Si su empresa utilizó los últimos dieciocho meses para crear un programa de cumplimiento de la Ley de IA de Colorado basado en políticas de gestión de riesgos, evaluaciones de impacto anuales y obligaciones de deber de diligencia contra la discriminación algorítmica, las reglas acaban de cambiar para usted. El 14 de mayo de 2026, el gobernador de Colorado, Jared Polis, firmó el Proyecto de Ley del Senado 26-189, que derogó y reemplazó la Ley de IA de Colorado original antes de que sus obligaciones principales llegaran a entrar en vigor. El nuevo marco elimina el estándar del deber de diligencia, el requisito de un programa formal de gestión de riesgos y el mandato de evaluación de impacto anual. En su lugar, se establece un régimen de transparencia más estrecho centrado en avisos previos al uso, divulgaciones posteriores a resultados adversos y un pequeño conjunto de derechos de los consumidores vinculados a la "tecnología de toma de decisiones automatizada cubierta".
Para fundadores, líderes de RR. HH., prestamistas, aseguradoras, administradores de atención médica, propietarios y operadores de SaaS que han estado gastando presupuestos de consultoría en el marco original de la SB 24-205, la reacción natural es de alivio. Ese alivio debe ser moderado. La nueva ley sigue imponiendo obligaciones reales a empresas de casi cualquier tamaño, sigue creando riesgos de cumplimiento ante el Fiscal General de Colorado y sigue exigiendo que identifique dónde la tecnología de toma de decisiones automatizada afecta a decisiones trascendentales en sus operaciones. La carga de cumplimiento es menor, pero no es nula, y la fecha de entrada en vigor del 1 de enero de 2027 llega más rápido de lo que la mayoría de los equipos esperan una vez que se consideran los ciclos presupuestarios y las renegociaciones con proveedores.
Esta guía recorre lo que cambió, lo que sobrevivió, quién está dentro del alcance, qué debe hacer específicamente antes del 1 de enero de 2027 y cómo coordinar las obligaciones de Colorado con el mosaico de otras reglas de IA estatales y federales que ahora afectan a las empresas que operan en múltiples jurisdicciones.
Qué pasó con la Ley de IA de Colorado original
La Ley de IA de Colorado original, codificada como SB 24-205, se firmó en mayo de 2024 y estaba previsto que entrara en vigor el 1 de febrero de 2026. Fue la primera ley estatal integral de IA en los Estados Unidos y se modeló vagamente según el enfoque de niveles de riesgo de la Ley de IA de la Unión Europea. El marco original recibió críticas constantes de empresas tecnológicas, grupos empresariales y legisladores bipartidistas que argumentaban que castigaría la innovación en el estado, impondría costos desproporcionados con respecto al riesgo real de discriminación algorítmica y obligaría a las pequeñas empresas a crear programas de gobernanza comparables a los de las instituciones financieras reguladas.
Durante la sesión legislativa de 2025, la Asamblea General extendió la fecha de entrada en vigor del 1 de febrero de 2026 al 30 de junio de 2026 para dar tiempo a los legisladores para revisar el estatuto. En mayo de 2026, se aprobó y firmó la SB 26-189, derogando la ley original y reemplazándola con un marco sustancialmente más estrecho que entra en vigor el 1 de enero de 2027. Se requiere que el Fiscal General de Colorado complete la reglamentación de implementación para esa misma fecha, y la oficina ha indicado que la aplicación no comenzará hasta que la reglamentación esté completa y las empresas hayan tenido una oportunidad razonable para alinearse.
La conclusión práctica para su equipo de cumplimiento: cualquier documentación, paquetes de diligencia debida de proveedores o plantillas de evaluación de impacto que haya creado contra el marco de la SB 24-205 todavía tienen valor como base, pero debe recalibrarlos contra las obligaciones de la SB 26-189 en lugar del estándar original del deber de diligencia.
Qué se mantuvo y qué desapareció
Comprender la diferencia entre la antigua y la nueva ley es importante porque los consultores y proveedores todavía están vendiendo marcos basados en la SB 24-205. Aquí está lo que se eliminó, lo que es nuevo y lo que sobrevivió.
