El 3 de junio de 2026, la Superintendencia de Servicios Financieros (SSF) del Banco Central del Uruguay (BCU) puso en conocimiento un proyecto normativo que busca alinear la regulación vigente en materia de tercerización de servicios al cambio legal introducido por la Ley de Presupuesto (Art. 715 de la Ley N.º 20.416 que sustituyó el artículo 2 de la Ley N.º 17.613).

El plazo para enviar comentarios finaliza el 24 de junio de 2026.

A continuación, resumimos los antecedentes y principales aspectos del proyecto:

Antecedentes: del régimen de autorización a la comunicación previa

La Ley de Presupuesto sustituyó el régimen de autorización de las tercerizaciones inherentes al giro de las entidades supervisadas por un régimen de comunicación previa a la SSF. En consecuencia, ya no se requiere autorización —expresa ni tácita— para contratar terceros servicios inherentes al giro.

Como primera respuesta a este cambio, el 23 de enero de 2026, la SSF emitió la Comunicación N.º 2026/019, que estableció un régimen transitorio para la comunicación previa, cuyos aspectos principales son los siguientes:

  • Plazos para la comunicación previa 
    • 90 días de antelación: para tercerizaciones que bajo el régimen anterior requerían autorización expresa del BCU. 
    • 30 días de antelación: para las restantes tercerizaciones. 
  • Información a presentar

La comunicación se realiza a través del Portal IDI, mediante una nota en formato PDF con, como mínimo:

  1. Razón social y domicilio del proveedor.
  2. Localización precisa desde donde se presta el servicio.
  3. Descripción del tipo de servicio (objeto y alcance).
  4. Indicación de si se procesan datos (especificando si incluye datos de clientes).
  5. Indicación de la existencia de subcontrataciones y, en su caso, la nómina correspondiente.
  • Registro posterior

Transcurridos los plazos sin objeciones de la SSF, las entidades deben registrar las tercerizaciones en el módulo "ITS" del Portal IDI, seleccionando el tipo de contrato TSAT (tercerizaciones de servicios con autorización tácita).

El proyecto normativo: principales aspectos

El Proyecto busca desarrollar de manera integral y definitiva el nuevo marco regulatorio de tercerización, sustituyendo el régimen transitorio de la Comunicación N.º 2026/019.

Instituciones de intermediación financiera y otras entidades del sistema financiero

El proyecto propone reemplazar el régimen de autorización (expresa o tácita) por un régimen de comunicación previa, en línea con la modificación legal.

Las entidades supervisadas deben continuar cumpliendo con las condiciones y requisitos vigentes, entre los que se destacan:

  • Contrato con cláusulas mínimas: identificación de las partes, objeto, responsabilidad, confidencialidad, continuidad del servicio, derecho de auditoría y causales de rescisión.
  • Políticas de gestión de riesgos: obligación de contar con procedimientos escritos para la identificación, medición, control y monitoreo de riesgos asociados a las tercerizaciones.
  • Prohibiciones: no se podrá tercerizar la aceptación de clientes ni la ejecución de operaciones con valores por cuenta de clientes.

Empresas de seguros y reaseguros

El proyecto contempla modificaciones específicas a la RNSR. A continuación, sus puntos claves:

  • Nuevo marco general (art. 16.1 RNSR)
    • La SSF determinará las condiciones para tercerizar servicios inherentes al giro.
    • Se mantiene que la tercerización no exime ni limita la responsabilidad de las instituciones.
  • Comunicación previa (nuevo art. 16.1.1 RNSR)
    • Plazo general: 30 días corridos de antelación a la suscripción del contrato. 
    • Forma: declaración jurada firmada por un funcionario con calidad de personal superior. 
    • Suspensión del plazo: la SSF podrá requerir información adicional, suspendiéndose el plazo. 
    • Excepciones (comunicación hasta el día de la suscripción del contrato): 
      • Servicios prestados en el país por terceros radicados en él y sujetos a regulación del BCU.
      • Servicios de debida diligencia.
      • Servicios software as a service (SaaS) o procesamiento de datos sin datos personales de clientes (o datos disociados).
  • Condiciones contractuales (nuevo art. 16.1.2 RNSR): se exige la suscripción de un contrato con las siguientes cláusulas mínimas: 
    • Identificación de las partes contratantes.
    • Objeto del contrato (servicios, alcance y niveles mínimos de prestación).
    • Responsabilidad de la institución por los servicios del tercero.
    • Compromisos de confidencialidad y protección de datos. 
    • Condiciones y protocolos de continuidad de los servicios. 
    • Derecho de auditoría irrestricto (SSF e institución contratante). 
    • Procedimientos ante contingencias del proveedor. 
    • Obligación de continuidad del servicio en caso de intervención, resolución o liquidación. 
    • Causales de rescisión (incluyendo instrucción de cese por la SSF).
  • Gestión de riesgos:
    • Obligación de contar con políticas y procedimientos escritos de identificación, medición, control y monitoreo de riesgos asociados a las tercerizaciones.  
    • Informe de evaluación de riesgos que incluya la valoración del impacto sobre riesgos operacionales, resiliencia operativa y seguridad de la información. 
  • Régimen sancionatorio (art. 162.3 RNSR):
    • Multa por incumplimiento de las normas sobre tercerización: no inferior a 13.000 UI ni superior a 650.000 UI. 

Próximos pasos

El plazo para enviar comentarios a la SSF sobre el Proyecto vence el 24 de junio de 2026.