A continuación, detallamos las últimas novedades regulatorias bancocentralistas en materia de tercerización de servicios, procesos de debida diligencia y la incorporación de la figura del Inversor Calificado.
1. Nueva normativa sobre tercerización de servicios y resguardo de datos
El pasado 30 de diciembre de 2022, el Banco Central del Uruguay (“BCU”) publicó las Circulares N° 2419, 2420, 2421 y 2422 que modifican las Recopilaciones de Normas de Regulación y Control del Sistema Financiero (“RNRCSF”), Mercado de Valores (“RNMV”), Control de Fondos Previsionales (“RNCFP”) y Seguros y Reaseguros (“RNSR”) respectivamente, en materia de resguardo de datos y tercerizaciones.
A continuación, detallamos los puntos más relevantes:
- Se incorporan cláusulas mínimas a los contratos en relación con las obligaciones de los proveedores de servicios tercerizados
Entre ellas, se deberán incluir las obligaciones del proveedor de informar a la institución supervisada sobre cualquier evento que pudiera afectar de manera significativa la prestación del servicio y continuar brindando el servicio cuando la institución se encuentre en proceso de intervención, resolución o liquidación -siempre que la institución supervisada siga cumpliendo con sus obligaciones de acuerdo al contrato-. En esta línea, deberá permitírsele el acceso irrestricto a los datos y demás documentación e información técnica relacionada con los servicios al responsable del proceso de intervención, resolución o liquidación.
Además, para el caso de contratación de servicios que impliquen el procesamiento de datos, las normas agregan el deber de incorporar la obligación del proveedor de transferir u ofrecer herramientas que permitan la transferencia de los datos a quien la institución supervisada disponga y su correspondiente eliminación -siempre que se confirme su disponibilidad e integridad-, una vez finalizado el contrato.
- Se modifican los requisitos dispuestos para el procesamiento de datos desde el exterior del país
En este punto, se admite que no se radique una copia en Uruguay cuando las instituciones implementen y disponibilicen un espacio físico con la infraestructura tecnológica necesaria para permitir el acceso y control total, continuo y permanente de los datos y servicios procesados desde el exterior, así como sus resguardos y claves necesarias para su acceso y eventual desencriptación, sujeto a determinadas condiciones.
- Se modifican las condiciones y formas de resguardo de la información y documentación
Las Circulares agregan a los miembros del Directorio u órgano de administración o, en su caso, los administradores sociales como responsables ante el BCU por la disponibilidad en todo momento de la información y documentación, sin perjuicio de las sanciones que pudieren corresponder a la institución supervisada en caso de incumplimiento de dicha obligación.
A su vez, se habilita el uso de nuevas tecnologías y procesos de resguardo, sumando el deber de resguardar las claves que permitan la desencriptación de los datos.
Se establece expresamente que las pruebas de recuperación e integridad de los resguardos deben asegurar la recuperación de la totalidad de los datos.
Se prevé que los datos, las claves y sus copias no deberán estar expuestos a la posibilidad de que un mismo evento de riesgo sea capaz de afectarlos simultáneamente.
También se modificaron las exigencias relativas a la periodicidad con la que deben realizarse los respaldos incrementales y completos.
- Se realizan aclaraciones respecto al alcance de la autorización de tercerización otorgada por BCU y posibles excepciones a la autorización expresa.
La autorización de las tercerizaciones se realizará sin perjuicio de las inscripciones de las bases de datos y autorizaciones de transferencia internacional de datos personales que puedan corresponder ante otros organismos estatales.
- Determinados servicios no requieren autorización expresa
De acuerdo con la Comunicación N° 2022/254 que aplica a todos los mercados, el BCU dispuso que determinados servicios no requerirán autorización expresa para su contratación cuando sean prestados por terceros radicados en el exterior del país o radicados en Uruguay, pero el servicio se presta total o parcialmente en o desde el exterior.
En este sentido, la Comunicación establece la excepción para:
(a) Los siguientes servicios en modalidad de Software como Servicio (SaaS):
- Correo electrónico, mensajería instantánea y herramientas ofimáticas;
- Almacenamiento y resguardo de archivos;
- Firma electrónica, herramientas colaborativas y gestión documental.
(b) Servicios de procesamiento de datos que no incluyan datos personales de clientes o éstos hayan sido disociados de acuerdo a lo dispuesto en la Ley N° 18.331.
Las contrataciones se considerarán autorizadas siempre que se cumplan con determinados requerimientos mínimos y deberán ser informadas a través del Sistema de Envío Centralizado del BCU.
