Colorado SB21-169

Colorado SB21-169: cumplimiento de IA y ECDIS para aseguradoras

Si su tarificación o suscripción de seguros toca un algoritmo, un modelo predictivo o datos externos del consumidor, Colorado quiere ver sus pruebas. Las aseguradoras de vida ya están bajo la Regulation 10-1-1. Las de automóvil y salud son las siguientes en la fila.

Reservar consulta de cumplimiento

¿Qué es la SB21-169 de Colorado?

Colorado aprobó la SB21-169 en julio de 2021 con el nombre "Protección de los consumidores contra la discriminación injusta en las prácticas de seguros". La ley dice a las aseguradoras que no pueden usar algoritmos, modelos predictivos ni datos externos del consumidor (ECDIS) si el resultado es discriminación injusta contra una clase protegida. Todo lo que viene después de eso, plazos, métodos de pruebas, atestaciones, vive en regulaciones que escribe la Division of Insurance.

Una ley, un despliegue sector por sector. La Regulation 10-1-1 rige los seguros de vida desde noviembre de 2023, y es donde viven las obligaciones centrales del marco de gestión de riesgos y el inventario de modelos. Los seguros de automóvil de pasajeros particulares y los planes de beneficios de salud son los siguientes sectores que caerán bajo reglas específicas, y esa reglamentación está abierta ahora mismo.

Marco de riesgos

Se requiere gobernanza y gestión de riesgos por escrito

Pruebas de sesgo

Pruebas de impacto desigual continuas, no puntuales

Comúnmente se confunde con la más amplia Colorado AI Act (SB24-205) — vea la comparación a continuación.

Quién está cubierto

Aseguradoras de vida (ya en vigor)

Cualquier aseguradora de vida autorizada para operar en Colorado que utilice ECDIS, algoritmos o modelos predictivos en suscripción, tarificación o reclamaciones.

Aseguradoras de automóvil de pasajeros particulares (en reglamentación)

Aseguradoras de automóvil sujetas a normas pendientes que cubren el uso de datos externos, telemática y algoritmos de tarificación.

Planes de beneficios de salud (en reglamentación)

Aseguradoras de salud y planes de beneficios de salud cubiertos por regulaciones próximas dirigidas a los algoritmos utilizados en cobertura, tarificación y reclamaciones.

MGA y TPA

Los agentes generales administradores y los administradores externos (TPA) que operan algoritmos o ECDIS en nombre de las aseguradoras quedan dentro de la responsabilidad de cumplimiento de la aseguradora.

Reaseguradoras que utilizan ECDIS

Las reaseguradoras cuyos modelos o datos influyen en las decisiones de aseguradoras admitidas en Colorado suelen abordarse a través del programa de gobernanza de la aseguradora cedente.

Proveedores de InsurTech

Los proveedores que suministran algoritmos, modelos o ECDIS a aseguradoras de Colorado deben esperar diligencia posterior y obligaciones contractuales vinculadas a SB21-169.

SB21-169 vs SB24-205: ¿cuál es la diferencia?

Dos leyes de Colorado, dos reguladores, dos programas de cumplimiento. Si usted es aseguradora y usa IA en Colorado, le toca cumplir con ambas.

Atributo

SB21-169

SB24-205 (Colorado AI Act)

Nombre completo

Senate Bill 21-169 (Protección de los consumidores contra la discriminación injusta en las prácticas de seguros)

Senate Bill 24-205 (Colorado Artificial Intelligence Act)

Año de promulgación

2021

2024

Alcance sectorial

Únicamente seguros (vida, automóvil, salud, etc.)

Intersectorial (empleo, vivienda, salud, finanzas, educación, ámbito legal)

Regulador

Colorado Division of Insurance (DOI)

Fiscal General de Colorado

Qué cubre

Algoritmos, modelos predictivos y ECDIS utilizados en prácticas de seguros

Sistemas de IA de alto riesgo que toman decisiones consecuentes

Obligación principal

Probar datos y modelos para detectar discriminación injusta; documentar gobernanza y remediación

Gestión de riesgos, evaluaciones de impacto, notificación al consumidor, periodo de subsanación

Fecha de vigencia (actual)

Seguros de vida: 14 de noviembre de 2023. Automóvil/salud: reglamentación en curso 2025-2026

1 de febrero de 2026

¿Qué cuenta como ECDIS?

Si no vino directamente del consumidor, probablemente sea ECDIS. Ahí termina concentrándose la mayor parte del trabajo de cumplimiento.

Datos financieros

Puntuaciones de seguros basadas en crédito
Patrones de transacciones bancarias
Historial de pagos
Datos de líneas de crédito

Datos de estilo de vida y comportamiento

Actividad en redes sociales
Historial de compras del consumidor
Datos de programas de fidelidad
Patrones de navegación web

Datos geográficos

Demografía por sector censal
Características del vecindario
Datos de propiedad y ubicación
Patrones de movilidad

Datos de salud y bienestar

Datos de dispositivos portátiles
Historial de recetas médicas
Membresía a gimnasios y programas de acondicionamiento físico
Participación en programas de bienestar

Cronograma de cumplimiento

Los seguros de vida ya están bajo un marco completo. Los de automóvil y salud se están escribiendo ahora.

14 de noviembre de 2023En vigor

Plazo del marco para seguros de vida

Las aseguradoras de vida deben contar con un marco de gestión de riesgos conforme a la Regulation 10-1-1, que rige el uso de ECDIS, algoritmos y modelos predictivos.

1 de junio de 2024En vigor

Informe de avance de seguros de vida

Primer informe de avance ante la Division of Insurance, documentando la implementación del marco, los resultados de las pruebas y las actividades de remediación.

1 de diciembre de 2024En vigor

Atestación de cumplimiento total

Atestación anual de las aseguradoras de vida certificando el cumplimiento pleno con SB21-169 y sus regulaciones de aplicación. Se repite anualmente en lo sucesivo.

2025-2026En reglamentación

Reglamentación para seguros de automóvil y salud

La DOI de Colorado amplía las regulaciones de SB21-169 a seguros de automóviles particulares y planes de beneficios de salud. La audiencia virtual de reglamentación se celebró el 2 de junio de 2025.

PermanentePermanente

Atestación anual y pruebas continuas

Todas las aseguradoras cubiertas deben realizar pruebas de sesgo de forma continua, mantener la documentación de gobernanza y presentar atestaciones anuales ante la DOI.

Los cuatro pilares del cumplimiento

La Regulation 10-1-1 se apoya en cuatro bloques. Cada atestación anual necesita evidencia de los cuatro.

Gobernanza

Políticas aprobadas por el consejo o la alta dirección, roles documentados y supervisión para cada algoritmo, modelo predictivo y ECDIS utilizado en prácticas de seguros.

Marco de gobernanza por escrito
Supervisión documentada por la alta dirección
Mapeo de roles y responsabilidades
Programa de debida diligencia para proveedores

Gestión de riesgos

Un marco escrito de gestión de riesgos que cubra el ciclo de vida completo de los datos y modelos, desde la adquisición y validación hasta la implementación y la supervisión continua.

Inventario de ECDIS, algoritmos y modelos
Evaluaciones de riesgo del ciclo de vida
Procedimientos de control de cambios y retiro de modelos
Controles de riesgo de terceros y proveedores

Pruebas de discriminación injusta

Pruebas cuantitativas continuas de datos y modelos para detectar discriminación injusta contra clases protegidas, incluyendo raza, color, origen nacional o étnico, religión, sexo, orientación sexual, discapacidad, identidad de género y expresión de género.

Análisis de variables proxy
Pruebas de impacto desigual en clases protegidas
Metodología de prueba documentada
Conjuntos de datos de prueba reproducibles

Informes y remediación

Hallazgos documentados, acciones correctivas cuando se detecte discriminación injusta y atestación anual ante la Division of Insurance.

Documentación escrita de hallazgos
Planes de remediación con responsables y plazos
Presentación de atestaciones anuales
Informes ad-hoc sobre incidencias materiales

Vea cómo luce su informe de auditoría de sesgo

Descargue un informe de muestra de pruebas de sesgo de Colorado SB21-169 generado por VerifyWise.

Descargar muestra (PDF)

Cómo VerifyWise apoya el cumplimiento de SB21-169

Cada pilar se asigna a un módulo de VerifyWise. La gobernanza vive en políticas, los modelos viven en el inventario, las pruebas corren en el motor de auditoría, y la atestación reúne la evidencia.

Requisito de SB21-169

Cobertura de VerifyWise

Documentación del marco de gobernanza

El módulo de políticas captura versiones del marco, aprobaciones e historial de revisiones

Inventario de modelos y ECDIS

Inventario centralizado de sistemas de IA con metadatos de proveedor, fuente de datos y ciclo de vida

Ciclo de vida de gestión de riesgos

Flujos de trabajo de evaluación de riesgos que cubren adquisición, validación, implementación y retiro

Pruebas de sesgo e impacto desigual

Motor configurable de auditoría de sesgo compatible con las clases protegidas de Colorado y agrupaciones personalizadas

Análisis de variables proxy

Flujos de detección de proxy a nivel de característica con pistas de auditoría y aprobación del revisor

Seguimiento de remediación

Módulo de incidentes y acciones correctivas con responsables, plazos y evidencia

Diligencia de proveedores y terceros

Flujos de gestión de proveedores para ECDIS y modelos, con plantillas de cuestionarios

Soporte para atestaciones anuales

Paquetes de atestación con controles, evidencia y aprobaciones con marca de tiempo vinculados

Evidencia y pista de auditoría

Registros de actividad inmutables en modelos, conjuntos de datos, pruebas y aprobaciones

Exportación lista para el regulador

Exportación de informes para presentaciones ante la Division of Insurance y paquetes de auditoría interna

Errores comunes que debe evitar

Son los patrones que seguimos viendo en los programas de seguros de vida. Espere que reaparezcan cuando entren en vigor los de automóvil y salud.

Tratar la SB21-169 como si fuera la SB24-205

Son leyes separadas. Reguladores distintos, plazos distintos, alcances distintos. La SB21-169 es específica de seguros y la aplica la Division of Insurance. La Colorado AI Act (SB24-205) es más amplia y depende del Fiscal General. Si usted es aseguradora en Colorado, le toca cumplir con ambas.

Suponer que solo los datos públicos activan las reglas de ECDIS

ECDIS es más amplio de lo que la mayoría de los equipos cree. Las puntuaciones suministradas por proveedores, los intermediarios de datos y los datos de consorcios entran todos. Las puntuaciones de seguros basadas en crédito están firmemente dentro del alcance, aunque lleven años formando parte de la tarificación.

Confiar en las garantías de 'equidad' del proveedor

El cumplimiento del proveedor no es su cumplimiento. La obligación recae en la aseguradora con licencia en Colorado. Usted necesita sus propias pruebas, su propia documentación y su propia gobernanza, aunque cada modelo de su stack venga de un tercero.

Limitar las pruebas a la raza

La Regulation 10-1-1 cubre un conjunto de clases protegidas más amplio que la mayoría de los programas heredados de pruebas de sesgo. Quedarse en la raza deja brechas en sexo, identidad de género, expresión de género, orientación sexual, discapacidad y origen nacional.

Ejecutar las pruebas una vez y seguir adelante

Esto no es una casilla anual. Los modelos cambian, los datos se desvían y salen versiones nuevas. Cada una de esas cosas es un nuevo evento de prueba contra la misma metodología documentada.

Preguntas frecuentes

Las preguntas que nos llegan de los equipos legales, de cumplimiento y de ciencia de datos de aseguradoras trabajando la SB21-169.