ooligo
ES
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
Suscribirse
Herramientas Comparaciones Workflows Stacks Aprender
Verticales
RevOps Legal Ops Reclutamiento y TA Customer Success
Idioma
English Español Português (Brasil) 日本語 Français Deutsch
GitHub Suscribirse
TIPO · definition

Colorado AI Act (SB 24-205, now SB 26-189)

Por Marius Bughiu Última actualización 2026-05-26 Reclutamiento y TA

La Colorado AI Act nació como SB 24-205, la primera ley estatal de EE.UU. que impuso obligaciones de gestión de riesgos al estilo de la EU AI Act sobre “sistemas de inteligencia artificial de alto riesgo” usados para tomar decisiones consecuentes en empleo, préstamos, vivienda, salud, educación, seguros y servicios gubernamentales esenciales. El 14 de mayo de 2026, el gobernador Jared Polis firmó la SB 26-189, que derogó por completo la SB 24-205 y la reemplazó con un marco más delgado de divulgación y derechos enfocado en la “tecnología de toma de decisiones automatizada cubierta” (ADMT). La ley de reemplazo entra en vigor el 1 de enero de 2027. Si tu equipo es un deployer que usa IA en decisiones de contratación en Colorado, lo que te obliga es la SB 26-189, no el texto original de SB 24-205 que todavía circula en los decks de compliance de los vendors.

Lo que la Colorado AI Act ya NO es

La Colorado AI Act ya no es:

  • Una ley de discriminación algorítmica. La SB 26-189 eliminó las disposiciones de deber de cuidado, la causa de acción por discriminación algorítmica, las evaluaciones de impacto obligatorias y el requisito de programa de gestión de riesgos de IA que definían la SB 24-205.
  • Un equivalente de la EU AI Act. La SB 24-205 estaba modelada sobre el régimen basado en riesgos de la EU AI Act. La SB 26-189 se aleja de ese modelo y se acerca a un marco de divulgación al estilo de la Colorado Privacy Act.
  • Vigente. La SB 24-205 original iba a entrar en vigor el 1 de febrero de 2026, fue postergada al 30 de junio de 2026 por la SB 25B-004 en agosto de 2025, luego pausada por un tribunal federal el 27 de abril de 2026 (una demanda presentada por un desarrollador de IA en la que intervino el Departamento de Justicia de EE.UU.), y luego derogada por la SB 26-189 antes de que llegara su fecha de vigencia. La SB 26-189 entra en vigor el 1 de enero de 2027.

Un vendor que te entrega una atestación de “programa de gestión de riesgos SB 24-205” en mayo de 2026 está vendiendo un artefacto de compliance para una ley que ya no existe. La pregunta relevante es qué exigirá la SB 26-189 el 1 de enero de 2027.

Quién está cubierto bajo SB 26-189

La ley cubre a developers y deployers de ADMT cubierta que hacen negocios en Colorado, donde la ADMT procesa datos personales y influye materialmente en una decisión consecuente en uno de siete dominios:

  • Empleo (contratación, despido, promoción, compensación, programación de turnos)
  • Educación e inscripción educativa
  • Vivienda e inmuebles residenciales
  • Servicios financieros y de préstamos
  • Seguros
  • Salud
  • Servicios gubernamentales esenciales

Para equipos de recruiting: cualquier herramienta de IA usada para filtrar, rankear, puntuar o influir materialmente en una decisión de contratación, despido, promoción, compensación o programación sobre un candidato o empleado en Colorado entra en el alcance. Las herramientas que capturan datos sin puntuar (transcripción, scheduling, ruteo de ATS) quedan fuera del alcance por la misma lógica que NYC LL 144.

No hay umbral de cantidad de empleados ni exención para pequeñas empresas en el texto promulgado.

Qué exige la SB 26-189 a los deployers

Cuatro obligaciones importan para equipos de recruiting:

  1. Aviso previo al uso. Antes de usar la ADMT para influir materialmente en una decisión consecuente, el deployer debe dar al consumidor afectado (candidato o empleado) un aviso claro y conspicuo de que se usará una ADMT, qué hará y qué datos procesará. Una cláusula enterrada en una política de privacidad no cumple — el estándar refleja el de aviso de LL144.
  2. Aviso posterior a decisión adversa dentro de 30 días. Cuando la ADMT contribuye a un resultado adverso (sin oferta, sin promoción, despido, denegación de un beneficio), el deployer debe entregar una descripción en lenguaje sencillo de la decisión, el rol de la ADMT en ella e instrucciones para solicitar más información.
  3. Revisión humana significativa a solicitud. El consumidor puede solicitar revisión humana y reconsideración. El revisor debe tener autoridad para anular, debe considerar evidencia relevante y debe estar entrenado. Un reclutador que solo aprueba sin cuestionar el ranking generado por IA no cumple este estándar.
  4. Registros de tres años. El deployer conserva registros de cumplimiento — identificadores de versión de ADMT, changelogs, documentación de cambios materiales a la mitigación de riesgos — durante tres años.

Las obligaciones de developer (proveer al deployer una declaración general de usos previstos y usos dañinos conocidos, categorías de datos, limitaciones conocidas e instrucciones de uso) son aguas arriba. La mayoría de los equipos de ops se sientan del lado del deployer, pero el checklist de diligencia del deployer ahora necesita la divulgación del developer como un input.

Aplicación de la ley y el vacío regulatorio

El fiscal general de Colorado tiene autoridad exclusiva de aplicación. No hay derecho privado de acción. El fiscal general ha declarado públicamente que no aplicará la SB 26-189 hasta que concluya la elaboración de reglas, y la elaboración de reglas aún no ha comenzado a mayo de 2026. El estatuto provee un periodo de subsanación antes de las acciones de aplicación por violaciones no conscientes — 60 días en la versión aprobada.

Lectura práctica: entre ahora y el 1 de enero de 2027, la exposición legal activa para IA en contratación en Colorado no es la Colorado AI Act en sí. Es:

  • Análisis federal de impacto dispar bajo el Title VII (sigue plenamente vigente sin importar el ruido legal estatal sobre IA).
  • La Fair Credit Reporting Act cuando los puntajes de IA provienen de agencias de informes al consumidor.
  • NYC LL 144 si filtras candidatos residentes de NYC.
  • Illinois AIVIA si usas entrevistas en video analizadas por IA sobre candidatos de Illinois.
  • La EU AI Act para IA de empleo de alto riesgo usada sobre candidatos de la UE (obligaciones de alto riesgo postergadas al 2 de diciembre de 2027 bajo el acuerdo político del Digital Omnibus de la UE alcanzado el 7 de mayo de 2026, pendiente de adopción formal).

La Colorado AI Act se convierte en un artefacto vinculante de compliance el 1 de enero de 2027 — antes si un deployer quiere usar la preparación SB 26-189 como señal de procurement.

Cuidados para equipos de recruiting

  • Leer el estatuto equivocado. Las páginas de compliance de vendors fechadas antes del 14 de mayo de 2026 todavía referencian la clasificación de alto riesgo de SB 24-205, la plantilla de evaluación de impacto y la causa de acción por discriminación algorítmica. Ninguna de esas obliga a ningún deployer ya. Confirma que la postura de compliance del vendor está ligada a la SB 26-189, no a su predecesora. Salvaguarda: exige al vendor identificar la versión del estatuto a la que mapea su documentación, con cita.
  • Tratar la no-aplicación del fiscal como cero-exposición. La intención declarada del fiscal de no aplicar hasta que concluya la elaboración de reglas es política, no estatuto. La ley federal antidiscriminación existente no se ve afectada por eso. Salvaguarda: corre tu postura de bias-audit y aviso contra LL144 + Title VII como piso; la preparación de SB 26-189 es aditiva.
  • Confundir “ADMT cubierta” con “cualquier herramienta de IA”. Las herramientas que no influyen materialmente en una decisión consecuente no son ADMT cubierta bajo SB 26-189 — pero la prueba de materialidad es específica a los hechos. Una herramienta de “decision-support” cuyo ranking se sigue en el 95% de los casos está influyendo materialmente en la decisión sin importar cómo la etiquete el vendor. Salvaguarda: documenta el proceso de revisión humana y la tasa de anulación; si los revisores anulan a la IA en menos del 10% de los casos, trata la herramienta como cubierta.
  • Asumir que aviso previo = el boilerplate del job posting. El requisito de aviso de SB 26-189 es estructuralmente similar al de LL144 pero el contenido es distinto (categorías de datos y descripción de la ADMT, no resumen del bias-audit). Un equipo que ya publica un aviso de LL144 todavía debe alcanzar el listón de contenido de SB 26-189. Salvaguarda: mantén dos plantillas de aviso por jurisdicción, o una plantilla unificada que cumpla ambos.

Qué deben hacer los deployers ahora

  1. Inventaría toda herramienta de IA que influya materialmente en una decisión consecuente de empleo sobre un candidato o empleado en Colorado — incluyendo herramientas desplegadas en el paso de sourcing, screening, entrevista, puntuación, scheduling o recomendación de compensación.
  2. Pide al vendor el mapeo a SB 26-189 (no SB 24-205). Si el vendor todavía no lo tiene, registra la brecha y ponla en el checklist de revisión de renovación.
  3. Redacta la plantilla de aviso previo al uso y aviso posterior a decisión adversa contra el texto del estatuto. Reutiliza la infraestructura de aviso de LL144 donde la tengas; agrega el contenido específico faltante de SB 26-189.
  4. Define el proceso de revisión humana y asigna el pool de revisores, con autoridad de anulación y entrenamiento documentados. Este es el requisito con mayor probabilidad de sorprender a equipos que se apoyan en exceso en el scoring de la IA.
  5. Inicia el reloj de retención de registros de tres años el 1 de enero de 2027. Construye la recolección de registros dentro del workflow del ATS en vez de como ejercicio separado de preparación de auditoría.

Consulta a un abogado para análisis específico de jurisdicción. Las reglas se moverán de nuevo durante el proceso de elaboración de reglas antes de la fecha de vigencia del 1 de enero de 2027.

Relacionados

Editar esta página en GitHub