Ponemos en su conocimiento que el pasado 30 de diciembre de 2022, el Banco Central del Uruguay (el “BCU”) publicó (i) las Circulares N° 2419, 2420, 2421 y 2422 (en adelante, las “Circulares”) que modifican las disposiciones contenidas en la Recopilación de Normas de Regulación y Control del Sistema Financiero (la “RNRCSF”), la Recopilación de Normas de Mercado de Valores (la “RNMV”), la Recopilación de Normas de Control de Fondos Previsionales (la “RNCFP”) y la Recopilación de Normas de Seguros y Reaseguros (la “RNSR”, y conjuntamente con la RNRCSF, la RNMV, y la RNCFP, las “Recopilaciones del BCU”), respectivamente, en materia de tercerizaciones de servicios y de resguardo de datos, aplicable a las distintas entidades supervisadas, y (ii) la Comunicación N° 2022/254 (en adelante, la “Comunicación”), que prevé un régimen especial de autorización para algunas tercerizaciones de servicios que se contraten por parte de las distintas entidades supervisadas con terceros radicados en el exterior o que, radicándose en Uruguay, presten sus servicios, total o parcialmente, desde el exterior.

Las modificaciones introducidas por las Circulares a las Recopilaciones del BCU mantienen –en gran medida– las soluciones previstas en el proyecto normativo publicado por el BCU con fecha 23 de septiembre de 2022 (el “Proyecto”), y que fuera comentado en nuestro informe de fecha 11 de octubre de 2022 (el “Informe”).

En consecuencia, en el presente desarrollaremos las principales modificaciones que las Circulares introducen a las Recopilaciones del BCU, destacando las principales diferencias entre las soluciones finalmente recogidas en las Circulares respecto de las soluciones originalmente previstas en el Proyecto.

Sin perjuicio de lo anterior, y en línea con lo mencionado en el Informe, ni el Proyecto ni las Circulares introducen modificaciones a la normativa vigente contenida en la Recopilación de Normas del Sistema de Pagos en materia de tercerizaciones de servicios y de resguardo de datos.

Al igual que el Proyecto, las Circulares modifican el régimen aplicable a las tercerizaciones de servicios y la normativa en materia de acceso y resguardo de información, vinculadas a: (i) instituciones de intermediación financiera, (ii) empresas administradoras de crédito, (iii) empresas de servicios financieros, (iv) casas de cambio, (v) representaciones, (vi) empresas de transferencias de fondos, (vii) empresas de transporte de valores, (viii) empresas prestadoras de servicios de arrendamiento y custodia de cofres de seguridad, (ix) empresas administradoras de plataformas para préstamos entre personas, (x) bolsas de valores, (xi) empresas administradoras de plataformas de financiamiento colectivo, (xii) intermediarios de valores, (xiii) sociedades administradoras de fondos de inversión, (xiv) fiduciarios financieros, (xv) asesores de inversión, (xvi) gestores de portafolios, (xvii) cajas de valores, (xviii) administradoras de fondos de ahorro previsional, y (xix) empresas aseguradoras y reaseguradoras.

   1. Modificaciones a la normativa regulatoria en materia de tercerización de servicios.

En relación a la normativa referente a la tercerización de servicios por parte de las entidades supervisadas, las Circulares comprenden (i) por una parte, modificaciones al régimen de autorización de las tercerizaciones de servicios prestados por terceros radicados en Uruguay, y (ii) por otra parte, modificaciones al régimen de autorización de las tercerizaciones de servicios que son prestados por terceros radicados fuera de Uruguay o de los servicios que son prestados total o parcialmente desde el exterior.

   1.1 ¿Cómo se regulan las tercerizaciones de servicios bajo la normativa regulatoria vigente?

En términos generales, la normativa regulatoria vigente reconoce tres categorías con relación a la tercerización de servicios: (i) aquellas tercerizaciones que requieren la autorización expresa del BCU; (ii) aquellas tercerizaciones que requieren una autorización tácita del BCU; y (iii) aquellas que no requieren autorización del BCU. A este respecto, destacamos que el diferencial para determinar si se requiere la autorización expresa del BCU o basta con la autorización tácita viene dado por el lugar donde se radica el tercero prestador de los servicios tercerizados, y el lugar desde donde se prestan tales servicios.

