Colorado aprueba una nueva ley de IA para proteger las interacciones de los consumidores

El viernes 17 de mayo de 2024, el gobernador de Colorado, Jared Polis, firmó la ley SB205 (Protecciones del Consumidor para Interacciones con Inteligencia Artificial) con fecha de entrada en vigor el 1 de febrero de 2026.

A diferencia de las leyes sobre inteligencia artificial (IA) promulgadas en otros estados (como Utah y Florida), la nueva ley es la primera legislación integral de Estados Unidos dirigida a los "sistemas de inteligencia artificial de alto riesgo". En concreto, la ley exige que tanto los desarrolladores como las entidades que despliegan sistemas de IA de alto riesgo utilicen un cuidado razonable para evitar la discriminación algorítmica y presenta una presunción refutable de que se utilizó un cuidado razonable si cumplen ciertos requisitos y divulgan públicamente cierta información sobre dichos sistemas de IA de alto riesgo.

Aunque la ley apenas regula el uso de sistemas de IA que no puedan considerarse de "alto riesgo", podría servir de modelo para otras legislaturas que contemplen su regulación.

Alcance

A diferencia de la Ley de Privacidad de Colorado, la ley se aplica a todos los desarrolladores e implantadores (es decir, empresas) que utilicen "sistemas de inteligencia artificial de alto riesgo" que hagan negocios en Colorado, independientemente del número de consumidores afectados.

Sistemas de IA de alto riesgo

La ley define los "sistemas de IA de alto riesgo" como aquellos que toman o son un factor sustancial en la toma de decisiones "consecuentes". Define un "factor sustancial" como un factor que ayuda a tomar una decisión importante, es capaz de alterar el resultado de una decisión importante o es generado por un sistema de IA. Algunos sistemas de IA que se consideran explícitamente "sistemas de IA de alto riesgo" en virtud de la ley incluyen los sistemas de IA utilizados en:

• Matrícula u oportunidad de educación
• Empleo u oportunidad de empleo
• Servicios financieros o de préstamo
• Servicios públicos esenciales
• Servicios sanitarios
• Vivienda
• Seguros
• Servicios jurídicos

La ley excluye los sistemas de IA que: (i) realizan tareas de procedimiento limitadas; o (ii) detectan patrones de toma de decisiones o desviaciones de patrones de toma de decisiones anteriores y no pretenden sustituir o influir en la evaluación o revisión humana. La ley también excluye ciertas tecnologías, como el software de ciberseguridad y el filtrado de spam, cuando no son un factor sustancial en la toma de decisiones consecuentes.

Discriminación algorítmica

La ley exige que tanto los desarrolladores como los implantadores de sistemas de IA de alto riesgo tengan un cuidado razonable para evitar la discriminación algorítmica, es decir, cualquier condición que dé lugar a un trato o impacto diferencial ilegal basado en la edad real o percibida, el color, la discapacidad, el origen étnico, la información genética, las barreras lingüísticas, el origen nacional, la raza, la religión, la salud reproductiva, el sexo, la condición de veterano u otras clasificaciones. Sin embargo, la ley excluye cualquier discriminación que pueda resultar del uso de un sistema de IA de alto riesgo por parte de un promotor o empresa que despliegue el sistema con el único fin de:

• Autoevaluar sus propios sistemas para identificar y rectificar incidentes o riesgos de comportamientos/resultados discriminatorios.
• Ampliar un grupo de solicitantes, clientes o participantes para aumentar la diversidad o corregir la discriminación histórica.

La ley también excluye los actos u omisiones de un club privado u otro establecimiento que no esté abierto al público.

Responsabilidades del promotor

La ley crea una presunción refutable de que el desarrollador de un sistema de IA ha actuado con diligencia razonable para evitar la discriminación por algoritmo si sigue determinados procedimientos en su desarrollo, entre ellos:

• Proporcionar a los usuarios de estos sistemas de IA de alto riesgo información sobre el sistema, incluida su finalidad, beneficios previstos, uso previsto, funcionamiento, riesgos potenciales y cualquier discriminación algorítmica conocida o previsible. El desarrollador también debe proporcionar información sobre cómo se entrenó y evaluó el rendimiento del sistema y las pruebas de discriminación algorítmica.
• Facilitar a los responsables del despliegue toda la documentación necesaria para realizar una evaluación de impacto del sistema de IA de alto riesgo.
• Poner a disposición del público información que resuma los tipos de sistemas de alto riesgo desarrollados o modificados intencionadamente por el promotor.
• Proporcionar a los implantadores información sobre cómo gestiona el propio desarrollador cualquier riesgo razonable o previsible de discriminación algorítmica en el desarrollo y en caso de que el sistema de IA de alto riesgo se modifique posteriormente.
• Revelar al Fiscal General del Estado de Colorado y a los implantadores cualquier riesgo conocido o razonablemente previsible de discriminación algorítmica en un plazo de 90 días desde que se les informe de tales riesgos.

