En noviembre de 2017 fue publicada la Comunicación A 6354 del Banco Central de la República Argentina (“BCRA”) que –llenando un vacío legal a requerimiento de casi toda la industria- establece los requerimientos que deben cumplir las entidades financieras y sus proveedores para descentralizar sus actividades y contratar servicios de tecnología informática, entre ellos los denominados ‘cloud services’.
Este solo hecho sin dudas constituye un avance por varios motivos. En primer lugar, brinda certeza y previsibilidad sobre un tema q deambulaba en un limbo jurídico, aplicando forzadamente normativa obsoleta al escenario tecnológico actual. Por otra parte, la nueva norma recoge el reclamo regulatorio de una gran parte de la industria, tanto del sector financiero como tecnológico; ello, independientemente de los reparos o diferencias en cuanto al contenido de la norma que -como veremos- exige diversos recaudos técnicos y legales. Asimismo, a grandes rasgos, la norma incorpora preceptos básicos de la regulación comparada de países como Alemania, Francia o Inglaterra.
Para contextualizar, conviene decir que hasta el dictado de la Comunicación A 6354, la falta de regulación específica, lejos de permitir a los bancos acceder a los servicios tecnológicos avanzados, prácticamente impedían cualquier tipo de migración de datos fuera de las instalaciones de las entidades financieras. En efecto, en base a lo dispuesto por las Comunicaciones del BCRA A 4989, A 6126, A 5374 y A 6207, el BCRA restringía muy fuertemente –por así decirlo- la tercerización de actividades de la entidades financieras argentinas fuera del país; al punto que prohibía que los datos sobre las operaciones financieras constitutivas del núcleo de la actividad bancaria fueran almacenadas o procesadas en el exterior, salvo que se tratase de la casa matriz de bancos con sucursales o subsidiarias en Argentina. Este marco regulatorio representaba una traba legal para que las entidades financieras argentina accedieran a los servicios de en la nube (actualmente, la esencia misma de los servicios informatizados de procesamiento de datos).
Ante este escenario normativo de evidente atraso tecnológico, y acogiendo un insistente reclamo del sector bancario, fue que el BCRA dictó la Comunicación A 6354. Esta nueva norma modifica la CREFI 2, sustituyendo la Sección 2 de las normas sobre “Expansión de entidades financieras” y la Sección 7 de las normas sobre “Requisitos mínimos de gestión, implementación, y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras” por las contenidas en el anexo que forma parte de la presente comunicación.”. De tal modo, permite a los bancos la contratación de los llamados 'servicios en la nube' para el tratamiento de sus datos, requiriéndoles para ello –eso sí- una gran cantidad de requisitos, tanto legales como puramente técnicos.
Si bien la enumeración de los mismos excedería el ámbito de este artículo, e incluso muchos de ellos aun son materia de análisis interpretativo (especialmente los de índole técnica) cabe reseñar los siguientes:
- Las Entidades Financieras que pretendan contratar servicios de tercerización deber´´an informarlo a la Superintendencia de Entidades Financieras y Cambiarias con una antelación mínima de 60 días al inicio de tales actividades, adjuntando en su informe al efecto diversa información y una copia en formato ‘pdf’ del contrato con el proveedor de los servicios informáticos.
- La norma expresamente autoriza la tercerización en instalaciones de terceros (i.e. almacenamiento de datos de bancos en servidores de terceros proveedores de servicios en la nube) en la medida en que tales terceros proveedores se obliguen por escrito a cumplir la Comunicación A 6354. Es decir, que las disposiciones de esta última norma son obligatorias para las entidades financieras y también para los terceros que les brinden los servicios de tercerización y/o de tecnología informática provistos en la misma.
- La Superintendencia de Entidades Financieras y Cambiarias podrá auditar el cumplimiento de los recaudos exigidos por la comunicación 6354 tanto por parte de la entidad financiera como por parte del prestador de servicios informáticos. Para ello, ambas partes deben brindar amplias facultades de acceso al organismo antes aludido, debiendo tal obligación constar en el contrato de prestación de servicios respectivo.
- Los proveedores en los que se descentralice o tercerice Servicios de Tecnología Informática deberán comprometerse a realizar auditorías internas anuales respecto de tales servicios, considerando en el alcance de tales auditorías lo requerido por la Comunicación A 6354, debiendo remitir a la Gerencia de Auditoría Externa de Sistemas los informes de dichas auditorías.
- Entre la larga lista de requisitos de seguridad y autorizaciones previas requeridas, la norma establece distintos “escenarios” de “servicios de tecnología informática tercerizados” imponiendo “requerimientos técnicos y operativos” (que tanto la entidad financiera como el proveedor de servicio deben cumplir) para cada uno de ellos, de acuerdo al tipo de dato transferido y al nivel de riesgo involucrado. Tales requerimiento son divididos por la norma en 7 categorías (con un cuadro de requerimientos específicos para cada categoría): “Gobierno de la seguridad de información”; “Concientización y Capacitación”; “Control de Acceso”; “Integridad y Registro”; “Monitoreo y Control”; gestión de incidentes”; y “Continuidad Operativa”.
La Comunicación A 6354 establece que las entidades financieras y los proveedores de servicios de tecnología que estas contraten deberán asimismo cumplir con las regulaciones aplicables de protección de datos personales previstas por la Ley 25.326 las regulaciones de ellas derivadas. Para el caso de servicios ‘en la nube’ y/o de procesamiento de datos brindados fuera de Argentina en países sin ‘protección adecuada’ en materia de datos personales (como por ej. USA), la entidad financiera y el prestador deberán suscribir un contrato de transferencia de datos de conformidad con el Anexo II de la Disp AAIP 60/2016. Así, el incumplimiento de este último requisito podría dar lugar no solo a sanciones de la Agencia de Acceso a la Información Pública (autoridad de aplicación de la Ley 25.326) sino también del BCRA.
La nueva norma dictada por el BCRA permite el acercamiento –por así decirlo- de la tecnología a las entidades financieras. Cierto es que los requerimiento normativos de esta última son muchos, engorrosos y hasta a veces difíciles de interpretar. Con todo, la norma constituye claramente un avance; y las empresas que pretendan brindar servicios tecnológicos de tercerización a los bancos argentinos (algo que hasta el dictado de la nueva norma estaba prácticamente prohibido), deberán adaptarse las exigencias de este nuevo marco normativo.
Opinión
Pérez Alati, Grondona, Benites & Arntsen
opinión
ver todosDiaz Bobillo, Vittone, Carassale, Richards & Goyenechea Abogados
PASBBA Abogados
Estudio Durrieu
Rocca Consulting