La primera ley de IA integral a nivel estatal en Estados Unidos, que exige evaluaciones de impacto y transparencia para los sistemas de IA de alto riesgo (high-risk AI systems) que toman decisiones trascendentales (consequential decisions).
La Colorado Artificial Intelligence Act (SB 24-205), promulgada el 17 de mayo de 2024, es la primera legislación integral sobre IA a nivel estatal en los Estados Unidos. Prevista para entrar en vigor el 1 de febrero de 2026, establece obligaciones para los desarrolladores y los implementadores de «sistemas de IA de alto riesgo» (high-risk AI systems), sistemas de IA que toman o respaldan sustancialmente «decisiones trascendentales» (consequential decisions) que afectan a los habitantes de Colorado.
La ley define ampliamente las «decisiones trascendentales» de modo que incluyen las decisiones que tienen un efecto jurídico material o un efecto significativo similar sobre los consumidores en ámbitos como la educación, el empleo, los servicios financieros, los servicios gubernamentales, la sanidad, la vivienda, los seguros y los servicios jurídicos. Este amplio alcance significa que muchos sistemas de IA utilizados en contextos orientados al consumidor estarán cubiertos.
Un concepto clave de la Colorado AI Act es la «discriminación algorítmica» (algorithmic discrimination), definida como cualquier condición en la que el uso de un sistema de IA da lugar a un trato o impacto diferenciado ilícito que perjudica a una persona o grupo sobre la base de características protegidas, entre ellas la edad, el color, la discapacidad, el origen étnico, la información genética, el origen nacional, la raza, la religión, el sexo y la condición de veterano.
Para los desarrolladores de sistemas de IA de alto riesgo, las obligaciones incluyen: proporcionar a los implementadores documentación sobre las capacidades, las limitaciones y los riesgos conocidos del sistema; poner a disposición un resumen de los datos de entrenamiento y de los sesgos conocidos; publicar en su sitio web una declaración sobre los tipos de sistemas de IA de alto riesgo que desarrollan y sobre cómo gestionan los riesgos de discriminación algorítmica; y proporcionar a los implementadores la información necesaria para completar las evaluaciones de impacto.
Para los implementadores de sistemas de IA de alto riesgo, las obligaciones incluyen: implementar una política y un programa de gestión de riesgos; completar una evaluación de impacto para cada sistema de IA de alto riesgo antes de su implementación; notificar a los consumidores que se utiliza IA para tomar decisiones trascendentales; proporcionar una declaración sobre la finalidad, la naturaleza y las limitaciones del sistema de IA; ofrecer a los consumidores la oportunidad de corregir los datos personales incorrectos utilizados por el sistema de IA; y ofrecer a los consumidores la oportunidad de una revisión humana (con recurso) de las decisiones trascendentales adversas.
La ley también exige que los implementadores notifiquen al Colorado Attorney General, en un plazo de 90 días, el descubrimiento de que un sistema de IA de alto riesgo ha causado una discriminación algorítmica. Esta obligación de notificación crea un fuerte incentivo para la supervisión continua y la detección de sesgos.
La aplicación corresponde al Colorado Attorney General, que posee la autoridad exclusiva de ejecución. No existe un derecho de acción privada. El Attorney General puede solicitar medidas cautelares y sanciones civiles. Es importante destacar que la ley prevé una defensa afirmativa (affirmative defence) para los desarrolladores y los implementadores que mantienen programas de cumplimiento razonables, incluido el cumplimiento de marcos reconocidos de gestión de riesgos de IA como el NIST AI RMF o ISO 42001.
La Colorado AI Act ha sido influyente, y varios otros estados de EE. UU. han presentado legislación similar. Representa un avance significativo en el mosaico de la regulación estadounidense de la IA y ofrece un modelo que otros estados podrían seguir o adaptar.
Los desarrolladores deben proporcionar a los implementadores documentación del sistema, resúmenes de los datos de entrenamiento e información sobre los riesgos
Los desarrolladores deben publicar una declaración pública sobre los sistemas de IA de alto riesgo que desarrollan
Los implementadores deben aplicar una política y un programa de gestión de riesgos para la IA de alto riesgo
Los implementadores deben completar evaluaciones de impacto antes de implementar sistemas de IA de alto riesgo
Notificar a los consumidores que se utiliza IA para decisiones trascendentales
Proporcionar a los consumidores una descripción de la finalidad y las limitaciones del sistema de IA
Permitir a los consumidores corregir los datos personales inexactos utilizados por los sistemas de IA
Ofrecer revisión humana y recurso para las decisiones trascendentales adversas impulsadas por la IA
Notificar al Attorney General, en un plazo de 90 días, el descubrimiento de una discriminación algorítmica
Mantener documentación que demuestre el cumplimiento
Revisión y actualización anual de las evaluaciones de impacto
Defensa afirmativa (affirmative defence) disponible para los programas de cumplimiento razonables
La Colorado AI Act entra en vigor el 30 de junio de 2026. La fecha de entrada en vigor original del 1 de febrero de 2026 fue prorrogada por la SB 25B-004, promulgada por el gobernador el 28 de agosto de 2025. Las organizaciones deberían contar con políticas de gestión de riesgos, evaluaciones de impacto y mecanismos de notificación a los consumidores antes de esta fecha.
Una decisión trascendental es aquella que tiene un efecto jurídico material o un efecto significativo similar sobre un consumidor en ámbitos como la educación, el empleo, los servicios financieros, los servicios gubernamentales, la sanidad, la vivienda, los seguros y los servicios jurídicos.
No. Solo el Colorado Attorney General tiene autoridad de ejecución. Sin embargo, la ley exige la notificación al Attorney General de la discriminación algorítmica, lo que genera responsabilidad. El cumplimiento del NIST AI RMF o de ISO 42001 proporciona una defensa afirmativa (affirmative defence).
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.