Log in
Sign up
Colorado AI Act compliance, a Rocky Mountain peak in sumi-e ink

Sections

Lei de IA do Colorado (SB 26-189): o que a conformidade ADMT exige em 2027

O essencial

  • Em 2026, o Colorado reescreveu a sua lei de IA: a SB 26-189 revoga e volta a promulgar o texto original de 2024 (SB 24-205) e entra em vigor a 1 de janeiro de 2027.
  • A lei passa a abranger as tecnologias de decisão automatizada (ADMT) usadas em decisões relevantes, e já não os sistemas de IA de risco elevado.
  • Os implementadores assumem quatro obrigações operacionais: aviso prévio, explicação no prazo de 30 dias perante um resultado desfavorável, acesso e retificação dos dados e revisão humana.
  • A revisão eliminou as obrigações originais de avaliação de impacto, de programa de gestão de risco e de dever de diligência contra a discriminação algorítmica.
  • Essas obrigações suprimidas continuam a vincular muitas organizações através de outros regimes, pelo que um programa de governação da IA em funcionamento continua a ser a base racional antes de 2027.
Conformidade com a Lei de IA do Colorado, um pico das Montanhas Rochosas a tinta sumi-e

O que é hoje a Lei de IA do Colorado: da SB 24-205 à SB 26-189

Quando, em maio de 2024, o governador Jared Polis promulgou a SB 24-205, o Colorado tornou-se o primeiro estado dos EUA com uma lei ampla e transversal sobre inteligência artificial. Esse texto original impunha deveres pesados aos programadores e implementadores de sistemas de IA de risco elevado, entre eles um dever de diligência razoável para proteger os consumidores da discriminação algorítmica.

A lei nunca chegou a aplicar-se nessa forma. A data de entrada em vigor foi adiada duas vezes e, no início de 2026, um tribunal suspendeu temporariamente a sua execução após uma ação da xAI apoiada pelo Departamento de Justiça dos EUA. Um grupo de trabalho composto por legisladores, pelo gabinete do governador e pela procuradoria-geral negociou um texto substituto e publicou uma proposta em março de 2026.

O resultado chama-se SB 26-189, com o título Automated Decision-Making Technology. Em vez de alterar a lei vigente, revoga-a e volta a promulgá-la. De acordo com o processo legislativo da Assembleia Geral do Colorado, o texto foi apresentado a 1 de maio de 2026, aprovado pelo Senado a 7 de maio e pela Câmara a 9 de maio, e promulgado a 14 de maio de 2026. As disposições gerais produzem efeitos a 1 de janeiro de 2027.

A lição prática é clara: grande parte das análises publicadas sobre a primeira lei descreve obrigações que já não existem. Qualquer organização que construa um programa de governação da IA em torno do Colorado deve partir do texto reformulado, e não da versão de 2024.

Do risco elevado à tecnologia de decisão automatizada

A mudança central diz respeito ao conceito de base. A lei original regulava os sistemas de IA de risco elevado. O texto reformulado regula as tecnologias de decisão automatizada abrangidas, que a sociedade de advogados Crowell and Moring descreve como qualquer sistema que recorre ao cálculo ou à aprendizagem automática para tratar dados pessoais e influenciar de forma substancial uma decisão relevante.

Esta definição é mais ampla do que parece. Abandona o requisito anterior de que o sistema inferisse resultados a partir de entradas; por isso, mesmo uma simples ferramenta baseada em regras, que verifica se uma resposta se situa dentro de um intervalo aceitável, pode ficar abrangida quando incide sobre uma decisão coberta.

Uma decisão relevante é aquela que produz um efeito jurídico importante, ou de importância comparável, sobre o acesso de um consumidor à educação, ao emprego, à habitação, aos serviços financeiros ou de crédito, aos seguros, aos cuidados de saúde ou aos serviços públicos essenciais, ou sobre o seu custo ou as suas condições. Estes domínios foram mantidos da lei original.

O texto reformulado enumera também o que fica fora do seu âmbito. As funções correntes como o agendamento, a triagem do apoio ao cliente, a publicidade, as recomendações de produtos, a pesquisa e a moderação de conteúdos ficam excluídas, tal como as firewalls, os filtros de spam, os corretores ortográficos, o alojamento web, as calculadoras, as bases de dados, as folhas de cálculo e as ferramentas que apenas resumem ou apresentam informação para revisão humana. Confrontar os seus sistemas com estes limites é o primeiro passo para um inventário de sistemas de IA fiável.