En dicha línea, en caso que el tercero se encuentre radicado en Uruguay y preste los servicios objeto de tercerización desde Uruguay, será suficiente con obtener una autorización tácita, en tanto que si el tercero se radica fuera del país o radicándose en Uruguay prestare los servicios a ser tercerizados total o parcialmente desde el exterior, deberá –de regla– solicitarse la autorización expresa del BCU, sin perjuicio de algunas hipótesis específicas –como ocurre con respecto a la tercerización de servicios de debida diligencia– donde la normativa vigente ya contemplaba supuestos de autorización tácita aun cuando el proveedor de los servicios se encontraba radicado fuera de Uruguay.

No obstante, las Circulares incorporan una excepción a la regla antes mencionada, dotando de una mayor flexibilidad al sistema de tercerizaciones, según se explicará seguidamente.

   1.2 ¿Qué novedades introducen las Circulares y la Comunicación respecto del régimen de autorización de tercerizaciones?

Las Circulares permiten que la Superintendencia de Servicios Financieros (la “SSF”) disponga que, con relación a determinados servicios, no se requerirá la obtención de una autorización expresa para que las entidades supervisadas procedan a su contratación, aun cuando dichos servicios sean prestados por terceros radicados en el exterior o cuando estando dichos terceros radicados en Uruguay los servicios se presten total o parcialmente en o desde el exterior.

Así, y específicamente con relación a este punto, la Comunicación viene a reglamentar qué tipo de servicios no requerirán la obtención de una autorización expresa por parte de la SSF, así como los requisitos que deberán cumplirse por parte de las entidades supervisadas a efectos de que dichas tercerizaciones se consideren tácitamente autorizadas.

Dentro de los servicios cuya tercerización no requerirá la obtención de una autorización expresa por parte de la SSF, la Comunicación comprende a (i) los servicios de correo electrónico, mensajería instantánea, herramientas ofimáticas, almacenamiento y resguardo de archivos, firma electrónica, herramientas colaborativas y gestión documental, en todos los casos cuando dichos servicios sean brindados bajo la modalidad de software as a service, y (ii) servicios de procesamiento de datos que no incluyan datos personales de clientes o los mismos hubieren sido disociados (esto es, que la información obtenida no pueda vincularse a persona determinada o determinable).

A efectos de que las entidades supervisadas puedan proceder a la tercerización de los servicios antes indicados sin la obtención de una autorización expresa, se requiere satisfacer de forma acumulativa los siguientes requisitos:

   (i) Cumplir con los requerimientos establecidos en la normativa aplicable a las distintas entidades supervisadas a efectos de la obtención de la autorización tácita.

Bajo la normativa regulatoria vigente, a efectos de que una determinada tercerización se considere tácitamente autorizada, se requiere que el contrato que se celebre entre la entidad supervisada y el proveedor de los servicios contenga determinadas cláusulas mínimas.

Sin perjuicio, la Comunicación flexibiliza dichos requerimientos, al prever soluciones alternativas en caso de que los contratos a celebrarse no cuenten con todas las cláusulas mínimas que son generalmente exigibles, a saber:

• En caso que el contrato no incluya (i) una cláusula de acceso irrestricto a los datos y a la documentación e información relativa a los servicios tercerizados por parte de la SSF y de la institución contratante, y/o (ii) una cláusula que confiera el derecho a realizar auditorías o evaluaciones periódicas por parte de la SSF y de la entidad supervisada, entonces, (a) la entidad supervisada deberá contar con acceso de solo lectura, de carácter exclusivo y sin restricción alguna a los datos procesados externamente, utilizable en todo momento desde las oficinas de la entidad supervisada por parte de los funcionarios de la SSF, (b) una de las copias de resguardo deberá radicarse físicamente en Uruguay y permanecer accesible a los funcionarios de la SSF, y (c) deberán realizarse anualmente pruebas formales y debidamente documentadas del funcionamiento de dicho acceso y de la integridad del resguardo radicado en el país.

• En caso de que el contrato no incluya dentro de las causales de rescisión la instrucción por parte de la SSF del cese de la prestación de los servicios de que se trate, entonces, la entidad supervisada deberá aceptar la responsabilidad que eventualmente pueda derivarse en caso de que la SSF efectivamente instruya a la entidad supervisada que proceda a dicha rescisión.

   (ii) Que exista un acuerdo contractual con respecto al nivel de servicios de al menos un 99,9% de disponibilidad de los servicios en cuestión, y que contemple penalidades en caso de incumplimiento.

   (iii) Que el servicio a tercerizar (a) cuente con la certificación ISO 27001, y (b) alternativamente (1) cuente con la certificación ISO 27017 o (2) haya aplicado para CSA STAR Level 1.

   1.3 ¿Qué novedades introducen las Circulares respecto del contenido mínimo de los contratos por los cuales las entidades supervisadas tercerizan servicios?

Las Circulares introducen nuevos requisitos mínimos aplicables a efectos de que las tercerizaciones de servicios brindados desde Uruguay por parte de proveedores radicados en el país se entiendan tácitamente autorizadas.

Asimismo, destacamos que, en virtud de lo previsto en las Recopilaciones del BCU, los requisitos mínimos que deben cumplir los contratos mediante los cuales se tercerizan servicios en los que basta la autorización tácita son también trasladables a las tercerizaciones que requieren la obtención de una autorización expresa por parte de la SSF.

Seguidamente detallamos los nuevos requisitos mínimos que deberán contemplarse en los contratos a ser suscritos por las entidades supervisadas y mediante los cuales se proceda a la tercerización de servicios:

   (a) Con relación a los contratos de tercerización de servicios que impliquen procesamiento de datos, y en línea con lo previsto en el Proyecto, se incorpora la necesidad de incluir en dichos contratos una obligación a cargo del proveedor en virtud de la cual, al momento de finalización del contrato respectivo, éste se comprometa a: (i) transferir u ofrecer herramientas que permitan la transferencia de los datos a quien la institución supervisada disponga; y (ii) eliminarlos, una vez confirmada la disponibilidad e integridad de los datos en el destino.

Señalamos que, a diferencia de lo previsto en el Proyecto, las Circulares agregaron como alternativa la posibilidad de que el proveedor no realice directamente la transferencia de los datos al término del vínculo contractual, sino que se limite a ofrecer herramientas que permitan dicha transferencia.

Adicionalmente, en línea con lo señalado en el Informe, destacamos que el mantenimiento de la exigencia prevista en el Proyecto en cuanto a que el proveedor deba eliminar los datos recibidos en el marco de la relación contractual al finalizar la misma, puede implicar que no sea posible beneficiarse del régimen de autorización tácita (incluyendo la flexibilización del régimen de las tercerizaciones mencionadas en el parágrafo 1.2), en particular cuando el proveedor esté obligado legal o regulatoriamente a conservar dichos datos por determinado periodo.

   (b) Manteniendo la redacción prevista en el Proyecto, las Circulares prevén que la obligación de proporcionar acceso irrestricto a los datos y a toda la documentación e información técnica relacionada con los servicios tercerizados debe cumplirse no solo con respecto al encargado de realizar las auditorías o evaluaciones periódicas por parte de la SSF del BCU o la institución supervisada –de conformidad con lo ya previsto en la normativa vigente–, sino también frente al responsable del proceso de intervención, resolución o liquidación, en caso de corresponder.

   (c) Manteniendo la redacción prevista en el Proyecto, las Circulares prevén que los contratos deberán prever la obligación por parte del proveedor de informar a la institución supervisada sobre cualquier evento que pueda afectar significativamente la prestación del servicio tercerizado de que se trate.

