prestando ante cualquier situación que pudiera sufrir el tercero que le impidiera continuar cumpliendo con el servicio contratado, (ii) que impusieran al subcontratado la obligación de informar a la institución supervisada sobre cualquier evento que pudiera afectar significativamente la prestación del servicio, ni (iii) que establecieran la obligación del subcontratado de continuar brindando el servicio cuando la institución supervisada se encuentre en proceso de intervención, resolución o liquidación.

    1.1 Tercerizaciones de servicios con proveedores radicados en el exterior y tercerizaciones de servicios que son prestados total o parcialmente desde el exterior.

El Proyecto introduce –asimismo– modificaciones al régimen de tercerizaciones de servicios que bajo la normativa vigente requieren autorización expresa por parte de la SSF del BCU a efectos de que las instituciones supervisadas puedan proceder a su contratación.  En este sentido, bajo la normativa vigente, de regla, los servicios que se tercericen con terceros radicados en el exterior o sean prestados total o parcialmente desde el exterior, están sujetos a un régimen de autorización previa y expresa por parte de la SSF del BCU.

No obstante, el Proyecto flexibilizaría tal extremo, para lo cual contempla que la SSF del BCU podrá disponer que determinados servicios no requerirán de la autorización expresa de la SSF del BCU para su contratación, siempre que se satisfagan las condiciones que oportunamente se dicten.

Por otra parte, el Proyecto agrega que la autorización expresa que se otorgue a efectos de proceder a la tercerización de servicios será sin perjuicio de las inscripciones de las bases de datos y de las autorizaciones de transferencia internacional de datos personales que puedan corresponder ante la Unidad Reguladora y de Control de Datos Personales. Dicha mención no sería necesaria ya que en virtud del régimen normativo vigente actualmente ello ya es así producto de otra normativa aplicable (Ley N° 18.331, sobre protección de datos personales, y sus modificativas).

Asimismo, bajo la normativa vigente, en los supuestos en que se tercericen servicios que importen el procesamiento de datos por parte de un tercero radicado en el exterior, o que se encuentre radicado en Uruguay pero que el servicio se preste total o parcialmente desde el exterior, se prevé que una de las copias de la información emitida para el BCU, así como de los registros contables, y todo otro dato, incluyendo correos, mensajería instantánea y toda otra forma de mensajería electrónica, que se considere relevante en la reconstrucción de las operaciones a los fines del BCU o para requerimientos judiciales, de acuerdo a lo previsto –según sea el caso– en el artículo 492 de la RNRCSF, en el artículo 255.2 de la RNMV, en el artículo 144.3 de la RNCFP y en el artículo 120.3 de la RNSR, se debe radicar físicamente en Uruguay.

El Proyecto flexibiliza el requerimiento antedicho, previendo que dicho requisito no será aplicable siempre que (i) las instituciones supervisadas implementen y hagan disponible un punto único que permita el acceso y control continuo y permanente a todos los datos y servicios procesados fuera de Uruguay, (ii) dicho punto sea administrado por parte de la institución supervisada y concentre todos los accesos, independientemente de las ubicaciones, proveedores y naturaleza de los servicios provistos desde el exterior. Sin perjuicio, en tales supuestos se establece la obligación de realizar, al menos anualmente, pruebas formales y debidamente documentadas del funcionamiento del punto y de cada uno de los accesos.

    2. Modificaciones a la normativa regulatoria en materia de régimen de acceso y resguardo de la información y documentación.

Mediante el Proyecto se introducen modificaciones al régimen de resguardo de información aplicable a las instituciones supervisadas. Las novedades del Proyecto comprenden (i) el establecimiento de una responsabilidad personal y solidaria de los cargos directivos de las instituciones supervisadas por el cumplimiento de la normativa regulatoria en materia de acceso por parte del BCU a la información y documentación de las instituciones supervisadas, (ii) modificaciones al régimen de resguardo de información, (iii) la obligación de las instituciones supervisadas de designar un responsable del resguardo de datos, software y documentación, previendo el Proyecto que dicha persona se encuentre comprendida por la definición de personal superior.