Se eliminó de la ley original:
- El deber de diligencia razonable para proteger a los consumidores de la discriminación algorítmica
- El requisito de un programa y una política formal de gestión de riesgos
- El mandato de evaluación de impacto anual que cubría el propósito, las entradas de datos, la mitigación, el monitoreo y el riesgo de discriminación
- La obligación de descubrimiento y divulgación de 90 días vinculada a la discriminación algorítmica detectada
- El marco de exención para pequeños implementadores con su prueba de cuatro puntos (este se reestructuró, no se preservó textualmente)
Novedades bajo la SB 26-189:
- Un alcance más estrecho centrado en la "tecnología de toma de decisiones automatizada cubierta" en lugar de un "sistema de inteligencia artificial de alto riesgo"
- Un marco de avisos de dos pasos: aviso previo al uso antes de la implementación en una decisión trascendal, más una divulgación posterior a un resultado adverso dentro de los 30 días
- Un derecho para que los consumidores accedan y corrijan los datos personales utilizados por la ADMT cubierta
- Un derecho a solicitar una revisión humana significativa de las decisiones trascendentales, cuando sea técnicamente factible
- Un requisito de accesibilidad para que todos los avisos lleguen a consumidores con discapacidades y dominio limitado del inglés
- Un puerto seguro (safe harbor) que permite a los implementadores satisfacer el aviso previo al uso mediante una publicación pública destacada razonablemente próxima a la interacción con el consumidor
Sobrevivió en esencia:
- La lista de categorías de decisiones trascendentales: educación, empleo, servicios financieros o de préstamos, servicios gubernamentales esenciales, servicios de atención médica, vivienda, seguros y servicios legales
- Aplicación exclusiva por parte del Fiscal General de Colorado sin derecho privado de acción
- Tratamiento de las infracciones como prácticas comerciales engañosas bajo la Ley de Protección al Consumidor de Colorado
- La distinción general entre desarrolladores (quienes construyen o modifican sustancialmente la ADMT) e implementadores (quienes la usan para tomar decisiones trascendentales sobre los consumidores de Colorado)
Quiénes están dentro del alcance
La nueva ley se aplica a cualquier desarrollador o implementador de tecnología de toma de decisiones automatizada (ADMT, por sus siglas en inglés) cubierta que tome o influya materialmente en decisiones trascendentales sobre los consumidores de Colorado. La geografía se determina por la residencia del consumidor, no por la ubicación de su empresa, por lo que una compañía de SaaS que prioriza el trabajo remoto con sede en Austin o una firma de contratación de Nueva York que coloca candidatos con empleadores de Colorado entra plenamente en el alcance.
Una decisión trascendental bajo la ley SB 26-189 es cualquier decisión que tenga un efecto legal material o un efecto significativo similar en la prestación, denegación, costo o términos de servicios en ocho categorías: inscripción u oportunidad educativa, empleo u oportunidad de empleo, servicios financieros o de préstamo, un servicio gubernamental esencial, servicios de salud, vivienda, seguros o servicios legales. La lista captura la mayoría de las decisiones de alto impacto que las pequeñas y medianas empresas toman sobre las personas todos los días.
Ejemplos del mundo real de casos de uso cubiertos incluyen herramientas de filtrado de currículos que califican a los solicitantes de empleo, modelos de suscripción de crédito que aprueban o deniegan préstamos, motores de fijación de precios de seguros que establecen primas, herramientas de evaluación de inquilinos que filtran a los solicitantes de alquiler, soporte de decisiones clínicas que afecta a qué pacientes se programan o derivan, tutores de IA o herramientas de admisión utilizadas por proveedores de educación en línea, y herramientas de admisión o triaje en clínicas de asistencia legal o sitios web de bufetes de abogados. Los chatbots de servicio al cliente, la personalización de marketing, las herramientas de productividad interna y la IA generativa utilizada para la redacción de contenidos generalmente quedan fuera del alcance, a menos que influyan materialmente en una de las decisiones trascendentales enumeradas.
La obligación de notificación previa al uso
Antes de que un implementador utilice una ADMT cubierta para influir materialmente en una decisión trascendental, el implementador debe proporcionar al consumidor un aviso claro y visible de que se está utilizando o se utilizará una ADMT. El aviso debe describir en lenguaje sencillo el propósito del sistema, el tipo de decisión trascendental en la que influye y cómo el consumidor puede ejercer los derechos otorgados por el estatuto.
El puerto seguro es importante aquí. En lugar de enviar un aviso individualizado en el momento de cada interacción, la ley le permite cumplir con esta obligación mediante una publicación pública destacada y razonablemente accesible en los puntos de interacción con el consumidor. En la práctica, esto significa que una página de divulgación de IA claramente vinculada en su portal de aplicaciones, su flujo de admisión de préstamos, su página de inicio de evaluación de inquilinos o su portal de incorporación de pacientes generalmente será suficiente, siempre que el enlace esté visualmente próximo a la transacción relevante y el lenguaje de divulgación esté escrito para un lector no especializado.