2. Nueva normativa sobre procedimientos de debida diligencia de clientes
El pasado 23 de diciembre de 2022, el BCU publicó las Circulares N° 2416 y 2417 que modifican la normativa relativa a los procedimientos de debida diligencia de clientes que las instituciones deben implementar como parte del sistema para la prevención de lavado de activos, financiamiento del terrorismo y proliferación de armas de destrucción masiva.
A continuación, detallamos los puntos más relevantes:
- Se agregan nuevas alternativas al contacto personal para la verificación de la identidad de los clientes
En este punto, se modifican la RNRCSF y la RNMV para permitir que, tratándose de personas físicas, las instituciones del sistema financiero, los intermediarios de valores y las sociedades administradoras de fondos de inversión puedan cumplir el contacto personal mediante la presencia física del cliente ante la institución -o los terceros contemplados de manera expresa en la normativa-, procesos que permitan la verificación a distancia de su identidad o la validación de su identidad digital o firma electrónica avanzada, según las instrucciones impartidas por el BCU, de acuerdo a la Comunicación N° 2022/246.
- Se modifican los requisitos de actualización de la información sobre clientes
Para clientes de medio o alto riesgo, o aquellos que operen por montos significativos, las nuevas Circulares exigen que los procedimientos contemplen la revisión periódica de la información en los plazos mínimos indicados.
Este deber se extiende con respecto a los clientes de bajo riesgo -sin determinarse una periodicidad mínima- cuando los sistemas de monitoreo detecten patrones inusuales o sospechosos en el comportamiento de los clientes.
3. Nueva normativa sobre “Inversores Calificados”
El pasado 02 de enero, el BCU publicó la Circular N° 2423 que modifica la RNMV a los efectos de introducir la figura del Inversor Calificado.
A continuación, detallamos los puntos más relevantes:
- Se define y enumera las entidades consideradas como Inversores Calificados
La nueva Circular define a los Inversores Calificados como las “personas físicas o jurídicas que poseen la experiencia y/o conocimientos necesarios para comprender, evaluar, asumir y gestionar adecuadamente los riesgos inherentes a cualquier decisión de inversión”.
A su vez, la norma incluye un listado de las entidades que quedan comprendidas en esta categoría, como, por ejemplo, los Bancos, Asesores de Inversión, Gestores de Portafolios, entre otros.
- Se establecen los requisitos para que las personas no incluidas soliciten ser clasificadas como Inversores Calificados
A esos efectos, deberán contar con un saldo de activos financieros por un monto no inferior a 4.000.000 UI en caso de ser personas jurídicas y, tratándose de personas físicas, deberán contar con el mismo requisito, o tener un nivel de ingresos anuales no inferior a 1.500.000 UI.
Además, la Circular exige contar con título profesional, acreditar determinada capacitación mínima y poseer experiencia profesional previa, así como haber concertado en el último año, por su cuenta y orden, un mínimo de operaciones por determinado monto y características en el ámbito del mercado de valores.
En este sentido, la Comunicación N°2023/001 adjunta el modelo de solicitud que deberán presentar dichos sujetos.
- Se determinan exclusiones respecto de los límites de inversión establecidos por la normativa
En este punto, la Circular dispone que los límites de inversión previstos en la RNMV no serán de aplicación a los fondos de inversión dirigidos a Inversores Calificados.
- Se establece la responsabilidad de los Intermediarios de Valores y Sociedades Administradoras de Fondos de Inversión por la clasificación de sus clientes como Inversores Calificados
Los Intermediarios de Valores y las Sociedades Administradoras de Fondos de Inversión serán responsables por clasificar a sus clientes como Inversores Calificados cuando estos así lo soliciten, a efectos de invertir en instrumentos que requieran tal calificación.
Para las Sociedades Administradoras de Fondos de Inversión, la categorización no corresponderá cuando la tenencia de las cuotapartes figure a nombre de un Intermediario de Valores por cuenta de sus clientes, en cuyo caso la responsabilidad por la clasificación de los clientes corresponderá a este último.
Por último, los Intermediarios de Valores y las Sociedades Administradoras de Fondos de Inversión deberán verificar el cumplimiento de las condiciones exigidas por la normativa por parte de sus clientes cada vez que se realicen nuevas inversiones que requieran la categorización como Inversor Calificado, siempre que haya transcurrido al menos un año desde la calificación inicial, salvo que antes de dicho plazo tengan información de que se han producido cambios que hagan necesaria tal verificación.