Beancount.io LogoBeancount.io

Colorado SB 26-189: Um Manual de Conformidade de IA para Pequenas e Médias Empresas em 2027

18 min para lerMike ThriftMike Thrift
Colorado SB 26-189: Um Manual de Conformidade de IA para Pequenas e Médias Empresas em 2027

Se a sua empresa utilizou os últimos dezoito meses para construir um programa de conformidade com a Lei de IA do Colorado em torno de políticas de gestão de riscos, avaliações de impacto anuais e obrigações de dever de diligência contra discriminação algorítmica, as regras acabaram de mudar. Em 14 de maio de 2026, o Governador do Colorado, Jared Polis, sancionou o Projeto de Lei do Senado 26-189, que revogou e substituiu a Lei de IA original do Colorado antes mesmo que suas obrigações fundamentais entrassem em vigor. O novo framework descarta o padrão de dever de diligência, a exigência de um programa formal de gestão de riscos e o mandato de avaliação de impacto anual. Em seu lugar, surge um regime de transparência mais restrito, construído em torno de avisos prévios ao uso, divulgações pós-resultado adverso e um pequeno conjunto de direitos do consumidor vinculados à "tecnologia de tomada de decisão automatizada coberta".

Para fundadores, líderes de RH, credores, seguradoras, administradores de saúde, proprietários de imóveis e operadores de SaaS que têm investido recursos significativos em consultoria no framework original da SB 24-205, a reação natural é de alívio. Esse alívio deve ser moderado. A nova lei ainda impõe obrigações reais a empresas de quase qualquer porte, ainda cria riscos de fiscalização pelo Procurador-Geral do Colorado e ainda exige que você mapeie onde a tecnologia de tomada de decisão automatizada interfere em decisões consequentes em suas operações. A carga de conformidade é mais leve, mas não é nula, e a data de vigência de 1 de janeiro de 2027 chega mais rápido do que a maioria das equipes espera, uma vez que os ciclos orçamentários e as renegociações com fornecedores são levados em conta.

Este guia percorre o que mudou, o que sobreviveu, quem está no escopo, o que especificamente você deve fazer antes de 1 de janeiro de 2027 e como coordenar as obrigações do Colorado com a colcha de retalhos de outras regras de IA estaduais e federais que agora afetam empresas que operam em múltiplas jurisdições.

O Que Aconteceu com a Lei de IA Original do Colorado

A Lei de IA original do Colorado, codificada como SB 24-205, foi sancionada em maio de 2024 e estava programada para entrar em vigor em 1 de fevereiro de 2026. Foi a primeira lei estadual abrangente sobre IA nos Estados Unidos e baseada vagamente na abordagem de níveis de risco da Lei de IA da União Europeia. O framework original atraiu críticas constantes de empresas de tecnologia, grupos empresariais e legisladores bipartidários que argumentavam que a lei puniria a inovação local, imporia custos desproporcionais ao risco real de discriminação algorítmica e forçaria pequenas empresas a construir programas de governança comparáveis aos de instituições financeiras regulamentadas.

Durante a sessão legislativa de 2025, a Assembleia Geral estendeu a data de vigência de 1 de fevereiro de 2026 para 30 de junho de 2026 para dar tempo aos legisladores de revisarem o estatuto. Em maio de 2026, a SB 26-189 foi aprovada e sancionada, revogando a lei original e substituindo-a por um framework substancialmente mais restrito que entra em vigor em 1 de janeiro de 2027. O Procurador-Geral do Colorado é obrigado a concluir a regulamentação de implementação até essa mesma data, e o escritório indicou que a fiscalização não começará até que a regulamentação esteja completa e as empresas tenham tido uma oportunidade razoável de se alinharem.

O resultado prático para sua equipe de conformidade: qualquer documentação, pacotes de diligência de fornecedores ou modelos de avaliação de impacto que você construiu com base no framework da SB 24-205 ainda têm valor como base, mas você precisa recalibrar conforme as obrigações da SB 26-189, em vez do padrão original de dever de diligência.

O Que Ficou e O Que Desapareceu

Entender a diferença entre a antiga e a nova lei é importante porque consultores e fornecedores ainda estão vendendo frameworks baseados na SB 24-205. Aqui está o que foi removido, o que é novo e o que sobreviveu.

Removido da lei original:

  • O dever de cuidado razoável para proteger os consumidores contra a discriminação algorítmica
  • A exigência de política e programa formal de gestão de riscos
  • O mandato de avaliação de impacto anual cobrindo finalidade, entradas de dados, mitigação, monitoramento e risco de discriminação
  • A obrigação de descoberta e divulgação em 90 dias vinculada à discriminação algorítmica descoberta
  • O framework de isenção para pequenos implementadores com seu teste de quatro pilares (este foi reestruturado, não preservado integralmente)

Novo sob a SB 26-189:

  • Um escopo mais restrito construído em torno da "tecnologia de tomada de decisão automatizada coberta" em vez de "sistema de inteligência artificial de alto risco"
  • Um framework de aviso em duas etapas: aviso prévio ao uso antes da implementação em uma decisão consequente, além de divulgação pós-resultado adverso em até 30 dias
  • O direito dos consumidores de acessar e corrigir dados pessoais utilizados pela ADMT coberta
  • O direito de solicitar uma revisão humana significativa de decisões consequentes, onde for tecnicamente viável
  • Um requisito de acessibilidade para que todos os avisos cheguem a consumidores com deficiência e proficiência limitada em inglês
  • Um porto seguro (safe harbor) que permite aos implementadores satisfazer o aviso prévio ao uso por meio de uma postagem pública proeminente razoavelmente próxima à interação com o consumidor

Sobreviveu em substância:

  • A lista de categorias de decisões consequentes: educação, emprego, serviços financeiros ou de crédito, serviços governamentais essenciais, serviços de saúde, habitação, seguros e serviços jurídicos
  • Fiscalização exclusiva pelo Procurador-Geral do Colorado, sem direito privado de ação
  • Tratamento de violações como práticas comerciais enganosas sob a Lei de Proteção ao Consumidor do Colorado
  • A distinção geral entre desenvolvedores (que constroem ou modificam substancialmente a ADMT) e implementadores (que a utilizam para tomar decisões consequentes sobre consumidores do Colorado)

Quem Está no Escopo

A nova lei se aplica a qualquer desenvolvedor ou implementador de tecnologia de tomada de decisão automatizada (ADMT) abrangida que tome ou influencie materialmente decisões consequenciais sobre consumidores do Colorado. A geografia é determinada pela residência do consumidor, não pela localização da sua empresa, portanto, uma empresa SaaS prioritariamente remota sediada em Austin ou uma empresa de recrutamento de Nova York que aloca candidatos em empregadores do Colorado está diretamente dentro do escopo.

Uma decisão consequencial sob a SB 26-189 é qualquer decisão que tenha um efeito jurídico material ou similarmente significativo na prestação, negação, custo ou termos de serviços em oito categorias: matrícula ou oportunidade educacional, emprego ou oportunidade de emprego, serviços financeiros ou de empréstimo, um serviço governamental essencial, serviços de saúde, habitação, seguros ou serviços jurídicos. A lista captura a maioria das decisões de alto risco que pequenas e médias empresas tomam sobre pessoas todos os dias.

Exemplos reais de casos de uso abrangidos incluem ferramentas de triagem de currículos que pontuam candidatos a emprego, modelos de subscrição de crédito que aprovam ou negam empréstimos, mecanismos de precificação de seguros que definem prêmios, ferramentas de triagem de inquilinos que filtram candidatos a aluguel, suporte à decisão clínica que afeta quais pacientes são agendados ou encaminhados, tutores de IA ou ferramentas de admissão usadas por provedores de educação online e ferramentas de triagem ou triagem em clínicas de assistência jurídica ou sites de escritórios de advocacia. Chatbots de atendimento ao cliente, personalização de marketing, ferramentas de produtividade interna e IA generativa usada para redação de conteúdo geralmente ficam fora do escopo, a menos que influenciem materialmente uma das decisões consequenciais listadas.

A Obrigação de Aviso Prévio ao Uso

Antes que um implementador use uma ADMT abrangida para influenciar materialmente uma decisão consequencial, o implementador deve fornecer ao consumidor um aviso claro e conspícuo de que a ADMT está sendo usada ou será usada. O aviso deve descrever em linguagem simples o propósito do sistema, o tipo de decisão consequencial em que ele influencia e como o consumidor pode exercer os direitos concedidos pelo estatuto.

