A diversidade regulatória nos Estados Unidos, longe de ser apenas um capítulo a mais da complexidade federativa, escancara as diferentes interpretações sobre o que significa, na prática, proteger dados pessoais no setor de seguros. Hoje, mais da metade dos estados exige que empresas do setor apresentem, anualmente, certificações de conformidade que essencialmente funcionam como declarações formais de que seus programas de segurança da informação estão alinhados com exigências mínimas. A obrigação revela uma tensão conhecida: a autonomia empresarial diante da função social da atividade privada.
Não se trata exclusivamente de um policiamento burocrático. A exigência de tais certificados é consequência direta da adoção, por parte dos estados, do modelo normativo da National Association of Insurance Commissioners (NAIC): o Insurance Data Security Model Law. Inspirado por princípios de governança e accountability, o modelo impõe às seguradoras – assim como aos corretores, agentes e demais profissionais registrados – uma conduta ativa frente a riscos cibernéticos, exigindo a implementação de programas de segurança da informação, planos de resposta a incidentes e supervisão em nível de diretoria.
Desde 2021, o cenário tem se transformado rapidamente. Estados como Connecticut, Illinois e Maryland, entre outros, passaram a integrar esse arcabouço normativo. Curiosamente, mesmo sem adotar formalmente o modelo da NAIC, Nova York impõe uma obrigação análoga, reiterando sua postura histórica de vanguarda regulatória.
Cada estado estabelece prazos distintos para o envio das certificações – variando entre 15 de fevereiro e 15 de abril –, o que transforma a gestão da conformidade em um exercício de mapeamento regulatório contínuo. A multiplicidade de datas e exigências estimula uma reflexão quase inevitável: até que ponto a fragmentação normativa compromete a universalização de direitos fundamentais ligados à proteção de dados?
Um aspecto muitas vezes negligenciado reside no regime de guarda das provas. As entidades obrigadas devem manter registro documental da certificação e de seus fundamentos por pelo menos cinco anos. Essa exigência assume novos contornos quando se compreende que tais documentos não são apenas registros formais, mas manifestações jurídicas que podem servir como prova tanto da diligência quanto da negligência de uma instituição em caso de incidentes futuros.
No fundo, o que se observa é o contorno de uma responsabilidade inédita – não apenas técnica ou empresarial, mas propriamente jurídica e social. A conformidade, nesse contexto, não é mero cumprimento; é afirmação de um compromisso público com a integridade das relações que se estabelecem sob o signo da confiança digital.