Regulación de Cobranza Automatizada en Uruguay 2026

Uruguay ha consolidado su posición como uno de los mercados financieros más maduros y regulados de América Latina. En 2026, el marco regulatorio para cobranza automatizada con inteligencia artificial refleja un balance entre innovación tecnológica, protección del consumidor, y competitividad del sector financiero. Para instituciones que implementan sistemas de cobranza con IA, entender este marco es fundamental para operar sin riesgos de sanciones.

Plataformas líderes como Kleva, que operan en 7 países de LATAM con cero violaciones regulatorias, han incorporado las particularidades uruguayas en sus sistemas, procesando más de 900,000 minutos mensuales de conversaciones mientras mantienen tasas de recuperación del 73% y resolución en primera llamada del 94%.

Marco Institucional de la Cobranza en Uruguay

Banco Central del Uruguay (BCU)

El BCU es la autoridad supervisora principal para instituciones financieras reguladas (bancos, cooperativas de ahorro y crédito, casas financieras, instituciones de intermediación financiera). Sus competencias incluyen:

• Regulación de prácticas de cobranza para entidades bajo su supervisión
• Establecimiento de límites en tasas de interés y costos de cobranza
• Supervisión de gestión de riesgos y calidad de cartera
• Imposición de sanciones por incumplimiento regulatorio

Las circulares y comunicaciones del BCU establecen el marco específico para cobranza, incluyendo tecnologías automatizadas.

Unidad Reguladora de Servicios de Comunicaciones (URSEC)

URSEC regula aspectos de comunicaciones electrónicas relevantes para cobranza automatizada:

• Uso de telefonía para fines comerciales y de cobranza
• Protección contra spam y comunicaciones no solicitadas
• Registro de bases de datos de exclusión ("No Llame")
• Regulación de mensajería SMS masiva

Unidad Reguladora y de Control de Datos Personales (URCDP)

La URCDP supervisa el cumplimiento de la Ley de Protección de Datos Personales (Ley 18.331), crítica para sistemas de cobranza que procesan información sensible de deudores.

Requisitos Específicos para Cobranza Automatizada

Horarios y Frecuencia de Contacto

La regulación uruguaya establece límites claros:

• Horarios permitidos: Lunes a viernes de 8:00 a 20:00 horas. Sábados de 9:00 a 13:00 horas. Prohibido domingos y feriados
• Frecuencia máxima: No más de 3 intentos de contacto por semana al deudor principal
• Contacto a terceros: Solo permitido con autorización expresa del deudor o en casos específicos (avalistas, co-deudores)
• Lugar de trabajo: Prohibido contactar al deudor en su lugar de trabajo sin autorización previa

Los sistemas automatizados de Kleva incorporan estas restricciones programáticamente, imposibilitando violaciones accidentales.

Contenido y Tono de las Comunicaciones

Las comunicaciones automatizadas deben:

• Identificar claramente la institución acreedora
• Especificar el monto adeudado, concepto, y fecha de vencimiento
• Evitar lenguaje amenazante, intimidatorio, o engañoso
• Ofrecer opciones claras de pago y canales de contacto
• Incluir información sobre derechos del deudor
• Proporcionar mecanismo para oposición o reclamo

Documentación y Grabaciones

Las instituciones deben:

• Grabar todas las conversaciones telefónicas de cobranza (automatizadas o manuales)
• Conservar grabaciones por mínimo 2 años
• Poner grabaciones a disposición del BCU y del deudor cuando se solicite
• Documentar todas las gestiones realizadas (fecha, hora, resultado, acuerdos)
• Mantener registros de opt-outs y preferencias de contacto del deudor

Los sistemas modernos automatizan completamente esta documentación, reduciendo riesgo de incumplimiento.