O "safe harbor" (porto seguro) é importante aqui. Em vez de emitir um aviso individualizado no momento de cada interação, a lei permite que você satisfaça essa obrigação por meio de uma postagem pública proeminente, razoavelmente acessível nos pontos de interação com o consumidor. Na prática, isso significa que uma página de divulgação de IA claramente vinculada em seu portal de aplicações, seu fluxo de entrada de empréstimos, sua página de destino de triagem de inquilinos ou seu portal de integração de pacientes geralmente será suficiente, desde que o link esteja visualmente próximo à transação relevante e a linguagem de divulgação seja escrita para um leitor leigo.

Três armadilhas de redação a evitar. Primeiro, não oculte a divulgação em uma política de privacidade genérica; o estatuto exige que ela esteja razoavelmente próxima à transação relevante. Segundo, não dependa de jargões do setor como "tecnologia de tomada de decisão automatizada" ou "ADMT" sem traduzi-los; o requisito de acessibilidade abrange a acessibilidade cognitiva e linguística, não apenas a compatibilidade com leitores de tela. Terceiro, não escreva avisos que mascarem o papel da IA na decisão; uma linguagem vaga como "podemos usar tecnologia para nos ajudar" não satisfará um padrão de linguagem simples que sobreviva ao escrutínio do Procurador-Geral.

A Divulgação de Resultado Adverso em 30 Dias

Quando uma ADMT abrangida influencia materialmente uma decisão consequencial que resulta em um resultado adverso para o consumidor, o implementador deve fornecer uma descrição em linguagem simples do papel da ADMT dentro de 30 dias após a decisão. Um resultado adverso inclui a negação de uma solicitação, a rescisão de um serviço existente, preços materialmente menos favoráveis ou qualquer decisão que reduza um benefício que o consumidor receberia de outra forma.

A divulgação não exige a revelação de segredos comerciais, pesos de modelos ou algoritmos proprietários. O que ela exige é uma descrição que um consumidor razoável possa entender sobre o que o sistema considerou, qual papel desempenhou na decisão, quais categorias de dados pessoais processou e como o consumidor pode exercer seus direitos de acesso, correção e revisão humana. Variações de conteúdo específicas do setor são permitidas, de modo que a divulgação de ação adversa de um credor pode se basear nos formatos de aviso existentes do Regulamento B da Lei de Igualdade de Oportunidades de Crédito (Equal Credit Opportunity Act) e a divulgação de um implementador de saúde pode se basear nas normas de comunicação com o paciente existentes.

Coordene isso com obrigações de divulgação federais adjacentes em vez de tratá-lo como uma via paralela. Se você já está enviando um aviso de ação adversa da Lei de Relatórios de Crédito Justos (Fair Credit Reporting Act), um aviso de ação tomada da Lei de Igualdade de Oportunidades de Crédito ou uma comunicação em conformidade com a HIPAA, amplie o aviso existente em vez de construir uma carta redundante específica para o Colorado. O prazo de 30 dias sob a SB 26-189 é geralmente compatível com o cronograma desses avisos federais, embora você deva mapear os prazos caso a caso, pois existem exceções.

Direitos do Consumidor de Acesso, Correção e Revisão Humana

Três direitos do consumidor vivem sob a nova estrutura. Os consumidores podem solicitar acesso aos dados pessoais que a ADMT abrangida processou sobre eles. Os consumidores podem solicitar a correção de dados pessoais imprecisos. E os consumidores podem solicitar uma revisão humana significativa da decisão consequencial quando for tecnicamente viável.

Os direitos de acesso e correção se sobrepõem substancialmente aos direitos que já existem sob a Lei de Privacidade do Colorado (CPA) para dados pessoais em geral. Operacionalmente, a abordagem mais limpa é estender seu fluxo de trabalho de solicitação de titular de dados da CPA existente para lidar com solicitações específicas de ADMT, em vez de construir um canal de entrada separado. Mapeie quais sistemas contêm quais categorias de dados pessoais usados na ADMT, treine sua equipe de recepção de privacidade ou RH nas novas categorias e documente seus cronogramas de resposta.

O direito à revisão humana é a questão de conformidade mais interessante. O estatuto exige uma revisão humana significativa quando tecnicamente viável, o que não é o mesmo que uma aprovação formal humana do resultado algorítmico. Uma revisão significativa normalmente exige que uma pessoa com autoridade para anular a decisão examine de fato as circunstâncias do consumidor, considere informações além da pontuação algorítmica e tenha capacidade prática para chegar a uma conclusão diferente. A ressalva "tecnicamente viável" desculpa casos em que a decisão subjacente não pode ser significativamente revisada por um humano, mas não desculpa meros inconvenientes ou custos.

Obrigações do Desenvolvedor

Os desenvolvedores de ADMT abrangidas possuem obrigações paralelas focadas em fornecer aos implementadores o que eles precisam para cumprir as normas nas etapas seguintes. A estrutura original da SB 24-205 exigia que os desenvolvedores mantivessem uma documentação extensiva sobre fontes de dados de treinamento, métricas de desempenho, casos de uso pretendidos e riscos conhecidos de discriminação algorítmica. Sob a SB 26-189, essas obrigações foram reduzidas, mas não eliminadas.

Um desenvolvedor deve fornecer aos implementadores documentação suficiente para que o implementador satisfaça suas obrigações de aviso e divulgação, incluindo uma descrição dos casos de uso pretendidos da ADMT, as categorias de dados pessoais que ela processa, as categorias de resultados que gera e as limitações conhecidas relevantes para o contexto da decisão consequencial. Os desenvolvedores também devem publicar uma declaração pública resumindo a ADMT abrangida que oferecem e como gerenciam os riscos vinculados a decisões consequenciais.

Se você vende ou licencia ferramentas de IA usadas por implementadores no Colorado, a conversa sobre contratos de fornecedores já começou. Espere que os clientes implementadores solicitem model cards padronizados, fichas de dados (data sheets) e representações contratuais específicas para ADMT. Antecipe-se preparando uma divulgação de ADMT de uma página que você possa anexar a MSAs e pacotes de renovação.

Considerações para Pequenas Empresas

A isenção original para pequenos implementadores da SB 24-205 era um teste de quatro frentes que dispensava implementadores com menos de 50 funcionários em regime de tempo integral do requisito de avaliação de impacto sob condições restritas. A SB 26-189 reestrutura o tratamento para pequenas empresas em vez de preservar a isenção literalmente, porque o requisito subjacente de avaliação de impacto não existe mais.

Para a maioria dos implementadores de pequeno e médio porte, a pegada prática de conformidade sob a nova lei é genuinamente modesta: manter uma página de divulgação de ADMT clara e razoavelmente acessível no ponto de interação com o consumidor, construir um processo de resposta a resultados adversos de 30 dias, estender seu fluxo de trabalho de solicitação de titulares de dados existente para cobrir o acesso e a correção de dados de ADMT, e documentar um processo de revisão humana para decisões que o algoritmo influencia materialmente. A maioria das empresas bem geridas pode implementar isso em poucas semanas de trabalho focado, especialmente se já possuírem um programa para a Lei de Privacidade do Colorado (CPA) em vigor.

Os maiores geradores de custos para pequenas empresas não são os avisos em si, mas o trabalho prévio de inventariar onde a ADMT abrangida existe no negócio. Uma surpresa comum é descobrir que uma ferramenta SaaS pronta para uso, com recursos de IA incorporados pelo fornecedor, está funcionando como uma ADMT abrangida para fins de decisões consequenciais, mesmo que a empresa implementadora nunca tenha pensado em si mesma como alguém que implementa IA. Plataformas de triagem de inquilinos, assistentes de subscrição automatizada, ferramentas de contratação aumentadas por IA e módulos de suporte a decisões clínicas incorporados em sistemas de prontuário eletrônico de saúde (EHR) são inclusões surpresas comuns.

Como Isso se Coordena com Outras Leis de IA e Privacidade

O Colorado não está legislando no vácuo, e um programa de conformidade coordenado é drasticamente mais barato de executar do que uma série de silos estado por estado. Os principais pontos de coordenação a serem planejados em 2026 e 2027:

Lei de Privacidade do Colorado (CPA). A CPA já concede aos consumidores do Colorado direitos de acesso, correção e exclusão de dados, e já impõe obrigações de exclusão (opt-out) relacionadas à definição de perfis (profiling) e avaliações de proteção de dados a controladores que realizam "profiling em prol de decisões que produzam efeitos jurídicos ou similarmente significativos". Seu programa CPA é a base natural para seu programa SB 26-189 porque os fluxos de trabalho de solicitação de titulares de dados, modelos de contratos de fornecedores e infraestrutura de aviso ao consumidor se sobrepõem fortemente.

Lei Local 144 de NYC. Nova York exige auditorias de viés independentes anuais para ferramentas automatizadas de decisão de emprego usadas para triagem de residentes de NYC. A SB 26-189 não exige uma auditoria de viés, mas a documentação produzida para uma auditoria da LL 144 é uma evidência de apoio útil de que você considerou o risco de discriminação algorítmica caso o Procurador-Geral do Colorado venha a questionar.

Lei de Entrevista em Vídeo por IA de Illinois e AB 2930 da Califórnia. Ambas impõem obrigações de aviso de IA no contexto de contratação que se sobrepõem às divulgações de contexto de emprego do Colorado. Construa um aviso de IA de contratação unificado que satisfaça todos os três, em vez de três avisos separados.

Lei de IA da UE. Se você também atende usuários da UE, os requisitos de documentação de sistemas de alto risco e de supervisão humana da Lei de IA da UE são substancialmente mais rigorosos do que a nova estrutura do Colorado. A documentação da UE geralmente pode satisfazer as obrigações do Colorado com leves adaptações.

Fiscalização do EEOC e DOJ. A assistência técnica de maio de 2023 do EEOC sobre o Título VII referente a procedimentos de seleção de emprego por IA e as prioridades de fiscalização da ADA do Departamento de Justiça criam riscos federais de discriminação no emprego por IA que existem independentemente das leis estaduais de aviso. O cumprimento das obrigações de aviso do Colorado não o isola da fiscalização federal de direitos civis.

NIST AI RMF. Alinhar sua governança interna à Estrutura de Gestão de Riscos de IA 1.0 do NIST não é legalmente exigido pela SB 26-189, mas é amplamente aceito como uma base defensável por reguladores em várias jurisdições e por clientes corporativos que realizam diligência de fornecedores de IA.

Um Roteiro Prático de Doze Semanas para Conformidade

Para uma pequena ou média empresa começando do zero, o trabalho para estar pronta para 1 de janeiro de 2027 divide-se em quatro fases.

Semanas 1 a 3 - Inventário. Identifique cada ferramenta, fornecedor ou sistema interno que toma ou influencia materialmente qualquer decisão nas oito categorias de decisões consequentes sobre consumidores do Colorado. Inclua recursos de IA incorporados em SaaS de terceiros. Para cada um, classifique se ele é abrangido pela ADMT e documente quem é o desenvolvedor.

Semanas 4 a 6 - Alinhamento com fornecedores. Entre em contato com cada desenvolvedor da ADMT abrangida e solicite o pacote de documentação que eles fornecerão para apoiar suas obrigações de aviso e divulgação. Negocie quaisquer aditamentos contratuais necessários para cobrir indenização, suporte à correção de dados e cooperação em resposta a resultados adversos.

Semanas 7 a 9 - Design de avisos e processos. Elabore a página de aviso pré-utilização, o modelo de divulgação de resultados adversos, as extensões de fluxo de trabalho de solicitação do titular dos dados e o processo de revisão humana. Submeta cada um a uma revisão de linguagem simples e acessibilidade. Treine a equipe de atendimento ao cliente, RH e subscrição.

Semanas 10 a 12 - Lançamento e preparação para auditoria. Publique os avisos, envie os novos processos para produção e construa o arquivo de documentação que um investigador da Procuradoria-Geral solicitaria: contratos de fornecedores, capturas de tela dos avisos, registros de respostas, registros de revisão humana e listas de treinamento. Agende uma auditoria interna semestral.

Uma equipe que começa em meados de 2026 tem um prazo confortável. Uma equipe que espera até o quarto trimestre estará em apuros, especialmente devido ao ciclo de aditamento de contratos de fornecedores, que rotineiramente leva de 60 a 90 dias em escala empresarial.

Mantenha Seus Registros de Conformidade tão Transparentes Quanto Seus Livros Contábeis

Quer você esteja mapeando inventários de ADMT, rastreando divulgações de resultados adversos ou construindo o arquivo de documentação defensável em auditoria que um investigador da Procuradoria-Geral possa solicitar, o mesmo princípio se aplica aos registros de conformidade e aos registros financeiros: transparência, controle de versão e a capacidade de reconstruir qualquer número em qualquer momento importam mais do que o formato. O Beancount.io oferece contabilidade em texto simples que lhe dá visibilidade total sobre seus dados financeiros, sem caixas pretas e sem dependência de fornecedor (vendor lock-in). Comece gratuitamente e veja por que desenvolvedores, equipes financeiras e operadores focados em conformidade estão mudando para a contabilidade em texto simples.

Fontes: