Ley Chile - Circular Bancos 2244 (23-dic-2019) M. de Hacienda; Comision Para el Mercado Financiero - Biblioteca del Congreso Nacional de Chile

Con el propósito de que las entidades bancarias puedan hacer uso de aquellas innovaciones tecnológicas que permiten hacer más eficientes y competitivos los mercados en que participan, favoreciendo el desarrollo global de la industria y generando mayores beneficios para los clientes, pero siempre compatibilizándolo con una sólida gestión de los riesgos operacionales que ello involucra, mediante la presente Circular se modifican las condiciones que deben cumplir las instituciones fiscalizadas, en el caso que se externalicen servicios de procesamiento de datos fuera del país, según lo dispuesto en el Capítulo 20-7 de la recopilación Actualizada de Normas.

Para dichos efectos, a partir de ahora el Directorio de las propias entidades será responsable de decidir exceptuar al banco de la condición de disponer un centro de procesamiento de datos de contingencia en el país, para las actividades consideradas significativas o estratégicas, siempre y cuando además de contar con una adecuada calificación de gestión en la materia de riesgo operacional en la última evaluaciones realizadas por esta Comisión, de acuerdo con lo establecido en el Capítulo 1-13 de la referida Recopilación, asegure mediante un informe anual, que la entidad ha tomado las medidas preventivas mínimas definidas por este Organismo. Asimismo, podrá excepcionar el requisito de la calificación de riesgo país en grado de inversión.

Cabe mencionar que estas modificaciones también deben ser compatibilizadas con los lineamientos mínimos para el uso de servicios externalizados en modalidad nube, que fueron introducidos al Capítulo 20-7 mediante la Circular N° 3.629 de 27 de diciembre de 2017.

Para efectos de lo expuesto anteriormente, se introducen los cambios al Capítulo 20-7 que se indican a continuación:

1. Se reemplazan los dos párrafos del número 5 del Título III por el siguiente:

"Sólo se podrá externalizar servicios en jurisdicciones que cuenten con calificación de riesgo país en grado de inversión. No obstante, el Directorio o la instancia que haga sus veces podrá excepcionar este requisito, en la medida que el país en el que se externalizan los servicios cuente con leyes de protección y seguridad de datos personales adecuadas, debiendo dejar constancia del análisis realizado al efecto. Lo anterior, sin perjuicio de lo señalado en el número 2 letra i) del Título III y el número 1 letra b) del Título IV de este Capítulo."

2. En el segundo párrafo del número 6 del Título III, se reemplaza la locución que sigue al vocablo "comunicar" por lo siguiente: "a esta Comisión, en los términos definidos en dicho Capítulo, los incidentes operacionales que afecten un servicio externalizado en el país o en el exterior".

3. A continuación del literal i) de la letra b) del número 1 del Título IV se incorpora lo siguiente:

"Para el caso de bancos que mantengan una adecuada gestión del riesgo operacional en la última evaluación realizada por esta Comisión, calificada de conformidad con lo establecido en el Capítulo 1-13 de esta Recopilación, el Directorio o la instancia que haga sus veces podrá excepcionar este requerimiento, cuando se asegure, por medio de un informe anual, que la entidad cumple entre otros aspectos con la adopción de las siguientes medidas preventivas:

a) El tiempo de recuperación objetivo (RTO) debe ser aprobado por el directorio en función de un análisis de impacto (BIA) y de riesgo (RIA) que sea consistente con la criticidad del(os) servicio(s) externalizado(s). Lo anterior, debe ser evaluado y probado al menos anualmente.

b) Que los sites de procesamiento de datos cumplan con un tiempo de disponibilidad de operación igual o superior a lo dispuesto en el Capítulo 20-9 de esta Recopilación.

c) Que los sites se encuentran en ubicaciones distintas que mitiguen tanto el riesgo geográfico como los riesgos políticos.

d) Que en términos de seguridad de la información los servicios externalizados se provean en un ambiente consistente con las políticas y estándares adoptados por la entidad.

El informe mencionado deberá ser realizado por una empresa independiente de reconocido prestigio y experiencia en la evaluación de este tipo de servicios.

Consideraciones especiales

En el caso de entidades bancarias que mantengan servicios externalizados en el exterior, bajo las condiciones señaladas en este literal, y que producto de una nueva evaluación sean calificados en la materia de riesgo operacional en una categoría de "Cumplimiento Insatisfactorio" o inferior, deberán informar a esta Comisión sobre las medidas específicas adicionales adoptadas para asegurar la adecuada operación de los servicios.

Para aquellas entidades bancarias que no cuentan con una calificación de gestión en el ámbito del riesgo operacional, y que externalicen servicios en el exterior, le serán aplicables todas las medidas preventivas anteriormente señaladas, con excepción de la calificación en esta materia."

4. En el literal ii) de la letra b) del número 1 del Título IV se elimina la locución "en el Centro de Procesamiento de Datos" que sigue a la expresión "servicio externalizado".

5. En otro orden de cosas, se aprovecha la oportunidad para actualizar las referencias a la nueva institucionalidad del regulador, modificando las alusiones a la Superintendencia de Bancos e Instituciones Financieras.

Como consecuencia de los cambios descritos se reemplazan las hojas N°s 4, 7 y siguientes del Capítulo 20-7, además de la primera hoja del anexo 1 y la del anexo 3, por las que se acompañan.