Noticias

Proyecto Normativo del BCU modifica el régimen aplicable a las tercerizaciones de servicios

17/06/2026

El 3 de junio de 2026 la Superintendencia de Servicios Financieros (la “SSF”) del Banco Central del Uruguay (el “BCU”) emitió un proyecto normativo orientado a adecuar el régimen vigente en materia de tercerizaciones de servicios a los cambios introducidos por la Ley de Presupuesto Nacional 2025-2029 (el “Proyecto Normativo”). 

Particularmente, el Proyecto Normativo modificaría las recopilaciones de normas que regulan a las empresas del sistema financiero, del mercado de valores, del sector de seguros y reaseguros, y fondos previsionales.

  1. Comunicación previa

Comunicación previa con 30 días de anticipación

Se propone que las tercerizaciones de servicios sean comunicadas al BCU con al menos 30 días corridos de antelación a la suscripción del contrato correspondiente. 

Con esta modificación, se adecuan las recopilaciones al cambio introducido por la Ley de Presupuesto Nacional 2025-2029, que sustituyó el requisito de autorización previa para tercerizar determinados servicios por el de comunicación previa.

Asimismo, se propone que esta comunicación deba realizarse mediante el formulario dispuesto por el BCU en el siguiente link, el que tendrá carácter de declaración jurada y deberá ser suscrito integrante del personal superior de la entidad.

Sin perjuicio de lo anterior, la SSF se encuentra facultada a requerir información adicional para verificar el cumplimiento de las condiciones requeridas por la normativa, suspendiéndose el plazo de comunicación previa indicado antes.

Excepciones al plazo

El Proyecto Normativo prevé que la comunicación de los siguientes servicios podrá ser efectuada hasta el mismo día de la suscripción del contrato

  • Los servicios prestados en Uruguay por terceros radicados en el país y con instituciones que se encuentren sujetos a regulación y supervisión del BCU respecto de la actividad tercerizada.
  • Los servicios de debida diligencia.
  • Las tercerizaciones que impliquen el trato directo con clientes por servicios de intermediación de valores, gestión de portafolios o asesoramiento en inversiones.
  • Determinados servicios contratados bajo la modalidad de Software as a Service (SaaS) o servicios de procesamiento de datos que no incluyan datos personales de clientes o los mismos hayan sido disociados.
  1. Condiciones aplicables a la contratación de servicios tercerizados

Cláusulas contractuales mínimas

El Proyecto Normativo conserva la mayoría de las cláusulas mínimas requeridas en los contratos con empresas tercerizadas, incorporando los siguientes agregados: 

  1. Los compromisos en materia de confidencialidad y protección de datos no podrán estar condicionados a un plazo de finalización. 
  2. Se deberán incluir condiciones y protocolos que aseguren la continuidad de los servicios prestados.
  3. El acceso irrestricto a los datos y a toda la documentación e información técnica relacionada con los servicios prestados por parte de la SSF o de la institución contratante no podrá estar sujeta a un preaviso.
  4. En caso de que el servicio sea prestado en el exterior y el contrato no contemple el derecho a realizar auditorías, la institución deberá contar con acceso de sólo lectura, de carácter exclusivo y sin restricción alguna al servicio y a los datos procesados externamente, utilizable en todo momento desde las oficinas de la institución. 
  5. Cuando el contrato no contemple dentro de las causales de rescisión, la instrucción del cese por parte de la SSF, la institución deberá aceptar la responsabilidad que eventualmente pueda derivarse. 

Asimismo, el Proyecto Normativo dispone que el informe de evaluación de riesgos asociados a la tercerización deberá incluir, además de la evaluación de solvencia patrimonial y técnica ya prevista en la normativa vigente, la valoración de su impacto sobre los riesgos operacionales, la resiliencia operativa y la seguridad de la información.

Tercerización del procesamiento de datos en o desde el exterior

Con respecto a la tercerización por procesamiento de datos, el Proyecto Normativo establece que el plan de continuidad operacional y el plan de recuperación de desastres deberán ser ajustados y probados con resultados exitosos en un plazo de 60 días corridos desde el inicio de la actividad de procesamiento, y posteriormente al menos una vez al año. 

Servicios bajo la modalidad SaaS

El BCU emitió también un proyecto de Comunicación en la cual se establece que se consideran servicios en modalidad SaaS los siguientes: 

  • correo electrónico, mensajería instantánea y toda otra forma de mensajería electrónica; 
  • almacenamiento y resguardo de archivos; 
  • firma electrónica, herramientas colaborativas, herramientas ofimáticas, herramientas de análisis de datos y gestión documental;
  • servicios de autenticación dinámica para acceso y transacciones; y
  • herramientas que permitan el control de listas de individuos y entidades a efectos de cumplir con los procedimientos de prevención de LAFT.

A efectos de no cumplir con el requisito de comunicación previa estos servicios deberán cumplir además con las siguientes condiciones: 

  1. Exista un acuerdo de nivel de servicios (SLA) especificado por contrato de al menos un 99,9% de disponibilidad que incluya penalidades en caso de incumplimiento; y 
  2. El servicio cuente con la certificación ISO 27001. Adicionalmente, debe contar con la certificación ISO 27017 o haber aplicado para CSA STAR Level.

Asimismo, la Comunicación prevé determinados servicios que quedan exceptuados de la obligación de comunicación previa y del cumplimiento de las demás condiciones establecidas, manteniendo las mismas excepciones contempladas en la Comunicación N° 2020/030.

El proyecto de Comunicación dejaría sin efecto las Comunicaciones N° 2020/030, 2022/254, 2024/104 y la Comunicación N° 2026/019. 

Cambios a las tercerizaciones informadas

Todo cambio posterior al alcance o a las condiciones de la tercerización deberá comunicarse de acuerdo con el plazo de preaviso aplicable. 

  1. Régimen Sancionatorio

El Proyecto Normativo incrementa significativamente el monto máximo de las multas aplicables a aquellas instituciones supervisadas que incumplan con las normas sobre tercerización de servicios.

 El BCU recibirá comentarios al Proyecto Normativo hasta el 24 de junio de 2026 a través del siguiente correo electrónico: ssfproyectonormativoif@bcu.gub.uy.

Pueden acceder al Proyecto Normativo en el siguiente link

Equipo/Autores: Dres. Andrés Aznarez, Federico Samudio, Paula Cabarcos y Guzmán Oehler