Si la vostra empresa ha utilitzat els últims divuit mesos per crear un programa de compliment de la Llei d'IA de Colorado basat en polítiques de gestió de riscos, avaluacions d'impacte anuals i obligacions de deure de diligència contra la discriminació algorítmica, les regles acaben de canviar. El 14 de maig de 2026, el governador de Colorado, Jared Polis, va signar el Projecte de Llei del Senat 26-189 (SB 26-189), que va derogar i substituir la Llei d'IA de Colorado original abans que les seves obligacions principals entressin en vigor. El nou marc elimina l'estàndard del deure de diligència, el requisit del programa formal de gestió de riscos i el mandat d'avaluació d'impacte anual. En el seu lloc s'estableix un règim de transparència més estret construït al voltant d'avisos previs a l'ús, notificacions posteriors a resultats adversos i un petit conjunt de drets dels consumidors vinculats a la "tecnologia de presa de decisions automatitzada coberta".
Per als fundadors, líders de recursos humans, prestadors, asseguradors, administradors sanitaris, arrendadors i operadors de SaaS que han estat invertint en consultoria sota el marc original de la SB 24-205, la reacció natural és el relleu. Aquest relleu ha de ser moderat. La nova llei encara imposa obligacions reals a empreses de gairebé qualsevol mida, continua creant riscos d'execució per part del Fiscal General de Colorado i encara requereix identificar on la tecnologia de presa de decisions automatitzada intervé en decisions transcendentals de les vostres operacions. La càrrega de compliment és més lleugera, però no és nul·la, i la data d'entrada en vigor de l'1 de gener de 2027 arriba més ràpid del que la majoria d'equips esperen un cop es tenen en compte els cicles pressupostaris i les renegociacions amb proveïdors.
Aquesta guia repassa què ha canviat, què s'ha mantingut, qui està dins de l'àmbit d'aplicació, què heu de fer específicament abans de l'1 de gener de 2027 i com coordinar les obligacions de Colorado amb el mosaic d'altres normatives d'IA estatals i federals que ara afecten les empreses que operen en múltiples jurisdiccions.
Què ha passat amb la llei d'IA de Colorado original
La llei d'IA de Colorado original, codificada com a SB 24-205, es va signar el maig de 2024 i estava previst que entrés en vigor l'1 de febrer de 2026. Va ser la primera llei estatal integral d'IA als Estats Units i es va modelar lliurement segons l'enfocament per nivells de risc de la Llei d'IA de la Unió Europea. El marc original va rebre crítiques sostingudes d'empreses tecnològiques, grups empresarials i legisladors bipartidistes que argumentaven que castigaria la innovació estatal, imposaria costos desproporcionats al risc real de discriminació algorítmica i obligaria les petites empreses a crear programes de governança comparables als de les institucions financeres regulades.
Durant la sessió legislativa de 2025, l'Assemblea General va ampliar la data d'entrada en vigor de l'1 de febrer de 2026 al 30 de juny de 2026 per donar temps als legisladors a revisar l'estatut. El maig de 2026, es va aprovar i signar la SB 26-189, derogant la llei original i substituint-la per un marc substancialment més estret que entra en vigor l'1 de gener de 2027. El Fiscal General de Colorado ha de completar la reglamentació d'implementació abans d'aquella mateixa data, i l'oficina ha indicat que l'execució no començarà fins que la reglamentació estigui enllestida i les empreses hagin tingut una oportunitat raonable d'adaptar-s'hi.
El resultat pràctic per al vostre equip de compliment: qualsevol documentació, paquets de diligència deguda de proveïdors o plantilles d'avaluació d'impacte que hagueu creat segons el marc de la SB 24-205 encara tenen valor com a base, però cal recalibrar-los segons les obligacions de la SB 26-189 en lloc de l'estàndard de deure de diligència original.
Què s'ha mantingut i què ha desaparegut
Entendre la diferència entre l'antiga i la nova llei és important perquè els consultors i proveïdors encara venen marcs de la SB 24-205. Aquí teniu el que ha desaparegut, el que és nou i el que ha sobreviscut.
Eliminat de la llei original:
- El deure de diligència raonable per protegir els consumidors de la discriminació algorítmica.
- El requisit d'un programa i una política formal de gestió de riscos.
- El mandat d'avaluació d'impacte anual que cobria la finalitat, les dades d'entrada, la mitigació, el seguiment i el risc de discriminació.
- L'obligació de detecció i divulgació en un termini de 90 dies vinculada a la discriminació algorítmica descoberta.
- El marc d'exempció per a petits implementadors amb la seva prova de quatre punts (això s'ha reestructurat, no s'ha preservat literalment).
Novetats sota la SB 26-189:
- Un àmbit d'aplicació més estret centrat en la "tecnologia de presa de decisions automatitzada coberta" en lloc del "sistema d'intel·ligència artificial d'alt risc".
- Un marc d'avisos en dos passos: avisos previs a l'ús abans del desplegament en una decisió transcendental, més una notificació posterior al resultat advers en un termini de 30 dies.
- Un dret dels consumidors a accedir i corregir les dades personals utilitzades per la ADMT coberta.
- Un dret a sol·licitar una revisió humana significativa de les decisions transcendentals, quan sigui tècnicament factible.
- Un requisit d'accessibilitat segons el qual tots els avisos han d'arribar als consumidors amb discapacitat i amb competència limitada en anglès.
- Un port segur que permet als implementadors satisfer l'avís previ a l'ús mitjançant una publicació pública destacada i raonablement propera a la interacció amb el consumidor.
S'ha mantingut en essència:
- La llista de categories de decisions transcendentals: educació, ocupació, serveis financers o de préstec, serveis governamentals essencials, serveis de salut, habitatge, assegurances i serveis legals.
- Execució exclusiva pel Fiscal General de Colorado sense dret d'acció privada.
- Tractament de les infraccions com a pràctiques comercials enganyoses sota la Llei de Protecció del Consumidor de Colorado.
- La distinció general entre desenvolupadors (que construeixen o modifiquen substancialment la ADMT) i implementadors (que la utilitzen per prendre decisions transcendentals sobre els consumidors de Colorado).
A qui s'aplica
La nova llei s'aplica a qualsevol desenvolupador o implementador de tecnologia de presa de decisions automatitzada (ADMT) regulada que prengui o influeixi materialment en decisions transcendents sobre els consumidors de Colorado. La geografia es determina per la residència del consumidor, no per la ubicació de la vostra empresa, de manera que una empresa SaaS "remote-first" amb seu a Austin o una empresa de selecció de personal de Nova York que col·loqui candidats amb ocupadors de Colorado entra plenament en l'àmbit d'aplicació.
Una decisió transcendent segons la SB 26-189 és qualsevol decisió que tingui un efecte jurídic material o significatiu similar en la prestació, denegació, cost o condicions dels serveis en vuit categories: inscripció o oportunitats educatives, ocupació o oportunitats laborals, serveis financers o de préstec, un servei governamental essencial, serveis sanitaris, habitatge, assegurances o serveis jurídics. La llista recull la majoria de les decisions d'alt risc que les petites i mitjanes empreses prenen sobre les persones cada dia.
Exemples reals de casos d'ús regulats inclouen eines de filtratge de currículums que puntuen els sol·licitants de feina, models de subscripció de crèdit que aproven o deneguen préstecs, motors de fixació de preus d'assegurances que estableixen primes, eines de selecció de llogaters que filtren els sol·licitants de lloguer, suport a la decisió clínica que afecta quins pacients es programen o es deriven, tutors d'IA o eines d'admissió utilitzades per proveïdors d'educació en línia, i eines de recepció o triatge en clíniques d'assistència jurídica o llocs web de despatxos d'advocats. Els xatbots de servei al client, la personalització de màrqueting, les eines de productivitat interna i la IA generativa utilitzada per a la redacció de continguts generalment queden fora de l'àmbit d'aplicació, a menys que influeixin materialment en una de les decisions transcendents enumerades.
L'obligació d'avís previ a l'ús
Abans que un implementador utilitzi una ADMT regulada per influir materialment en una decisió transcendent, l'implementador ha de donar al consumidor un avís clar i visible que s'està utilitzant o s'utilitzarà una ADMT. L'avís ha de descriure en llenguatge planer la finalitat del sistema, el tipus de decisió transcendent en què intervé i com el consumidor pot exercir els drets concedits per l'estatut.
La clàusula de salvaguarda (safe harbor) és important en aquest punt. En lloc de presentar un avís individualitzat en el moment de cada interacció, la llei permet satisfer aquesta obligació mitjançant una publicació pública destacada i raonablement accessible en els punts d'interacció amb el consumidor. A la pràctica, això significa que una pàgina de divulgació d'IA clarament enllaçada al vostre portal de sol·licituds, al flux de recepció de préstecs, a la pàgina de destinació de selecció de llogaters o al portal d'incorporació de pacients generalment serà suficient, sempre que l'enllaç estigui visualment pròxim a la transacció rellevant i el llenguatge de la divulgació estigui escrit per a un lector no expert.
Tres errors de redacció a evitar. Primer, no amagueu la divulgació en una política de privadesa genèrica; l'estatut exigeix que estigui raonablement pròxima a la transacció rellevant. Segon, no confieu en argot industrial com "tecnologia de presa de decisions automatitzada" o "ADMT" sense traduir-lo; el requisit d'accessibilitat inclou l'accessibilitat cognitiva i lingüística, no només la compatibilitat amb lectors de pantalla. Tercer, no escriviu avisos que ignorin el paper de la IA en la decisió; un llenguatge vague com "podem utilitzar tecnologia per ajudar-nos" no satisfarà un estàndard de llenguatge planer que sobrevisqui a l'escrutini del Fiscal General.
La divulgació de resultats adversos en 30 dies
Quan una ADMT regulada influeix materialment en una decisió transcendent que resulta en un resultat advers per al consumidor, l'implementador ha de proporcionar una descripció en llenguatge planer del paper de l'ADMT en un termini de 30 dies des de la decisió. Un resultat advers inclou la denegació d'una sol·licitud, la finalització d'un servei existent, uns preus materialment menys favorables o qualsevol decisió que redueixi un benefici que el consumidor rebria d'una altra manera.
La divulgació no requereix revelar secrets comercials, pesos del model o algoritmes propietaris. El que sí que requereix és una descripció que un consumidor raonable pugui entendre sobre què ha considerat el sistema, quin paper ha tingut en la decisió, quines categories de dades personals ha processat i com pot el consumidor exercir els seus drets d'accés, correcció i revisió humana. Es permet la variació del contingut segons el sector, de manera que la divulgació d'accions adverses d'un prestador es pot basar en els formats d'avís existents de la Regulació B de la Llei d'Igualtat d'Oportunitats de Crèdit, i la divulgació d'un implementador sanitari pot basar-se en les normes existents de comunicació amb els pacients.
Coordineu això amb les obligacions de divulgació federals adjacents en lloc de tractar-ho com una via paral·lela. Si ja esteu enviant un avís d'acció adversa de la Llei d'Informació Creditícia Justa, un avís d'acció presa de la Llei d'Igualtat d'Oportunitats de Crèdit o una comunicació que compleixi amb la HIPAA, amplieu l'avís existent en lloc de crear una carta redundant específica per a Colorado. El termini de 30 dies sota la SB 26-189 és generalment compatible amb el cronograma d'aquests avisos federals, tot i que hauríeu de mapejar els terminis cas per cas perquè existeixen excepcions.
Drets dels consumidors d'accés, correcció i revisió humana
El nou marc estableix tres drets dels consumidors. Els consumidors poden sol·licitar l'accés a les dades personals que l'ADMT regulada ha processat sobre ells. Els consumidors poden sol·licitar la correcció de dades personals inexactes. I els consumidors poden sol·licitar una revisió humana significativa de la decisió transcendent quan sigui tècnicament viable.
Els drets d'accés i correcció coincideixen substancialment amb els drets que ja existeixen sota la Llei de Privadesa de Colorado (CPA) per a les dades personals en general. Operativament, l'enfocament més net és ampliar el flux de treball de sol·licitud de dades de la CPA existent per gestionar les sol·licituds específiques d'ADMT, en lloc de crear un canal de recepció independent. Mapegeu quins sistemes contenen quines categories de dades personals utilitzades en l'ADMT, formeu el vostre equip de recepció de privadesa o RRHH sobre les noves categories i documenteu els vostres terminis de resposta.
El dret a la revisió humana és la qüestió de compliment més interessant. L'estatut exigeix una revisió humana significativa quan sigui tècnicament viable, la qual cosa no és el mateix que una validació automàtica humana del resultat algorítmic. Una revisió significativa normalment requereix que una persona amb autoritat per anul·lar la decisió examini realment les circumstàncies del consumidor, consideri informació més enllà de la puntuació algorítmica i tingui la capacitat pràctica d'arribar a una conclusió diferent. El matís de "tècnicament viable" excusa els casos en què la decisió subjacent no pot ser revisada significativament per un humà en absolut, però no excusa el simple inconvenient o el cost.
Obligacions dels desenvolupadors
Els desenvolupadors de les ADMT cobertes tenen obligacions paral·leles centrades a proporcionar als implementadors el que necessiten per complir amb la normativa aigües avall. El marc original de la SB 24-205 obligava els desenvolupadors a mantenir una documentació extensa sobre les fonts de dades d'entrenament, mètriques de rendiment, casos d'ús previstos i riscos coneguts de discriminació algorítmica. Sota la SB 26-189, aquestes obligacions es redueixen però no s'eliminen.
Un desenvolupador ha de proporcionar als implementadors la documentació suficient perquè l'implementador pugui complir amb les seves obligacions d'avís i divulgació, inclosa una descripció dels casos d'ús previstos de l'ADMT, les categories de dades personals que processa, les categories de resultats que genera i les limitacions conegudes rellevants per al context de la decisió transcendental. Els desenvolupadors també han de publicar una declaració pública que resumeixi l'ADMT coberta que ofereixen i com gestionen els riscos vinculats a les decisions transcendentals.
Si veneu o llicencieu eines d'IA utilitzades per implementadors de Colorado, la conversa sobre el contracte amb el proveïdor ja ha començat. Espereu que els clients implementadors demanin fitxes de model (model cards) estandarditzades, fulls de dades i representacions contractuals específiques de l'ADMT. Avanceu-vos-hi preparant una divulgació d'ADMT d'una pàgina que pugueu adjuntar als MSA (Acords de Servei Mestre) i als paquets de renovació.
Consideracions per a les petites empreses
L'exempció original per a petits implementadors de la SB 24-205 era una prova de quatre punts que eximia els implementadors amb menys de 50 empleats equivalents a temps complet del requisit d'avaluació d'impacte sota condicions estrictes. La SB 26-189 reestructura el tractament de les petites empreses en lloc de preservar l'exempció textualment, perquè el requisit d'avaluació d'impacte subjacent ja no existeix.
Per a la majoria de petits i mitjans implementadors, l'empremta pràctica de compliment sota la nova llei és realment modesta: mantenir una pàgina de divulgació de l'ADMT clara i raonablement accessible en el punt d'interacció amb el consumidor, crear un procés de resposta a resultats adversos de 30 dies, ampliar el flux de treball de sol·licituds de l'interessat existent per cobrir l'accés i la correcció de dades de l'ADMT, i documentar un procés de revisió humana per a les decisions en què l'algoritme influeix materialment. La majoria de les empreses ben gestionades poden posar-ho en marxa en unes poques setmanes de treball intens, especialment si ja tenen implementat un programa de la Llei de Privadesa de Colorado.
Els principals generadors de costos per a les petites empreses no són els avisos en si, sinó la tasca prèvia d'inventariar on existeixen les ADMT cobertes en el negoci. Una sorpresa comuna és descobrir que una eina SaaS estàndard amb funcions d'IA integrades pel proveïdor està funcionant com una ADMT coberta per a finalitats de decisions transcendentals, tot i que l'empresa implementadora mai hagi pensat que estava desplegant IA. Les plataformes de selecció de llogaters, els assistents de subscripció automatitzats, les eines de contractació augmentades per IA i els mòduls de suport a la decisió clínica integrats en els sistemes de RME (Registres Mèdics Electrònics) són inclusions sorprenents habituals.
Com es coordina això amb altres lleis d'IA i privadesa
Colorado no legisla en el buit, i un programa de compliment coordinat és radicalment més barat de mantenir que una sèrie de compartiments estancs estat per estat. Els punts clau de coordinació a planificar per al 2026 i el 2027 són:
Llei de Privadesa de Colorado (CPA). La CPA ja atorga als consumidors de Colorado drets d'accés, correcció i supressió de dades, i ja imposa obligacions d'exclusió (opt-out) relacionades amb l'elaboració de perfils i d'avaluació de la protecció de dades als responsables del tractament que realitzen "elaboració de perfils per a la presa de decisions que produeixin efectes jurídics o similars significatius". El vostre programa de la CPA és la base natural per al vostre programa de la SB 26-189 perquè els fluxos de treball de sol·licitud d'interessats, les plantilles de contractes amb proveïdors i la infraestructura d'avisos als consumidors se superposen en gran mesura.
Llei Local 144 de la ciutat de Nova York. La ciutat de Nova York requereix auditories de biaix independents anuals per a les eines automatitzades de decisió d'ocupació utilitzades per avaluar els residents de NYC. La SB 26-189 no requereix una auditoria de biaix, però la documentació produïda per a una auditoria de la LL 144 és una prova de suport útil que heu considerat el risc de discriminació algorítmica si el Fiscal General de Colorado ho sol·licita.
Llei d'Entrevistes de Vídeo amb IA d'Illinois i AB 2930 de Califòrnia. Ambdues imposen obligacions d'avís d'IA en el context de la contractació que se superposen amb les divulgacions de Colorado en el context laboral. Creeu un avís d'IA de contractació unificat que satisfaci les tres en lloc de tres avisos separats.
Llei d'IA de la UE. Si també doneu servei a usuaris de la UE, la documentació del sistema d'alt risc i els requisits de supervisió humana de la Llei d'IA de la UE són substancialment més estrictes que el nou marc de Colorado. La documentació de la UE generalment pot satisfer les obligacions de Colorado amb una lleugera adaptació.
Aplicació per part de l'EEOC i el DOJ. L'assistència tècnica del Títol VII de l'EEOC de maig de 2023 sobre procediments de selecció d'ocupació amb IA i les prioritats d'aplicació de l'ADA del Departament de Justícia creen un risc federal de discriminació en l'ocupació amb IA que existeix independentment de les lleis d'avís estatals. El compliment de les obligacions d'avís de Colorado no us eximeix de l'aplicació federal dels drets civils.
NIST AI RMF. Alinear la vostra governança interna amb el Marc de Gestió de Riscos d'IA 1.0 del NIST no és un requisit legal de la SB 26-189, però és àmpliament acceptat com una línia base defensable pels reguladors de totes les jurisdiccions i pels clients empresarials que realitzen diligència deguda de proveïdors d'IA.
Un full de ruta pràctic de dotze setmanes per al compliment
Per a una petita o mitjana empresa que comença de zero, la feina per estar a punt per a l'1 de gener de 2027 es divideix en quatre fases.
Setmanes 1 a 3 - Inventari. Identifiqueu cada eina, proveïdor o sistema intern que prengui o influeixi materialment en qualsevol decisió en les vuit categories de decisions amb conseqüències sobre els consumidors de Colorado. Incloeu les funcionalitats d'IA integrades en SaaS de tercers. Per a cadascuna, classifiqueu si es tracta d'una ADMT (Tecnologia de Presa de Decisions Automatitzada) coberta i documenteu qui n'és el desenvolupador.
Setmanes 4 a 6 - Alineació amb proveïdors. Poseu-vos en contacte amb cada desenvolupador d'ADMT coberta i sol·liciteu el paquet de documentació que proporcionaran per donar suport a les vostres obligacions d'avís i divulgació. Negocieu qualsevol esmena contractual necessària per cobrir la indemnització, el suport a la correcció de dades i la cooperació en la resposta a resultats adversos.
Setmanes 7 a 9 - Disseny d'avisos i processos. Redacteu la pàgina d'avís previ a l'ús, la plantilla de divulgació de resultats adversos, les extensions del flux de treball de sol·licituds dels interessats i el procés de revisió humana. Someteu-los a una revisió de llenguatge planer i d'accessibilitat. Formeu el personal d'atenció al client, de recursos humans i de subscripció.
Setmanes 10 a 12 - Llançament i preparació de l'auditoria. Publiqueu els avisos, implementeu els nous processos a producció i creeu el fitxer de documentació que sol·licitaria un investigador del Fiscal General: contractes amb proveïdors, captures de pantalla dels avisos, registres de respostes, expedients de revisió humana i llistes de formació. Programeu una auditoria interna al cap de sis mesos.
Un equip que comenci a mitjan 2026 té un marge còmode. Un equip que s'esperi fins al quart trimestre anirà a correcuita, especialment atès el cicle d'esmenes de contractes amb proveïdors, que habitualment triga entre 60 i 90 dies a escala corporativa.
Mantingueu els vostres registres de compliment tan transparents com els vostres llibres comptables
Tant si esteu fent l'inventari d'ADMT, fent el seguiment de les divulgacions de resultats adversos o creant el fitxer de documentació per a auditories que podria sol·licitar un investigador del fiscal general, el mateix principi s'aplica als registres de compliment que als registres financers: la transparència, el control de versions i la capacitat de reconstruir qualsevol xifra en qualsevol moment importen més que el format. Beancount.io ofereix comptabilitat en text pla que us proporciona una visibilitat completa de les vostres dades financeres, sense caixes negres i sense dependència de proveïdors. Comenceu gratis i comproveu per què desenvolupadors, equips financers i gestors conscients del compliment s'estan passant a la comptabilitat en text pla.
Fonts: