El 30 de diciembre de 2022 el Banco Central del Uruguay (en adelante, el “BCU”) publicó las Circulares No. 2419, 2420, 2421 y 2422 que modifican la Recopilación de Normas de Regulación y Control del Sistema Financiero, la Recopilación de Normas del Mercado de Valores, la Recopilación de Normas de Control de Fondos Previsionales y la Recopilación de Normas de Seguros y Reaseguros en materia de resguardo de datos y tercerizaciones (en adelante, las “Circulares”). 

Las Circulares no presentan mayores diferencias con el Proyecto Normativo inicialmente publicado por el BCU el 23 de septiembre de 2022 (el “Proyecto”), respecto al cual emitimos un informe. Pueden ver el informe que realizamos al momento de publicación del Proyecto a través del siguiente link.

En cuanto a la vigencia de las Circulares, tengan presente que las mismas entraron en vigencia en la fecha de la publicación de las mismas, esto es, el 30 de diciembre de 2022. 

Sin embargo, tal como lo indicaba el Proyecto, las Circulares prevén que las exigencias adicionales que deben prever los contratos por servicios tercerizados, regirán para los contratos firmados a partir de la vigencia de la resolución pero para los contratos ya existentes, se admitirá que se realicen cuando los mismos sean renovados.

En el marco de la publicación de las Circulares, también con fecha 30 de diciembre, el BCU publicó la Comunicación No. 2022/254 aplicable a todos los mercados, la cual indica determinados servicios cuya tercerización no deberá ser autorizada por el BCU siempre y cuando se cumplan las condiciones allí indicadas (en adelante, la “Comunicación”).  

La Comunicación indica que en relación a la contratación de servicios con terceros radicados en el exterior del país o terceros radicados en el país cuyos servicios se prestan total o parcialmente en o desde el exterior, no deberá solicitarse la autorización expresa de la Superintendencia de Servicios Financieros cuando se trate de:

a) los siguientes servicios en modalidad de Software como Servicio (SaaS):

– correo electrónico, mensajería instantánea y herramientas ofimáticas,

– almacenamiento y resguardo de archivos,

– firma electrónica, herramientas colaborativas y gestión documental.

b) servicios de procesamiento de datos que no incluyan datos personales de clientes o los mismos hayan sido disociados de acuerdo a la definición del literal G), artículo 4 de la Ley N° 18.331 de 11 de agosto de 2008.

La Comunicación establece que dichas contrataciones se considerarán autorizadas siempre y cuando se cumplan las siguientes condiciones: 

i) Se cumpla con los requerimientos establecidos para las autorizaciones tácitas de acuerdo a lo previsto en la normativa bancocentralista aplicable. 

Se indica que, en los casos en que el contrato entre las partes no contemple las cláusulas de acceso irrestricto a los datos y a toda la documentación e información técnica relacionada con los servicios prestados y/o el derecho a realizar auditorías o evaluaciones periódicas por parte de la Superintendencia de Servicios Financieros y de la institución, ya sea directamente o mediante auditorías independientes, la institución deberá contar con acceso de solo lectura, de carácter exclusivo y sin restricción alguna (técnicas o administrativas) a los datos procesados externamente, utilizable en todo momento desde las oficinas de la institución por parte de los funcionarios de la Superintendencia de Servicios Financieros. 

Asimismo, se establece que una de las copias de resguardo deberá radicarse físicamente en el Uruguay y permanecer accesible a los funcionarios de la Superintendencia de Servicios Financieros y que, se deberán realizar, al menos una vez por año, pruebas formales y debidamente documentadas del funcionamiento de dicho acceso y de la integridad del resguardo radicado en el país. 

Cuando el contrato no contemple dentro de las cláusulas de rescisión, la instrucción del cese para la prestación de servicios a través de la empresa tercerizada por parte de la Superintendencia de Servicios Financieros, la institución deberá aceptar la responsabilidad que eventualmente pueda derivarse en el caso que la citada Superintendencia instruya la rescisión de la tercerización.

ii) Exista un acuerdo de nivel de servicios (SLA) especificado por contrato de al menos un 99,9% de disponibilidad y que incluya penalidades en caso de incumplimiento. 

ii) El servicio cuente con la certificación ISO 27001. Adicionalmente, debe contar con la certificación ISO 27017 o haber aplicado para CSA STAR Level 1. 

Por último, la Comunicación indica que las tercerizaciones que cumplan con los mencionados requisitos deberán ser informadas mediante el módulo “Its” del Sistema de Envío Centralizado (SEC-IDI) del BCU.

Por Paula Cabarcos