Quem é abrangido: programadores, implementadores e presunções de conformidade setoriais

A lei mantém a estrutura de duas funções adotada pela maioria dos regimes recentes. O programador cria ou modifica de forma substancial uma ADMT abrangida. O implementador utiliza-a no Colorado para influenciar decisões relevantes sobre residentes. Uma mesma empresa pode desempenhar ambos os papéis em simultâneo, por exemplo quando cria um modelo interno de recrutamento e o opera ela própria.

O texto reformulado alterou o regime de isenções. A versão de 2024 previa amplas exclusões condicionadas para as entidades já reguladas a nível federal. Como observa a análise do Consumer Finance Monitor, a reescrita restringe essas isenções gerais, o que alarga o âmbito, e substitui-as por vias específicas de presunção de conformidade.

Essas vias reconhecem os controlos que certos setores regulados já aplicam. As seguradoras que cumprem as regras do Colorado sobre discriminação algorítmica são consideradas conformes, exceto nas suas próprias decisões de emprego. As entidades de saúde sujeitas à HIPAA ficam em larga medida fora do âmbito, salvo nas decisões de emprego relevantes e nas determinações de apoio financeiro. Os dispositivos médicos e os produtos farmacêuticos regulados pela FDA ficam excluídos. Os credores que já emitem avisos de ação desfavorável ao abrigo da ECOA e da FCRA podem recorrer a esses procedimentos para cumprir o dever de informação, e as instituições conformes com a FERPA são consideradas conformes quanto ao aviso e à revisão humana quando já dispõem de processos de retificação e revisão. Determinar qual a via aplicável a cada sistema cabe à documentação da sua governação da IA.

O que os implementadores têm de fazer: as quatro obrigações operacionais

Os implementadores assumem as obrigações que os consumidores mais irão notar. A Lei de IA do Colorado reformulada estabelece quatro, descritas em termos operacionais pela Norton Rose Fulbright.

Um aviso claro e visível

Antes de uma ADMT abrangida ser usada para influenciar uma decisão relevante, o implementador deve informar o consumidor de forma clara e visível de que a tecnologia está a ser utilizada. Trata-se de um dever de transparência prévio, e não de uma explicação posterior.

A explicação em 30 dias perante um resultado desfavorável

Quando uma decisão coberta produz um resultado desfavorável, o implementador dispõe de 30 dias para fornecer uma explicação em linguagem clara. Esta deve expor a decisão, descrever o papel desempenhado pela ADMT e indicar à pessoa como exercer os seus direitos. Esta obrigação é o núcleo operacional da lei, pois obriga os implementadores a saber que sistemas determinaram que decisões.

Acesso e retificação dos dados pessoais

As pessoas podem pedir para consultar os dados pessoais usados numa decisão e retificar os dados inexatos, na medida em que seja comercialmente razoável. O implementador deve, por isso, conseguir rastrear os dados na origem de um determinado resultado.

Revisão humana e reapreciação

Após uma decisão desfavorável, uma pessoa pode pedir uma revisão humana efetiva e uma reapreciação, igualmente na medida do razoável. São dois direitos distintos: o implementador deve poder reexaminar um caso e alterar realmente o resultado. Integrar estes canais de pedido nos processos é muito mais simples quando uma plataforma de governação da IA já acompanha cada sistema e as suas decisões.

O que os programadores têm de fazer: as obrigações documentais

Os programadores suportam um encargo mais ligeiro, mas preciso, centrado na documentação. A partir de 1 de janeiro de 2027, o programador deve fornecer aos implementadores a documentação técnica necessária a uma utilização responsável da ADMT abrangida. Esse conjunto inclui as utilizações previstas, as categorias de dados pessoais usadas no treino, os limites e riscos conhecidos, bem como instruções que permitam uma utilização adequada e uma supervisão humana.

O programador deve ainda notificar os implementadores de qualquer atualização ou modificação substancial, uma vez que uma alteração ao modelo pode alterar os seus riscos e a sua utilização correta. O texto reformulado mantém a conservação de registos durante três anos: os programadores devem, por isso, preservar a documentação e o histórico de alterações que provam o que um sistema fez, e quando.

Para um programador, a via mais limpa consiste em tratar a documentação como um elemento do produto e não como uma formalidade tardia. Fichas de modelo, sínteses de dados e instruções de utilização que vivem ao lado do sistema tornam a entrega aos implementadores rotineira e mantêm os registos da sua governação da IA prontos para uma auditoria.