    2.1 Régimen de acceso a la información. Responsabilidad de personal directivo de instituciones supervisadas.

A través del Proyecto, se establecería la responsabilidad personal y solidaria ante el BCU de los miembros del Directorio u órgano de administración, y de los administradores sociales con respecto al cumplimiento de la obligación aplicable a las instituciones supervisadas de permitir el acceso a toda la información y documentación que el BCU estime necesaria con el fin de cumplir con sus cometidos legales, las cuales deben estar disponibles en todo momento, independientemente de la jurisdicción en la que estén radicadas.

A este respecto, destacamos que si bien bajo la normativa vigente se encuentran ya regulados determinados supuestos donde el personal directivo de las instituciones supervisadas puede ser objeto de sanciones por parte del BCU por el mal desempeño de sus funciones, dicha responsabilidad en este caso se consagra de forma solidaria y personal frente al BCU.

Por otra parte, el Proyecto no establece las sanciones específicamente aplicables a este tipo de incumplimientos, siendo –en tales casos– de aplicación la normativa sancionatoria aplicable a cada una de las instituciones supervisadas y vigente a la fecha.

Por tanto sugerimos evaluar comentar al BCU este extremos y solicitar mantener la misma línea que la regulación ha seguido hasta el momento.

    2.2 Régimen de resguardo de datos, documentación e información.

En materia de resguardo de información, el Proyecto contempla la inclusión del concepto de “mensajería instantánea” dentro de la información y documentación que las instituciones deben resguardar, de acuerdo a lo previsto en el artículo 492 de la RNRCSF, en el artículo 255.2 de la RNMV, en el artículo 144.3 de la RNCFP y en el artículo 120.3 de la RNSR. Consecuentemente, en caso de finalmente entrar en vigor las disposiciones proyectadas, los procedimientos de resguardo de datos y de software que las instituciones supervisadas deben implementar, con el fin de reconstruir las informaciones emitidas para el BCU y todo otro dato relevante en la reconstrucción de las operaciones a los fines del BCU o para requerimientos judiciales, deberán comprender el resguardo de dichos mensajes instantáneos.

Más allá de lo anterior, interesa subrayar que el Proyecto prevé la modificación del régimen del resguardo incremental de datos. En efecto, en el Proyecto se contempla que el resguardo incremental ya no será de carácter diario, conteniendo únicamente los movimientos del día, a condición de que semanalmente se realizare un respaldo completo.

En dicha línea, el Proyecto propone modificar las obligaciones de resguardo, de modo que, en caso de aprobarse el Proyecto, se admitirían dos alternativas con respecto al resguardo de datos: (i) por un lado, se mantendría la opción hoy vigente en cuanto a la posibilidad de hacer un respaldo diario, en las mismas condiciones que las previstas a la fecha, y (ii) por otro lado, en cuanto al resguardo incremental, el mismo pasaría a realizarse de modo que contemple los cambios desde el último respaldo total realizado. Sin embargo, los procedimientos de recuperación igualmente deberían permitir en todo caso la restauración completa de la información para cualquier día. Se habilitaría también que, para la realización del respaldo incremental, se utilicen nuevas tecnologías y procesos de resguardo.

En esta misma línea, el Proyecto establece en forma expresa que las pruebas de recuperación y de integridad de los resguardos de datos que deben realizarse de forma anual –de acuerdo a lo ya previsto en la normativa regulatoria– deben asegurar la recuperación de la totalidad de la información resguardada.

Por último, las instituciones supervisadas estarían obligadas a nombrar un responsable para la ejecución de los procedimientos de resguardo de datos, software y documentación, quien será responsable de realizar un correcto resguardo de claves para el acceso y desencriptación de los datos, así como de asegurar que la institución disponga de un procedimiento para dicho acceso y desencriptación que no involucre requerir autorizaciones o acciones de personal que no esté bajo la dependencia de la institución supervisada. La persona designada como responsable del resguardo de datos, software y documentación, de acuerdo al Proyecto, pasará a integrar la categoría de personal superior, modificándose en consecuencia los artículos 536 de la RNRCSF, 143 de la RNMV, 149.1 de la RNCFP y 145.2 de la RNSR.