Informe Especial: Proyecto Normativo del Banco Central del Uruguay modificativo del régimen de Tercerización de Servicios

 

Con fecha 7 de octubre de 2019 la Superintendencia de Servicios Financieros (“SSF”) puso en conocimiento de las instituciones sujetas a su supervisión un Proyecto Normativo con el fin de modificar el Régimen de Tercerización de Servicios (“Proyecto”) establecido en:

(i) la Recopilación de Normas de Regulación y Control del Sistema Financiero (“RNRCSF”) aplicable a instituciones de intermediación financiera, a las empresas administradoras de crédito, empresas de servicios financieros, casas de cambio, representaciones, empresas de transferencias de fondos, empresas de transporte de valores, empresas prestadoras de servicios de arrendamiento y custodia de cofres de seguridad y empresas administradoras de plataformas para préstamos entre personas,

(ii) la Recopilación de Normas del Mercado de Valores (“RNMV”) aplicable a bolsas de valores, intermediarios de valores, sociedades administradoras de fondos de inversión, fiduciarios financieros, asesores de inversión, gestores de portafolios y cajas de valores,

(iii) la Recopilación de Normas de Seguros y Reaseguros (“RNSR”) aplicable a empresas aseguradoras y reaseguradoras, y

(iv) la Recopilación de Normas de Control de Fondos Previsionales (“RNCFP”) aplicable a administradoras de fondos de ahorro previsional

(todas ellas en conjunto, las “Instituciones”), afectando a las Instituciones reguladas bajo dichas recopilaciones.

Las Instituciones implicadas por el presente Proyecto, podrán realizar sus aportes y comentarios a la SSF. El plazo de recepción de comentarios vence el 30 de octubre de 2019.  La SSF recibirá los comentarios a través del correo electrónico ssfproyectonormativoif@bcu.gub.uy indicando en el tema o el asunto el Proyecto.

Haga click aquí para acceder el Proyecto completo.

A los efectos de realizar el análisis del Proyecto, dividiremos nuestro informe en virtud de los cambios realizados en cada Recopilación así como distinguiendo, cuando corresponda, las particularidades aplicables para cada tipo de entidad regulada bajo las mismas que se verán afectadas en cada caso por este Proyecto de aprobarse.

A) Cambios al Régimen de Tercerización de Servicios en la RNRCSF, RNMV, RNSR y RNCFP 1) Régimen General de Tercerizaciones aplicable a todas las InstitucionesEn primer lugar, el Proyecto pretende modificar la norma que establece la regla general aplicable a toda tercerización de servicios inherentes al giro financiero, creando expresamente dos tipos de regímenes de autorización distintos (que en los hechos ya existína en virtud de las Comunicaciones 2016/206 a 2016/213 (las “Comunicaciones sobre Tercerizaciones”)), según el tipo de actividad tercerizada.

En este sentido, recordamos que la Comunicaciones sobre Tercerizaciones establecían excepciones al régimen general de autorización previa y expresa de la SSF, previendo: (i) por un lado, un listado de actividades que no se consideraban inherentes al giro financiero y por ende no requerían la autorización del BCU, y (ii) por otro lado, aquellos servicios que si bien se consideraban inherentes al giro, no era necesaria la autorización expresa y previa de la SSF (y por ende se consideraban autorizadas tácitamente) en caso que se cumplieran con determinadas condiciones (en resumen, que se contara con un contrato con ciertas provisiones y que se comunicará al BCU su firma dentro de cierto plazo).

En efecto, con el Proyecto se establece que la autorización para la tercerización de servicios podrá ser expresa o tácita. El mismo BCU aclara que el Proyecto amplía el elenco de autorizaciones tácitas reguladas por las Comunicaciones sobre Tercerizaciones, por lo que la misma seguiría por el momento siendo aplicable pero con el Proyecto se modificarían las condiciones exigidas a tales efectos.

Por otra parte, se establece para todas las Instituciones que no podrán tercerizarse actividades con proveedores que a su vez sean auditores internos de la entidad. Esta prohibición estaba prevista para las tercerizaciones de procesamiento de datos e incluía además a los auditores externos, lo cual fue eliminado en el Proyecto.