O que a Lei de IA do Colorado eliminou, e porque ainda importa

As alterações mais profundas são supressões. A Lei de IA do Colorado reformulada removeu três obrigações que definiam a lei de 2024: o programa obrigatório de gestão de risco, a avaliação de impacto e o dever de diligência razoável contra a discriminação algorítmica. Eliminou também a revisão anual e o resumo público. A Crowell and Moring descreve esse dever de diligência como a maior fonte de exposição ao risco no regime anterior.

Seria um erro ler estas supressões como uma autorização para deixar de governar a IA. Esses deveres saíram do direito do Colorado, não de todo o panorama de conformidade. O Regulamento Europeu de IA continua a exigir aos implementadores de sistemas de risco elevado uma avaliação de impacto sobre os direitos fundamentais ao abrigo do seu artigo 27.º, cujos elementos constam do guia FRIA da ECNL e do Instituto Dinamarquês de Direitos Humanos. O quadro de gestão de risco da IA do NIST continua a definir a gestão de risco como a base de uma IA de confiança. Outros estados dos EUA regulam os mesmos sistemas, e as leis federais antidiscriminação e de defesa do consumidor continuam a aplicar-se às decisões automatizadas.

A resposta racional consiste em conservar os controlos que o Colorado eliminou, porque continuam a ser a forma mais económica de satisfazer em simultâneo todos os outros regimes e de estar preparado para as regras da procuradoria-geral previstas para 2027. Uma avaliação de impacto, os testes de enviesamento e um programa de risco documentado já não são exigências do Colorado, mas continuam a ser a forma de provar que uma ADMT abrangida é justa, exata e defensável.

Como preparar-se antes de 1 de janeiro de 2027: um plano operacional

A janela de conformidade é curta e os novos processos orientados para o consumidor levam meses a construir. Os passos seguintes transformam a lei num plano de ação.

  1. Construa um inventário de ADMT. Registe cada sistema que recorre ao cálculo ou à aprendizagem automática para tratar dados pessoais e incidir sobre uma decisão coberta. Um inventário de sistemas de IA fiável é a base de todos os outros passos.
  2. Classifique cada sistema. Determine se é uma ADMT abrangida, se para ele é programador ou implementador e se se aplica uma via setorial de presunção de conformidade.
  3. Implemente o fluxo de aviso. Acrescente um aviso claro e visível onde quer que uma ADMT abrangida toque uma decisão relevante.
  4. Construa o processo de explicação a 30 dias. Crie um modelo e nomeie um responsável, para que as explicações saiam a tempo e descrevam fielmente o papel da ADMT.
  5. Ligue os canais de retificação e revisão humana. Ofereça aos consumidores uma via para consultar e corrigir os dados e pedir uma revisão humana efetiva, e dê às suas equipas o poder de alterar um resultado.
  6. Mantenha uma base de governação voluntária. Conserve avaliações de impacto, testes de enviesamento e um programa de risco mesmo que o Colorado já não os exija.
  7. Recolha a documentação dos programadores. Se utiliza sistemas de terceiros, exija a documentação técnica agora exigida aos programadores.
  8. Atribua responsáveis. Nomeie uma pessoa para cada obrigação, para que a conformidade não estagne quando as regras forem publicadas.

Uma única plataforma de governação da IA, que reúne o inventário, as avaliações e os registos de decisões, transforma esta lista, de uma corrida contra o tempo, num processo repetível.

O Colorado no panorama normativo dos EUA e da Europa

A Lei de IA do Colorado já não está isolada. O Texas aprovou o Responsible Artificial Intelligence Governance Act, o Utah a sua Artificial Intelligence Policy Act, e a Califórnia adotou regras sobre decisões automatizadas através da sua autoridade de privacidade. O Regulamento Europeu de IA continua a ser o regime mais completo, com níveis de risco, avaliações de conformidade e avaliações de impacto para os sistemas de risco elevado.

Após a reescrita, o Colorado situa-se na extremidade mais ligeira deste espetro. É agora sobretudo uma lei de transparência e de contestabilidade para o consumidor, e não um regime completo de governação do risco. Para os operadores multiestaduais e internacionais, o Colorado constitui, assim, um piso e não um teto. Um programa concebido segundo o padrão europeu, mais exigente, cobre em geral o Colorado com margem; por isso, alinhar a conformidade pelo regime aplicável mais exigente é muitas vezes a opção eficiente. As nossas outras análises sobre governação da IA acompanham a evolução destes regimes.

