Luego de la crisis del 2002, se emitieron normas para el fortalecimiento del sistema bancario entre las cuales apareció la exigencia de que los bancos y otras instituciones sujetas al control del Banco Central del Uruguay (BCU) tuvieran que solicitar autorización previa para tercerizar en sujetos no regulados actividades propias del giro de la institución. La razón por la cual se emitió la norma fue por la dificultad que tuvo el propio BCU de acceder a ciertos datos e información de algunos bancos en el momento de la crisis, ya que esa información o documentos estaban en manos de terceros, a quienes se les había encomendado la realización de tareas. Esos terceros no eran sujetos controlados o supervisados por el Banco Central, lo que generó dificultades adicionales, que se quisieron evitar en el futuro.
Desde ese tiempo a esta parte, se incorporaron varias normas a la Recopilación de Normas del BCU, tendientes a regular estas situaciones así como un tipo de tercerización que es el procesamiento de datos. También en forma creciente, el BCU fue incorporando esta obligación de pedir autorización para tercerizar a distintos sujetos, extendiéndola incluso a los Asesores de Inversión. Pero la normativa era bastante abstracta, y no aclaraba respecto de qué servicios había que pedir autorización previa. Las instituciones reguladas consultaban constantemente en relación a este punto, a la hora de contratar servicios de todo tipo. Desde limpieza, hasta contabilidad, servicios de call center, consultoría en temas de mercadeo y captación de clientes, etc.
Por ello, el BCU emitió una nueva circular, donde diferencia, con ejemplos, las categorías de servicios que requieren autorización y las que se consideran desde ya autorizadas cuando cumplen ciertas condiciones.
En las primeras, se incluyen los que no tengan carácter estratégico, tales como: servicios generales; actividades de apoyo administrativo; actividades de investigación y marketing; servicios profesionales; impresión, ensobrado y distribución de comunicaciones o promociones; guarda, traslado y custodia de ciertos documentos; reparación o mantenimiento de equipos informático, servicios para el mantenimiento del software. En ningún caso los servicios pueden implicar el acceso a datos que se procesen.
En las segundas, se incorporan los siguientes ejemplos: transporte de valores; consultas de datos u otra información de los clientes; impresión, ensobrado y distribución de estados de cuenta; venta, entrega de tarjetas de crédito y débito, etc.
Las condiciones necesarias para que éstos últimos se entiendan autorizados son que los servicios estén detallados en un contrato, que debe contener como mínimo: a) objeto del contrato; b) responsabilidad de la institución contratante por los servicios prestados a través de la empresa tercerizada; c) compromisos de confidencialidad y protección de datos; d) derecho a realizar auditorías por parte del BCU y de la entidad contratante; e) continuidad del servicio y f) causales de rescisión, entre las que deberá estar la instrucción del cese por parte de la SSF.
La institución está obligada a mantener a disposición de la SSF el contrato y toda aquella documentación que avale la solvencia patrimonial y técnica del tercero. Además, deberá informar a la SSF sobre la tercerización dentro de los 10 días hábiles contados a partir de la celebración del contrato, indicando la fecha del contrato, el nombre del prestador de los servicios tercerizados, el objeto del contrato y el domicilio donde se prestan los servicios.
Por último, la comunicación establece un plazo de adecuación a estos nuevos requerimientos de 365 días, para aquellas instituciones que ya tengan contratados servicios del lit. b)