También se generaliza la prohibición de tercerizar la aceptación de clientes, extendiéndola a todas las Instituciones (salvo para las administradoras de fondos de ahorro previsional). Para las instituciones de intermediación financiera e intermediarios de valores, se agrega una definición de lo que debe entenderse por ejecución de operaciones con valores por cuenta de clientes en el marco de la tercerización (cuya tercerización continúa estando prohibida) como “la conclusión de acuerdos de compra, venta, arrendamiento, canje o préstamos de valores, que obliguen a la institución y a la otra parte interviniente el cumplimiento de las condiciones acordadas”. En el caso de representaciones, se les prohíbe además la tercerización del asesoramiento en inversiones y la canalización de órdenes, así como los procedimientos de debida diligencia con clientes.

Por último, se agrega que la SSF podrá determinar los servicios que no requerirían autorización para su contratación. Esto ya fue realizado por la SSF en las Comunicación sobre Tercerizaciones, no obstante, deja la puerta abierta para que el listado contenido en la misma pueda ser ampliado en el futuro.

A continuación detallamos las particularidades de cada régimen de autorizaciones. Cabe destacar que sin perjuicio de las particularidades que detallaremos en cada caso, estas disposiciones generales son aplicables tanto para la tercerización de procesamiento de datos, como también a los servicios de corresponsalía en el caso de las instituciones reguladas bajo la RNRCSF. Por el contrario, no serán de aplicación a las tercerizaciones que impliquen el trato directo con clientes por servicios de intermediación en valores, gestión de portafolios o asesoramiento en inversiones (se consideran autorizadas cuando cumplan con lo dispuesto en el art. 67.1.3 de la RNMV aun cuando el tercero esté radicado en el exterior), ni a la de procedimientos de debida diligencia que también analizamos más adelante.

En el caso de Fiduciarios Financieros,  se elimina la obligación de presentar en el caso de fideicomisos financieros de oferta pública, los textos de los contratos donde se tercericen servicios no inherentes al giro firmados con posterioridad a la inscripción de los valores.

1.1  Autorización ExpresaLa autorización será necesariamente expresa cuando se contrate servicios prestados por terceros  que se encuentren en el exterior del país o que se encuentren radicados en el país, pero que presten servicios total o parcialmente desde el exterior.

A los efectos de solicitar esta autorización expresa, deberá presentarse la solicitud con el borrador de contrato como hasta ahora, pero con la particularidad que el contrato debe cumplir con ciertos requerimientos mínimos, que son aplicables también a las empresas con quien se subcontrate. En este sentido, el Proyecto incluye los requisitos previstos para las tercerizaciones con aceptación tácita bajo las Comunicaciones sobre Tercerizaciones, agregando asimismo otras condiciones que deberán agregarse en los contratos, a saber:

  1. Identificación de las partes contratantes, sus representantes y domicilios legales.

  2. Objeto del contrato, indicando los servicios a tercerizar de manera detallada, el alcance de los mismos y las condiciones y niveles mínimos de prestación establecidas por la institución contratante.

  3. Cuando los servicios contratados impliquen el procesamiento de datos, se deberá identificar la localización desde donde se presta dicho procesamiento, su mantenimiento y los respaldos.

  4. Responsabilidad de la institución por los servicios prestados por el tercero contratado.

  5. Compromisos en materia de confidencialidad y protección de datos.

  6. Derecho a realizar auditorías o evaluaciones periódicas, sin restricciones de especie alguna, por parte de la SSF y de la institución contratante, ya sea directamente o mediante auditorías independientes.

  7. A estos efectos, se deberá prever el acceso irrestricto a los datos y a toda la documentación e información técnica relacionada con los servicios prestados.

  8. Procedimientos para obtener la información necesaria para que la institución pueda prestar el servicio, ante cualquier situación que pudiera sufrir el tercero que le impidiera continuar cumpliendo con el servicio contratado.

  9. Causales de rescisión, entre las que se deberá incluir la instrucción del cese para la prestación de servicios a través de la empresa tercerizada por parte de la SSF.