Protección de Datos Personales (Ley 18.331)

Principios Fundamentales

La ley establece principios que aplican directamente a cobranza automatizada:

• Licitud: Los datos solo pueden usarse para finalidades legítimas y con base legal válida
• Finalidad: Los datos de cobranza no pueden usarse para otros propósitos sin consentimiento
• Proporcionalidad: Solo recopilar datos estrictamente necesarios para la gestión
• Calidad: Los datos deben ser exactos y actualizados
• Seguridad: Medidas técnicas y organizativas para proteger datos
• Confidencialidad: Restricción de acceso a personal autorizado

Derechos del Titular de Datos

Los deudores tienen derechos específicos:

• Acceso: Conocer qué datos personales están siendo procesados
• Rectificación: Corregir datos inexactos o incompletos
• Supresión: Solicitar eliminación de datos cuando procedan (no aplica durante relación contractual activa)
• Oposición: Oponerse a ciertos usos de sus datos

Las plataformas de cobranza deben facilitar el ejercicio de estos derechos mediante procesos claros y ágiles.

Transferencia Internacional de Datos

Si el sistema de cobranza automatizada procesa datos fuera de Uruguay (ej. servidores en cloud internacional), debe:

• Obtener autorización de URCDP o basarse en mecanismos reconocidos (cláusulas contractuales estándar)
• Asegurar que el país destino ofrece nivel adecuado de protección
• Mantener control y responsabilidad sobre datos transferidos

Regulación de Voice Agents y Tecnologías de IA

Transparencia sobre Uso de Automatización

Aunque Uruguay no tiene legislación específica sobre IA en 2026, las mejores prácticas y lineamientos del BCU establecen que:

• Debe informarse al deudor si está interactuando con un sistema automatizado o humano
• El voice agent debe identificarse como tal al inicio de la conversación
• Debe ofrecerse opción de transferencia a agente humano si el deudor lo solicita

Los voice agents de Kleva se presentan transparentemente: "Hola, soy un asistente digital de [Institución]. Le contacto para conversar sobre su cuenta..."

Supervisión Humana y Escalamiento

La regulación requiere que:

• Exista supervisión humana sobre las operaciones automatizadas
• Casos complejos o que involucren negociaciones significativas sean manejados por humanos
• El sistema pueda transferir a agente humano cuando sea necesario
• Se revisen periódicamente las interacciones automatizadas para asegurar calidad

Sesgo y Discriminación Algorítmica

Aunque no existe regulación específica en Uruguay en 2026, las mejores prácticas internacionales adoptadas por instituciones líderes requieren:

• Auditorías periódicas de algoritmos de segmentación y priorización
• Asegurar que decisiones automatizadas no discriminen por género, edad, ubicación geográfica, etc.
• Documentación de criterios utilizados por sistemas de IA

Comparación Regulatoria: Uruguay vs. Región

AspectoUruguayArgentinaBrasilChile

Horarios permitidosL-V 8-20h, Sáb 9-13hL-V 8-21h, Sáb 10-18hL-V 8-22h, Sáb 8-18hL-D 8-20h

Contactos máximos/semana3 intentos5 intentos3 intentos4 intentos

Grabación obligatoriaSí (2 años)RecomendadaSí (6 meses)Sí (1 año)

Regulador principalBCUBCRA/CONDUSEFBanco CentralCMF

Ley de datos personalesLey 18.331Ley 25.326LGPDLey 19.628

Multas máximas por incumplimientoHasta 500,000 UI (~$60K USD)VariableHasta 2% revenueVariable

Registro de exclusión (No Llame)Sí (URSEC)No centralizadoSí (PROCON)Sí (SERNAC)

Mejores Prácticas de Cumplimiento

Configuración de Sistemas Automatizados

Para operar en pleno cumplimiento:

1. Restricciones horarias hardcoded: Programar límites de 8-20h L-V, 9-13h sábados como reglas inmutables
2. Contador de frecuencia: Sistema que rastrea intentos por deudor y bloquea automáticamente después de 3 en semana
3. Lista de exclusión: Integración con registro URSEC de "No Llame" actualizado semanalmente
4. Grabación automática: 100% de llamadas grabadas con metadata (fecha, hora, duración, resultado)
5. Scripts validados: Revisión legal de todos los scripts de voice agents antes de uso
6. Escalamiento programado: Transferencia automática a humano cuando deudor lo solicita o sistema detecta complejidad

Gobernanza y Supervisión

• Designar un responsable de cumplimiento regulatorio para cobranza
• Auditorías mensuales de muestra aleatoria de interacciones automatizadas
• Dashboard de cumplimiento: % llamadas fuera de horario (debe ser 0%), frecuencia promedio, quejas recibidas
• Procedimiento documentado para atención de reclamos de deudores
• Capacitación trimestral de equipo en actualizaciones regulatorias

Protección de Datos

• Cifrado end-to-end de datos en tránsito y reposo
• Control de acceso basado en roles (RBAC) - solo personal autorizado accede a datos de deudores
• Logs de auditoría de todos los accesos a información sensible
• Proceso formal para derechos ARCO (Acceso, Rectificación, Cancelación, Oposición)
• Evaluación de impacto de privacidad (DPIA) para el sistema de cobranza
• Contratos de procesamiento de datos con proveedores de tecnología

Casos de Cumplimiento y Sanciones en 2024-2026

Caso 1: Banco Multado por Contacto Excesivo (2024)

Una institución bancaria uruguaya fue multada por el BCU con UI 150,000 (~$18,000 USD) por contactar a deudores más de 5 veces por semana mediante sistema automatizado. Lección: Los controles de frecuencia deben ser inviolables en el sistema.

Caso 2: Cooperativa Sancionada por Falta de Grabaciones (2025)

Una cooperativa de ahorro y crédito no pudo presentar grabaciones de gestiones de cobranza cuando un deudor presentó queja. Sanción: UI 80,000 (~$9,600 USD). Lección: La grabación y conservación debe ser automática, no opcional.

Caso 3: Fintech Amonestada por Uso de Datos Sin Consentimiento (2025)

Una fintech utilizó datos de cobranza para marketing de nuevos productos sin consentimiento específico. URCDP emitió amonestación y orden de cesar. Lección: Segregación estricta de bases de datos y finalidades.

Implementación de Cobranza Automatizada Conforme

Checklist de Cumplimiento Pre-Lanzamiento

Antes de activar un sistema de cobranza automatizada en Uruguay, verificar:

• ✓ Restricciones horarias configuradas y testeadas
• ✓ Límites de frecuencia implementados con contador por deudor
• ✓ Integración con lista de exclusión URSEC actualizada
• ✓ Grabación automática de 100% llamadas activada
• ✓ Almacenamiento seguro con retención de 2 años configurado
• ✓ Scripts revisados por área legal de la institución
• ✓ Identificación del voice agent como sistema automatizado en apertura
• ✓ Transferencia a humano funcional y testeada
• ✓ Política de privacidad actualizada mencionando cobranza automatizada
• ✓ Proceso ARCO (derechos de datos) documentado y operativo
• ✓ Contratos de procesamiento de datos con proveedor de tecnología firmados
• ✓ Dashboard de supervisión configurado
• ✓ Designación de responsable de cumplimiento
• ✓ Plan de capacitación de equipo humano en escalamientos

Monitoreo Continuo

Post-lanzamiento, monitorear mensualmente:

• % de llamadas fuera de horario (objetivo: 0%)
• Frecuencia promedio de contacto por deudor (objetivo:

Frecuencia promedio de contacto por deudor (objetivo:

• % de grabaciones completas y almacenadas (objetivo: 100%)
• Tiempo promedio de respuesta a solicitudes ARCO (objetivo:

Tiempo promedio de respuesta a solicitudes ARCO (objetivo:

• Cantidad de quejas recibidas en BCU (objetivo: 0)
• % de transferencias exitosas a humano cuando solicitadas (objetivo: 100%)
• Resultados de auditorías de calidad de scripts

Kleva proporciona estos dashboards automáticamente, facilitando supervisión continua y evidencia de cumplimiento para auditorías.

