Divergencias en la Regulación de la IA: Colorado y el Enfoque Federal

Lo que las empresas necesitan saber: La Ley de IA de Colorado se aparta del enfoque federal sobre el impacto desigual

La semana pasada, los legisladores de Colorado llevaron a cabo una sesión especial que culminó en la decisión de retrasar la implementación de la Ley de Inteligencia Artificial de Colorado (CAIA) hasta el 30 de junio de 2026, ampliando el cronograma más allá de su fecha de inicio original en febrero de 2026. Este retraso brinda a las empresas una breve ventana para prepararse, pero la ley sigue vigente, exigiendo a las compañías construir programas de gobernanza y realizar evaluaciones de impacto regulares de los sistemas de IA de alto riesgo.

Enfoque de CAIA: Responsabilidad por discriminación no intencional

La CAIA establece responsabilidad tanto para los desarrolladores como para los implementadores de IA si sus sistemas producen resultados discriminatorios, incluso sin intención. La ley define la discriminación algorítmica para incluir los impactos desiguales causados por la IA en decisiones importantes, y clasifica como «de alto riesgo» aquellos sistemas que influyen en decisiones en áreas como empleo, vivienda, crédito, educación, salud, seguros, servicios legales y servicios gubernamentales esenciales.

El papel de las evaluaciones de impacto bajo CAIA

Las evaluaciones de impacto son un componente central de los nuevos requisitos regulatorios de la IA en el estado. Los implementadores de estos sistemas de IA de alto riesgo deben completar una evaluación de impacto antes de que el sistema se utilice por primera vez, repetir la evaluación al menos anualmente y realizar una nueva dentro de los 90 días de cualquier modificación sustancial.

Cada evaluación de impacto debe incluir:

• Una descripción del propósito del sistema, uso previsto y contexto de implementación;
• Las categorías de datos de entrada y la naturaleza de las salidas del sistema;
• Un resumen de las categorías de datos que el implementador utilizó para personalizar o reentrenar el sistema;
• Los métricas de rendimiento utilizadas para evaluar la precisión y la equidad;
• Un análisis de los riesgos potenciales de discriminación algorítmica;
• Los pasos tomados para mitigar esos riesgos;
• Las medidas de transparencia y supervisión implementadas;
• Procedimientos de monitoreo post-implementación para detectar problemas.

Las evaluaciones de impacto deben ser documentadas y retenidas por un mínimo de tres años. Esto crea una obligación continua para las empresas de probar y validar la equidad de sus sistemas.

Salvaguardias y aplicación de CAIA

La CAIA proporciona una forma de salvaguardia para las empresas que cumplen con sus requisitos. Las empresas que mantienen un programa de gestión de riesgos y completan las evaluaciones de impacto requeridas reciben una presunción de cumplimiento rebatible. Además, hay disponible una defensa afirmativa si se descubre y corrige una violación mientras la empresa sigue un marco de riesgo reconocido.

La autoridad de aplicación recae en el Fiscal General de Colorado, y los implementadores deben notificar al AG dentro de los 90 días de descubrir una discriminación algorítmica.

Enfoque federal: Responsabilidad solo por discriminación intencional

En abril de 2025, el presidente emitió la Orden Ejecutiva 14281, que dirige a las agencias federales a abandonar el análisis de impacto desigual en la elaboración de normas y la aplicación de la ley. Bajo este enfoque, la responsabilidad se limita a la discriminación intencional, y los resultados desiguales sin intención no son procesables.

Para las empresas, este cambio reduce las cargas de cumplimiento asociadas con la supervisión federal. Sin embargo, esto no elimina completamente el riesgo, ya que los demandantes privados aún pueden presentar reclamaciones por impacto desigual bajo estatutos federales.

Implicaciones prácticas de la divergencia estatal y federal

La CAIA ha vinculado la responsabilidad al impacto desigual y ha hecho de las evaluaciones de impacto el centro del cumplimiento. Mientras que el gobierno federal ha abandonado el análisis de impacto desigual, creando un paisaje regulatorio dividido. Las empresas que operan a nivel nacional necesitarán reconciliar estos dos sistemas.

El resultado es un entorno de cumplimiento de dos vías. Las empresas que se centren exclusivamente en los estándares federales arriesgan responsabilidad en Colorado y otros estados que puedan seguir su ejemplo. Mientras que aquellas que estructuren sus programas de gobernanza en torno a los estándares más altos de CAIA estarán mejor posicionadas para cumplir con ambos regímenes.

Es importante señalar que la CAIA no solo impone obligaciones, sino que también incorpora protecciones de salvaguarda para las empresas que cumplen. Mantener programas de gestión de riesgos y realizar evaluaciones de impacto regulares proporciona a las empresas un camino para protegerse legalmente.

Conclusión

Las empresas ahora enfrentan dos enfoques diferentes para la regulación de la IA. A nivel estatal, las compañías pueden ser responsabilizadas por discriminación no intencional, mientras que a nivel federal, la responsabilidad se limita a la discriminación intencional. La CAIA también deja claro que las empresas tienen un camino para protegerse mediante el cumplimiento de sus requisitos.

A medida que más estados consideren la posibilidad de promulgar marcos regulatorios similares a la CAIA, es probable que el mosaico regulatorio se expanda. Las empresas que se comprometan a diseñar programas de gestión de riesgos, realizar evaluaciones de impacto exhaustivas y calibrar las divulgaciones estarán mejor posicionadas para navegar por estos sistemas divergentes.