Colorado ha promulgado la primera ley integral de inteligencia artificial en la nación que regula los sistemas «de alto riesgo» utilizados en la toma de decisiones laborales. A partir del 1 de febrero de 2026, la ley se centra específicamente en la «discriminación algorítmica», tratamiento diferencial o impacto ilegal que perjudica a individuos basado en clasificaciones protegidas por la ley de Colorado o federal, y es aplicada exclusivamente por el Fiscal General de Colorado, sin derecho de acción privada.
Lo que cubre el CAIA
El concepto central de la ley es el de «sistemas de inteligencia artificial de alto riesgo», definidos como sistemas que toman, o son un factor importante en la toma de decisiones importantes con efectos legales o de importancia similar. Las decisiones laborales están expresamente incluidas. El estándar de «factor importante» se extiende a las salidas generadas por inteligencia artificial utilizadas como base para tales decisiones. La ley excluye de la categoría de «alto riesgo» a los sistemas destinados a realizar tareas procedimentales estrechas o detectar desviaciones en la toma de decisiones sin reemplazar la evaluación humana, así como a tecnologías comunes (por ejemplo, anti-malware, calculadoras, hojas de cálculo, filtros de spam) a menos que ellos mismos tomen decisiones importantes o sean un factor sustancial en una decisión importante.
El CAIA regula a los «desarrolladores» que crean o modifican intencional y sustancialmente sistemas de inteligencia artificial y a los «implementadores» que utilizan sistemas de inteligencia artificial de alto riesgo. Muchos empleadores caerán en la categoría de implementadores, aunque algunos también podrían calificar como desarrolladores si modifican sustancialmente las herramientas de inteligencia artificial de los proveedores. Es importante destacar que el aprendizaje constante del modelo que fue predeterminado y documentado en las evaluaciones iniciales de impacto no constituye una «modificación intencional y sustancial».
La protección bajo el CAIA se extiende a los «consumidores», definidos como residentes de Colorado, capturando tanto a solicitantes de empleo como a empleados que residen en el estado. La ley brinda alivio limitado para organizaciones más pequeñas: los implementadores con menos de 50 empleados equivalentes a tiempo completo están exentos de la política de gestión de riesgos, evaluación de impacto y requisitos de declaración en el sitio web público, pero solo si no utilizan sus propios datos para entrenar el sistema, utilizan el sistema únicamente para los fines divulgados por el desarrollador, y ponen a disposición de los consumidores cualquier evaluación de impacto completada por el desarrollador con un contenido sustancialmente similar. Incluso cuando se aplique esta exención, los deberes de cuidado razonable, notificaciones previas a la decisión, explicaciones y apelaciones de acciones adversas, y la notificación al Fiscal General siguen vigentes.
Obligaciones clave de cumplimiento
Según el CAIA, los desarrolladores e implementadores deben ejercer un cuidado razonable para prevenir los riesgos de discriminación algorítmica conocidos o razonablemente previsibles a partir del 1 de febrero de 2026. Se aplica una presunción de cuidado razonable en las acciones de aplicación del Fiscal General si satisfacen los requisitos estatutarios y cualquier regla del Fiscal General. Los implementadores deben:
Implementar una política y programa de gestión de riesgos iterativa y de ciclo de vida, escalada según el tamaño y complejidad y alineada con el NIST AI RMF, ISO / IEC 42001 u otro marco designado por el Fiscal General;
Completar evaluaciones de impacto antes del despliegue, al menos anualmente y dentro de los 90 días posteriores a cualquier modificación intencional y sustancial, cubriendo el propósito, los riesgos de discriminación, las entradas/salidas de datos, las métricas de rendimiento, las medidas de transparencia y el monitoreo posterior al despliegue, y mantener las evaluaciones y registros relacionados durante al menos tres años después del despliegue final;
Revisar separadamente cada sistema de alto riesgo desplegado al menos una vez al año para confirmar que no causa discriminación algorítmica;
Antes de una decisión importante, notificar al consumidor que se está utilizando inteligencia artificial, proporcionar una descripción en lenguaje sencillo del propósito del sistema y la naturaleza de la decisión, información de contacto del implementador e instrucciones para acceder a la declaración pública del implementador, junto con información para excluirse del perfilado de la Ley de Privacidad de Colorado cuando corresponda; si la decisión es adversa, divulgar las razones principales (incluido el grado y la manera de contribución del sistema de inteligencia artificial y los tipos y fuentes de datos procesados), ofrecer la oportunidad de corregir datos personales y proporcionar una apelación con revisión humana cuando sea técnicamente factible y en el mejor interés del consumidor; todas las notificaciones deben estar en lenguaje sencillo, en todos los idiomas habitualmente utilizados para las comunicaciones con los consumidores y en formatos accesibles;
Publicar en el sitio web del implementador una declaración que resuma los tipos de sistemas de alto riesgo desplegados, cómo se gestionan los riesgos de discriminación algorítmica para cada uno, y, en detalle, la naturaleza, fuente y extensión de la información recopilada y utilizada; y
Notificar al Fiscal General dentro de los 90 días posteriores al descubrimiento de la discriminación algorítmica.
