A continuación, detallamos las últimas novedades regulatorias bancocentralistas en materia de tercerización de servicios y procesos de debida diligencia.

1. Nuevo proyecto normativo en materia de tercerización de servicios

El pasado 23 de septiembre de 2022, la Superintendencia de Servicios Financieros del Banco Central del Uruguay (“BCU”) publicó un nuevo proyecto normativo del sistema financiero que, de ser aprobado, introduciría modificaciones en las Recopilaciones de Normas de Regulación y Control del Sistema Financiero (“RNRCSF”), Mercado de Valores (“RNMV”), Control de Fondos Previsionales (“RNCFP”) y Seguros y Reaseguros (“RNSR”) en materia de resguardo de datos y tercerizaciones aplicable a todas las entidades supervisadas.

A continuación, detallamos los puntos más relevantes:

  • Se incorporan cláusulas mínimas a los contratos en relación con las obligaciones de los proveedores de servicios tercerizados

Entre ellas, se deberán incluir las obligaciones de informar a la institución supervisada sobre cualquier evento que pudiera afectar de manera significativa la prestación del servicio y continuar brindando el servicio cuando la institución se encuentre en proceso de intervención, resolución o liquidación. En esta línea, deberá permitírsele el acceso irrestricto a los datos y demás documentación e información técnica relacionada con los servicios al responsable del proceso de intervención, resolución o liquidación.

Además, el proyecto agrega, para el caso de contratación de servicios que impliquen el procesamiento de datos, el deber de incorporar la obligación del proveedor de transferir los datos a quien la institución supervisada disponga y su correspondiente eliminación -siempre que se confirme su disponibilidad e integridad-, una vez finalizado el contrato.

  • Se modifican los requisitos dispuestos para el procesamiento de datos desde el exterior del país

En este punto, se admite que no se radique una copia en Uruguay cuando las instituciones implementen y disponibilicen un punto único de acceso y control continuo y permanente de los datos y servicios procesados desde el exterior, sujeto a determinadas condiciones.

  • Se modifican las condiciones y formas de resguardo de la información y documentación

La propuesta agrega a los miembros del Directorio u órgano de administración de las personas jurídicas y, en su caso, los administradores sociales como responsables personales y solidarios ante el BCU por la disponibilidad en todo momento de la información y documentación.

A su vez, se habilita el uso de nuevas tecnologías y procesos de resguardo.

Se establece expresamente que las pruebas de recuperación e integridad de los resguardos deben asegurar la recuperación de la totalidad de los datos.

Se modificaron las exigencias relativas a la periodicidad con la que deben realizarse los respaldos incrementales y completos.

  • Se realizan aclaraciones respecto al alcance de la autorización de tercerización otorgada por BCU y posibles excepciones a la autorización expresa.

La autorización de las tercerizaciones se realizará sin perjuicio de las inscripciones de las bases de datos y autorizaciones de transferencia internacional de datos personales que puedan corresponder ante otros organismos estatales.

El BCU podrá disponer que determinados servicios no requerirán autorización expresa para su contratación, estableciendo, en su debido momento, las condiciones para que dicha contratación se considere autorizada.

2. Nuevo proyecto normativo sobre procedimientos de debida diligencia de clientes

El pasado 19 de septiembre de 2022, el BCU publicó un nuevo proyecto normativo del sistema financiero que, de ser aprobado, introduciría modificaciones en la normativa relativa a los procedimientos de debida diligencia de clientes que las instituciones deben implementar como parte del sistema para la prevención de lavado de activos y financiamiento del terrorismo y proliferación de armas de destrucción masiva.

A continuación, detallamos los puntos más relevantes:

  • Se agregan nuevas alternativas al contacto personal para la verificación de la identidad de los clientes

En este punto, el proyecto modificaría la RNRCSF y la RNMV para permitir que, tratándose de personas físicas, las instituciones del sistema financiero, los intermediarios de valores y las sociedades administradoras de fondos de inversión puedan cumplir el contacto personal mediante procesos que permitan la verificación a distancia de la identidad del cliente y la validación de su identidad digital o firma electrónica avanzada.

  • Se modifican los requisitos de actualización de la información sobre clientes

Para clientes de medio o alto riesgo, o aquellos que operen por montos significativos, la propuesta exige que los procedimientos contemplen la revisión periódica de la información en los plazos mínimos indicados.

Este deber se extiende con respecto a los clientes de bajo riesgo -sin determinarse una periodicidad mínima- cuando los sistemas de monitoreo detecten patrones inusuales o sospechosos en el comportamiento de los clientes.