Log in
Sign up
Colorado AI Act compliance, a Rocky Mountain peak in sumi-e ink

Sections

Ley de IA de Colorado (SB 26-189): qué exige la conformidad ADMT en 2027

Lo esencial

  • En 2026 Colorado reescribió su ley de IA: la SB 26-189 deroga y vuelve a promulgar el texto original de 2024 (SB 24-205) y entra en vigor el 1 de enero de 2027.
  • La ley regula ahora las tecnologías de decisión automatizada (ADMT) empleadas en decisiones consecuentes, y ya no los sistemas de IA de alto riesgo.
  • Los desplegadores asumen cuatro obligaciones operativas: aviso previo, explicación en un plazo de 30 días ante un resultado desfavorable, acceso y rectificación de datos, y revisión humana.
  • La revisión eliminó las obligaciones originales de evaluación de impacto, de programa de gestión de riesgos y de deber de diligencia frente a la discriminación algorítmica.
  • Esas obligaciones suprimidas siguen vigentes para muchas organizaciones a través de otros regímenes, de modo que un programa de gobernanza de la IA en funcionamiento sigue siendo la base racional antes de 2027.
Conformidad con la Ley de IA de Colorado, una cima de las Montañas Rocosas a tinta sumi-e

Qué es hoy la Ley de IA de Colorado: de la SB 24-205 a la SB 26-189

Cuando, en mayo de 2024, el gobernador Jared Polis promulgó la SB 24-205, Colorado se convirtió en el primer estado de EE. UU. con una ley amplia e intersectorial sobre inteligencia artificial. Aquel texto original imponía deberes gravosos a los desarrolladores y desplegadores de sistemas de IA de alto riesgo, entre ellos un deber de diligencia razonable para proteger a los consumidores frente a la discriminación algorítmica.

La ley nunca llegó a aplicarse en esa forma. Su fecha de entrada en vigor se aplazó dos veces y, a comienzos de 2026, un tribunal suspendió temporalmente su ejecución tras una demanda de xAI respaldada por el Departamento de Justicia de EE. UU. Un grupo de trabajo integrado por legisladores, la oficina del gobernador y la fiscalía general negoció un texto sustitutivo y publicó una propuesta en marzo de 2026.

El resultado se llama SB 26-189, titulado Automated Decision-Making Technology. En lugar de modificar la ley vigente, la deroga y la vuelve a promulgar. Según el expediente legislativo de la Asamblea General de Colorado, el texto se presentó el 1 de mayo de 2026, fue aprobado por el Senado el 7 de mayo y por la Cámara el 9 de mayo, y se promulgó el 14 de mayo de 2026. Sus disposiciones generales surten efecto el 1 de enero de 2027.

La lección práctica es clara: buena parte de los análisis publicados sobre la primera ley describe obligaciones que ya no existen. Toda organización que construya un programa de gobernanza de la IA en torno a Colorado debe partir del texto vuelto a promulgar, no de la versión de 2024.

Del alto riesgo a la tecnología de decisión automatizada

El cambio central afecta al concepto de base. La ley original regulaba los sistemas de IA de alto riesgo. El texto reformulado regula las tecnologías de decisión automatizada cubiertas, que el despacho Crowell and Moring describe como cualquier sistema que recurre al cálculo o al aprendizaje automático para tratar datos personales e influir de forma sustancial en una decisión consecuente.

Esa definición es más amplia de lo que parece. Abandona el requisito anterior de que el sistema infiriera resultados a partir de entradas; por ello, incluso una sencilla herramienta basada en reglas que comprueba si una respuesta se sitúa dentro de un intervalo aceptable puede quedar incluida cuando incide en una decisión cubierta.

Una decisión consecuente es aquella que produce un efecto jurídico importante, o de relevancia comparable, sobre el acceso de un consumidor a la educación, el empleo, la vivienda, los servicios financieros o crediticios, los seguros, la atención sanitaria o los servicios públicos esenciales, o sobre su coste o sus condiciones. Estos ámbitos se mantuvieron de la ley original.

El texto reformulado también enumera lo que queda fuera de su ámbito. Las funciones rutinarias como la programación de citas, la clasificación de atención al cliente, la publicidad, las recomendaciones de productos, la búsqueda y la moderación de contenidos quedan excluidas, al igual que los cortafuegos, los filtros antispam, los correctores ortográficos, el alojamiento web, las calculadoras, las bases de datos, las hojas de cálculo y las herramientas que solo resumen o presentan información para su revisión humana. Cotejar sus sistemas con estos límites es el primer paso hacia un inventario de sistemas de IA fiable.