Los desarrolladores, a su vez, tienen sus propias obligaciones de cumplimiento bajo el CAIA. Se requiere que los desarrolladores:
Proporcionen a los implementadores documentación que cubra usos previsibles y perjudiciales, resúmenes de datos de entrenamiento, limitaciones y riesgos de discriminación, propósito y beneficios previstos, métodos de evaluación y mitigación, medidas de gobernanza de datos, salidas previstas y orientación sobre uso, no uso y monitoreo humano, y pongan a disposición, en la medida de lo posible, artefactos (por ejemplo, tarjetas de modelo, tarjetas de datos) necesarios para que los implementadores completen las evaluaciones de impacto;
Publicar y actualizar (dentro de los 90 días de cualquier modificación sustancial) una declaración pública que resuma los tipos de sistemas de alto riesgo ofrecidos y cómo se gestionan los riesgos de discriminación algorítmica; y
Notificar al Fiscal General y a los implementadores conocidos dentro de los 90 días al descubrir que su sistema ha causado o es probable que cause discriminación algorítmica.
Además del marco de alto riesgo, el CAIA impone un requisito general de divulgación de interacción con inteligencia artificial. Los empleadores que utilizan sistemas de inteligencia artificial para interactuar con los empleados (por ejemplo, chatbots de recursos humanos) deben divulgar la interacción con la inteligencia artificial a menos que sea obvio para una persona razonable.
Cumplimiento, responsabilidad y defensas
Las violaciones del CAIA constituyen prácticas comerciales injustas o engañosas y son aplicadas exclusivamente por el Fiscal General. Es notable, sin embargo, que la ley bajo la cual se considera una violación una práctica comercial engañosa, la Ley de Protección al Consumidor de Colorado (CCPA), sí permite un derecho de acción privada, por lo que la posible aplicación de la CCPA merece ser monitoreada.
El Fiscal General puede requerir la divulgación de políticas de riesgo de los implementadores, evaluaciones de impacto y registros, así como documentación de los desarrolladores, para evaluar el cumplimiento; dichos materiales están exentos de la Ley de Registros Abiertos de Colorado, pueden designarse como secretos comerciales o de propiedad, y la divulgación no renuncia al privilegio abogado-cliente o a la protección del trabajo realizado por el cliente. Existe una defensa afirmativa si la organización descubre y resuelve una violación a través de retroalimentación alentada, pruebas adversas o evaluaciones internas, y está en conformidad con el NIST AI RMF y ISO/IEC 42001, otro marco sustancialmente equivalente, o un marco designado por el Fiscal General. La parte lleva la carga de la prueba.
Se aplican exenciones sectoriales a ciertos sistemas aprobados federalmente o estandarizados, trabajo específico cubierto por contratos federales (excepto decisiones laborales o de vivienda), entidades cubiertas por HIPAA que proporcionan recomendaciones de atención médica no de alto riesgo elegibles, aseguradoras sujetas a las reglas de inteligencia artificial de seguros de Colorado (§ 10-3-1104.9), y bancos y cooperativas de crédito prudencialmente regulados bajo regímenes de supervisión sustancialmente equivalentes o más estrictos que requieren auditorías y mitigaciones contra la discriminación. Las partes que invoquen exenciones llevan la carga de la demostración.
Recomendaciones Prácticas
Las organizaciones deben comenzar por inventariar y clasificar sus sistemas de inteligencia artificial, mapear todas las herramientas de inteligencia artificial que afectan decisiones importantes, determinar si cada una califica como «de alto riesgo» (prestando especial atención al estándar de factor importante y exclusiones estatutarias), identificar el rol de la organización como implementador o desarrollador, y documentar todas las exclusiones junto con la justificación correspondiente. Sobre esta base, las organizaciones deben establecer gobernanza de riesgos de inteligencia artificial mediante la adopción de una política de gestión de riesgos de ciclo de vida alineada con NIST AI RMF o ISO/IEC 42001, designar personal responsable e incorporar monitoreo, pruebas y diligencia del proveedor en sus operaciones; los pequeños empleadores deben confirmar si se cumplen continuamente todas las condiciones para la exención limitada y planificar para la escalabilidad rápida del cumplimiento si las condiciones cambian.
Además, las organizaciones deben preparar plantillas estandarizadas de evaluación de impacto, notificaciones pre-decisión al consumidor (con acomodaciones multilingües y accesibilidad), explicaciones de acciones adversas que incluyan revelaciones de fuentes de datos, mecanismos de corrección, apelaciones con revisión humana y declaraciones en el sitio web público que incluyan el detalle requerido sobre la información recopilada y utilizada. De manera paralela, las organizaciones deben preparar sus capacidades de respuesta ante incidentes estableciendo un plazo de 90 días y protocolos para investigar y reportar la discriminación algorítmica descubierta al Fiscal General. Finalmente, las organizaciones deben monitorear la elaboración de reglas del Fiscal General, que pueden abordar la documentación, notificaciones, políticas de riesgo, evaluaciones de impacto, presunciones y reconocimiento de defensa afirmativa, y las recomendaciones del grupo de trabajo, mientras actualizan los contratos con proveedores para asegurar la documentación del desarrollador requerida (incluidas tarjetas de modelo y artefactos de evaluación de impacto) y asignar el riesgo adecuadamente.
