BANCO CENTRAL DEL URUGUAY DIRECTORIO DEL BANCO CENTRAL DEL URUGUAY ANTEPROYECTO DE LEY PARA LA CREACIÓN DEL SISTEMA DE FINANZAS ABIERTAS
· 18 minutos de lectura
Días atrás el Directorio del Banco Central del Uruguay (“Directorio”) resolvió remitir un Anteproyecto de Ley para la creación del Sistema de Finanzas Abiertas (el “Anteproyecto”). Este ante proyecto ha sido incorporado al proyecto de Ley de Competitividad y Reducción del costo de vida publicado recientemente por el Ministerio de Económica y Finanzas (“MEF”)
El Banco Central del Uruguay (en adelante “BCU”) ha trabajado en materia de Finanzas Abiertas desde el año 2020. En agosto de 2024 publicó el documento "Hacia un ecosistema de Finanzas Abiertas en Uruguay", elaborado por su Oficina de Innovación (NOVA-BCU). Se trata de un documento conceptual, pensado para abrir una instancia de consulta con la industria, donde ya se planteaban los elementos centrales del sistema propuesto: los tres tipos de participantes (Proveedores de Acceso a Información, Terceros Proveedores de Servicios y Usuarios Financieros), las reglas básicas de consentimiento basadas en la Ley N° 18.331, y un esquema de gobernanza liderado por el BCU junto con la industria.
El 5 de junio de 2026, el Directorio del BCU, mediante la Resolución R.N° P-2-2026, resolvió remitir al MEF un anteproyecto de ley para la creación del Sistema de Finanzas Abiertas. La propia Exposición de Motivos de ese anteproyecto reconoce al documento de 2024 como "un insumo fundamental" que le da sustento. Si bien el documento de 2024 no tiene valor normativo, sigue siendo útil para entender el porqué de varias soluciones que el anteproyecto adopta.
El Anteproyecto enviado por el BCU fue incluido por el MEF en el Proyecto de Ley de Competitividad y Reducción del Costo de Vida (el “Proyecto”) en el Capítulo 4 - Innovación y aceleración de la inversión - Sección 4.2.3 Fianzas Abiertas
En el presente documento resumiremos el régimen que se proyecta para las Finanzas Abiertas en Uruguay.
Como ya fue mencionado el Anteproyecto retomó la estructura que ya se preveía en 2024, los mismos tres tipos de participantes, la misma lógica de consentimiento informado, pero ahora con el fin de definir la forma de funcionamiento del sistema mediante una ley específica. Se determina quienes son los sujetos que debe registrarse ante el BCU, cómo funciona el consentimiento y su revocación, qué pasa con el secreto bancario, cómo se cobran las interfaces (con un tramo gratuito y otro remunerado, ya con cifras concretas) y quién responde frente al usuario cuando algo falla. Las mismas pautas son recogidas en el proyecto de Ley que seguidamente analizaremos.
El diseño de las finanzas abiertas nace como respuesta a una falla en el uso de la información en el sistema financiero. En la actualidad, al menos en países como el nuestro en donde las finanzas abiertas son aún un proyecto, la información generada a partir del consumo de productos y servicios financieros se encuentra compartimentada, bajo la custodia de los diferentes participantes del sistema.
Dada la expansión tecnológica y la masificación de la utilización de los canales digitales se ha generado un volumen de información crediticia y de pagos respecto de la conducta de los usuarios de un enorme valor estratégico. Sin embargo, el hecho de que dicha información se encuentre alojada en compartimentos estancos produce ineficiencias sobre el análisis que con ella se puede realizar.
En concreto, las entidades del sistema financiero cuentan con información parcelada sobre los usuarios lo que determina en muchos casos una calificación errónea de la capacidad de crédito de este. En otros casos la huella financiera del usuario ya no es representativa de su situación actual, lo que lleva a que la institución financiera no avance en el otorgamiento del producto y que por su parte el usuario no pueda tener acceso al mismo. Por otra parte, los productos financieros y de pagos se encuentran diseñados, en parte, en base a esa información parcial lo cual determina la existencia de un menú de productos limitado y que en muchos casos no se adapta a la capacidad real del consumidor.
Todo ello determina, por un lado, la fuga de esos usuarios a medios informales de acceso al crédito, y por el otro, restricciones para las instituciones en la oferta de productos y servicios financieros. En particular como se señala en la Resolución P-2-2026, estas condiciones contribuyen a la baja profundidad del crédito en el sector privado y la permanencia de las restricciones para el acceso al financiamiento de pequeñas y medianas empresas.
Con el afán de que el acceso a la información financiera sea un insumo que habilite la innovación en la oferta de productos y servicios, así como el acercamiento de consumidores al sistema financiero formal es que se ha trabajado en el diseño de una infraestructura interoperable de información con base legal que permita el aprovechamiento de esos datos para la generación de productos altamente personalizados. La utilización de esta información impacta además en la gestión de los riesgos operativos, sistémicos y de ciberseguridad que enfrentan las instituciones y abre posibilidades para la prestación de servicios nuevos tales como la iniciación de pagos.
El sistema de Finanzas Abiertas quedará bajo la gobernanza del Banco Central del Uruguay el cual tendrá competencia para regular, supervisar y vigilar el nuevo sistema. Todo lo cual se realizará en base a la consideración de los principios de “previo consentimiento informado”, “protección de los derechos de los usuarios”, “trato no discriminatorio”, “libre competencia”, “neutralidad tecnológica”, “interoperabilidad e interconexión”, “transparencia”, “seguridad” y “resiliencia”. Teniendo en cuenta que el funcionamiento de las Finanzas Abiertas tiene como pilar fundamental la distribución de información financiera de los consumidores, el proyecto establece una base legal fuertemente vinculada a la protección de los datos personales, es decir, a la Ley N° 18.331. Esto lleva a que la implementación del sistema implicará la consulta permanente de las disposiciones de lo que será la nueva Ley de Competitividad así como de la Ley de Protección de Datos Personales.
Desde el punto de vista de su contenido concreto, el Sistema implica fundamentalmente tres cosas, que el informe desarrollará en detalle más adelante: la habilitación de nuevos actores para acceder a datos que hoy están en poder de las entidades financieras tradicionales; la imposición a estas últimas de la obligación de construir y mantener interfaces estandarizadas para permitir ese acceso; y la creación de un marco de consentimiento, gobernanza y responsabilidad que busca que ese intercambio de información sea seguro, trazable y reversible para el usuario.
Cabe señalar que tanto el documento de 2024 como la Exposición de Motivos de 2026 insisten en que las Finanzas Abiertas no son un fin en sí mismo, sino una infraestructura habilitante: el valor del sistema dependerá de que efectivamente surjan productos y servicios que los usuarios consideren útiles, y de que el ecosistema logre sostenerse en el tiempo bajo condiciones de competencia leal entre todos los participantes.
El Proyecto identifica tres roles dentro del Sistema de Finanzas Abiertas: los Proveedores de Acceso a Información, los Terceros Proveedores de Servicios y los Usuarios. Sin perjuicio de esto, el mismo Proyecto en el Artículo 189 deja abierta la posibilidad a que el BCU incorpore otros participantes o roles adicionales por vía reglamentaria, según la evolución del sistema.
Inicialmente los participantes del Sistema serán,
· Proveedores de Acceso a Información (“PAI”). Son los sujetos regulados y supervisados por el BCU que, en el marco de su actividad financiera o de pagos, tratan o almacenan los datos comprendidos en el Sistema de Finanzas Abiertas. En la práctica, son las entidades que se encuentran en el perímetro del BCU por la naturaleza financiera o de pagos de su actividad y que a raíz de esta mantienen información de sus clientes.
Su rol principal es desarrollar, poner a disposición y mantener interfaces interoperables y seguras para que los demás participantes puedan acceder a esa información o iniciar operaciones, siempre dentro del consentimiento otorgado por el usuario. También están a cargo de verificar y conservar la trazabilidad de ese consentimiento, asegurar que los datos que entregan sean fieles y estén actualizados, así como garantizar la continuidad del servicio.
· Terceros Proveedores de Servicios (“TPS”). Son las instituciones que, usando las interfaces que ponen a disposición los PAI, prestan a los usuarios servicios basados en esos datos, o servicios de iniciación de operaciones, tal como indica el Artículo 191 del Proyecto. Los TPS pueden prestar servicios basados en el acceso, tratamiento o utilización de datos comprendidos, mediante el uso de las interfaces provistas por los PAI, pudiendo solicitar, recibir, escribir o modificar datos e iniciar operaciones.
Entre sus obligaciones están pedir el consentimiento de forma clara y limitada a lo necesario, usar los datos solo para la finalidad autorizada y atender los reclamos de los usuarios.
· Usuarios. Son los titulares de los datos personales comprendidos en el sistema y los destinatarios de los servicios que se presten en su marco. Su intervención se centra en otorgar, denegar o revocar el consentimiento en cualquier momento, sin necesidad de justificar el motivo y sin costo, incluyendo, en caso de corresponda, el levantamiento del secreto bancario o profesional que ampare sus datos. A cambio, tienen el deber de usar los servicios de forma diligente, resguardar sus credenciales y dar aviso inmediato si detectan un uso no autorizado de éstas.
Un aspecto que merece destacarse, si bien no surge del articulado del Anteporyecto y tampoco fue incorporado en el Proyecto, pero que se encentra en la Exposición de Motivos del Anteproyecto[SA1] [JC2] , es que el BCU contempla expresamente la posibilidad de que un mismo participante actúe simultáneamente como PAI y como TPS. El Proyecto [SA3] [JC4] en sí no regula esa doble calidad ni prevé recaudos específicos para ese supuesto (por ejemplo, en materia de segregación de funciones o de prevención de ventajas competitivas frente a otros TPS); se trata de una directriz política que, en caso de concretarse, quedaría sujeta a lo que defina la reglamentación del BCU.
· Responsabilidades los participantes
Proveedores de Acceso a Información
o Desarrollar, poner a disposición y mantener interfaces interoperables, seguras y no discriminatorias, asumiendo las inversiones necesarias.
o Verificar, registrar y conservar la trazabilidad del consentimiento del usuario (y del levantamiento del secreto, cuando corresponda).
o Asegurar la fidelidad, veracidad y actualización de los datos que proveen.
o Garantizar calidad, integridad, disponibilidad y continuidad del servicio; responder por los perjuicios derivados de errores o incumplimientos propios.
o Brindar apoyo técnico y documentación a los demás participantes.
o Implementar medidas de seguridad de la información y ciberseguridad.
o No obstaculizar ni discriminar el acceso de los TPS habilitados.
o Mantener la responsabilidad frente al usuario y al regulador aun si tercerizan servicios vinculados.
Terceros Proveedores de Servicios
o Solicitar el consentimiento del usuario de forma clara y limitada a lo necesario para el servicio ofrecido.
o Tratar y comunicar los datos exclusivamente para las finalidades autorizadas.
o Informar claramente sobre el servicio, los riesgos y los mecanismos de revocación.
o Implementar medidas de seguridad, confidencialidad y continuidad operativa.
o Garantizar calidad, integridad, disponibilidad y continuidad del servicio; responder por los perjuicios derivados de errores o incumplimientos propios.
o Atender consultas y reclamos de los usuarios.
o No obstaculizar ni discriminar el acceso de otros participantes que corresponda.
Usuarios
o Otorgar, denegar o revocar su consentimiento en cualquier momento, incluyendo el levantamiento del secreto cuando corresponda.
o Utilizar los servicios de manera diligente y resguardar sus credenciales.
o Comunicar de forma inmediata cualquier uso no autorizado de sus credenciales, al PAI o al TPS según quién las haya emitido.
[SA1]ver como trasladamos esta referencia dado que ahora el art está enfocado desde el Proyecto
[JC2]Creo que diciendo que no esta ni en el Proyecto ni en el Anteproyecto queda bien, porque que esto sucede eventualmente va a depender de lo que reglamente el BCU, que es lo que se dice al final del párrafo
[SA3]El Proyecto?
[JC4]El proyecto si
El consentimiento es la piedra angular sobre la que se construye todo el Sistema de Finanzas Abiertas. El Artículo 193 del Proyecto exige, en todos los casos, el consentimiento previo, expreso e informado del Usuario titular de los datos para que estos sean tratados o comunicados en el marco del sistema, remitiéndose expresamente a los principios y disposiciones de la Ley N° 18.331.
La norma proyectada agrega un recaudo adicional cuando los datos a los que se accede están amparados por el secreto bancario, profesional u otros deberes legales de confidencialidad, en estos casos, el consentimiento debe ir acompañado del levantamiento expreso del deber de secreto por parte del titular, y ese levantamiento solo produce efectos respecto de los datos, finalidades y participantes efectivamente comprendidos en el consentimiento otorgado. Esto implica que, consentir el acceso a la información no equivale, por sí solo, a renunciar al secreto bancario en términos generales.
El Artículo 193 también prevé que el consentimiento pueda comprender tanto el acceso en modalidad de lectura como de escritura, lo cual implica habilitar que un TPS no solo consulte información, sino que también inicie operaciones en nombre del usuario, siempre que este haya sido informado de forma clara y adecuada sobre los efectos y riesgos que ello conlleva. La reglamentación de los mecanismos concretos para otorgar, gestionar, acreditar y trazar el consentimiento, así como los estándares mínimos de información a brindar al usuario, queda a cargo del BCU.
En cuanto a la revocación, el Artículo 194 establece que el Usuario puede revocar el consentimiento en cualquier momento, sin necesidad de expresar causa y sin costo alguno. A partir de ese momento debe cesar de forma inmediata todo tratamiento o comunicación de los datos alcanzados por la revocación, sin perjuicio de las obligaciones legales o reglamentarias de conservación de información que puedan corresponder. El BCU deberá reglamentar mecanismos de revocación que sean simples, accesibles y equivalentes a los utilizados para otorgar el consentimiento, de modo que la revocación no resulte más engorrosa que el otorgamiento del consentimiento.
El Proyecto reúne las reglas operativas que hacen posible que el Sistema de Finanzas Abiertas funcione en la práctica: gobernanza, interoperabilidad, interfaces, prohibición de uso de credenciales y régimen económico.
· En materia de gobernanza, el Artículo 195 prevé por un modelo liderado por el BCU, a quien corresponde establecer las reglas de funcionamiento del sistema y los mecanismos de coordinación entre los participantes. El BCU puede propiciar instancias de colaboración con los participantes y con otros actores públicos y privados, pero esas instancias son de consulta y coordinación, sin carácter vinculante.
· La interoperabilidad se erige como un atributo esencial y exigible del sistema previsto en el Articulo 196. Los participantes deben adoptar las medidas necesarias para garantizarla, conforme a los estándares que fije el BCU, y dentro del alcance del consentimiento otorgado por el usuario. La norma es categórica en cuanto a sus límites, ni los PAI ni los TPS pueden establecer restricciones u obstáculos que impidan al usuario compartir sus datos o iniciar operaciones con cualquier participante, y tampoco pueden fijar condiciones técnicas, operativas, contractuales o económicas que generen un trato discriminatorio entre participantes o que favorezcan, directa o indirectamente, servicios propios o de terceros vinculados. En el ámbito del Sistema de Pagos, se remite además a lo dispuesto por el artículo 14 de la Ley N° 18.910 sobre la regulación de la interoperabilidad en el sistema por parte del BCU.
· Las interfaces, tal como establece el Artículo 197 son los medios técnicos que permiten la conexión entre participantes y la comunicación segura de datos, instrucciones u órdenes. Los PAI deben desarrollarlas, implementarlas, operarlas y mantenerlas, mientras que el BCU establece los estándares técnicos, operativos, funcionales y de seguridad aplicables, incluyendo aspectos como autenticación, autorización, disponibilidad y continuidad. En este punto el Anteproyecto recoge una preocupación que ya estaba presente en el documento de 2024 respecto de la necesidad de estandarización para lograr un desarrollo uniforme entre todos los participantes.
· Un punto especialmente sensible es la prohibición de uso de credenciales y de mecanismos de acceso no autorizados, quedando prohibido que terceros usen, almacenen o traten de forma automatizada las credenciales de autenticación de los usuarios para acceder a los canales digitales de las instituciones reguladas por el BCU; el acceso, la comunicación de datos y la iniciación de operaciones deben realizarse exclusivamente a través de las interfaces habilitadas. Esto apunta directamente a impedir prácticas como el screen scraping, que el documento de 2024 ya identificaba como un método alternativo no aceptado, previéndolo solo como solución temporal y bajo ciertas condiciones.
· El Proyecto establece un régimen económico que combina una modalidad gratuita y una modalidad remunerada de acceso a las interfaces. Además de las modalidades, el articulo 199 del Proyecto establece que los costos de desarrollo, implementación y mantenimiento de las interfaces corren por cuenta de los PAI, como parte de su actividad regulada.
En ningún caso se puede trasladar al usuario un cargo específico por el uso de las interfaces, sin perjuicio de los cargos que el TPS cobre por sus propios servicios.
· Finalmente, el artículo 203 contempla la interoperabilidad del Sistema con sistemas de intercambio de datos del sector público. La norma habilita al BCU a promover y coordinar, junto con los organismos competentes, la interoperabilidad del Sistema de Finanzas Abiertas con los sistemas o mecanismos institucionales de intercambio de datos e información del sector público. Se trata de una facultad de coordinación interinstitucional, y su ejercicio efectivo queda sujeto a los acuerdos que el BCU logre con esos organismos. En todo caso, el acceso a datos o información en el marco de esa interoperabilidad sigue exigiendo el consentimiento previo, expreso e informado del usuario, y se rige por la normativa aplicable y por las condiciones propias de cada sistema o mecanismo institucional involucrado.
El artículo 204 del Proyecto deja la implementación del Sistema en manos del BCU, sin fijar plazos en el propio texto legal. Es el BCU quien debe establecer las etapas, plazos y fechas límite para la incorporación progresiva de los Proveedores de Acceso a Información, pudiendo fijar cronogramas y condiciones diferenciadas según el tipo de participante. Se trata, en definitiva, de una implementación gradual cuyo ritmo concreto queda diferido a la reglamentación.
Esta lógica de gradualidad ya estaba presente en el documento de 2024, que proponía un ciclo de cuatro etapas (análisis, diseño, implementación y mantenimiento) pensado para repetirse a medida que el sistema fuera incorporando nuevos datos, servicios y participantes. El anteproyecto no reproduce ese esquema en el articulado, pero recoge la misma idea de fondo: avanzar por fases antes que pretender una puesta en marcha simultánea de todo el sistema.