   (c) En línea con lo previsto en el Proyecto, se incorpora la necesidad de incluir la obligación del proveedor de continuar brindando el servicio aun cuando la institución supervisada se encuentre en proceso de intervención, resolución o liquidación. No obstante, las Circulares –a diferencia del Proyecto– clarifican que dicha obligación será exigible siempre que la institución supervisada continúe ejerciendo sus obligaciones sustantivas bajo el contrato, incluyendo las obligaciones de pago.

Sin perjuicio, en línea con lo señalado en el Informe, destacamos que la incorporación de esta exigencia puede implicar que no sea posible beneficiarse del régimen de autorización tácita (incluyendo la flexibilización del régimen de las tercerizaciones mencionadas en el parágrafo 1.2), en particular cuando el acordar este tipo de cláusulas sea válido bajo la ley que rija el contrato de que se trate.

De forma complementaria, las Circulares prevén que todos los requerimientos mencionados precedentemente deberán también ser incluidos en los contratos que se pudieren celebrar con terceros subcontratados.

   1.4 ¿Qué novedades introducen las Circulares respecto en materia de tercerizaciones que importan el procesamiento de datos?

En relación con las tercerizaciones de servicios que importen el procesamiento de datos por parte de un proveedor radicado en el exterior, o que aún radicado en Uruguay  preste el servicio total o parcialmente en o desde el exterior, la normativa –con carácter general– prevé que una de las copias que debe generarse de la información emitida para el BCU, así como de los registros contables, y de todo otro dato, incluyendo correos, mensajería instantánea –esta categoría es un agregado de las Circulares– y de toda otra forma de mensajería electrónica, que se considere relevante en la reconstrucción de las operaciones a los fines del BCU o para requerimientos judiciales, de acuerdo a lo dispuesto por la normativa aplicable según la entidad supervisada de que se trate, se debe radicar físicamente en Uruguay.

A partir de la entrada en vigencia de las Circulares, se flexibiliza en cierto modo el requerimiento antedicho, previendo que aquél no será aplicable siempre que: (i) las instituciones supervisadas implementen y hagan disponible un espacio físico con la infraestructura tecnológica necesaria para permitir el acceso y control total, continuo y permanente de todos los datos y servicios procesados fuera de Uruguay, así como sus resguardos y las claves necesarias para su acceso y eventual desencriptación, (ii) dicho punto unificado de acceso se encuentre localizado en el país (condición ésta que no surgía del Proyecto), en la casa central o en alguna dependencia de la institución supervisada y concentre todos los accesos, independientemente de las ubicaciones, proveedores y naturaleza de los servicios provistos desde el exterior, y (iii) las entidades supervisadas informen a la SSF la ubicación asignada al punto referido. Sin perjuicio, en tales supuestos se establece la obligación de realizar, al menos anualmente, pruebas formales y debidamente documentadas del funcionamiento del punto unificado y de cada uno de los accesos.

   1.5 ¿Desde cuándo rigen las modificaciones contempladas en las Circulares?

Si bien las Circulares no especifican con carácter general una determinada fecha de entrada en vigencia, respecto de las modificaciones introducidas en relación al contenido mínimo que deben cumplir los contratos a ser celebrados por las entidades supervisadas a efectos de que éstos se consideren tácitamente autorizados, se prevé que: (i) dichas modificaciones serán aplicables a aquellos contratos que fueren firmados a partir de su entrada en vigor, y (ii) respecto de aquellos contratos que se encontraren ya vigentes al momento de la entrada en vigor de las modificaciones introducidas por las Circulares, las entidades supervisadas deberán introducir los cambios previstos en las Circulares en oportunidad de la renovación de los contratos de que se trate.

   2. Modificaciones a la normativa regulatoria en materia de régimen de acceso y resguardo de la información y documentación.

Mediante las Circulares se introducen modificaciones al régimen de acceso y resguardo de información aplicable a las instituciones supervisadas. A continuación, señalamos las modificaciones relacionadas con ambos regímenes.

   2.1 ¿Qué modificaciones se introducen al régimen de acceso a la información y documentación?

