BANCO CENTRAL DEL URUGUAY SUPERINTENDENCIA DE SERVICIOS FINANCIEROS PROYECTO NORMATIVO DE ACTUALIZACIÓN DEL RÉGIMEN DE TERCERIZACIONES DE SERVICIOS
· 5 minutos de lectura
Días atrás la Superintendencia de Servicios Financieros (“SSF”) del Banco Central del Uruguay (“BCU”) puso en consulta pública un proyecto normativo que busca actualizar el régimen de tercerización de servicios aplicable a las instituciones bajo su órbita (el “Proyecto”).
La propuesta responde al cambio legal introducido por el artículo 715 de la Ley N.º 20.446 (“Ley de Presupuesto Nacional 2025-2029”), que sustituyó la obligación de solicitar autorización para tercerizar servicios inherentes al giro por un régimen de comunicación previa ante la SSF.
La consulta pública estará abierta hasta el 24 de junio de 2026, y los comentarios podrán ser remitidos al correo electrónico ssfproyectonormativoif@bcu.gub.uy, indicando en el tema o asunto el proyecto al que refieren los mismos.
El paquete normativo comprende modificaciones a las distintas Recopilaciones de Normas de la SSF y se complementa con dos comunicaciones reglamentarias: una referida al modelo de declaración jurada y formulario de comunicación previa, y otra relativa a servicios exceptuados de comunicar y condiciones para exceptuar de dicha comunicación a determinados servicios bajo modalidad “Software as a Service” (“SaaS”).
El cambio no supone una reformulación integral del régimen sustantivo de tercerizaciones, sino que en términos generales mantiene la lógica vigente sobre responsabilidad de la entidad, condiciones contractuales, gestión de riesgos, procesamiento de datos, servicios prestados desde el exterior y potestades de supervisión de la SSF.
En este sentido, la novedad principal está en la técnica regulatoria en tanto se abandona el esquema de autorización previa y se lo sustituye por un régimen de comunicación previa, acompañado de una sistematización normativa más ordenada y homogénea.
Como regla general, las entidades deberán comunicar la contratación de servicios tercerizados con una antelación de 30 días corridos a la suscripción del contrato.
La comunicación tendrá carácter de declaración jurada, deberá ser firmada por personal superior y se realizará mediante el formulario preestablecido por la SSF incluido como anexo del Proyecto. El supervisor podrá requerir información adicional para verificar que la tercerización comunicada no se aparta de las condiciones aplicables, suspendiéndose en ese caso el plazo correspondiente.
Para determinados servicios, la comunicación podrá realizarse “hasta el día de la suscripción del contrato”, lo que implica una excepción al régimen general de 30 días de antelación, emulando así el régimen anterior a la Ley N°20.446 de tercerizaciones bajo régimen de autorización tácita.
Uno de los aspectos más relevantes del Proyecto es la sistematización de reglas que actualmente se encuentran dispersas en distintas secciones de las respectivas Recopilaciones.
La propuesta ordena el régimen en torno a tres ejes: definición y ámbito de aplicación, comunicación previa y condiciones para tercerizar. De esta forma, el BCU busca reducir reiteraciones normativas y construir una arquitectura común para las distintas instituciones supervisadas, manteniendo las particularidades que correspondan según la actividad regulada.
El Proyecto mantiene principios centrales del régimen vigente. La tercerización no exime ni limita la responsabilidad de la entidad supervisada, que continúa respondiendo por el cumplimiento de las normas aplicables al servicio tercerizado.
También se conservan restricciones respecto de funciones que no pueden ser tercerizadas y se mantienen las exigencias contractuales vinculadas a objeto y alcance del servicio, niveles de prestación, confidencialidad, continuidad operativa, acceso a información, subcontrataciones, entre otras, sin perjuicio de algunos ajustes que refuerzan la protección e integridad regulatoria del servicio.
En materia de gestión de riesgos, se mantiene la exigencia de contar con políticas y procedimientos escritos, así como con documentación de soporte que permita evaluar los riesgos asociados a la tercerización, incluyendo riesgos operacionales, tecnológicos, legales, de seguridad de la información, resiliencia operativa y solvencia del proveedor, respecto de lo cual también se realizan algunos ajustes que refuerzan la protección.
El Proyecto incluye un formulario que anticipa el estándar de información que la SSF requerirá para las comunicaciones.
En tal sentido, la entidad deberá identificar al proveedor, describir el servicio, precisar su localización, informar eventuales subcontrataciones, indicar si el servicio afecta la continuidad del negocio, si existen proveedores alternativos o posibilidad de internalización, si incorpora riesgos significativos y si presenta alta interacción sistémica.
Cuando exista procesamiento externo de datos o servicios SaaS, el formulario exige información adicional sobre localización del procesamiento, datos personales, copias de resguardo, categorías de servicio y condiciones técnicas aplicables.
El borrador de Comunicación incluido como Anexo del Proyecto busca excluir ciertos servicios del régimen de comunicación previa —así como de las restantes condiciones sustanciales del régimen—, a cuyos efectos menciona ciertos servicios de apoyo administrativo y servicios profesionales, servicios de mantenimiento informático sin acceso a datos y ciertas actividades documentales.
Por otro lado, define qué servicios califican como SaaS, incluyendo correo electrónico, mensajería, almacenamiento, firma electrónica, herramientas de gestión documental, control de listas de prevención de LA/FT, entre otros. Estos servicios solo quedarían exceptuados del régimen de comunicación previa si cumplen con las condiciones técnicas y contractuales previstas, incluyendo SLA mínimo de 99,9% y certificaciones de seguridad de la información.
El Proyecto debe leerse como un cambio en el modo de relacionamiento con el supervisor en materia de tercerizaciones. Si bien el BCU reduce la carga de autorización previa, mantiene el eje en la responsabilidad de la entidad, la documentación del análisis, la calidad contractual y la posibilidad de control posterior.
En la práctica, las instituciones deberán revisar sus procesos internos para que la contratación de proveedores —especialmente tecnológicos, SaaS, procesamiento de datos, cumplimiento, back office o servicios operativos relevantes— incorpore desde el inicio la información necesaria para cumplir con la comunicación previa y sostener la trazabilidad del análisis realizado frente a controles de la SSF.
