El 28 de julio de 2022 el Directorio del Banco Central del Paraguay (“BCP”) aprobó por Resolución N°10, Acta N°43 el Reglamento de Uso de Servicios para Computación en la Nube (“RCN”). El RCN marca un antes y un después en la banca paraguaya y abre las puertas para que en Paraguay las entidades financieras les den la bienvenida a los servicios de computación en la nube.

Antes del RCN ya existía una normativa del año 2004 que en definitiva no era propicia para que las entidades financieras acudieran a servicios de computación en la nube. La regulación de 2004 solamente permitía a (i) entidades financieras con una matriz, sucursal o subsidiaria en el exterior (es decir, solo bancos como por ejemplo Citibank, Banco do Brasil, Banco de la Nación Argentina, entre otros) externalizar procesos fuera del territorio nacional únicamente para que estos procesos sean llevados a cabo en dicha casa matriz, sucursal o subsidiaria extranjera; y (ii) las demás entidades financieras locales externalizar procesos, siempre que se lleven a cabo dentro del Paraguay. Dicha regulación además exigía completar con un listado de requisitos oneroso y obtener la previa autorización del BCP. Considerando que por su propia esencia, los servicios de computación en la nube no están ubicados físicamente dentro de un solo país (sino que la nube es justamente una red mundial de servidores), antes del RCN las entidades financieras paraguayas tenían las puertas cerradas al abanico de ofertas de computación en la nube existentes fuera del territorio paraguayo; puertas que hoy se han abierto con el RCN.

El RCN se limita a establecer los lineamientos y obligaciones mínimos que deben cumplir las entidades supervisadas por el BCP para externalizar sus procesos y actividades de servicios computacionales en la nube. A diferencia de la regulación anterior, que exigía que la entidad financiera obtuviese la autorización previa de la Superintendencia de Bancos (“SIB”) antes iniciar una descentralización informática, con el RCN sólo se requiere que la entidad financiera comunique a la SIB, treinta (30) días antes del inicio del procesamiento de información en la nube, su intención de así hacerlo.

El RCN se centra en proteger la confidencialidad de los datos de las entidades financieras, combatir los ataques a la ciberseguridad, mantener la privacidad y asegurar la continuidad de los negocios de las entidades financieras en situaciones adversas. Asimismo, el RCN reconoce los distintos modelos de provisión de servicios de computación en la nube (Software as a Service; Platform as a Service; Infrastructure as a Service) y diferencia entre la nube pública, privada, comunitaria, híbrida y otras. Por otra parte, el RCN requiere que el proveedor de servicios en la nube posea altas certificaciones financieras, técnicas y de seguridad y observe buenas prácticas para la Protección de la Información Personal (e.g. ISO27018). Finalmente, el RCN también obliga al proveedor de servicios en la nube a que mantenga cifrada la información clasificada como confidencial, en tránsito o almacenada con estándares internacionales, tales como AES, RSA, 3DES u otros.

Para una economía en auge como la Paraguaya, la entrada en vigor del RCN permitirá que las entidades financieras locales se monten a la ola de innovación mundial de los servicios financieros y proporcionará al consumidor financiero paraguayo acceso a las últimas soluciones financieras en la palma de su mano. Asimismo, para los bancos y financieras, los servicios de computación en la nube permitirán que las entidades optimicen la velocidad y la eficiencia operacional, ya que la información será capturada, almacenada e interpretada de manera centralizada, lo cual hará que la velocidad y el costo del procesamiento sean sustancialmente menores. La velocidad y disponibilidad inmediata también reducirá y agilizará el lanzamiento de nuevos productos o servicios (time to market). Igualmente, se reducirán exponencialmente los costos hundidos y la necesidad de realizar grandes inversiones en infraestructura tecnológica y en recursos humanos, puesto que las entidades financieras contratarán a proveedores de servicios en la nube que prestarán estos servicios tomando ventaja de sus respectivas economías de escala.

Aún así, y por más que el RCN representa un gran paso hacia adelante y una apuesta hacia la modernización de la banca en el Paraguay, todavía existe espacio para mejoras. Por ejemplo, el BCP podría actualizar la Resolución SB. SG. N° 229/2001, específicamente en lo relativo a la conservación de archivos de respaldo, a fin de permitir expresamente que las copias de seguridad puedan ser almacenadas en la nube. Por otra parte, se podría también capitalizar la experiencia de Chile, donde la regulación local no exige notificación previa al regulador para poder usar servicios de computación en la nube.