Perguntas frequentes

Quando entra em vigor a Lei de IA do Colorado? A Lei de IA do Colorado reformulada, a SB 26-189, entra em vigor a 1 de janeiro de 2027. A procuradoria-geral deve concluir a sua atividade regulamentar obrigatória na mesma data, pelo que os requisitos detalhados de informação e de direitos dos consumidores serão definidos pouco antes do prazo de conformidade.

Quais são as sanções previstas na Lei de IA do Colorado? A procuradoria-geral do Colorado aplica a lei em exclusivo e trata as infrações como práticas comerciais enganosas ao abrigo do Colorado Consumer Protection Act. O texto não fixa coimas fixas separadas, e os detalhes das sanções são esperados nas regras da autoridade. Para muitas infrações vigora um prazo de regularização de 60 dias, mas não para as dolosas ou repetidas, e esse direito de regularização extingue-se a 1 de janeiro de 2030.

Existe uma ação judicial privada? Não. O texto reformulado esclarece expressamente que não cria uma ação privada: apenas a procuradoria-geral pode instaurar processos. Os particulares podem, ainda assim, agir com base noutras leis, por exemplo as normas antidiscriminação existentes.

Como afeta a Lei de IA do Colorado as decisões de emprego? O emprego é um domínio coberto, pelo que usar uma ADMT para influenciar uma contratação, uma promoção ou um despedimento ativa as obrigações do implementador: aviso prévio, explicação em 30 dias, retificação de dados e revisão humana. As seguradoras e as entidades sujeitas à HIPAA perdem as suas presunções de conformidade precisamente nas suas próprias decisões de emprego relevantes.

Em que difere a SB 26-189 da lei original? A SB 24-205 original regulava os sistemas de IA de risco elevado e exigia um programa de gestão de risco, avaliações de impacto e um dever de diligência razoável contra a discriminação algorítmica. A SB 26-189 reorienta a lei para a tecnologia de decisão automatizada e elimina estas três obrigações, substituindo-as por quatro deveres orientados para o consumidor: aviso, explicação, retificação e revisão humana.

Que empresas estão isentas? Não existe uma isenção geral para as pequenas empresas. A lei prevê vias setoriais de presunção de conformidade para seguradoras, entidades de saúde sujeitas à HIPAA, produtos regulados pela FDA, credores ao abrigo da ECOA e da FCRA e instituições conformes com a FERPA, em geral para as atividades que esses regimes federais já regulam. As suas próprias decisões de emprego permanecem, regra geral, dentro do âmbito.

Conclusão

A Lei de IA do Colorado de 2026 é uma norma mais ligeira do que a que o Colorado aprovou em 2024, mas mais ligeira não significa ausente. A SB 26-189 continua a exigir que as organizações saibam que sistemas tomam decisões relevantes, avisem as pessoas quando uma ADMT é utilizada, expliquem os resultados desfavoráveis e ofereçam uma verdadeira segunda análise humana. As obrigações que o Colorado eliminou não desapareceram do resto do mundo regulatório: quem estiver tranquilo em 2027 será quem nunca deixou de governar a sua IA. Comece por um inventário das suas decisões automatizadas e, depois, construa o programa de governação uma só vez e ligue-o a cada regime aplicável. Veja como uma plataforma de governação da IA pode sustentar este trabalho.

Sofia Almeida

Lei de IA do Colorado (SB 26-189): o que a conformidade ADMT exige em 2027

A Lei de IA do Colorado foi reescrita pela SB 26-189, em vigor a 1 de janeiro de 2027. O que a norma ADMT exige a programadores e implementadores.

Estrutura de gestão de riscos do NIST: dos sistemas à IA

A estrutura de gestão de riscos do NIST explicada: os sete passos do RMF, as normas SP 800-37 e 800-53 e como o AI RMF a estende à inteligência artificial.

IA ética: dos princípios a um modelo operacional auditável

A IA ética torna-se real quando cada princípio se associa a uma obrigação do EU AI Act, da ISO 42001 e do NIST AI RMF, com responsável e prova.

O que é um frontier model? Definição, riscos e regras

Um frontier model é a classe de IA mais avançada. Como se distingue dos foundation models e dos LLM, e como o Regulamento de IA governa o seu risco.

Avaliação de impacto sobre a privacidade: PIA, AIPD, AIDF

Avaliação de impacto sobre a privacidade: o que é um PIA, em que difere da AIPD (art. 35 do RGPD) e quando o regulamento da IA exige uma AIDF.

Estrutura de gestão de riscos do NIST: guia para a IA

A estrutura de gestão de riscos do NIST (SP 800-37), os seus sete passos e a ligação ao NIST AI RMF e ao Regulamento da IA da UE para governar a IA.