Recientemente, el Banco Central del Uruguay (el “BCU”) puso a disposición de las instituciones supervisadas y del público general tres proyectos normativos que introducen modificaciones a la normativa en materia de procedimientos de debida diligencia, tercerizaciones, resguardo de datos, y registro de operaciones extrabursátiles (los “Proyectos”).
A continuación, encontrarán las principales modificaciones que proponen los Proyectos a la normativa vigente.
MODIFICACIONES EN LOS REQUISITOS DE CONTACTO PERSONAL EN LOS PROCESOS DE VERIFICACIÓN DE LA IDENTIDAD DEL CLIENTE
El pasado 19 de septiembre de 2022, la Superintendencia de Servicios Financieros (“SSF”) publicó un proyecto normativo que introduce modificaciones a la Recopilación de Normas de Regulación y Control del Sistema Financiero (la “RNRCSF”) y a la Recopilación de Normas del Mercado de Valores (la “RNMV”) en materia de procedimientos de debida diligencia con clientes que determinadas instituciones deben implementar en el marco del sistema para prevenirse de ser utilizados para el lavado de activos, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva.
En primer lugar, el proyecto pretende modificar los artículos 294.1 y 316.68 de la RNRCSF y 190.1 y 206.7 de la RNMV vinculados a los procedimientos de verificación de la identidad de clientes aplicables a:
- instituciones de intermediación financiera;
- casas de cambio;
- empresas de servicios financieros;
- empresas de transferencia de fondos;
- empresas administradoras de plataformas para préstamos entre personas;
- intermediarios de valores;
- administradoras de fondos de inversión; y
- a empresas administradoras de plataformas de financiamiento colectivo.
Las modificaciones propuestas por el BCU buscan permitir que la verificación de la identidad del cliente pueda realizarse a distancia, mediante un proceso que cumpla con los requisitos establecidos en el documento 800-63A “Enrollment and Identity Proofing” para el nivel IAL 3 (“Identity Assurance Level 3”) del marco NIST SP “Digital Identity Guidelines”, revisión 2020.
El proyecto normativo prevé que las instituciones deberán recabar el consentimiento expreso del cliente para la utilización del referido proceso de forma previa o durante su ejecución.
Asimismo, el proyecto admite que la verificación de la identidad del cliente pueda realizarse a través de la validación de la identidad digital o firma electrónica avanzada del cliente, brindada por prestadores en el marco de la Ley Nº 18.600.
A estos efectos se admite: (i) la identidad digital brindada por prestadores acreditados ante la Unidad de Certificación Electrónica (“UCE”) que cuente con nivel 3 de seguridad; y (ii) la firma electrónica avanzada basada en certificados emitidos por prestadores acreditados ante la UCE o que sean reconocidos como equivalentes cuando hayan sido emitidos por entidades no establecidas en el territorio nacional (remitiéndose al Acuerdo de Reconocimiento Mutuo de Certificado de Firma Digital del Mercosur Nº 11/19). Adicionalmente, se prevé que el documento suscrito con firma electrónica avanzada deberá firmarse por el cliente en un plazo no mayor a los 7 días previos a que el mismo sea enviado a la institución.
MODIFICACIONES SOBRE REQUISITOS DE ACTUALIZACIÓN DE INFORMACIÓN SOBRE CLIENTES EN BASE A SU RIESGO
En segundo lugar, el proyecto modifica los artículos 297.1 de la RNRCSF y 191.1 de la RNMV, aplicables a las mismas instituciones señaladas anteriormente (con excepción de las empresas administradores de plataformas para préstamos entre personas y de las empresas administradores de plataformas de financiamiento colectivo) relativos a la actualización de la información sobre clientes.
De acuerdo a la modificación de estos artículos, se mantienen los plazos mínimos previstos en la normativa vigente para la actualización de la información de clientes de mayor riesgo, de riesgo medio y de aquellos que operen por montos significativos. En cambio, para los clientes de menor riesgo se elimina la exigencia de una revisión periódica, manteniéndose únicamente la actualización de la información cuando los sistemas de monitoreo detecten patrones inusuales o sospechosos en el comportamiento de los clientes.
Se encuentran disponibles en los siguientes links el proyecto normativo y la Comunicación. El BCU recibirá comentarios hasta el 7 de octubre de 2022 a través del correo electrónico [email protected].
MODIFICACIONES EN MATERIA DE TERCERIZACIONES Y RESGUARDO DE DATOS
El pasado 23 de septiembre, la SSF publicó un proyecto normativo mediante el cual se introducen modificaciones a la RNRCSF, RNMV, Recopilación de Normas de Control de Fondos Previsionales y a la Recopilación de Normas de Seguros y Reaseguros en materia de resguardo de datos y tercerizaciones aplicables a todas las entidades supervisadas que correspondan.
Cambios a la normativa de tercerizaciones
En el marco de los servicios tercerizados, se aclara que la autorización a la tercerización se otorgará sin perjuicio de las inscripciones de las bases de datos y autorizaciones de transferencia internacional de datos personas que se requiera de acuerdo a la regulación de datos personales.
El proyecto agrega que la SSF podrá disponer que determinados servicios -aquellos prestados por terceros radicados en el exterior del país o prestados desde el exterior por terceros radicados en el país – ya no requerirán autorización expresa para su contratación.