Asimismo, se agrega que la solicitud deberá ir acompañada de un informe donde conste la evaluación de riesgos asociados a la tercerización, que incluya la valoración de la solvencia patrimonial y técnica del tercero contratado (no ya simplemente información sobre tal solvencia) y también de los subcontratados de ser aplicable, así como los aspectos relacionados con los riesgos legales a los que se expone la información sujeta a secreto bajo la legislación uruguaya. Esto se relaciona con la nueva obligación creada por el Proyecto para las instituciones de contar con políticas y procedimientos escritos, así como una organización funcional que permita asegurar la efectiva identificación, medición, control y monitoreo de los riesgos asociados a la tercerización, en particular, evaluando los riesgos emergentes de contratar múltiples actividades con un mismo proveedor. A su vez, una vez otorgada la autorización, el informe mencionado debe actualizarse periódicamente en función de la evaluación de riesgos que haga la institución y quedar a disposición de la SSF en las oficinas de la institución. No se agrega la obligación de presentar las políticas y procedimientos escritos, pero entendemos será un tema que el BCU podrá solicitar eventualmente (en particular, cuando se trate de proveedores que prestan varias actividades a la institución) o controlar en las auditorías que realice a la institución.

Por lo anterior, el Proyecto vuelve más gravosa para las Instituciones la tarea de preparar la documentación y evaluar la conveniencia y riesgos de contratar servicios con terceros, debiendo contar con cierta organización funcional que le permita evaluar tales riesgos no solo para la tercerización de procesamiento de datos como se exigía anteriormente sino para cualquier tipo de tercerización.

Por último, se agrega una aclaración que ya venía siendo aplicada en los hechos por el BCU pero que solo estaba contenida en la norma sobre procesamiento de datos que refiere al alcance de la autorización otorgada. En efecto, se indica que la autorización referirá únicamente al servicio específico objeto de la solicitud, debiendo someter cualquier cambio posterior a una nueva solicitud de autorización. Asimismo, la autorización podría ser revocada en caso de observarse incumplimiento sin perjuicio de otras sanciones aplicables. Todos los costos en que incurra la SSF por actividades de supervisión en el exterior serán asimismo de cargo de la entidad supervisada.

1.2  Autorización TácitaLa autorización será tácita cuando los servicios se realicen en el país por parte de terceros radicados en él, sujeto a determinadas condiciones. En este sentido, las tercerizaciones se considerarán autorizadas siempre que:

  1. Los servicios estén detallados en un contrato que cumpla con los mínimos requisitos enumerados en el punto 1.1 arriba, y

  2. la institución mantenga a disposición de la SSF: i) los contratos que regulen los servicios, así como las copias de los contratos de subcontratación, y ii) el informe donde conste la evaluación de los riesgos asociados a la tercerización mencionado en el punto 1.1 arriba.

Por lo anterior, la autorización tácita si bien aliviana el proceso para las instituciones de tener que esperar a obtener la autorización expresa para poder comenzar a recibir los servicios del tercero, implica cumplir con las mismos requerimientos que se exigen para la solicitud de autorización expresa, debiendo contar con la documentación necesaria y mantenerla a disposición de la SSF.

2) Requisitos Adicionales Aplicable a la Tercerización de Procesamiento de Datos La norma agrega por primera vez la definición de procesamiento de datos en sede de tercerizaciones. Esto es relevante dado que al analizar los servicios a tercerizar existía un vacío importante a la hora de interpretar que debía considerarse un procesamiento de datos. Con anterioridad habíamos sostenido que podría utilizarse para guiar su interpretación con la definición de procesamiento de datos que la RNRCSF preveía en sede de la licencia de back office. Ahora la RNRCSF confirma dicha interpretación y lo establece expresamente ya que replica en gran medida tal definición en este artículo a los efectos de dar más claridad al concepto. En tal sentido, el procesamiento de datos se define como “la ejecución de cualquier acción sobre los datos que logre una transformación en ellos, incluido el cambio de medio en el que están soportados”.Adicionalmente, se agregan ciertas cargas que deben cumplir los terceros con los que se contrate el procesamiento de datos a efectos de facilitar el acceso del BCU a la información. En este sentido, se prevé que los terceros con los que se contraten deben contar con una modalidad de operación y un equipamiento tales que permitan en todo momento el acceso en línea a toda la información desde las terminales instaladas en la empresa supervisada. Asimismo, en los casos en que los clientes reciban información procesada por el tercero, en dicha información el prestador de servicios deberá identificarse, indicando su denominación social y domicilio. En caso que el sistema informático o la plataforma utilizada sean compartidos con otras entidades, la misma deberá permitir la clara identificación de las operaciones, datos y cualquier otra información inherente al supervisado.