Las Circulares introducen las siguientes modificaciones a este respecto:

   (a) En línea con lo previsto en el Proyecto, se prevé en forma expresa que toda la información y documentación que el BCU solicite a las entidades supervisadas para el cumplimiento de sus cometidos legales deberá estar disponible en todo momento, independientemente de la jurisdicción donde esté radicada.

   (b) Se establece una nueva hipótesis de responsabilidad para los cargos directivos (miembros del Directorio, órgano de administración o –en su caso– los administradores sociales) de las instituciones supervisadas, que será aplicable en caso de incumplimiento de la obligación mencionada en el literal (a) precedente.

Sobre este punto, interesa subrayar que, a diferencia de la solución contemplada en el Proyecto, las Circulares eliminan la referencia a que dicha responsabilidad del personal directivo será “personal y solidaria”.

Por otra parte, hacemos notar que las Circulares no incorporan sanciones específicas aplicables a este tipo de incumplimientos, siendo en tales casos de aplicación la normativa sancionatoria aplicable a cada una de las instituciones supervisadas y vigente a la fecha.

   2.2 ¿Qué modificaciones se introducen al régimen de resguardo de datos, documentación e información?

Las Circulares introducen las siguientes modificaciones a este respecto:

   (a) En materia de resguardo de información, según lo ya señalado, las Circulares incluyen el concepto de “mensajería instantánea” dentro de la información y documentación que las instituciones deben resguardar, de acuerdo con lo previsto en el artículo 492 de la RNRCSF, en el artículo 255.2 de la RNMV, en el artículo 144.3 de la RNCFP y en el artículo 120.3 de la RNSR.

   (b) Se incorpora la obligación –no contenida en el Proyecto– de resguardar las claves que permitan la desencriptación de los datos.

   (c) Se incorpora la obligación –no contenida en el Proyecto– de que los datos, las claves y sus mencionadas copias no deberán estar expuestos a la posibilidad de que un mismo evento de riesgo sea capaz de afectarlos simultáneamente.

   (d) Se modifican las condiciones del respaldo incremental admisible, que en adelante no necesariamente deberá ser de carácter diario, pero deberá contemplar los cambios desde el último respaldo realizado (eliminándose la referencia contenida en el Proyecto relativa a que el último respaldo debía ser “total”).

   (e) En caso de optarse por realizar un respaldo incremental, los procedimientos de recuperación deben permitir la restauración completa de la información para cualquier día.

   (f) En esa misma línea, en cuanto a las pruebas anuales de recuperación y de integridad de los resguardos de datos, se estipula que deberán asegurar la capacidad de la institución de recuperar la totalidad de la información resguardada.

   (g) Finalmente, se instituye como obligación de las instituciones supervisadas la de designar un responsable de la ejecución del resguardo de datos, software y documentación, quien se incluye dentro de la categoría de personal superior, y que será responsable, en particular, de: (i) realizar un correcto resguardo de claves para el acceso y desencriptación de los datos, (ii) asegurar que la institución disponga de un procedimiento para dicho acceso y desencriptación que no involucre requerir autorizaciones o acciones de personal que no esté bajo la dependencia de la institución supervisada, y (iii) cuando la institución opte por establecer un punto unificado de acceso, será responsable por la determinación del espacio físico donde se ubicará su implementación y prueba.

Respecto de este último punto, destacamos en particular que las Circulares no contienen ninguna disposición transitoria a efectos de establecer la fecha a partir de la cual las entidades supervisadas deberán haber cumplido con la designación de dicho responsable de la ejecución del resguardo de datos, software y documentación.

En virtud de lo anterior, sería conveniente que el BCU dispusiera de un plazo razonable a efectos de la implementación de dichas designaciones.

A través de los siguientes links podrá acceder a las Circulares, a la Comunicación y al Informe:

• Circular N° 2419 (modificativa de la RNRCSF)
• Circular N° 2420 (modificativa de la RNMV)
• Circular N° 2421 (modificativa de la RNCFP)
• Circular N° 2422 (modificativa de la RNSR)
• Comunicación N° 2022/254
• Informe de fecha 11 de octubre de 2022