Los productores residentes en Wisconsin deben presentar la certificación anual de ciberseguridad antes del 1 de marzo de 2023.

La seguridad de los datos de información ha sido un tema candente para el sector de los seguros en los últimos años, en particular el desarrollo de programas de seguridad de la información («ISP») por parte de las aseguradoras, los productores y otros titulares de licencias de seguros. Nueva York fue el primer estado en adoptar requisitos de seguridad de los datos de seguros en 2017. Desde entonces, 21 estados, incluido Wisconsin, han adoptado algún tipo de ley de seguridad de los datos de seguros, que en general refleja la Ley Modelo de Seguridad de los Datos de Seguros de la Asociación Nacional de Comisionados de Seguros (la «Ley Modelo»), que también se promulgó en 2017. Además, al menos otras dos jurisdicciones tienen leyes de seguridad de los datos de seguros pendientes a fecha de noviembre de 2022 (Pensilvania y el Distrito de Columbia).

Uno de los requisitos principales de la normativa de Nueva York y de la Ley Modelo es que los titulares de licencias (definidos generalmente como todas las personas con licencia o que deben tenerla en virtud de las leyes de seguros de un estado concreto y que estén domiciliadas en dicho estado) deben crear y aplicar un ISP. En virtud de la Ley Modelo, los ISP deben:

(1) Proteger la seguridad y confidencialidad de la Información no pública y la seguridad del Sistema de información;

(2) Proteger contra cualquier amenaza o peligro para la seguridad o integridad de la Información no pública y el Sistema de información;

(3) Proteger contra el acceso o uso no autorizado de Información no pública y minimizar la probabilidad de daños a cualquier Consumidor; y

(4) Definir y reevaluar periódicamente un calendario para la conservación de la información no pública y un mecanismo para su destrucción cuando ya no sea necesaria.

Sección 4(B) de la Ley Modelo. Los licenciatarios deben diseñar sus ISP de manera acorde con el tamaño, la complejidad, la naturaleza y el alcance de sus actividades aseguradoras. Sección 4(A) de la Ley Modelo.

Exclusivamente en Nueva York, cualquier persona con licencia según la ley de seguros de Nueva York debe certificar anualmente que cumple con los requisitos de ISP de Nueva York. 23 NYCRR 500.17(b). Por otro lado, la Ley Modelo solo exige que las aseguradoras certifiquen el cumplimiento de los requisitos ISP ante el organismo regulador de seguros de su estado. Según la Ley Modelo, otros titulares de licencias, como los productores, no están obligados a realizar ninguna certificación formal. Sección 4(I) de la Ley Modelo.

Wisconsin promulgó recientemente la Ley 73 de Wisconsin de 2021, que adopta un enfoque intermedio en materia de certificación de ISP. En concreto, el artículo 601.952(8) del Estatuto de Wisconsin exige que cualquier titular de licencia domiciliado en Wisconsin presente anualmente, antes del 1 de marzo de cada año, una certificación de cumplimiento de las normas de ISP. Wisconsin adoptó la definición de licenciatarios de la Ley Modelo mencionada anteriormente, que incluye a cualquier persona con licencia o que deba tenerla según el código de seguros de Wisconsin y que esté domiciliada en Wisconsin (incluidas las aseguradoras, los productores, etc.). Wis. Stat. § 601.95(7). Wisconsin es el primer estado, aparte de Nueva York, que exige a los licenciatarios que no son aseguradoras que certifiquen el cumplimiento de la ISP.

The Wisconsin Office of the Commissioner of Insurance (OCI) has provided some guidance regarding the annual ISP certification on their website. OCI’s website clarifies that: (1) insurers will complete their certification as part of the insurer’s annual financial submissions; (2) intermediary firms (i.e., business entity producers) must submit the certification form online</a>; and (3) individual producers are not required to submit a certification form based on the presumption that individuals meet the “fewer than 50 employees” exemption under Wis. Stat. § 601.952(9)(a)(3).

Las empresas intermediarias domiciliadas en Wisconsin pueden estar exentas de la certificación anual de ciberseguridad si cumplen alguno de los siguientes criterios: (1) tienen menos de 10 millones de dólares en activos totales al cierre del ejercicio; (2) tienen menos de 5 millones de dólares en ingresos brutos anuales; o (3) tienen menos de 50 empleados (incluidos los contratistas independientes) que trabajan al menos 30 horas semanales para el titular de la licencia. Wis. Stat. § 601.952(9)(a). Las empresas intermediarias domiciliadas en Wisconsin también pueden estar exentas de los requisitos de certificación y, en general, de las leyes de seguridad de datos de seguros de Wisconsin, si la empresa mantiene un ISP en relación con los requisitos de la FINRA, los requisitos de la Farm Credit Administration o la HIPAA. Wis. Stat. § 601.951(2).

Sin embargo, todas las empresas intermediarias exentas siguen estando obligadas a obtener la certificación de ciberseguridad descrita anteriormente antes del 1 de marzo de 2023. Según la OCI, la empresa podrá solicitar las exenciones aplicables a su actividad al presentar el formulario en línea. La OCI aún no ha decidido si exigirá a dichas empresas exentas que certifiquen anualmente su exención.

Por consiguiente, se recomienda a las empresas intermediarias con domicilio en Wisconsin que consulten con un asesor regulador para revisar las necesidades específicas de la empresa en materia de ISP y los requisitos de certificación relacionados.