Ciudad de México, a 10 de septiembre de 2021 Comisión Nacional de Mejora Regulatoria P R E S E N T E Por este conducto hacemos llegar a su atención los comentarios de Scotiabank Inverlat S.A., Institución de Banca Múltiple, Grupo Financiero Scotiabank Inverlat, con respecto a la más reciente versión del anteproyecto de “Resolución que modifica las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito (Comisionistas)”, relativa al expediente no. 05/0057/140721, publicada en el sitio de internet de esa Comisión Nacional de Mejora Regulatoria el 01 de septiembre de 2021, con el fin de contribuir a la mejor consecución de los objetivos del anteproyecto y a facilitar su implementación para las Instituciones de Crédito: Artículo y párrafo = Comentario - Artículo 317, tercer párrafo: Tampoco resultarán aplicables los preceptos del Capítulo IX del Título Quinto de estas disposiciones cuando las Instituciones contraten a otras entidades sujetas a la supervisión de la Comisión que dentro de su objeto social se encuentre el poder recibir mandatos o comisiones y que tengan permitido realizar las operaciones objeto del mandato o comisión de que se trate y, adicionalmente, cuenten con regulación en materia de riesgo tecnológico, uso de medios electrónicos y seguridad de la información, además de contar con un régimen regulatorio de contratación con terceros. = Se propone agregar como excepción cuando las Instituciones contraten a su casa matriz, aunque dicha casa matriz no esté regulada por la Comisión. - Artículo 317, tercer y cuarto párrafos: Tampoco resultarán aplicables los preceptos del Capítulo IX del Título Quinto de estas disposiciones cuando las Instituciones contraten a otras entidades sujetas a la supervisión de la Comisión que dentro de su objeto social se encuentre el poder recibir mandatos o comisiones y que tengan permitido realizar las operaciones objeto del mandato o comisión de que se trate y, adicionalmente, cuenten con regulación en materia de riesgo tecnológico, uso de medios electrónicos y seguridad de la información, además de contar con un régimen regulatorio de contratación con terceros. Las Instituciones deberán pactar lo necesario para que las personas que les proporcionen los servicios a que se refiere este artículo y los previstos en el presente Capítulo IX, guarden la debida confidencialidad de la información relativa a las operaciones activas, pasivas y de servicios celebradas con sus clientes, así como la información relativa a dichos clientes, en caso de que tales personas tengan acceso a ella. = Se sugiere corregir el número romano que en el anteproyecto indica IX para indicar XI. - Artículo 318, fracción II, segundo párrafo: Las políticas y criterios a que se refiere el párrafo anterior deberán elaborarse por el director general u otro funcionario que este designe y ser aprobadas por el Consejo de Administración de la Institución, a propuesta del Comité de Riesgos o del Comité de Auditoría. = Las modificaciones objeto del anteproyecto implican modificaciones a las políticas respectivas de las Instituciones de Crédito, así como la aprobación e implementación de las mismas, por lo que se solicita un transitorio que conceda un plazo de 6 meses para realizar todo el proceso de modificación de dichas políticas. - Artículo 318, fracción III, inciso a), último párrafo: Lo previsto en los subincisos 1. a 5. anteriores también resultará aplicable a los terceros con los que los prestadores de servicios a que se refiere el presente capítulo subcontraten directamente, total o parcialmente, el servicio prestado a la Institución. = La jurisdicción con la que probablemente se hayan celebrado los contratos pudiera no ser la mexicana por lo que resultaría bastante complicado que los subcontratistas de los prestadores de servicios o comisionistas acepten esta obligación. -Artículo 318, último párrafo: La Institución deberá establecer las políticas para el adecuado manejo, control y seguridad de la información generada, recibida, transmitida, procesada o almacenada en la ejecución de los servicios o comisiones que se refieran a la utilización de infraestructura tecnológica, de telecomunicaciones o de procesamiento de información, que se realicen parcial o totalmente fuera del territorio nacional. El establecimiento de dichas políticas será responsabilidad del director general, quien podrá delegar tales funciones a las áreas encargadas de la seguridad de la información de la Institución, mientras que el Comité de Auditoría y el auditor interno de la Institución serán responsables de vigilar su cumplimiento, de acuerdo con sus respectivas competencias. = Las modificaciones objeto del anteproyecto implican modificaciones a las políticas respectivas de las Instituciones de Crédito, así como la aprobación e implementación de las mismas, por lo que se solicita un transitorio que conceda un plazo de 6 meses para realizar todo el proceso de modificación de dichas políticas. - Artículo 318 Bis, primer párrafo: Los requerimientos de información y, en su caso, las observaciones o medidas correctivas que deriven de la supervisión que realice la Comisión en términos de las presentes disposiciones, se realizarán directamente a la Institución. Asimismo, la Comisión podrá, en todo momento, ordenar la realización de las visitas y auditorías señaladas en el Artículo 318, fracción III, inciso a) anterior, precisando los aspectos que unas y otras deberán comprender, quedando obligada la propia Institución a rendir a la Comisión un informe al respecto. = La jurisdicción con la que probablemente se hayan celebrado los contratos pudiera no ser la mexicana por lo que resultaría bastante complicado que los subcontratistas de los prestadores de servicios o comisionistas acepten esta obligación. - Artículo 321 Bis, último párrafo: Las Instituciones consolidarán en una base de datos administrada y controlada en todo momento por la Institución, las aclaraciones o quejas derivadas de operaciones realizadas a través de comisionistas. = La consolidación e identificación de esta información puede implicar la realización de desarrollos en sistemas. Se solicita contemplar en los transitorios un plazo de 6 meses para realizar los desarrollos correspondientes. - Artículo 332, fracción II: Especificar las etapas y plazos de cada una las acciones a implementar. La ejecución y cumplimiento del programa no deberá exceder de seis meses, contado a partir de su autorización. Con independencia de lo anterior, de manera excepcional, la Comisión podrá autorizar por única vez una prórroga hasta por el mismo periodo establecido en la presente fracción, cuando a su juicio, la referida prórroga se encuentre debidamente justificada y siempre que el incumplimiento a corregir no ponga en riesgo los recursos financieros o la seguridad de la información de los clientes; la estabilidad financiera u operativa de la institución, o constituya un riesgo potencial a la estabilidad del sistema financiero. = Debido a los requerimientos que pudieran impactar en desarrollos tecnológicos, el plazo es muy corto para poder cumplirse. Solicitamos ampliarlo o en su caso, que se determine con base en el requerimiento y plazo probable de implementación. - TRANSITORIOS, ARTÍCULO SEGUNDO: Las Instituciones contarán con un plazo de 180 días contados a partir de la entrada en vigor del presente instrumento legal para apegarse a lo establecido en el Anexo 58, fracción IV de las presentes disposiciones. = Se solicita un plazo de 24 meses para realizar las adecuaciones técnicas y tecnológicas del Anexo 58 F IV. - SIN CORRELATIVO = Se solicita agregar un Artículo Transitorio que proporcione un plazo de 6 meses para que las Instituciones de Crédito puedan llevar a cabo la actualización, aprobación e implementación de sus políticas relativas a la contratación de servicios o comisiones, en virtud de los cambios establecidos en el anteproyecto.