Lei de IA do Colorado Foca na Governança, Não em Gadgets
As empresas que operam no Colorado ainda têm tempo até que a SB 24-205 entre em vigor em 30 de junho de 2026, mas o trabalho real já começou: é necessário fazer um inventário das ferramentas de IA, identificar usos de alto risco e construir uma governança que resista à fiscalização.
Resumo da Lei
A lei de IA do Colorado, que entra em vigor em 30 de junho de 2026, visa sistemas de alto risco. As empresas devem avaliar o uso da IA em decisões como contratação, concessão de crédito e habitação. A lei exige programas de gerenciamento de riscos, divulgações e revisão humana.
Nos últimos dois anos, as empresas implementaram a inteligência artificial (IA) de várias maneiras. Recrutadores a utilizam para triagem de candidatos, credores para avaliação de riscos, e proprietários e seguradoras para decisões que antes eram feitas por análises humanas cuidadosas. Com esses sistemas em grande parte implementados, a política legal de IA no Colorado tornou-se uma questão operacional e de conformidade.
Objetivo da Lei
A Lei SB 24-205, aprovada em 2024 e posteriormente adiada, tem como foco central a discriminação algorítmica em decisões de alto impacto. Ela não regula todos os chatbots ou ferramentas de produtividade interna, mas sim os sistemas de IA de alto risco usados para tomar decisões significativas em áreas como emprego, habitação, crédito, seguros, educação e serviços legais.
Para muitas empresas, a primeira pergunta de conformidade não é se estão usando IA, mas se a utilizam de forma a moldar decisões de alto risco, nas quais preconceitos ou ponderações prévias podem emergir, dado o funcionamento da IA e dos sistemas de modelos de linguagem.
Obrigações dos Desenvolvedores e Usuários
A lei impõe obrigações a dois grupos: desenvolvedores e usuários. Os desenvolvedores são entidades que criam ou modificam significativamente sistemas de alto risco. Os usuários são empresas que utilizam esses sistemas. Ambos devem tomar cuidados razoáveis para proteger os consumidores de riscos conhecidos ou previsíveis de discriminação algorítmica.
Para os usuários, isso significa implementar uma política de gerenciamento de riscos e um programa, realizar avaliações de impacto, revisar seus sistemas anualmente, fornecer certos avisos aos consumidores, oferecer uma maneira de corrigir dados pessoais incorretos e garantir um processo de apelação para decisões adversas com revisão humana, onde tecnicamente viável.
Os desenvolvedores, por sua vez, devem fornecer aos usuários informações sobre o sistema, documentação necessária para avaliações de impacto e divulgações públicas sobre os tipos de sistemas de alto risco que disponibilizam.
Transparência e Governança
Há também uma regra de transparência mais ampla que se estende além da categoria de alto risco. Uma empresa que implanta um sistema de IA destinado a interagir com consumidores deve divulgar que o consumidor está interagindo com IA. Embora essa exigência pareça simples, tem consequências práticas para ferramentas de atendimento ao cliente e assistentes digitais voltados ao consumidor.
As empresas não devem tratar a lei como um problema puramente técnico; é, na verdade, um problema de governança. A conformidade não será atendida apenas perguntando ao departamento de TI se um modelo é tendencioso ou ao setor jurídico para redigir uma política simples. As empresas que melhor se posicionarem até 30 de junho serão aquelas que mapearem o uso da IA e os casos de uso associados, controlarem a IA oculta, identificarem quais ferramentas afetam decisões significativas, documentarem a propriedade, definirem procedimentos de revisão e alinharem as lideranças de compras, jurídicas, de recursos humanos, de conformidade e de negócios em torno de um processo comum.
Próximos Passos
Um primeiro passo prático é um inventário de IA e uma Política de Usuários de IA que especifique os casos de uso permitidos, preferencialmente atribuídos por função em vez de por indivíduo. Isso deve ser um registro disciplinado de sistemas que influenciam os resultados dos consumidores. A partir daí, as empresas podem classificar quais ferramentas são de baixo risco, quais são voltadas para o consumidor e requerem divulgação, e quais podem se enquadrar no quadro de alto risco da lei.
Os contratos com fornecedores devem ser revisados com uma nova perspectiva. Se sua empresa é a usuária, pode realmente obter a documentação que a lei exige que os desenvolvedores forneçam? Se você é o desenvolvedor, está preparado para fornecê-la?
Conclusão
A lei de IA do Colorado é um sinal claro de onde a conformidade obrigatória está se dirigindo. Regulamentações semelhantes da Lei de Privacidade do Consumidor da Califórnia entrarão em vigor em janeiro de 2027, com aplicação por parte da Agência de Proteção da Privacidade da Califórnia. Clientes, reguladores e contrapartes desejam cada vez mais a mesma coisa: prova de que as decisões habilitadas por IA estão sendo governadas de maneira disciplinada e explicável.
As empresas que construírem essa disciplina estarão em uma posição melhor para conformidade e para conquistar a confiança. E na economia da IA, a confiança pode se revelar o ativo mais valioso de todos.