Los desarrolladores que no sigan estos procedimientos pueden enfrentarse a una ardua batalla para demostrar que han utilizado un cuidado razonable para evitar la discriminación algorítmica.

Responsabilidades del usuario

Las empresas que despliegan estos sistemas de IA también tienen la obligación de actuar con diligencia razonable para proteger a los consumidores de cualquier riesgo conocido o previsible de discriminación. La ley crea una presunción refutable de dos niveles de que el implantador de un sistema de IA ha actuado con diligencia razonable para evitar la discriminación algorítmica si la organización sigue determinados procedimientos, entre ellos:

Para todos los usuarios:

• Revisar el despliegue de cada sistema de IA de alto riesgo al menos una vez al año para detectar cualquier indicio de discriminación algorítmica.
• Informar al consumidor sobre las decisiones consecuentes que le conciernan tomadas por sistemas de IA de alto riesgo y ofrecerle la oportunidad de corregir cualquier dato personal incorrecto que pueda utilizarse para tomar dicha decisión consecuente. Los responsables del despliegue también deben ofrecer a los consumidores la oportunidad de recurrir una decisión consecuente adversa tomada por un sistema de IA de alto riesgo a través de una revisión humana (si es técnicamente factible).
• Revelar que el sistema de IA de alto riesgo ha causado o es razonablemente probable que haya causado discriminación algorítmica al Fiscal General del Estado de Colorado en un plazo de 90 días a partir del descubrimiento.

Sólo para empresas que, en todo momento en que se despliegue el sistema de IA de alto riesgo, cumplan todos los requisitos siguientes (a) tengan más de cincuenta (50) empleados a tiempo completo, (b) no utilicen los propios datos del implantador para entrenar el sistema de IA de alto riesgo; y (c) utilicen el sistema de IA de alto riesgo únicamente para los usos previstos revelados por el implantador.

• Aplicación de políticas y programas de gestión de riesgos para el sistema de IA de alto riesgo.
• Realización de una evaluación de impacto de cada sistema de IA de alto riesgo.
• Poner a disposición del público información que resuma los tipos de sistemas de alto riesgo implantados, junto con información sobre cómo gestiona el implantador cualquier riesgo conocido o previsible de discriminación algorítmica.
• Hacer pública la información relativa a la naturaleza, fuente y alcance de la información recopilada y utilizada por el implantador en el sistema de IA de alto riesgo.

Requisitos adicionales

La ley exige además que todo desarrollador o implantador que ponga a disposición de los consumidores un sistema de IA destinado a interactuar con ellos les informe de que están interactuando con un sistema de IA y no con una persona real.

Otras exclusiones

La ley no se aplica a los promotores o implantadores que realicen determinadas actividades, como cumplir otras leyes federales, estatales o municipales, cooperar y llevar a cabo determinadas investigaciones, tomar medidas para proteger la vida o la seguridad física de un consumidor y realizar determinadas actividades de investigación.

Ejecución

La ley no permite un derecho de acción privado, y en su lugar deja la aplicación exclusiva al Fiscal General del Estado de Colorado. El Fiscal General también tiene discreción en virtud de la ley para aplicar nuevas normas, incluida la documentación adicional y las normas de requisitos para los desarrolladores, los requisitos para los avisos y divulgaciones, los requisitos para las políticas de gestión de riesgos y evaluaciones de impacto, los ajustes de alcance y orientación relacionados con cualquier presunción refutable, y los requisitos para las defensas de la aplicación.

Sin embargo, la ley también ofrece a los desarrolladores e implantadores una defensa afirmativa si cumplen otros marcos de gestión de riesgos de IA reconocidos nacional o internacionalmente y especificados en el proyecto de ley o por el Fiscal General. Actualmente, esto incluye el Marco de Gestión de Riesgos de IA del NIST y la norma ISO/IEC 42001.