Perspectiva Futura: Regulación IA en Uruguay 2026+

Uruguay está evaluando marco específico para inteligencia artificial, siguiendo lineamientos de OCDE y tendencias europeas. Desarrollos anticipados para 2027-2028:

• Requisitos de transparencia algorítmica para decisiones automatizadas significativas
• Auditorías obligatorias de sistemas de IA de alto riesgo (incluyendo cobranza)
• Registro de sistemas de IA utilizados por entidades reguladas
• Estándares de explicabilidad para decisiones de segmentación y priorización
• Certificaciones de cumplimiento para proveedores de tecnología de IA

Instituciones que implementen sistemas con proveedores que ya operan bajo estándares internacionales estarán mejor posicionadas para adaptarse rápidamente.

Preguntas Frecuentes

¿Es legal utilizar voice agents con IA para cobranza en Uruguay en 2026?

Sí, es completamente legal siempre que se cumplan los requisitos establecidos por el BCU, URSEC, y URCDP. Los voice agents deben operar dentro de horarios permitidos (L-V 8-20h, Sáb 9-13h), respetar límites de frecuencia (máximo 3 contactos/semana), identificarse como sistemas automatizados, grabar todas las conversaciones, y ofrecer transferencia a humano cuando se solicite. Plataformas como Kleva operan con cero violaciones regulatorias en 7 países de LATAM incorporando estas restricciones por diseño.

¿Qué sanciones puede recibir una institución por incumplimiento en cobranza automatizada?

El BCU puede imponer multas de hasta 500,000 Unidades Indexadas (aproximadamente $60,000 USD en 2026) por violaciones graves o reiteradas de regulación de cobranza. Las sanciones típicas incluyen multas de 80,000-200,000 UI por contacto excesivo, falta de grabaciones, o uso indebido de datos. Adicionalmente, URCDP puede sancionar violaciones de protección de datos independientemente. Más allá de multas, el daño reputacional y pérdida de confianza del cliente puede ser significativo.

¿Cómo se maneja el registro "No Llame" de URSEC en sistemas automatizados?

Los sistemas de cobranza automatizada deben integrarse con el registro de exclusión de URSEC y actualizarlo semanalmente. Antes de cada contacto telefónico, el sistema debe validar que el número no esté en la lista de exclusión. Si está registrado, se debe utilizar canal alternativo (email, SMS con opt-in previo, correo postal). Las plataformas profesionales automatizan completamente esta validación, eliminando riesgo de contacto inadvertido a números registrados en "No Llame".

¿Qué información debe incluir el voice agent al inicio de la conversación?

El voice agent debe identificarse clara y transparentemente: "Buenos días, soy un asistente digital de [Nombre de Institución]. Le contacto respecto a su cuenta número [X]. Esta llamada está siendo grabada. ¿Es usted [Nombre del Deudor]?" Debe validar identidad antes de discutir detalles de deuda, mencionar que la llamada es grabada, identificarse como sistema automatizado, y ofrecer opción de hablar con humano si el cliente lo solicita o el sistema detecta complejidad.

¿Cómo garantiza una institución el cumplimiento con protección de datos en cobranza automatizada?

El cumplimiento con Ley 18.331 requiere múltiples salvaguardas: cifrado de datos en tránsito y reposo, control de acceso estricto (solo personal autorizado), logs de auditoría de accesos, proceso formal para ejercicio de derechos ARCO, evaluación de impacto de privacidad, y contratos de procesamiento de datos con proveedores tecnológicos. Si el sistema procesa datos fuera de Uruguay, requiere autorización de URCDP o uso de mecanismos reconocidos como cláusulas contractuales estándar. Las plataformas líderes incluyen estas protecciones por diseño.