Sistema de finanzas abiertas en Uruguay: reseña del anteproyecto de Ley del Banco Central del Uruguay (BCU).

Por

Dra. Sofía Lascano

El BCU en el marco de la Hoja de Ruta del Sistema de Pagos 2026-2030, remitió al Ministerio de Economía y Finanzas (MEF) un anteproyecto de ley para crear el Sistema de Finanzas Abiertas (SFA) en Uruguay.

Su objetivo es modernizar el sistema financiero uruguayo basado en múltiples ejemplos a nivel internacional, a efectos de promover la competencia, la innovación y permitir que los usuarios controlen y compartan sus datos financieros de forma segura y consentida.

‍

¿Qué son las finanzas abiertas?

Las finanzas abiertas constituyen un sistema porque involucran un conjunto organizado de participantes, procesos e infraestructuras tecnológicas que permiten el intercambio seguro de información financiera entre distintas instituciones. Es en este sentido que se define al SFA como:

“infraestructura regulada, interoperable e interconectada que permite, mediante consentimiento previo, expreso e informado del usuario, el acceso, tratamiento, comunicación de datos comprendidos y, cuando corresponda, la iniciación de operaciones a través de interfaces seguras y estandarizadas”.

‍

Objetivos principales y principios rectores.

Con relación a finalidades y cometidos, se establece en lo que sería el artículo 1 del anteproyecto de Ley:

Fortalecer el ejercicio de los derechos de los usuarios sobre sus datos personales vinculados al sistema financiero y al sistema de pagos.

Promover y mejorar la inclusión financiera.

Facilitar el acceso al crédito, especialmente para personas y empresas con escaso historial crediticio.

Fomentar la competencia, la innovación y la calidad puesta en el sistema financiero y de pagos.

Reducir barreras de entrada para nuevos proveedores de servicios financieros.

Por otra parte, en el artículo 2, se agregan como principios:

Consentimiento informado del usuario: previo, libre, expreso, específico y revocable.

Protección de los derechos del usuario: en el tratamiento y la protección de sus datos, y en la información sobre los servicios prestados.

Trato no discriminatorio y libre competencia.

Neutralidad tecnológica: estándares técnicos comunes e inoperables.

Interoperabilidad e interconexión.

Transparencia en las condiciones de acceso y en la prestación de los servicios.

Calidad de los datos: exactos, completos, actualizados, oportunos, adecuados, pertinentes y proporcionales a la finalidad de su tratamiento.

Seguridad y resiliencia: en la protección de la información y la continuidad operativa.

‍

Participantes.

El proyecto define 3 actores y roles principales:

Proveedores de Acceso a Información: instituciones financieras o de pagos que poseen los datos.

Terceros Proveedores de Servicios: empresas que utilizan esos datos para ofrecer servicios financieros o iniciar operaciones.

Usuarios: titulares de los datos y destinatarios de los servicios.

‍

Datos que podrán compartirse.

El SFA comprende los datos que poseen los Proveedores de Acceso a Información en el marco de su actividad financiera o de pagos, incluyendo:

información sobre las condiciones generales de los productos y servicios ofrecidos, como precios, tasas, comisiones y canales de atención;

datos de identificación y conocimiento de los usuarios; y

datos relacionados con los productos o servicios contratados por los usuarios, tales como saldos, movimientos, operaciones y transacciones, incluyendo como mínimo la información de los últimos doce meses. Asimismo, se faculta al BCU a determinar el alcance específico y la incorporación progresiva de estas categorías de datos.

Rol del BCU.

El BCU ejercerá la regulación y fiscalización de las entidades que integren el SFA, y podrá:

Dictar normas generales e instrucciones particulares.

Definir estándares técnicos, operativos y de seguridad.

Registrar y habilitar a los Terceros Proveedores de Servicios.

Aplicar sanciones.

Ejercer la vigilancia del SFA, procurando su seguridad, eficiencia y estabilidad.

Operar componentes comunes de infraestructura cuando lo considere necesario.

‍

Protección de los usuarios.

El proyecto establece que todo acceso a los datos requerirá de su consentimiento previo y que estos podrán otorgar, denegar y revocar en cualquier momento su consentimiento para el uso o comunicación de sus datos en el SFA. Estos mecanismos deberán ser simples y trazables.

El consentimiento deberá incluir, cuando corresponda, el levantamiento expreso del secreto bancario para los datos compartidos.

Asimismo, uno de los aspectos más relevantes es que se prohíbe a terceros almacenar o utilizar las credenciales bancarias de los usuarios (usuario, contraseña, etc.). El acceso deberá realizarse exclusivamente mediante interfaces autorizadas (APIs) del sistema.

‍

Régimen económico.

Se establece un régimen económico del SFA disponiendo que los costos de desarrollo, implementación, operación y mantenimiento de las interfaces sean asumidos por los Proveedores de Acceso a Información.

Asimismo, se prevé que los Terceros Proveedores de Servicios podrán acceder y utilizar dichas interfaces bajo una modalidad gratuita, dentro de determinados parámetros y límites establecidos por la normativa, y una modalidad remunerada cuando se superen esos umbrales.

Además, se dispone que los precios aplicables a la modalidad remunerada deberán ser públicos, objetivos, razonables, equitativos y no discriminatorios, pudiendo el Poder Ejecutivo establecer precios de referencia. El artículo también prohíbe que los Proveedores de Acceso a Información o los Terceros Proveedores de Servicios cobren a los usuarios cargos específicos por el uso de las interfaces del sistema, aunque estos últimos podrán cobrar por los servicios que presten utilizando la información obtenida a través del SFA.

‍

Responsabilidades.

El proyecto establece responsabilidades diferenciadas para cada participante del Sistema de Finanzas Abiertas. Los Proveedores de Acceso a Información deberán garantizar la calidad, exactitud, disponibilidad, continuidad y seguridad de los datos que compartan a través de las interfaces del sistema. Por su parte, los Terceros Proveedores de Servicios solo podrán utilizar los datos para las finalidades expresamente autorizadas por el usuario, debiendo además brindar información clara sobre el uso de los datos y adoptar medidas adecuadas para su protección. Finalmente, como ya se mencionó, los usuarios tendrán el derecho de otorgar, denegar o revocar su consentimiento para el tratamiento y comunicación de sus datos, así como la responsabilidad de resguardar sus credenciales y actuar diligentemente ante cualquier uso no autorizado.

‍

Implementación.

La implementación será gradual. El BCU definirá cronogramas, etapas y fechas para la incorporación progresiva de los participantes y de las distintas funcionalidades del SFA.

‍

Conclusión.

Finalmente, el anteproyecto de SFA impulsado por el BCU otorga y asegura a los usuarios el control de sus datos y uso seguro para acceder a servicios más eficientes, innovadores y competitivos. Además, la iniciativa tiene el potencial de ampliar el acceso al financiamiento, fomentar la inclusión financiera y fortalecer la seguridad y transparencia, beneficiando tanto a personas como a empresas.