Recientemente, el Banco Central del Uruguay (BCU) publicó la comunicación N° 2024/103 (la nueva comunicación), que introduce modificaciones a la reglamentación vigente en materia de tercerización de servicios para todos los mercados.

En particular, la nueva comunicación modifica la comunicación N° 2022/254 (la comunicación original), a través de la cual el BCU dispuso que ciertos servicios como el correo electrónico, el almacenamiento y resguardo de archivos y la firma electrónica, no requieren autorización expresa para su contratación cuando sean prestados por terceros radicados en el exterior o cuando, estando radicados en Uruguay, el servicio se preste total o parcialmente desde el exterior.

De acuerdo con la regulación vigente, estas contrataciones se considerarán autorizadas siempre que se cumplan con determinados requerimientos mínimos, los cuales también se aplican a los contratos con las empresas subcontratadas por la empresa tercerizada, si las hubiera. Entre estos requerimientos, se incluye la necesidad de que los contratos celebrados entre la entidad supervisada y el proveedor de los servicios (así como entre este último y las empresas subcontratadas) contengan determinadas cláusulas mínimas exigibles.

En este marco, la nueva comunicación extiende a los contratos con las empresas subcontratadas las soluciones alternativas dispuestas por la comunicación original para los casos en que los contratos celebrados entre la entidad supervisada y el proveedor de los servicios no contengan algunas de las cláusulas mínimas requeridas por la normativa.

En este sentido, según la nueva comunicación, en caso de que los contratos con las empresas subcontratadas no contemplen una cláusula de acceso irrestricto a los datos y a la documentación e información técnica relativa a los servicios tercerizados, así como el derecho a realizar auditorías o evaluaciones periódicas por parte de la Superintendencia de Servicios Financieros (SSF) y de la institución contratante, esta última deberá contar con acceso de solo lectura, exclusivo y sin restricción alguna a los datos procesados externamente, utilizable en todo momento desde las oficinas de la entidad supervisada por parte de los funcionarios de la SSF. Adicionalmente, una de las copias de resguardo deberá radicarse físicamente en Uruguay y permanecer accesible a los funcionarios de la SSF. 

Por último, deberán realizarse anualmente pruebas formales y debidamente documentadas del funcionamiento de dicho acceso y de la integridad del resguardo radicado en el país.