Repercusiones para las empresas

En última instancia, la nueva ley proporciona a los desarrolladores y empresas que despliegan sistemas de IA de alto riesgo un marco sobre cómo pueden evaluar y utilizar un cuidado razonable para evitar la discriminación algorítmica. Aunque la nueva ley no entrará en vigor hasta el 1 de febrero de 2026, es posible que los desarrolladores e implantadores de sistemas de IA de alto riesgo tengan que dedicar importantes recursos a cumplir con su documentación y otras obligaciones antes de que la nueva ley entre en vigor.

Los promotores deben iniciar las siguientes acciones para prepararse para la nueva ley:

• Comenzar a recopilar, o mejor aún, crear en el momento en que se conceptualiza o crea el sistema de IA de alto riesgo, toda la documentación necesaria que deba revelarse a los consumidores o ponerse a disposición de los implantadores para que puedan realizar una evaluación de impacto. Es importante que esta documentación incluya una descripción de cómo el desarrollador entrena el sistema de IA de alto riesgo y cómo comprueba y corrige la posible discriminación algorítmica.
• Esté preparado para responder y proporcionar documentación adicional a los usuarios de estos sistemas de IA de alto riesgo que puedan requerir documentación más detallada o cuestionar el contenido de la documentación.
• Empezar a redactar las declaraciones públicas sobre los tipos de sistemas de alto riesgo que el promotor ha desarrollado (o modificado intencionada y sustancialmente) y estar preparado para describir y potencialmente defender cómo el promotor gestiona el riesgo conocido o previsible de discriminación algorítmica.
• Empezar a poner en marcha políticas (con la debida revisión jurídica y de otras partes interesadas) para notificar al Fiscal General la discriminación algorítmica causada o razonablemente probable causada por el sistema de inteligencia artificial de alto riesgo.

Los usuarios, por su parte, deben iniciar las siguientes acciones para prepararse para la nueva ley:

• Comenzar a desarrollar una política y un programa de gestión de riesgos basados en un marco estándar de gestión de riesgos de IA, como el Marco de Gestión de Riesgos de IA del NIST y/o la norma ISO/IEC 42001.
• Empezar a desarrollar una evaluación de impacto para los sistemas de IA de alto riesgo que desplieguen, y estar preparados para solicitar más información a los desarrolladores según sea necesario.
• Poner en marcha procesos para revisar cada sistema de IA de alto riesgo de discriminación algorítmica al menos una vez al año (más a menudo si se produce un cambio significativo en el sistema o en el uso de dicho sistema).
• Considerar la posibilidad de redactar formularios de notificación a los consumidores que contengan todos los elementos requeridos si un sistema de IA de alto riesgo toma una decisión consecuente que afecte al consumidor, y ofrecer a los consumidores la oportunidad de recurrir dicha decisión para que sea revisada por un ser humano.
• Empezar a desarrollar procedimientos para que los consumidores corrijan cualquier dato personal incorrecto utilizado por los sistemas de IA de alto riesgo. Las empresas sujetas a la Ley de Privacidad de Colorado ya estarán familiarizadas con el derecho de los consumidores a corregir datos personales incorrectos y con la forma de verificar que los datos personales eran incorrectos en un principio.
• Empezar a redactar las declaraciones públicas sobre los tipos de sistemas de alto riesgo que se utilizan actualmente y la información sobre cómo se gestionan los riesgos conocidos o previsibles de discriminación algorítmica. Las empresas que están sujetas a la Ley de Privacidad de Colorado ya estarán familiarizadas con el requisito de que estas declaraciones públicas también incluyan la naturaleza, la fuente y el alcance de la información recopilada y utilizada por el implementador.
• Empezar a poner en marcha políticas (con la debida revisión jurídica y de otras partes interesadas) para notificar al Fiscal General la discriminación algorítmica causada o razonablemente probable causada por un sistema de IA de alto riesgo.

Tanto los desarrolladores como los implantadores deben seguir vigilando cualquier nueva orientación del Fiscal General del Estado de Colorado. Basándose en el patrón de reglamentos emitidos por el Fiscal General de conformidad con la Ley de Privacidad de Colorado, los reglamentos adicionales emitidos pueden ser extensos y requerir más detalles que los requeridos facialmente por la ley.

Lecturas complementarias

Para una inmersión más profunda en lo que esta nueva ley significa para los empleadores y el uso de sistemas de IA en el contexto de los recursos humanos, el equipo de Trabajo y Empleo de Foley ha creado un manual sobre el impacto esperado. Haga clic aquí para leer el artículo complementario.

Si tiene alguna otra pregunta sobre los requisitos de esta ley, póngase en contacto con cualquiera de los autores u otros socios o asesores senior del área de Inteligencia Artificial de Foley & Lardner.