B) Cambios Adicionales al Régimen de Procesamiento de Datos Aplicable a Determinadas Instituciones: 

1. Instituciones de Intermediación FinancieraPara estas instituciones, se modifican los requisitos aplicables para el caso de procesamiento de datos cuando el mismo se realice por un tercero radicado en el exterior o radicado en el país pero que preste el servicio total o parcialmente desde el exterior y a su vez sea significativo. A los requerimientos ya existentes se agrega que el proveedor contratado debe disponer de reconocido prestigio y experiencia en el servicio que presta y contar con certificaciones independientes, reconocidas internacionalmente, en términos de gestión de la seguridad de la información, la continuidad del negocio y la calidad de servicios que recojan las mejores prácticas vigentes.

A su vez, cuando la calificación de riesgo del país (que debe ser igual o superior a BBB- o equivalente) o del banco del exterior (que no puede ser inferior a BBB+ o equivalente) hubieran caído por debajo de dichos mínimos, la institución deberá informar a la SSF sobre el efecto que este hecho produjo o que se estima que producirá en la calidad de los servicios contratados. Esto implica una actitud activa en el control por parte de la institución en el cumplimiento de estas calificaciones, así como en la evaluación del impacto de las mismas en los servicios.

2. Intermediarios de ValoresEl Proyecto trata de homogeneizar ciertos requisitos aplicables al procesamiento de datos que ya se encontraban presentes en la RNRCSF y en la RNMV para algunas entidades (por ejemplo, las bolsas de valores).

En efecto, se establece que los procedimientos de resguardo de datos y software deberán satisfacer las condiciones del artículo 255.2 RNMV (Resguardo de la Información) y garantizar que la infraestructura tecnológica y los sistemas que se emplearán para la comunicación, almacenamiento y procesamiento de datos ofrecen seguridad suficiente para satisfacer las condiciones establecidas en el vigente artículo 255.6 (Requisitos mínimos para el resguardo), así como para resguardar permanentemente la continuidad operacional descripta en el artículo 255.8 (Plan de Continuidad Operacional), que también se modifica en el Proyecto y detallaremos más adelante.

3. Intermediarios de Valores, Sociedades Administradoras de Fondos de Inversión, Fiduciarios Financieros, Asesores de Inversión y Cajas de Valores, Empresas Aseguradoras y Reaseguradoras, Administradoras de Fondos de Ahorro Previsional Para el caso del procesamiento de datos por terceros ubicados en el exterior o prestados desde el exterior, se agrega además que con relación al resguardo de la información en el exterior, una de las copias a que refiere el artículo 255.2 RNMV, 120.3 RNSR y 144.3 RNCFP (Resguardo de la Información) deberá radicarse físicamente en el Uruguay y permanecer accesible a los funcionarios de la SSF en un plazo no mayor al que fije la referida SSF en función del lugar del procesamiento.En lo que respecta al plan de continuidad operacional a que alude el artículo 255.8 RNMV, 120.9 RNSR y 144.9 RNCFP, éste deberá ser probado con resultados exitosos previo al inicio de la actividad de procesamiento y posteriormente, por lo menos una vez al año. La SSF podrá disponer que estas pruebas se realicen bajo su supervisión.

C) Requisitos Adicionales Aplicables a la Contratación de Servicios de Corresponsalía para las instituciones reguladas bajo la RNRCSF (art. 35.8 a 35.16)En este capítulo el Proyecto derogan varios artículos importantes relativos al régimen aplicable a la contratación de servicios de corresponsalía. En efecto, se derogan los artículos relativos a los requisitos que debían cumplirse para solicitar la autorización previa (35.5, 35.9, muchos de los requisitos del actual 35.10), lo cual tiende a la homogeneización de los trámites para solicitar tal autorización.

