06-04-2026 | FERRERE, Noticias
La propuesta incorpora ajustes derivados de los comentarios recibidos durante el proceso de consulta pública y de los intercambios con la industria.
El 16 de marzo de 2026, la Superintendencia de Servicios Financieros (SSF) del Banco Central del Uruguay (BCU) publicó una nueva versión del proyecto normativo que reglamenta la figura del proveedor de servicios de activos virtuales (PSAV), originalmente puesto en consulta en agosto de 2025, en el marco de las modificaciones introducidas por la Ley de Presupuesto Nacional.
La propuesta incorpora ajustes derivados de los comentarios recibidos durante el proceso de consulta pública y de los intercambios con la industria, y establece el régimen aplicable a los PSAV en Uruguay, incluyendo requisitos de autorización, obligaciones de conducta y estándares operativos.
A continuación, destacamos los 10 aspectos más relevantes del régimen propuesto:
- Proveedores regulados
Se consideran PSAV las personas jurídicas que, en forma habitual y profesional, presten uno o más de los siguientes servicios:
- Intercambio entre activos virtuales y monedas fiduciarias;
- Intercambio entre uno o más activos virtuales;
- Transferencia de activos virtuales;
- Custodia, administración u otros medios que permitan el control sobre activos virtuales; y
- Participación y provisión de servicios financieros relacionados con la oferta o venta de activos virtuales por parte de un emisor (por ejemplo, a través de plataformas o aplicaciones móviles).
Estas actividades también quedan comprendidas cuando se realicen a través de protocolos que permitan su ejecución directa entre usuarios mediante contratos inteligentes. En cambio, el desarrollo de un programa informático, por sí solo, no se considera actividad regulada si no implica prestar el servicio.
- Autorización y forma jurídica
Los PSAV deberán obtener autorización previa de la SSF para operar y deberán indicar las actividades que desarrollarán.
Podrán constituirse como sociedades comerciales bajo los tipos previstos en la normativa uruguaya o como sucursales de entidades extranjeras. Como parte del proceso de autorización, deberán presentar información sobre su estructura, accionistas, gobierno corporativo, operativa y sistemas.
- Principios de actuación y límites operativos
Los PSAV deberán actuar con lealtad y ética comercial, ajustarse a buenas prácticas y formalizar su relación con los clientes mediante contratos en los casos previstos por la normativa.
No podrán realizar actividades que impliquen intermediación financiera ni disponer o utilizar los activos virtuales de sus clientes sin autorización expresa.
- Principales obligaciones regulatorias
El proyecto establece un conjunto de obligaciones que incluye, entre otros:
a. Protección al cliente
- Brindar información clara y suficiente;
- Celebrar contratos cuando corresponda;
- Contar con mecanismos de atención de reclamos;
- Advertir sobre los riesgos.
b. Prevención de lavado de activos (PLAFT)
- Implementar sistemas de debida diligencia y conocimiento del cliente;
- Identificar beneficiarios finales;
- Designar un oficial de cumplimiento;
- Reportar operaciones sospechosas.
Además, para las transferencias de activos virtuales se establecen requisitos de identificación del ordenante y beneficiario, en línea con estándares internacionales en la materia, incluyendo los desarrollados por el Grupo de Acción Financiera Internacional (GAFI).
c. Seguridad tecnológica y continuidad operativa
- Contar con sistemas informáticos adecuados en términos de seguridad;
- Implementar políticas de seguridad de la información;
- Designar un responsable de seguridad;
- Realizar auditorías anuales y contar con planes de continuidad.
d. Gobierno corporativo
- Definir una estructura organizativa clara;
- Implementar sistemas de control interno;
- Asegurar la idoneidad del personal superior;
- Adoptar códigos de ética.
e. Requerimientos prudenciales y garantías
Para los PSAV que presten servicios de custodia o administración de activos virtuales, se exige la integración de un patrimonio mínimo de UI 1.000.000 (Unidades Indexadas). Asimismo, todos los PSAV deberán constituir una garantía a favor del BCU por un monto no inferior a UI 600.000 y un depósito a la vista en el BCU por un monto no inferior a UI 50.000.
f. Información y contabilidad
- Presentar información contable y de gestión con periodicidad anual;
- Realizar auditorías externas;
- Comunicar hechos relevantes al regulador.
- Separación de fondos y activos
Los PSAV deberán mantener separados los fondos propios de los fondos de clientes, así como los activos virtuales propios de los de clientes. Dicha separación deberá quedar asentada de forma clara, individualizada y mantenerse actualizada en los registros del PSAV, de manera que los activos virtuales de clientes no integren la masa activa del PSAV en caso de concurso o liquidación.
Además, los fondos de clientes no podrán permanecer en su poder por más de 48 horas, salvo que existan instrucciones específicas que justifiquen un plazo mayor.
- Tercerización de servicios
El proyecto permite la tercerización de servicios sujeta a comunicación previa a la SSF. En estos casos, los PSAV deberán celebrar contratos con requisitos mínimos, evaluar y monitorear los riesgos asociados y mantener la responsabilidad por los servicios prestados.
No se admite la tercerización de la aceptación de clientes.
- Uso de corresponsales financieros
Se habilita la prestación de servicios a través de corresponsales financieros o administradores de corresponsales, estableciéndose requisitos para su contratación y obligaciones de control por parte del PSAV.
Las operaciones realizadas a través de terminales automatizadas estarán sujetas a un importe diario máximo por cliente de US$ 1.000, o su equivalente en otras monedas.
- Información al cliente
Cuando el PSAV participe en la oferta o venta de activos virtuales, deberá poner a disposición de los clientes un white paper con información detallada sobre el activo virtual ofrecido. El proyecto admite que dicho documento pueda estar disponible en español o en inglés.
A su vez, esta versión del proyecto eliminó la exigencia de que la declaración del cliente sobre el conocimiento de los riesgos asociados a la operativa con activos virtuales sea recabada en forma previa a cada operación.
- Régimen sancionatorio
El proyecto prevé un régimen sancionatorio que incluye observaciones, apercibimientos, multas, suspensión o cancelación de la autorización, según la gravedad del incumplimiento.
- Plazos de adecuación
Los PSAV que se encuentren en actividad a la fecha de entrada en vigencia de la norma dispondrán hasta el 31 de diciembre de 2026 para presentar la solicitud de autorización, pudiendo continuar operando mientras se procesa la solicitud.
El plazo general para adecuarse a las distintas disposiciones se extiende hasta el 30 de junio de 2027, con plazos específicos adicionales para determinados aspectos operativos.
El proyecto se encuentra actualmente en etapa de segunda consulta pública. El plazo para remitir comentarios vence el 13 de abril de 2026.
Si quieres más información, escríbenos a contacto@compliancelatam.legal.
24-03-2026 | Albagli Zaliasnik, Noticias
La normativa establece un nuevo marco regulatorio con especial impacto para la industria minera, constructiva, cementera, asfáltica y vidriera.
El pasado 24 de febrero de 2026, se publicó en el Diario Oficial la Ley N°21.800 que regula la extracción de áridos y modifica diversos cuerpos legales.
La normativa establece un nuevo marco regulatorio aplicable a la extracción, transporte, procesamiento o utilización de áridos, lo que afectará especialmente a la industria minera, constructiva, cementera, asfáltica y vidriera.
Es importante mencionar que se trata de una respuesta esperada a la gran dispersión de Ordenanzas Municipales y falta de regulación en lo que respecta a este tipo de actividades, buscando certezas jurídicas y, por cierto, la formalización de la actividad y luchar contra la clandestinidad que hoy existe.
El nuevo procedimiento
Este nuevo marco regulatorio es aplicable a la extracción de áridos en cauces naturales no navegables por buques de más de cien toneladas y en zonas de regulación anexas al cauce (franja de 100 metros desde la línea de inundación). El nuevo proceso consta de:
- Factibilidad administrativa municipal: este paso es obligatorio para la extracción en cauces; en zonas anexas se puede acudir directamente a la Dirección de Obras Hidráulicas (DOH). Consta de un informe vinculante de la municipalidad sobre la compatibilidad del proyecto con el uso de suelo local.
- Factibilidad técnica de extracción: en caso de una respuesta favorable por parte de la municipalidad correspondiente, la DOH —a solicitud del interesado— evalúa en 20 días la viabilidad técnica del proyecto, previa consulta obligatoria a las Juntas de Vigilancia del sector.
- Habilitación técnica de extracción en cauce natural y su zona de regulación anexa: el interesado debe presentar un proyecto técnico integral.
Además, la ley distingue entre extracción mecanizada menor (hasta 30.000 m³ totales) y mayor (superior a dicho volumen). En una extracción menor, el titular está exento de presentar estudios de ingeniería fluvial siempre que el levantamiento topográfico indique material depositado visible. La DOH tendrá 30 días hábiles para resolver, prorrogables por razones justificadas hasta 10 días (proyectos menores) o 15 días (proyectos mayores).
- Autorización municipal: tras la habilitación de la DOH, el alcalde de la comuna correspondiente dicta el decreto definitivo que fija las condiciones finales (volumen, plazos y horarios) para operar.
Herramientas de control
El cumplimiento de la ley trasciende la obtención del permiso administrativo. Así, el texto legal establece un sistema de control continuo que abarca trazabilidad y responsabilidad ambiental con el objetivo central de combatir la clandestinidad de la extracción de áridos.
En materia de trazabilidad, todo transporte de áridos debe portar un Certificado de Origen que acredite su fuente autorizada, cuya ausencia faculta la incautación inmediata del material y del vehículo motorizado, además de presumir la ilegalidad de la extracción. Las multas por incumplimiento serán de 30 a 100 UTM (aumentadas de 60 a 200 UTM en caso de reincidencia).