A quién afecta: desarrolladores, desplegadores y presunciones de conformidad sectoriales

La ley conserva la estructura de dos funciones que adoptan la mayoría de los regímenes recientes. El desarrollador crea o modifica de forma sustancial una ADMT cubierta. El desplegador la utiliza en Colorado para influir en decisiones consecuentes sobre residentes. Una misma empresa puede desempeñar ambos papeles a la vez, por ejemplo cuando crea un modelo interno de selección y lo opera ella misma.

El texto reformulado modificó el régimen de exenciones. La versión de 2024 preveía amplias exclusiones condicionadas para las entidades ya reguladas a nivel federal. Como señala el análisis del Consumer Finance Monitor, la reescritura restringe esas exenciones generales, lo que amplía el ámbito, y las sustituye por vías específicas de presunción de conformidad.

Esas vías reconocen los controles que ciertos sectores regulados ya aplican. Las aseguradoras que cumplen las normas de Colorado sobre discriminación algorítmica se consideran conformes, salvo en sus propias decisiones de empleo. Las entidades sanitarias sujetas a HIPAA quedan en gran medida fuera del ámbito, excepto en las decisiones de empleo consecuentes y en las determinaciones de ayuda financiera. Los productos sanitarios y farmacéuticos regulados por la FDA quedan excluidos. Los prestamistas que ya emiten avisos de acción desfavorable conforme a ECOA y FCRA pueden valerse de esos procedimientos para satisfacer el deber de información, y las instituciones conformes con FERPA se consideran conformes en cuanto al aviso y la revisión humana cuando ya disponen de procesos de rectificación y revisión. Determinar qué vía se aplica a cada sistema corresponde a su documentación de gobernanza de la IA.

Qué deben hacer los desplegadores: las cuatro obligaciones operativas

Los desplegadores asumen las obligaciones que los consumidores más percibirán. La Ley de IA de Colorado reformulada establece cuatro, descritas en términos operativos por Norton Rose Fulbright.

Un aviso claro y visible

Antes de que una ADMT cubierta se emplee para influir en una decisión consecuente, el desplegador debe informar al consumidor de forma clara y visible de que la tecnología está en uso. Se trata de un deber de transparencia previo, no de una explicación posterior.

La explicación en 30 días ante un resultado desfavorable

Cuando una decisión cubierta produce un resultado desfavorable, el desplegador dispone de 30 días para entregar una explicación en lenguaje claro. Debe exponer la decisión, describir el papel que desempeñó la ADMT e indicar a la persona cómo ejercer sus derechos. Esta obligación es el núcleo operativo de la ley, pues obliga a los desplegadores a saber qué sistemas determinaron qué decisiones.

Acceso y rectificación de los datos personales

Las personas pueden solicitar consultar los datos personales utilizados en una decisión y rectificar los datos inexactos, en la medida en que resulte comercialmente razonable. El desplegador debe, por tanto, poder rastrear los datos que originan un resultado determinado.

Revisión humana y reconsideración

Tras una decisión desfavorable, una persona puede solicitar una revisión humana efectiva y una reconsideración, de nuevo en la medida en que sea razonable. Son dos derechos distintos: el desplegador debe poder reexaminar un caso y cambiar realmente el resultado. Integrar estos canales de solicitud en sus procesos es mucho más sencillo cuando una plataforma de gobernanza de la IA ya hace seguimiento de cada sistema y de sus decisiones.

Qué deben hacer los desarrolladores: las obligaciones documentales

Los desarrolladores soportan una carga más ligera pero precisa, centrada en la documentación. A partir del 1 de enero de 2027, el desarrollador debe facilitar a los desplegadores la documentación técnica necesaria para un uso responsable de la ADMT cubierta. Ese conjunto comprende los usos previstos, las categorías de datos personales empleadas en el entrenamiento, las limitaciones y riesgos conocidos, así como instrucciones que permitan un uso adecuado y una supervisión humana.

El desarrollador también debe notificar a los desplegadores toda actualización o modificación sustancial, ya que un cambio en el modelo puede alterar sus riesgos y su uso correcto. El texto reformulado mantiene la conservación de los registros durante tres años: los desarrolladores deben, por tanto, preservar la documentación y el historial de cambios que prueban qué hizo un sistema, y cuándo.

Para un desarrollador, la vía más limpia consiste en tratar la documentación como un componente del producto y no como un trámite tardío. Las fichas de modelo, los resúmenes de datos y las instrucciones de uso que conviven con el sistema convierten la entrega a los desplegadores en algo rutinario y mantienen sus registros de gobernanza de la IA listos para una auditoría.

Qué eliminó la Ley de IA de Colorado, y por qué sigue importando

Los cambios de mayor calado son supresiones. La Ley de IA de Colorado reformulada eliminó tres obligaciones que definían la ley de 2024: el programa obligatorio de gestión de riesgos, la evaluación de impacto y el deber de diligencia razonable frente a la discriminación algorítmica. También suprimió la revisión anual y el resumen público. Crowell and Moring describe ese deber de diligencia como la mayor fuente de exposición al riesgo bajo el régimen anterior.

Sería un error leer estas supresiones como un permiso para dejar de gobernar la IA. Esos deberes abandonaron el derecho de Colorado, no el conjunto del panorama de conformidad. El Reglamento Europeo de IA sigue exigiendo a los desplegadores de sistemas de alto riesgo una evaluación de impacto sobre los derechos fundamentales conforme a su artículo 27, cuyos elementos se exponen en la guía FRIA de ECNL y el Instituto Danés de Derechos Humanos. El marco de gestión de riesgos de IA del NIST sigue definiendo la gestión de riesgos como la base de una IA fiable. Otros estados de EE. UU. regulan los mismos sistemas, y las leyes federales contra la discriminación y de protección del consumidor se aplican todavía a las decisiones automatizadas.

La respuesta racional consiste en conservar los controles que Colorado eliminó, porque siguen siendo la forma más económica de satisfacer a la vez todos los demás regímenes y de estar listos para las normas de la fiscalía general previstas en 2027. Una evaluación de impacto, las pruebas de sesgo y un programa de riesgos documentado ya no son exigencias de Colorado, pero siguen siendo la manera de demostrar que una ADMT cubierta es justa, exacta y defendible.

Cómo prepararse antes del 1 de enero de 2027: un plan operativo

La ventana de conformidad es breve y los nuevos procesos orientados al consumidor tardan meses en construirse. Los pasos siguientes convierten la ley en un plan de acción.

  1. Elabore un inventario de ADMT. Registre cada sistema que recurre al cálculo o al aprendizaje automático para tratar datos personales e incidir en una decisión cubierta. Un inventario de sistemas de IA fiable es la base de todos los demás pasos.
  2. Clasifique cada sistema. Determine si es una ADMT cubierta, si para él es desarrollador o desplegador y si se aplica una vía sectorial de presunción de conformidad.
  3. Implante el flujo de aviso. Añada un aviso claro y visible allí donde una ADMT cubierta toque una decisión consecuente.
  4. Construya el proceso de explicación a 30 días. Cree una plantilla y designe a un responsable para que las explicaciones salgan a tiempo y describan con fidelidad el papel de la ADMT.
  5. Conecte los canales de rectificación y revisión humana. Ofrezca a los consumidores una vía para consultar y corregir sus datos y solicitar una revisión humana efectiva, y dé a sus equipos la facultad de cambiar un resultado.
  6. Mantenga una base de gobernanza voluntaria. Conserve evaluaciones de impacto, pruebas de sesgo y un programa de riesgos aunque Colorado ya no los exija.
  7. Recopile la documentación de los desarrolladores. Si despliega sistemas de terceros, exija la documentación técnica que la ley ahora requiere a los desarrolladores.
  8. Asigne responsables. Nombre a una persona para cada obligación, de modo que la conformidad no se estanque cuando se publiquen las normas.

Una única plataforma de gobernanza de la IA, que reúna el inventario, las evaluaciones y los registros de decisiones, convierte esta lista, de una carrera contrarreloj, en un proceso repetible.

Colorado en el panorama normativo estadounidense y europeo

La Ley de IA de Colorado ya no está sola. Texas aprobó el Responsible Artificial Intelligence Governance Act, Utah su Artificial Intelligence Policy Act, y California adoptó normas sobre decisiones automatizadas a través de su autoridad de privacidad. El Reglamento Europeo de IA sigue siendo el régimen más completo, con niveles de riesgo, evaluaciones de conformidad y evaluaciones de impacto para los sistemas de alto riesgo.

Tras la reescritura, Colorado se sitúa en el extremo más ligero de ese espectro. Ahora es sobre todo una ley de transparencia y de posibilidad de impugnación para el consumidor, no un régimen completo de gobernanza del riesgo. Para los operadores multiestatales e internacionales, Colorado constituye, por tanto, un suelo y no un techo. Un programa diseñado según el estándar europeo, más estricto, suele cubrir Colorado con margen; por eso alinear la conformidad con el régimen aplicable más exigente suele ser la opción eficiente. Nuestros otros análisis sobre gobernanza de la IA siguen la evolución de estos regímenes.

Preguntas frecuentes

¿Cuándo entra en vigor la Ley de IA de Colorado? La Ley de IA de Colorado reformulada, la SB 26-189, entra en vigor el 1 de enero de 2027. La fiscalía general debe completar su actividad normativa obligatoria en esa misma fecha, de modo que los requisitos detallados de información y de derechos de los consumidores se definirán poco antes del plazo de conformidad.

¿Qué sanciones prevé la Ley de IA de Colorado? La fiscalía general de Colorado aplica la ley de forma exclusiva y trata las infracciones como prácticas comerciales engañosas conforme al Colorado Consumer Protection Act. El texto no fija multas fijas separadas, y los detalles de las sanciones se esperan en las normas de la autoridad. Para muchas infracciones rige un plazo de subsanación de 60 días, pero no para las dolosas o reiteradas, y ese derecho de subsanación se extingue el 1 de enero de 2030.

¿Existe una acción judicial privada? No. El texto reformulado precisa de forma expresa que no crea una acción privada: solo la fiscalía general puede iniciar procedimientos. Los particulares pueden, aun así, actuar sobre la base de otras leyes, por ejemplo las normas antidiscriminación vigentes.

¿Cómo afecta la Ley de IA de Colorado a las decisiones de empleo? El empleo es un ámbito cubierto, de modo que usar una ADMT para influir en la contratación, la promoción o el despido activa las obligaciones del desplegador: aviso previo, explicación en 30 días, rectificación de datos y revisión humana. Las aseguradoras y las entidades sujetas a HIPAA pierden sus presunciones de conformidad precisamente en sus propias decisiones de empleo consecuentes.

¿En qué se diferencia la SB 26-189 de la ley original? La SB 24-205 original regulaba los sistemas de IA de alto riesgo y exigía un programa de gestión de riesgos, evaluaciones de impacto y un deber de diligencia razonable frente a la discriminación algorítmica. La SB 26-189 reorienta la ley hacia la tecnología de decisión automatizada y elimina esas tres obligaciones, sustituyéndolas por cuatro deberes orientados al consumidor: aviso, explicación, rectificación y revisión humana.

¿Qué empresas están exentas? No existe una exención general para las pequeñas empresas. La ley ofrece vías sectoriales de presunción de conformidad para aseguradoras, entidades sanitarias sujetas a HIPAA, productos regulados por la FDA, prestamistas conforme a ECOA y FCRA e instituciones conformes con FERPA, por lo general para las actividades que esos regímenes federales ya regulan. Sus propias decisiones de empleo suelen permanecer dentro del ámbito.

Conclusión

La Ley de IA de Colorado de 2026 es una norma más ligera que la que Colorado aprobó en 2024, pero más ligera no significa ausente. La SB 26-189 sigue exigiendo que las organizaciones sepan qué sistemas toman decisiones consecuentes, avisen a las personas cuando se emplea una ADMT, expliquen los resultados desfavorables y ofrezcan una verdadera segunda revisión humana. Las obligaciones que Colorado eliminó no han desaparecido del resto del mundo regulatorio: quienes mantengan la calma en 2027 serán quienes nunca dejaron de gobernar su IA. Empiece por un inventario de sus decisiones automatizadas y, después, construya el programa de gobernanza una sola vez y conéctelo con cada régimen aplicable. Vea cómo una plataforma de gobernanza de la IA puede sostener este trabajo.

Elena Vargas

Ley de IA de Colorado (SB 26-189): qué exige la conformidad ADMT en 2027

La Ley de IA de Colorado fue reescrita por la SB 26-189, vigente desde el 1 de enero de 2027. Qué exige la norma ADMT a desarrolladores y desplegadores.

Marco de gestión de riesgos del NIST: de los sistemas a la IA

El marco de gestión de riesgos del NIST explicado: los siete pasos del RMF, las normas SP 800-37 y 800-53 y cómo el AI RMF lo extiende a la inteligencia artificial.

IA ética: de los principios a un modelo operativo auditable

La IA ética es más que una lista de valores. Convierta equidad, transparencia y rendición de cuentas en controles auditables bajo el Reglamento de IA.

¿Qué es un frontier model? Definición, riesgos y reglas

Un frontier model es la clase de IA más avanzada. Cómo se distingue de los foundation models y los LLM, y cómo el Reglamento de IA gobierna su riesgo.

Evaluación de impacto sobre la privacidad: PIA, EIPD, EIDF

Evaluación de impacto sobre la privacidad: qué es un PIA, diferencias con la EIPD del art. 35 del RGPD y cuándo el Reglamento de IA exige una EIDF.

Marco de gestión de riesgos del NIST: guía para la IA

El marco de gestión de riesgos del NIST (SP 800-37), sus siete pasos y su relación con el NIST AI RMF y el Reglamento de IA de la UE para gobernar la IA.