Tres errores de redacción que se deben evitar. Primero, no oculte la divulgación en una política de privacidad genérica; el estatuto requiere que esté razonablemente próxima a la transacción relevante. Segundo, no dependa de la jerga de la industria como "tecnología de toma de decisiones automatizada" o "ADMT" sin traducirla; el requisito de accesibilidad cubre la accesibilidad cognitiva y lingüística, no solo la compatibilidad con lectores de pantalla. Tercero, no redacte avisos que oculten el papel de la IA en la decisión; un lenguaje vago como "podemos usar tecnología para ayudarnos" no satisfará un estándar de lenguaje sencillo que sobreviva al escrutinio del Fiscal General.
La divulgación de resultados adversos en un plazo de 30 días
Cuando una ADMT cubierta influye materialmente en una decisión trascendental que resulta en un resultado adverso para el consumidor, el implementador debe proporcionar una descripción en lenguaje sencillo del papel de la ADMT dentro de los 30 días posteriores a la decisión. Un resultado adverso incluye la denegación de una solicitud, la terminación de un servicio existente, precios materialmente menos favorables o cualquier decisión que reduzca un beneficio que el consumidor recibiría de otro modo.
La divulgación no requiere la revelación de secretos comerciales, pesos del modelo o algoritmos propietarios. Lo que sí requiere es una descripción que un consumidor razonable pueda entender sobre lo que el sistema consideró, qué papel desempeñó en la decisión, qué categorías de datos personales procesó y cómo puede el consumidor ejercer sus derechos de acceso, rectificación y revisión humana. Se permite la variación de contenido específica de la industria, por lo que la divulgación de acción adversa de un prestamista puede apoyarse en los formatos de aviso existentes de la Regulación B de la Ley de Igualdad de Oportunidades de Crédito, y la divulgación de un implementador de atención médica puede basarse en las normas de comunicación con el paciente existentes.
Coordine esto con las obligaciones de divulgación federales adyacentes en lugar de tratarlo como una vía paralela. Si ya está enviando un aviso de acción adversa de la Ley de Informes Justos de Crédito, un aviso de acción tomada de la Ley de Igualdad de Oportunidades de Crédito o una comunicación que cumpla con HIPAA, amplíe el aviso existente en lugar de crear una carta redundante específica para Colorado. El plazo de 30 días bajo la SB 26-189 es generalmente compatible con el tiempo de esos avisos federales, aunque debe mapear los plazos caso por caso porque existen excepciones.
Derechos del consumidor de acceso, rectificación y revisión humana
Tres derechos del consumidor existen bajo el nuevo marco. Los consumidores pueden solicitar acceso a los datos personales que la ADMT cubierta procesó sobre ellos. Los consumidores pueden solicitar la rectificación de datos personales inexactos. Y los consumidores pueden solicitar una revisión humana significativa de la decisión trascendental cuando sea técnicamente factible.
Los derechos de acceso y rectificación se superponen sustancialmente con los derechos que ya existen bajo la Ley de Privacidad de Colorado (CPA) para los datos personales en general. Operacionalmente, el enfoque más limpio es ampliar su flujo de trabajo de solicitud de sujeto de datos de la CPA existente para manejar solicitudes específicas de ADMT en lugar de crear un canal de entrada independiente. Mapee qué sistemas contienen qué categorías de datos personales utilizados en ADMT, capacite a su equipo de privacidad o de recursos humanos sobre las nuevas categorías y documente sus cronogramas de respuesta.
El derecho a la revisión humana es la cuestión de cumplimiento más interesante. El estatuto requiere una revisión humana significativa cuando sea técnicamente factible, lo cual no es lo mismo que una aprobación humana automática del resultado algorítmico. Una revisión significativa normalmente requiere que una persona con autoridad para revocar la decisión examine realmente las circunstancias del consumidor, considere información más allá de la puntuación algorítmica y tenga la capacidad práctica de llegar a una conclusión diferente. El calificador "técnicamente factible" excusa los casos en los que la decisión subyacente no puede ser revisada de manera significativa por un humano en absoluto, pero no excusa la mera inconveniencia o el costo.
Obligaciones de los Desarrolladores
Los desarrolladores de ADMT cubiertas tienen obligaciones paralelas centradas en proporcionar a los implementadores lo que necesitan para cumplir con la normativa en etapas posteriores. El marco original de la SB 24-205 exigía que los desarrolladores mantuvieran una documentación exhaustiva sobre las fuentes de datos de entrenamiento, las métricas de rendimiento, los casos de uso previstos y los riesgos conocidos de discriminación algorítmica. Bajo la SB 26-189, esas obligaciones se han reducido, pero no se han eliminado.
Un desarrollador debe proporcionar a los implementadores documentación suficiente para que el implementador cumpla con sus obligaciones de notificación y divulgación, incluida una descripción de los casos de uso previstos de la ADMT, las categorías de datos personales que procesa, las categorías de resultados que genera y las limitaciones conocidas relevantes para el contexto de la decisión con efectos jurídicos o similares. Los desarrolladores también deben publicar una declaración pública que resuma las ADMT cubiertas que ofrecen y cómo gestionan los riesgos vinculados a las decisiones con efectos jurídicos o similares.
Si vende o licencia herramientas de IA utilizadas por implementadores de Colorado, la conversación sobre contratos de proveedores ya ha comenzado. Espere que los clientes implementadores soliciten "model cards" estandarizadas, hojas de datos y representaciones contractuales específicas para ADMT. Anticípese preparando una divulgación de ADMT de una página que pueda adjuntar a los contratos marco de servicios (MSA) y paquetes de renovación.
Consideraciones para Pequeñas Empresas
La exención original para pequeños implementadores de la SB 24-205 era una prueba de cuatro puntos que eximía a los implementadores con menos de 50 empleados equivalentes a tiempo completo del requisito de evaluación de impacto bajo condiciones estrictas. La SB 26-189 reestructura el tratamiento de las pequeñas empresas en lugar de preservar la exención textualmente, debido a que el requisito de evaluación de impacto subyacente ya no existe.
Para la mayoría de los implementadores de tamaño pequeño y mediano, la huella práctica de cumplimiento bajo la nueva ley es genuinamente modesta: mantener una página de divulgación de ADMT clara y razonablemente accesible en el punto de interacción con el consumidor, crear un proceso de respuesta a resultados adversos de 30 días, ampliar su flujo de trabajo existente de solicitudes de titulares de datos para cubrir el acceso y corrección de datos de ADMT, y documentar un proceso de revisión humana para las decisiones en las que el algoritmo influye materialmente. La mayoría de las empresas bien gestionadas pueden poner esto en marcha en unas pocas semanas de trabajo enfocado, especialmente si ya cuentan con un programa para la Ley de Privacidad de Colorado en marcha.
Los mayores generadores de costos para las pequeñas empresas no son las notificaciones en sí, sino el trabajo previo de inventariar dónde existen ADMT cubiertas en el negocio. Una sorpresa común es descubrir que una herramienta SaaS comercial lista para usar con funciones de IA integradas por el proveedor funciona como una ADMT cubierta para fines de decisiones con efectos jurídicos o similares, aunque la empresa que la implementa nunca pensó que estaba implementando IA. Las plataformas de evaluación de inquilinos, los asistentes de suscripción automatizados, las herramientas de contratación aumentadas por IA y los módulos de soporte de decisiones clínicas integrados en los sistemas EHR son inclusiones sorpresa comunes.
Cómo se coordina esto con otras leyes de IA y privacidad
Colorado no está legislando en el vacío, y un programa de cumplimiento coordinado es dramáticamente más económico de operar que una serie de silos estado por estado. Los puntos clave de coordinación a planificar para 2026 y 2027:
Ley de Privacidad de Colorado. La CPA ya otorga a los consumidores de Colorado derechos de acceso, corrección y eliminación de datos, y ya impone obligaciones de exclusión voluntaria relacionadas con la elaboración de perfiles y de evaluación de protección de datos a los responsables del tratamiento que realicen "elaboración de perfiles para promover decisiones que produzcan efectos legales o significativamente similares". Su programa de la CPA es la base natural para su programa de la SB 26-189 porque los flujos de trabajo de solicitudes de los titulares de los datos, las plantillas de contratos de proveedores y la infraestructura de notificación al consumidor se solapan considerablemente.
Ley Local 144 de NYC. La ciudad de Nueva York exige auditorías de sesgo independientes anuales para las herramientas automatizadas de decisión de empleo utilizadas para evaluar a los residentes de NYC. La SB 26-189 no exige una auditoría de sesgo, pero la documentación producida para una auditoría de la LL 144 es evidencia de respaldo útil de que ha considerado el riesgo de discriminación algorítmica si el Fiscal General de Colorado lo solicita.
Ley de Entrevistas en Video con IA de Illinois y AB 2930 de California. Ambas imponen obligaciones de notificación de IA en el contexto de contratación que se solapan con las divulgaciones en el contexto laboral de Colorado. Cree un aviso unificado de IA para contratación que satisfaga los tres requisitos en lugar de tres avisos separados.
Ley de IA de la UE. Si también presta servicios a usuarios de la UE, los requisitos de documentación de sistemas de alto riesgo y de supervisión humana de la Ley de IA de la UE son sustancialmente más estrictos que el nuevo marco de Colorado. La documentación de la UE generalmente puede satisfacer las obligaciones de Colorado con ajustes menores.
Cumplimiento normativo de la EEOC y el DOJ. La asistencia técnica del Título VII de la EEOC de mayo de 2023 sobre procedimientos de selección de empleo con IA y las prioridades de cumplimiento de la ADA del Departamento de Justicia crean un riesgo federal de discriminación en el empleo con IA que existe independientemente de las leyes estatales de notificación. El cumplimiento de las obligaciones de notificación de Colorado no le protege de la aplicación de las leyes federales de derechos civiles.
NIST AI RMF. Alinear su gobernanza interna con el Marco de Gestión de Riesgos de IA 1.0 del NIST no es legalmente requerido por la SB 26-189, pero es ampliamente aceptado como una base defendible por los reguladores en todas las jurisdicciones y por los clientes corporativos que realizan la debida diligencia de proveedores de IA.
Una hoja de ruta práctica de doce semanas para el cumplimiento
Para una pequeña o mediana empresa que empieza de cero, el trabajo para estar preparada para el 1 de enero de 2027 se divide en cuatro fases.
Semanas 1 a 3 - Inventario. Identifique cada herramienta, proveedor o sistema interno que tome o influya materialmente en cualquier decisión dentro de las ocho categorías de decisiones trascendentales sobre los consumidores de Colorado. Incluya las funciones de IA integradas en SaaS de terceros. Para cada una, clasifique si es una ADMT cubierta y documente quién es el desarrollador.
Semanas 4 a 6 - Alineación con proveedores. Comuníquese con cada desarrollador de ADMT cubiertas y solicite el paquete de documentación que proporcionarán para respaldar sus obligaciones de notificación y divulgación. Negocie las enmiendas contractuales necesarias para cubrir la indemnización, el soporte para la corrección de datos y la cooperación en la respuesta a resultados adversos.
Semanas 7 a 9 - Diseño de avisos y procesos. Redacte la página de aviso previo al uso, la plantilla de divulgación de resultados adversos, las extensiones del flujo de trabajo de solicitudes de los titulares de los datos y el proceso de revisión humana. Someta cada uno a una revisión de lenguaje sencillo y accesibilidad. Capacite al personal de atención al cliente, recursos humanos y suscripción.
Semanas 10 a 12 - Lanzamiento y preparación para auditorías. Publique los avisos, implemente los nuevos procesos en producción y genere el archivo de documentación que un investigador de la Fiscalía General solicitaría: contratos con proveedores, capturas de pantalla de avisos, registros de respuestas, expedientes de revisión humana y listas de capacitación. Programe una auditoría interna de seis meses.
Un equipo que comience a mediados de 2026 tendrá un margen cómodo. Un equipo que espere hasta el cuarto trimestre se verá en apuros, especialmente dado el ciclo de enmiendas a los contratos de proveedores, que habitualmente demora entre 60 y 90 días a escala empresarial.
Mantenga sus registros de cumplimiento tan transparentes como sus libros contables
Ya sea que esté mapeando inventarios de ADMT, rastreando divulgaciones de resultados adversos o creando el archivo de documentación defendible en auditorías que un investigador de la Fiscalía General podría solicitar, el mismo principio se aplica tanto a los registros de cumplimiento como a los financieros: la transparencia, el control de versiones y la capacidad de reconstruir cualquier cifra en cualquier momento importan más que el formato. Beancount.io ofrece contabilidad en texto plano que le brinda visibilidad completa de sus datos financieros, sin cajas negras y sin dependencia de un solo proveedor. Comience gratis y descubra por qué desarrolladores, equipos financieros y operadores enfocados en el cumplimiento se están cambiando a la contabilidad en texto plano.
Fuentes: