Actualizaciones de la Ley de Inteligencia Artificial de Colorado (CAIA): Un Resumen de las Protecciones al Consumidor al Interactuar con Sistemas de Inteligencia Artificial
Durante la sesión legislativa de 2024, la Asamblea General de Colorado aprobó el Proyecto de Ley del Senado 24-205, conocido como la Ley de Inteligencia Artificial de Colorado (CAIA). Esta ley entrará en vigor el 1 de febrero de 2026 y requiere que los desarrolladores y desplegadores de sistemas de IA de alto riesgo protejan a los residentes de Colorado (“consumidores”) de los riesgos de discriminación algorítmica. Notablemente, la ley también exige que los desarrolladores o desplegadores informen a los consumidores que están interactuando con un sistema de IA.
A medida que Colorado avanza hacia la implementación, el Grupo de Trabajo sobre el Impacto de la IA de Colorado emitió sus recomendaciones para actualizaciones en su Informe del 1 de febrero de 2025. Estas actualizaciones, junto con la descripción de la ley, se cubren a continuación.
Antecedentes
Un sistema de IA de “alto riesgo” se define como cualquier sistema basado en máquinas que infiere resultados a partir de entradas de datos y tiene un efecto legal material o similar sobre la provisión, denegación, costo o términos de un producto o servicio. La ley identifica varios sectores que involucran decisiones de gran consecuencia, como decisiones relacionadas con la salud, empleo, finanzas o crédito, vivienda, seguros o servicios legales. Además, la CAIA tiene numerosas excepciones para tecnologías que realizan tareas específicas o ciertas funciones, como la ciberseguridad, almacenamiento de datos y chatbots.
Fuera de los escenarios de uso, la CAIA también impone a los desarrolladores de sistemas de IA el deber de prevenir la discriminación algorítmica y proteger a los consumidores de cualquier riesgo conocido o previsible que surja del uso del sistema de IA. Un desarrollador es aquel que desarrolla o modifica un sistema de IA utilizado en el estado de Colorado. Entre otras cosas, un desarrollador debe poner a disposición la documentación para los usos previstos y los posibles usos perjudiciales del sistema de IA de alto riesgo.
De manera similar, la CAIA también regula a la persona que está haciendo negocios en Colorado y despliega un sistema de IA de alto riesgo para que los residentes de Colorado lo utilicen (el “desplegador”). Los desplegadores enfrentan regulaciones más estrictas y deben informar a los consumidores cuando la IA está involucrada en una decisión de gran consecuencia. La ley requiere que los desplegadores implementen una política y programa de gestión de riesgos para gobernar el uso del sistema de IA. Además, los desplegadores deben reportar cualquier discriminación identificada a la Oficina del Fiscal General dentro de los 90 días y deben permitir que los consumidores apelen decisiones basadas en IA o soliciten una revisión humana de la decisión cuando sea posible.
Privacidad de Datos y Derechos del Consumidor
Los consumidores tienen derecho a optar por no participar en el procesamiento de datos relacionados con decisiones basadas en IA y pueden apelar cualquier decisión basada en IA. Esta disposición de exclusión puede impactar el futuro de la toma de decisiones automatizada relacionada con el residente de Colorado y el procesamiento de datos personales de ese consumidor. El desplegador también debe informar al consumidor cuando se ha utilizado un sistema de IA de alto riesgo en el proceso de toma de decisiones que resulta en una decisión adversa para el consumidor.
Exenciones
La CAIA contiene varias exenciones, incluida para entidades que operan bajo otros regímenes regulatorios (por ejemplo, aseguradoras, bancos y entidades cubiertas por HIPAA) o para el uso de ciertas tecnologías aprobadas (por ejemplo, tecnologías despejadas, aprobadas o certificadas por una agencia federal, como la FAA o la FDA). Sin embargo, hay algunas salvedades, por ejemplo, las entidades cubiertas por HIPAA están exentas en la medida en que proporcionen recomendaciones de salud generadas por un sistema de IA que requieran que la entidad cubierta por HIPAA tome medidas para implementar la recomendación y no se consideren “de alto riesgo”. Las pequeñas empresas están exentas en la medida en que empleen a menos de 50 empleados a tiempo completo y no entrenen el sistema con sus propios datos. Por lo tanto, los desplegadores deben analizar detenidamente las exenciones disponibles para asegurar que sus actividades se encuentren dentro de las recomendaciones.
Actualizaciones
Como se destacó en el reciente Informe del Grupo de Trabajo sobre el Impacto de la IA de Colorado, el informe alienta a realizar cambios adicionales a la CAIA antes de que se aplique en febrero de 2026. Las preocupaciones actuales se centran en ambigüedades, cargas de cumplimiento y diversas preocupaciones de los interesados. El Gobernador está preocupado por si las barreras inhiben la innovación y el progreso de la IA en el estado.
El Grupo de Trabajo sobre el Impacto de la IA de Colorado señala que hay consenso para refinar los requisitos de documentación y notificación. Sin embargo, hay menos consenso sobre cómo ajustar la definición de “decisiones de gran consecuencia”. La modificación de las exenciones a la definición de sistemas cubiertos también es un cambio deseado tanto por la industria como por el público.
Otros cambios potenciales a la CAIA dependen de cómo se revisen secciones interconectadas en relación con otras disposiciones relacionadas. Por ejemplo, los cambios en la definición de “discriminación algorítmica” dependen de otros temas relacionados con las obligaciones de los desarrolladores y desplegadores para prevenir la discriminación algorítmica y la aplicación relacionada. Del mismo modo, los intervalos para las evaluaciones de impacto pueden verse afectados en gran medida por cambios en la definición de “modificación intencional y sustancial” de los sistemas de IA de alto riesgo. Además, esas evaluaciones de impacto están interrelacionadas con los programas de gestión de riesgos del desarrollador y probablemente implicarán cualquier cambio propuesto a las evaluaciones de impacto o programas de gestión de riesgos.
Por último, existe un firme desacuerdo sobre enmiendas relacionadas con varias definiciones. “Factor sustancial” es una definición debatida que requerirá un enfoque creativo para definir el alcance de las tecnologías de IA sujetas a la CAIA. De manera similar, “deber de cuidado” es un tema muy debatido para desarrolladores y desplegadores y si eliminar ese concepto o reemplazarlo con obligaciones más estrictas. Otros temas debatidos que están sujetos a cambio incluyen la exención para pequeñas empresas, la oportunidad de corregir incidentes de incumplimiento, exenciones de secretos comerciales, el derecho del consumidor a apelar y el alcance de la regulación del Fiscal General.
Orientación
Dado que la mayoría de los interesados reconocen que se necesitan cambios, cualquier negocio afectado por la CAIA debe continuar vigilando los desarrollos en el proceso legislativo para posibles cambios que podrían impactar drásticamente el alcance y los requisitos de la Ley de IA de Colorado.
Conclusiones
Las empresas deben evaluar si ellas, o sus proveedores, utilizan algún sistema de IA que podría considerarse de alto riesgo bajo la CAIA. Algunas recomendaciones incluyen:
- Evaluar el uso de IA y considerar si ese uso está dentro de la definición de la CAIA, incluida la disponibilidad de exenciones.
- Realizar una evaluación de riesgos de IA consistente con la Ley de IA de Colorado.
- Desarrollar un plan de cumplimiento de IA que sea consistente con las protecciones al consumidor de la CAIA en relación con los procesos de notificación y apelación.
- Continuar monitoreando las actualizaciones de la CAIA.
- Evaluar contratos con proveedores de IA para asegurar que la documentación necesaria sea proporcionada por el desarrollador o desplegador.
Colorado ha tomado la delantera como uno de los primeros estados de la nación en promulgar leyes amplias sobre IA. Otros estados probablemente mirarán el progreso de Colorado y promulgarán legislación similar o realizarán mejoras donde sea necesario. Por lo tanto, seguir la CAIA y su implementación es de gran importancia en el creciente campo de los sistemas de IA enfocados en el consumidor que impactan decisiones de gran consecuencia en la salud, el bienestar financiero, la educación, la vivienda o el empleo del consumidor.