Asimismo, se incorporan exigencias adicionales que deben prever los contratos por servicios tercerizados, las que se detallan a continuación:
- La obligación del proveedor de servicios, al momento de la terminación del contrato, de transferir los datos a quien la institución supervisada disponga y su eliminación una vez confirmada la disponibilidad y la integridad de estos en el destino.
- El acceso irrestricto a los datos y a toda la documentación e información técnica a en favor de la SSF y de la institución contratante deberá proporcionarse también al responsable del proceso de intervención, resolución o liquidación, en caso de que corresponda.
- La obligación del proveedor de informar a la institución sobre cualquier evento que pueda afectar significativamente la prestación del servicio.
- La obligación del proveedor de continuar brindando el servicio cuando la institución se encuentre en proceso de intervención, resolución o liquidación.
Las modificaciones a las cláusulas mínimas rigen para los contratos firmados a partir de la vigencia de la resolución que se dicte. Para los contratos ya existentes, se admitirá que se realicen cuando los mismos sean renovados.
Por último, para el procesamiento de datos en o desde el exterior la normativa vigente exige que una de las dos copias de resguardo se radique físicamente en Uruguay. En relación a este requisito, el proyecto incorpora la posibilidad de que ninguna copia se radique en Uruguay siempre que las instituciones implementen y dispongan un punto único que permita el acceso y control continuo y permanente a todos los datos y servicios procesados en el exterior del país. Asimismo, se establece que dicho punto deberá ser administrado por parte de la institución supervisada y concentrar todos los accesos, independientemente de las ubicaciones, proveedores y naturaleza de los servicios provistos desde el exterior.
En este sentido, se exige además que se realicen pruebas formales una vez al año del funcionamiento del punto y de cada uno de los accesos.
Cambios al régimen de información y documentación
En cuanto al acceso de la información por parte del BCU, se prevé que los miembros del directorio u órgano de administración de las personas jurídicas serán responsables personal y solidariamente ante el BCU de que la información y documentación estén disponibles en todo momento, sea cual sea la jurisdicción en la que están radicadas.
A su vez, en lo que refiere al resguardo de información, se modifica el significado de “respaldo incremental”, permitiendo que el mismo contemple únicamente los cambios desde el último respaldo total realizado, en la medida que los procedimientos de recuperación permitan la restauración completa de la información para cualquier día.
Sumado a esto, se exige que las pruebas a realizar una vez al año aseguren la capacidad de la institución de recuperar la totalidad de la información resguardada.
Con respecto al resguardo de datos, software y documentación, se elimina la responsabilidad de los máximos niveles directivos y gerenciales por la ejecución de dichos procedimientos de resguardo y se le agregan responsabilidades adicionales al responsable del resguardo de datos, software y documentación (e.g. resguardo de claves para el acceso y desencriptación de los datos). Bajo la nueva regulación, dicho funcionario estará comprendido en la categoría de personal superior.
El proyecto se encuentra disponible en este link. El BCU recibirá comentarios hasta el 14 de octubre de 2022 a través del correo electrónico [email protected].
CREACIÓN DE UN REGISTRO DE OPERACIONES EXTRABURSÁTILES PARA LAS OPERACIONES DEL MERCADO DE CAMBIOS
La Gerencia de Política Económica y de Mercados publicó un proyecto normativo mediante el cual se introducen modificaciones al Libro I y Libro XII de la Recopilación de Normas de Operaciones.
Con el objetivo de dotar al mercado de cambios de una mayor transparencia en materia de difusión de la información, el BCU propone la creación de un registro de operaciones extrabursátiles para las operaciones del mercado de cambios (el “Registro”).
En este sentido, el proyecto normativo prevé que las instituciones autorizadas por el BCU para operar en el mercado de cambios deberán reportar las operaciones extrabursátiles del mercado de cambios concertadas a efectos de su registro en una de las instituciones autorizadas a estos efectos. Es importante tener presente que la obligación de reporte alcanza a las operaciones de: (a) compraventa de monedas y billetes extranjeros; (b) arbitraje; (c) canje; y (d) compraventa de monedas cuyas prestaciones recíprocas se ejecutarán en una fecha futura a un tipo de cambio predeterminado.
Asimismo, se establece que las instituciones que administren ámbitos formales de negociación del mercado de cambios donde operen las instituciones autorizadas por el BCU podrán llevar el Registro con la previa autorización de la Gerencia de Política Económica y Mercados. En esta línea, las instituciones autorizadas a llevar el Registro deberán cumplir con las siguientes obligaciones:
- aceptar la solicitud de aquellas instituciones que las hubieren seleccionado para registrar sus operaciones extrabursátiles;
- brindar y mantener los sistemas de comunicación, informáticos y de equipamiento necesarios;
- mantener el registro por un lapso de 10 años de efectuada cada anotación;
- difundir al público en general, a través de su sitio web y dentro de los 15 minutos de recibida la información, los datos que se detallan en el artículo 155.7 del Proyecto Normativo relativos a cada operación extrabursátil registrada;
- presentar a la Gerencia de Política Económica y Mercados la nómina de agentes que registrarán sus operaciones extrabursátiles en las referidas instituciones y las operaciones extrabursátiles registradas; y
- guardar estricta confidencialidad sobre toda información recibida, no pudiendo utilizar la misma en beneficio propio ni de terceros.
El proyecto se encuentran disponible en el siguiente link.
Entrevistas
POSADAS
opinión
ver todosKabas & Martorell
Alchouron, Berisso, Balconi, Fernández Pelayo & Werner
Noetinger & Armando
Brons & Salas