En faenas de construcción, es obligatorio mantener copia del certificado y facturas en un lugar visible. El incumplimiento arriesga multas de 10 a 60 UTM y la suspensión de la faena por hasta 30 días por orden judicial. Asimismo, la Dirección General de Aguas puede ordenar la paralización inmediata de extracciones no autorizadas o que pongan en peligro la infraestructura pública o servicios vitales.
Además, se obliga al titular del proyecto a contar con un Plan de Cierre que garantice financieramente obras de restauración al término de la faena.
Implicancias en compliance y delitos económicos
La ley introduce dos nuevos tipos penales al catálogo de Delitos Económicos que contempla la Ley N°21.595 y que pueden generar responsabilidad penal para las personas jurídicas conforme a la Ley N°20.393. Estos dos nuevos delitos son:
- Falsificación de documentos de trazabilidad: se sanciona la adulteración de habilitaciones técnicas o certificados de origen, así como el uso malicioso de información falsa o incompleta sobre la procedencia del material.
- Extracción ilegal de áridos: se sanciona la extracción realizada sin contar con una habilitación técnica favorable o fuera de los polígonos y condiciones autorizadas. Para configurarse como delito penal, el sujeto debe haber sido sancionado administrativamente más de una vez por la misma conducta en los últimos dos años.
La ley tiene implicancias directas en el Modelo de Prevención de Delitos (MPD). Es fundamental determinar si la matriz de riesgos identifica actividades en que se tenga el riesgo de comisión de estos ilícitos o, de manera más exhaustiva, evaluar el levantamiento de procesos específicos donde este riesgo subyace.
Asimismo, debe verificarse la integración de controles que aseguren el cumplimiento, tanto interno como de terceros vinculados al giro de la empresa, lo que exigirá procesos de debida diligencia mucho más robustos.
¿Cuándo entra en vigencia la norma?
La ley entra en vigencia el 25 de febrero de 2027 debido a la complejidad del reglamento técnico que se debe elaborar. Así, las industrias alcanzadas tendrán este período de vacancia para ajustar sus contratos, revisar procesos internos y actualizar el MPD a los nuevos estándares exigidos por la norma. En este mismo sentido es que las municipalidades tienen el mismo plazo para adecuar sus ordenanzas al nuevo reglamento.
No obstante, se debe tener presente que las autorizaciones municipales y sectoriales otorgadas con anterioridad a la entrada en vigencia de la ley se continuarán rigiendo por la normativa aplicable al momento de su otorgamiento original.
Por último, la renovación de esos permisos, o posibles solicitudes de ampliación de polígonos de extracción, quedarán indefectiblemente sometidas a las nuevas y más estricticas disposiciones.
Cabe destacar que los proyectos que actualmente extraen más de 10.000 m³ mensuales tendrán un período de un año desde la fecha de vigencia para cumplir plenamente con las nuevas disposiciones de esta ley.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal.
18-03-2026 | CPB, Noticias
La directiva incorpora requisitos de experiencia comprobable para el cargo y un plazo de adecuación de 180 días, entre otras medidas.
La Autoridad Nacional de Protección de Datos Personales (ANPD) de Perú publicó un documento de preguntas y respuestas que precisa cómo debe aplicarse la directiva sobre designación, desempeño y funciones del Oficial de Datos Personales (ODP).
Si una compañía o grupo empresarial está evaluando incorporar este rol, estas son las cinco claves prácticas que debe considerar:
- Designación formal y comunicación a la ANPD
La designación debe quedar registrada en un acto formal del máximo organismo de administración de la empresa —mediante un acta, acuerdo, resolución u otro documento equivalente— y comunicarse a la ANPD a través de la mesa de partes virtual, con los datos mínimos del ODP, como su identidad, rol o cargo, y contactos.
- Transparencia obligatoria
Además de informarlo a la ANPD, la empresa debe hacer público —como mínimo— el nombre completo del ODP y un correo electrónico en —por ejemplo— la política de privacidad de la compañía o algún documento similar.
- El ODP se compromete con el deber de seguridad y está sujeto a sanciones
No basta con nombrar a alguien. Si la falta de idoneidad del OPD se traduce en medidas de seguridad inexistentes o ineficaces, la ANPD podría evaluarlo como un incumplimiento del deber/principio de seguridad y aplicar sanciones.
- Requisitos concurrentes para el perfil
Las exigencias son claras: quien asuma el cargo debe tener conocimientos especializados y experiencia práctica en protección de datos personales. La formación puede acreditarse a través de docencia, investigación académica, capacitación formal, entre otras.
- Adecuación progresiva de 180 días
Si el ODP no calza perfecto con el perfil al momento de asumir, la designación no se anula automáticamente. En cambio, la directiva de la empresa contempla una lógica de adecuación progresiva en un plazo general de 180 días, interpretado de maneras amplias para sujetos obligados.
Puedes descargar el folleto de preguntas y respuestas sobre la directiva que establece disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales en el siguiente enlace.
Si deseas más información, comunícate con nosotros a contacto@compliancelatam.legal.