En cuanto al listado de servicios brindados a través de corresponsales financieros (art. 35.8) se eliminan los servicios relativos a la recepción y transmisión de la información y documentación requeridas para la apertura de cuentas corrientes, cajas de ahorro o depósitos a plazo, y a la recepción y transmisión de la información y documentación requeridas para solicitar créditos y tarjetas de crédito. Es decir que si se prestaran solo esos servicios no se trataría de una tercerización de corresponsalía sino de una tercerización bajo el régimen general. Se aclara no obstante que dichos servicios se podrán incluir dentro de los servicios de depósitos en efectivo o cheques y retiros de cuentas corrientes o cajas de ahorro, o los servicios de desembolsos y cobranzas de créditos, respectivamente, que preste el corresponsal.

Cabe destacar que el Proyecto contiene ciertos matices en cuanto a los servicios de corresponsalía que pueden contratarse por entidades que no sean instituciones de intermediación financiera, remitiéndose a este régimen  solo para la contratación de determinados servicios de los listados en el art.35.8 de la RNRCSF de la siguiente forma:

  1. Para empresas administradoras de crédito, el régimen de tercerización de corresponsalía solo será aplicable en el caso de servicios de desembolsos y cobranza (nral 9 art. 35.8)
  2. Para las empresas de servicios financieros y casas de cambio, el régimen tercerización de corresponsalía será aplicable para todos los servicios listados en el art.35.8 de la RNRCSF salvo para los servicios de depósitos en efectivo o cheques y retiros de cuentas corrientes o cajas de ahorro, transferencias entre cuentas y consulta de saldos en cuentas corrientes o cajas de ahorro.

Por su parte, las representaciones, las empresas de transferencias de fondos, las empresas de transporte de valores, las empresas prestadoras de servicios de arrendamiento y custodia de cofres de seguridad, y las empresas administradoras de plataformas para préstamos entre personas quedan excluidas de la posibilidad de contratar estos servicios.

En cuanto a los requisitos para contratar corresponsales financieros o administradores de corresponsales (35.10), se establece que el contrato deberá cumplir con los requerimientos del art. 35.1.1 nral 1) y además contener las siguientes cláusulas (que ya existían anteriormente en la RNRCSF):

  • Límites por persona, por tipo de transacción, por cantidad de operaciones u otros, así como las demás condiciones para la prestación del servicio.

  • En el caso de contratación de un administrador de corresponsales, requerimientos en materia de selección, control y cese de los corresponsales financieros contratados por el administrador.

  • Mecanismos de compensación entre las partes y procedimientos en materia de flujo de fondos resultantes de los servicios contratados.

  • Sanciones aplicables en caso de incumplimiento del corresponsal financiero o administrador de corresponsales de las obligaciones establecidas en el contrato de corresponsalía.

Por otra parte, se agregan obligaciones a la institución que contrate servicios de corresponsalía (art. 35.11), indicando:

  • Asegurar que el corresponsal o administrador de corresponsales cuente con los fondos necesarios para el desarrollo de la operativa acordada y establecer plazos para la entrega de los saldos deudores a la institución contratante.

  • Contar con políticas y procedimientos para evaluar los riesgos asociados a las operaciones a realizar a través del corresponsal financiero o del administrador de corresponsales y medidas para mitigarlos.

  • Verificar que cumplan con todas las obligaciones que se establecen en la normativa. En cuanto a las obligaciones del administrador de corresponsales (art 35.13) se agrega que cumplimiento de los requisitos mínimos de seguridad, los administradores de corresponsales deberán presentar a la institución contratante una declaración jurada acreditando que los corresponsales financieros cuentan con el correspondiente certificado de habilitación –definitiva o provisoria- expedido por la Dirección General de Fiscalización de Empresas (DIGEFE).

D) Tercerización que implique trato directo con clientes por servicios de intermediación en valores, gestión de portafolios o asesoramiento en inversiones (art. 67.1.3 RNMV) Instituciones de Intermediación Financiera e Intermediarios de ValoresLas tercerizaciones, tanto en proveedores locales como extranjeros, que impliquen el trato directo con clientes por servicios de intermediación en valores, gestión de portafolios o asesoramiento en inversiones, excepto en lo referido a subcontrataciones, se considerarán autorizadas cuando cumplan con lo siguiente:

  • El tercero deberá: (i) estar inscripto ante el organismo de contralor de su país para realizar la actividad tercerizada en forma habitual y profesional, según corresponda; (ii) ser regulado y supervisado o monitoreado por dicho organismo; (iii) cumplir con toda la normativa del BCU relacionada con la actividad a desarrollar, en particular en lo que respecta a la capacitación requerida por la regulación vigente; y (iv) no efectuar subcontrataciones.

  • Las instituciones uruguayas deberán mantener en sus oficinas, a disposición de la SSF: (i) una declaración del tercero acerca del personal asignado a los servicios contratados, que acredite que cuenta con la capacitación requerida por la regulación vigente uruguaya; (ii) un informe jurídico que detalle las circunstancias en las cuales el ordenamiento jurídico de la jurisdicción del tercerista habilita la revelación de la información mantenida en su poder sin el consentimiento expreso de la institución uruguaya, haciéndose referencia en dicho informe al marco legal aplicable y a los antecedentes jurisprudenciales y administrativos sobre relevamiento de secreto que pudiese existir en el Estado de radicación de la información; y (iii) el listado de clientes atendidos por el tercero.

Asimismo, el proveedor de servicios deberá contar, además, con una modalidad de operación y un equipamiento tales que permitan en todo momento el acceso en línea a toda la información desde las terminales instaladas en la institución uruguaya.

Los costos en que incurra la SSF por actividades de supervisión en el exterior de servicios tercerizados, serán de cargo de la institución uruguaya.

E) Tercerización de procedimientos de debida diligencia de clientes 

1. Instituciones de Intermediación Financiera, Empresas de Servicio Financiero, Casas de Cambio, Empresas de Transferencias de Fondos, Empresas Administradoras de Plataformas para Préstamos entre Personas, Intermediarios de Valores, Sociedades Administradoras de Fondos de Inversión, Empresas Aseguradoras y Reaseguradoras
Se aclara que las empresas que presten los servicios tercerizados estarán sometidas, en cuanto a esas actividades a las normas que rigen a las entidades controladas con excepción de las normas de carácter sancionatorio, en consonancia con la obligación que existe para el régimen general de tercerizaciones. En el mismo sentido, se agrega también que los costos en que incurra la SSF por su actividad de supervisión en el exterior de servicios tercerizados serán de cargo de la institución supervisada.

Por otra parte, entre las condiciones que deben cumplirse para que este tipo de tercerización se considere autorizada, se agrega que en el contrato que regule los servicios deberá incluirse la prohibición de subcontratar. El contrato celebrado deberá mantenerse por la institución supervisada en sus oficinas.

2. Empresas Administradoras de Créditos de Mayores Activos y Gestores de Portafolios

Para estas entidades se trata de armonizar el régimen aplicable a las mismas con el existente para las restantes entidades, previendo (además de las obligaciones indicadas anteriormente) el régimen de autorización tácita para este tipo de tercerizaciones siempre que se cumplan con los requerimientos allí detallados, es decir:

a.       El tercero que preste el servicio deberá estar inscripto ante el organismo de contralor de su país para realizar actividades financieras, y ser regulado y supervisado o monitoreado por éste, especialmente en cuanto al cumplimiento de los requisitos de debida diligencia de clientes y mantenimiento de registros, de acuerdo con los estándares internacionales en la materia.

b. El tercero que preste el servicio deberá estar radicado en un país que no esté siendo objeto de medidas especiales por parte del Grupo de Acción Financiera Internacional (GAFI) y que no esté incluido en la lista de países que no cumplen con los criterios de transparencia y cooperación en materia fiscal emitida por la Organización para la Cooperación y Desarrollo Económico (OCDE).

c. Los servicios a tercerizar deberán estar detallados en un contrato entre las partes el que deberá contener, como mínimo, las siguientes cláusulas:

c.1.      la obligación del tercero contratado de mantener el contacto personal con el potencial cliente o, en su defecto, establecer que el contacto personal lo realizará la propia institución.

c.2. la documentación necesaria para verificar la identidad del cliente.

c.3. la información y documentación financiera que el tercero deberá relevar para obtener adecuado conocimiento de la actividad económica desarrollada por el potencial cliente, y la forma en que se verificará la misma.

c.4. la documentación que deberá completar y suscribir el cliente dependiendo del servicio a prestar por la institución una vez aceptado (formularios de conocimiento del cliente para nuevas vinculaciones o actualización de información, etc.).

c.5. la obligación del tercero contratado de poner en conocimiento del potencial cliente que no se iniciará ningún vínculo comercial en tanto la entidad no lo acepte formalmente.

c.6. compromisos de confidencialidad y protección de datos personales.

c.7. prohibición de subcontratar.

La información y documentación mencionadas en los literales c.2 a c.4 deberá ser consistente con las requeridas por la empresa administradora de crédito de mayores activos para el resto de sus clientes, de acuerdo con el perfil de los mismos.

d. Las empresas administradoras de crédito de mayores activos deberán:

d.1       mantener en sus oficinas los contratos celebrados con la empresa en la que se tercerizaron los servicios así como información suficiente y actualizada que acredite la idoneidad y antecedentes del tercero contratado, así como una declaración del mismo acerca del personal que realizará la debida diligencia, que acredite que conoce la regulación vigente en materia de prevención del lavado de dinero y financiamiento del terrorismo aplicable a la institución contratante y los procedimientos de debida diligencia a aplicar. La información y documentación mencionadas deberán actualizarse como mínimo cada 2 (dos) años.

d.2       contar con un listado de clientes cuya debida diligencia fue realizada por un tercero.”

F) Régimen de Resguardo de la Información y Documentación y Régimen InformativoEl Proyecto incluye algunos cambios en la norma sobre resguardos de información, incluyendo dentro de la documentación que las Instituciones deben resguardar, los correos y toda otra forma de mensajería electrónica que se considere relevante para la reconstrucción de las operaciones.

Por otra parte, se incluye la obligación de incluir en el plan de continuidad operacional de la institución, la interrupción en la prestación de los servicios tercerizados.

En lo que refiere al régimen informativo, se derogan los artículos referente a información sobre procesamiento externo de datos y se incorporan nuevos artículos que establece la obligación de las instituciones supervisadas de proporcionar a la SSF información sobre las tercerizaciones contratadas en el plazo de 10 días hábiles de firmado el contrato.

G) Régimen Sancionatorio Ante el incumplimiento de la normativa sobre tercerizaciones, se prevé la aplicación de una multa cuyo monto se incrementara para aquellos casos en que la infracción refiera a la contratación de terceros sin autorización.

1. Instituciones reguladas bajo la RNRCSF Las instituciones que no cumplan con lo dispuesto en el Proyecto, serán sancionadas con una multa equivalente al 2/1.000 (dos por mil) de la responsabilidad patrimonial básica para bancos. En caso que la infracción refiera a la contratación de terceros sin autorización, la multa será equivalente al 4/1.000 (cuatro por mil) de la responsabilidad patrimonial básica para bancos (art. 648.1, 704.1, 711.1, 713.2, 717.1 y 720.2).

Por otra parte, también se modifica el régimen de sanciones general aplicable a representantes por transgresiones a las normas aplicables, estableciendo se aplicarán sanciones de observación, apercibimiento, multa y exclusión del registro siguiéndose el régimen procesal del art. 721 (art. 713). Adicionalmente, se crea una nueva multa por atrasos o errores en la información presentada y requerida por el (713.1).

2. Instituciones reguladas bajo la RNMV y la RNCFPEl Proyecto dispone una multa equivalente a 50 veces la establecida en el artículo 357 RNMV y 168 RNCFP (esto es, UI 5.000, al día de hoy, aproximadamente USD 30.000) que será aplicada a las instituciones que incumplan con las normas sobre tercerización de servicios. En caso que la infracción refiera a la contratación de terceros sin la autorización correspondiente, a multa será equivalente a 100 veces la establecida en el artículo 357 RNMV y 168 RNCFP (al día de hoy, aproximadamente USD 60.000).

3. Instituciones reguladas bajo la RNSRLas instituciones que incumplan las normas sobre tercerización serán sancionadas con una multa equivalente a UI 250.000 (aproximadamente USD 30.000), y cuando el incumplimiento refiera a la contratación de terceros sin autorización, la multa será de UI 500.000 (aproximadamente USD 60.000).