Ley ADMT de Colorado · SB 26-189

Cumplimiento de Colorado SB 26-189 (ADMT)

Colorado derogo y reemplazo su Ley de IA (SB 24-205) en mayo de 2026. La nueva ley de tecnologia de toma de decisiones automatizada exige avisos previos al consumidor, explicaciones de resultados adversos en 30 dias, revision humana significativa y documentacion del desarrollador, con vigencia desde el 1 de enero de 2027.

Entrada en vigor
1 ene. 2027
Periodo de subsanacion
60 dias
Autoridad
Fiscal general
Iniciar evaluacion de cumplimientoReservar llamada de implementacion

Que es la SB 26-189 de Colorado?

El Senate Bill 26-189, firmado el 14 de mayo de 2026, es la ley de Colorado que rige la tecnologia de toma de decisiones automatizada (ADMT). Deroga y reemplaza la Colorado AI Act (SB 24-205), la primera ley estatal integral de IA en EE.UU., que nunca llego a entrar en vigor: su fecha de inicio fue retrasada del 1 de febrero al 30 de junio de 2026 por la SB 25B-004 antes de que la SB 26-189 reemplazara el marco por completo.

Que cambio: la clasificacion de IA de alto riesgo, los programas obligatorios de gestion de riesgos, las evaluaciones de impacto anuales y el deber de diligencia desaparecieron. En su lugar, la SB 26-189 regula la ADMT que influye materialmente en decisiones consecuentes, con deberes centrados en el aviso al consumidor, las explicaciones de resultados adversos, la revision humana significativa y la documentacion del desarrollador.

Fecha de entrada en vigor

1 de enero de 2027

Deberes principales

Avisos, explicaciones en 30 dias, revision humana

Complementa la implementacion de NIST AI RMF y el cumplimiento de la Ley de IA de la UE. Las aseguradoras con licencia en Colorado deben revisar tambien la SB 21-169: las aseguradoras que cumplen ese regimen se consideran en general en cumplimiento con la SB 26-189 en la practica de seguros.

Quien necesita cumplir?

Implementadores que usan ADMT en decisiones consecuentes

Organizaciones cuya tecnologia de toma de decisiones automatizada influye materialmente en decisiones sobre educacion, empleo, vivienda, finanzas, salud, seguros o servicios gubernamentales

Desarrolladores de ADMT

Empresas que desarrollan o modifican sustancialmente tecnologia de toma de decisiones automatizada usada en decisiones consecuentes que afectan a Colorado

Empleadores que usan herramientas de contratacion con IA

Empresas que usan sistemas algoritmicos para seleccion de curriculos, evaluacion de candidatos o decisiones de empleo, incluso para candidatos residentes en Colorado

Instituciones financieras

Prestamistas y proveedores de servicios financieros que usan ADMT para decisiones crediticias, condiciones de prestamos o productos financieros

Organizaciones de salud

Proveedores y pagadores que usan ADMT en decisiones de acceso a la atencion o asistencia financiera (las entidades cubiertas por HIPAA estan en gran parte exentas, con deberes de divulgacion limitados)

Agencias gubernamentales

Agencias estatales y locales de Colorado que implementan ADMT que afecta el acceso a servicios gubernamentales esenciales y beneficios publicos

Como VerifyWise apoya el cumplimiento de la SB 26-189

VerifyWise proporciona un preajuste de Colorado SB 26-189 que rastrea cada deber de aviso, explicacion, revision y documentacion que la ley exige

Requisito de la SB 26-189
Cobertura de VerifyWise
Aviso previo al uso cuando una ADMT cubierta influye en una decision consecuente
Seguimiento de avisos por sistema con registros de donde y cuando aparecen las divulgaciones en los puntos de interaccion con el consumidor
Explicacion de resultados adversos en un plazo de 30 dias
Registros de decisiones y flujos de explicacion que capturan el rol de la ADMT, los datos de entrada y las instrucciones sobre derechos del consumidor
Revision humana significativa y reconsideracion
Colas de revision con asignacion de revisores capacitados, autoridad de anulacion y documentacion de reconsideracion
Documentacion tecnica del desarrollador
Documentacion estructurada que cubre usos previstos, usos dañinos conocidos, categorias de datos de entrenamiento y limitaciones conocidas

Capacidades adicionales de cumplimiento

Inventario y alcance de ADMT

Construya un inventario de los sistemas que procesan datos personales e influyen materialmente en decisiones consecuentes. La plataforma le ayuda a clasificar que tecnologias califican como ADMT cubierta bajo la SB 26-189 y cuales entran en las exclusiones legales.

Aborda: Ambos roles: Alcance y clasificacion

Gestion de avisos previos al uso

Rastree los avisos claros y visibles que la SB 26-189 exige antes de que una ADMT cubierta se use en una decision consecuente. La plataforma registra donde aparecen los avisos, que dicen y cuando se revisaron por ultima vez.

Aborda: Obligacion del implementador: Aviso previo al consumidor

Flujos de explicacion de resultados adversos

Cuando una ADMT influye materialmente en una decision adversa, los implementadores tienen 30 dias para enviar una explicacion en lenguaje claro. La plataforma gestiona el plazo, el contenido de la explicacion y las instrucciones sobre derechos del consumidor que deben acompañarla.

Aborda: Obligacion del implementador: Aviso de resultado adverso en 30 dias

Flujos de revision humana

Documente la revision humana significativa y las solicitudes de reconsideracion. La plataforma asigna revisores capacitados con autoridad de anulacion, captura la evidencia que consideraron y registra el resultado de cada reconsideracion.

Aborda: Obligacion del implementador: Revision humana significativa

Seguimiento de documentacion del desarrollador

Mantenga la documentacion tecnica que los desarrolladores deben entregar a los implementadores: usos previstos y usos dañinos conocidos, categorias de datos de entrenamiento, limitaciones conocidas e instrucciones para el uso apropiado, el monitoreo y la revision humana.

Aborda: Obligacion del desarrollador: Documentacion y divulgacion

Retencion de registros y pistas de auditoria

Tanto desarrolladores como implementadores deben conservar los registros de cumplimiento durante al menos tres años. La plataforma sella con marca de tiempo cada aviso, explicacion, revision y actualizacion de documentacion para que la evidencia este lista si el Fiscal General la solicita.

Aborda: Ambos roles: Retencion de registros por tres años

Todas las actividades de cumplimiento incluyen marcas de tiempo, propietarios asignados y pistas de auditoria. Esta documentacion sistematica satisface el requisito de retencion de registros por tres años y mantiene la evidencia lista ante consultas del Fiscal General.

Cobertura completa de requisitos de la SB 26-189

VerifyWise proporciona herramientas dedicadas para todas las obligaciones de cumplimiento

12

Areas de requisitos de cumplimiento

12

Areas con herramientas dedicadas

100%

Cobertura de obligaciones principales

Avisos al consumidor3/3

Aviso previo al uso, explicacion de resultados adversos, accesibilidad

Revision humana3/3

Flujos de revision, capacitacion de revisores, registros de anulacion

Documentacion del desarrollador4/4

Usos previstos, limitaciones, datos de entrenamiento, avisos de actualizacion

Registros y evidencia2/2

Retencion de tres años, pistas de auditoria

Construido para el cumplimiento ADMT de Colorado desde cero

Seguimiento de avisos

Avisos previos y de resultados adversos por sistema y decision

Colas de revision humana

Asignacion de revisores, registros de capacitacion y documentacion de anulaciones

Documentacion del desarrollador

Usos previstos, limitaciones y categorias de datos de entrenamiento por sistema

Cumplimiento multiestatal

Vista integrada entre requisitos de Colorado, Texas y federales

Requisitos clave de cumplimiento

Obligaciones principales bajo la ley ADMT de Colorado

Aviso previo al consumidor

Los implementadores deben proporcionar un aviso claro y visible antes de que una ADMT cubierta se use para influir materialmente en una decision consecuente.

  • Aviso prominente en los puntos de interaccion con el consumidor
  • Explicacion de que se usa o se usara una ADMT
  • Instrucciones para obtener mas informacion
  • Accesible para personas con discapacidad y con dominio limitado del ingles

Explicacion de resultados adversos

Si una ADMT cubierta influye materialmente en una decision adversa, el implementador debe notificar al consumidor dentro de 30 dias.

  • Explicacion de la decision en lenguaje claro
  • Descripcion del rol de la ADMT
  • Instrucciones para solicitar detalles del sistema y de los datos de entrada
  • Explicacion de los derechos disponibles del consumidor

Revision humana y correccion de datos

Tras un resultado adverso, los consumidores pueden solicitar la correccion de datos y una revision humana significativa, en la medida en que sea comercialmente razonable.

  • Acceso y correccion de datos personales inexactos
  • Revision por una persona con autoridad para anular la decision
  • Revisores capacitados que no se limitan a aceptar la salida automatizada
  • Resultados de reconsideracion documentados

Documentacion del desarrollador

Los desarrolladores deben entregar a los implementadores documentacion tecnica razonablemente comprensible antes de que la ADMT cubierta se use.

  • Usos previstos y usos dañinos conocidos
  • Categorias de datos de entrenamiento, en la medida en que se conozcan
  • Limitaciones conocidas, riesgos y usos a evitar
  • Instrucciones para el uso, el monitoreo y la revision humana

Areas de decisiones consecuentes

La ADMT cubierta es tecnologia que influye materialmente en decisiones en estas areas

Educacion

Matriculacion, admisiones, ayuda financiera, becas

Empleo

Contratacion, despido, promocion, compensacion, asignacion de trabajo

Vivienda

Solicitudes de alquiler, seleccion de inquilinos, acceso a vivienda

Servicios financieros y de prestamo

Credito, prestamos, condiciones de prestamos, productos financieros

Salud

Acceso a la atencion, decisiones de tratamiento, asistencia financiera

Seguros

Precios, suscripcion, decisiones de reclamaciones, cobertura

Servicios gubernamentales

Acceso a servicios gubernamentales esenciales

Beneficios publicos

Elegibilidad y determinaciones de beneficios

Usos excluidos: ciberseguridad, prevencion de fraude, filtrado de spam y llamadas automaticas, verificacion de identidad, prevencion de lavado de dinero y fiabilidad de sistemas. Los servicios legales, cubiertos por la SB 24-205, ya no son un area de decision consecuente.

Obligaciones del implementador vs desarrollador

Diferentes requisitos segun su rol en el ciclo de vida de la ADMT

Implementador

Organizaciones que usan ADMT cubierta para influir materialmente en decisiones consecuentes sobre consumidores

Obligaciones clave

  • Identificar la ADMT cubierta usada en decisiones consecuentes
  • Proporcionar un aviso previo claro y visible
  • Enviar explicaciones de resultados adversos dentro de 30 dias
  • Ofrecer revision humana significativa y reconsideracion
  • Atender solicitudes de acceso y correccion de datos
  • Hacer los avisos accesibles para todos los consumidores
  • Conservar registros de cumplimiento durante al menos tres años
Plazo de cumplimiento: 1 de enero de 2027

Desarrollador

Personas o entidades que desarrollan o modifican sustancialmente tecnologia de toma de decisiones automatizada cubierta

Obligaciones clave

  • Documentar usos previstos y usos dañinos conocidos
  • Divulgar categorias de datos de entrenamiento, en la medida en que se conozcan
  • Documentar limitaciones conocidas, riesgos y usos a evitar
  • Proporcionar instrucciones para el uso, el monitoreo y la revision humana
  • Suministrar la informacion que los implementadores necesitan para sus divulgaciones
  • Notificar a los implementadores sobre actualizaciones o modificaciones materiales
  • Conservar registros de cumplimiento durante al menos tres años
Plazo de cumplimiento: 1 de enero de 2027

Hoja de ruta de implementacion

Un camino practico hacia el cumplimiento de la SB 26-189 antes del 1 de enero de 2027

Fase 1Meses 1-2

Inventario y alcance

  • Identificar los sistemas que procesan datos personales
  • Determinar cuales influyen materialmente en decisiones consecuentes
  • Mapear roles de implementador vs desarrollador
  • Documentar las exclusiones y exenciones legales aplicables
  • Establecer la responsabilidad de gobernanza
Fase 2Meses 3-4

Avisos y documentacion

  • Redactar avisos previos claros y visibles
  • Colocar avisos en los puntos de interaccion con el consumidor
  • Recopilar la documentacion del desarrollador para sistemas adquiridos
  • Preparar la documentacion tecnica de la ADMT que usted desarrolla
  • Implantar la retencion de registros por tres años
Fase 3Meses 5-6

Preparacion para resultados adversos

  • Definir resultados adversos para cada area de decision
  • Construir flujos de explicacion de 30 dias
  • Crear plantillas de explicaciones en lenguaje claro
  • Configurar la gestion de acceso y correccion de datos
  • Verificar los requisitos de accesibilidad de los avisos
Fase 4Antes del 1 ene. 2027

Activacion de la revision humana

  • Designar revisores con autoridad de anulacion
  • Capacitar a los revisores sobre limitaciones y entradas del sistema
  • Conectar las colas de revision con los registros de decisiones
  • Probar el proceso completo de derechos del consumidor
  • Seguir la reglamentacion del Fiscal General y ajustar

Sanciones y aplicacion

Comprender el panorama de aplicacion bajo la SB 26-189

Aplicacion del Fiscal General de Colorado

El Fiscal General de Colorado tiene la autoridad exclusiva de aplicacion, y las infracciones se tratan como practicas comerciales desleales o engañosas bajo la Colorado Consumer Protection Act. No hay derecho privado de accion. El AG debe adoptar reglas que aclaren las divulgaciones de resultados adversos antes del 1 de enero de 2027 y ha declarado que la aplicacion no comenzara hasta que concluya la reglamentacion. Contacte la oficina del AG en coag.gov.

Practica comercial desleal o engañosa

Hasta $20,000

Por infraccion bajo la Colorado Consumer Protection Act

Periodo de subsanacion

60 dias

Aviso de infraccion con oportunidad de subsanar cuando sea posible; expira el 1 de enero de 2030

Infracciones conocidas o reiteradas

Sin subsanacion

El Fiscal General puede omitir el periodo de subsanacion para infractores conscientes o reincidentes

Derecho privado de accion

Ninguno

El Fiscal General tiene la autoridad exclusiva de aplicacion

Que paso con la defensa afirmativa?

La defensa afirmativa de la SB 24-205 por cumplimiento con NIST AI RMF o ISO 42001 fue derogada junto con el resto de ese marco. La alineacion con marcos sigue siendo la via practica para operacionalizar los deberes de documentacion, supervision humana y registro de la SB 26-189, y sirve en las demas jurisdicciones donde usted opera.

NIST AI RMF

Alineacion voluntaria con el Marco de Gestion de Riesgos de IA del NIST

Caso de uso: Operacionaliza los deberes de inventario, documentacion y supervision humana que la SB 26-189 espera en la practica

VerifyWise: Implementacion completa de NIST AI RMF y generacion de evidencia

ISO 42001

Certificacion en el estandar de sistemas de gestion de IA ISO 42001

Caso de uso: Demuestra gobernanza sistematica en todas las jurisdicciones donde opera, no solo en Colorado

VerifyWise: Evaluacion de preparacion para ISO 42001 y mapeo de controles

Plantillas de politicas

Plantillas de politicas de Colorado SB 26-189

Acceda a plantillas de politicas listas para usar, alineadas con la ley ADMT de Colorado, NIST AI RMF e ISO 42001

Politicas del implementador

  • • Politica de Inventario y Alcance de ADMT
  • • Politica de Aviso Previo al Uso
  • • Procedimientos de Explicacion de Resultados Adversos
  • • Politica de Revision Humana y Reconsideracion
  • • Procedimientos de Acceso y Correccion de Datos
  • • Politica de Retencion de Registros
  • + 3 politicas mas

Politicas del desarrollador

  • • Estandares de Documentacion Tecnica
  • • Divulgacion de Limitaciones Conocidas
  • • Documentacion de Usos Previstos y Dañinos
  • • Divulgacion de Categorias de Datos de Entrenamiento
  • • Materiales de Soporte al Implementador
  • • Politica de Notificacion de Actualizaciones Materiales
  • + 2 politicas mas

Politicas compartidas

  • • Cumplimiento Antidiscriminacion
  • • Asignacion de Responsabilidad y Contratacion
  • • Estandares de Accesibilidad de Avisos
  • • Procedimientos de Respuesta a Consultas del AG
  • • Alineacion con Marcos (NIST/ISO)
  • • Cumplimiento Multiestatal
  • + 4 politicas mas
Explorar todas las plantillas de politicas

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento de Colorado SB 26-189

El Senate Bill 26-189 es la ley de Colorado que rige la tecnologia de toma de decisiones automatizada (ADMT). Firmada por el gobernador Polis el 14 de mayo de 2026, deroga y reemplaza la Colorado AI Act (SB 24-205) y entra en vigor el 1 de enero de 2027. Exige que los implementadores notifiquen a los consumidores cuando una ADMT cubierta influye en decisiones consecuentes, expliquen los resultados adversos dentro de 30 dias y ofrezcan una revision humana significativa. Consulte el proyecto de ley en leg.colorado.gov/bills/sb26-189.
Fue derogada antes de llegar a entrar en vigor. La SB 24-205 se firmo en mayo de 2024 con una fecha de entrada en vigor original del 1 de febrero de 2026. Un proyecto de ley de sesion especial (SB 25B-004) la retraso al 30 de junio de 2026, y la SB 26-189 derogo y reemplazo el marco por completo en mayo de 2026. La clasificacion de sistemas de IA de alto riesgo, los programas obligatorios de gestion de riesgos, las evaluaciones de impacto anuales y el deber de diligencia desaparecieron del estatuto.
El 1 de enero de 2027. El Fiscal General debe adoptar reglas que aclaren el contenido y formato de las divulgaciones de resultados adversos antes de esa fecha, y ha declarado que la aplicacion no comenzara hasta que concluya la reglamentacion. Tenga en cuenta que la aplicacion tambien esta sujeta a un litigio federal en curso (xAI LLC v. Weiser), por lo que las organizaciones deben monitorear el calendario.
La ADMT es tecnologia que procesa datos personales y usa computacion para generar salidas, como predicciones, recomendaciones, clasificaciones o puntuaciones, usadas para tomar, guiar o asistir decisiones sobre un individuo. La definicion excluye herramientas rutinarias como software antivirus, cortafuegos, bases de datos, calculadoras, correctores ortograficos, hojas de calculo que requieren analisis humano, herramientas que solo resumen u organizan informacion para revision humana, y herramientas de chat no usadas en decisiones consecuentes.
La ley solo cubre la ADMT que influye materialmente en una decision consecuente, es decir, cuando su salida es un factor no minimo que afecta el resultado, por ejemplo al restringir, clasificar, puntuar, recomendar o categorizar. Los usos incidentales, triviales o administrativos quedan fuera del alcance. Esto es mas estrecho que el estandar de 'factor sustancial' de la SB 24-205 para sistemas de IA de alto riesgo.
Decisiones que afectan la educacion, el empleo, la vivienda, los servicios financieros y de prestamo, la salud, los seguros, y los servicios gubernamentales esenciales y beneficios publicos. Los servicios legales, que aparecian en la SB 24-205, ya no estan en la lista. Quedan excluidos los usos relacionados con ciberseguridad, prevencion de fraude, filtrado de spam, verificacion de identidad, prevencion de lavado de dinero y fiabilidad de sistemas.
Una decision que deniega, termina, revoca o reduce materialmente el acceso, la elegibilidad, la seleccion o la compensacion de un consumidor respecto de una oportunidad o servicio en un area cubierta, o que resulta en precios, costos o condiciones materialmente menos favorables. Cuentan las condiciones peores, no solo los rechazos directos, asi que las decisiones de precios y suscripcion pueden activar el deber de explicacion de 30 dias.
Es un implementador si usa ADMT cubierta para influir materialmente en decisiones consecuentes sobre consumidores. Es un desarrollador si crea o modifica sustancialmente la tecnologia. Algunas organizaciones son ambos. Tenga en cuenta que 'consumidor' es amplio: incluye a empleados y candidatos a empleo residentes en Colorado, e incluso a no residentes cuyo acceso a una oportunidad en Colorado se esta decidiendo.
Dos tipos. Primero, un aviso previo claro y visible de que se usa o se usara una ADMT en una decision consecuente, que puede cumplirse mediante avisos publicos prominentes en los puntos de interaccion con el consumidor. Segundo, si la decision resulta en un resultado adverso, un aviso dentro de 30 dias que explique la decision, el rol de la ADMT, como solicitar mas informacion y que derechos tiene el consumidor. Ambos deben ser accesibles para personas con discapacidad y consumidores con dominio limitado del ingles.
Tras un resultado adverso, los consumidores pueden solicitar revision humana y reconsideracion, en la medida en que sea comercialmente razonable. El revisor debe tener autoridad para aprobar, modificar o anular la decision, estar capacitado para la revision, considerar la evidencia primaria relevante, comprender el uso previsto y las limitaciones del sistema, y no limitarse a aceptar la salida automatizada.
No como mandato legal. La SB 26-189 elimino las evaluaciones de impacto anuales de la SB 24-205, los programas de gestion de riesgos alineados con NIST, el deber de diligencia y el autorreporte al Fiscal General. Lo que sigue siendo obligatorio es mas estrecho: avisos, explicaciones, revision humana, documentacion del desarrollador y retencion de registros por tres años. Muchas organizaciones mantienen las evaluaciones de impacto como buena practica interna, ya que facilitan mucho producir las explicaciones requeridas.
No. La defensa afirmativa por cumplir con NIST AI RMF o ISO 42001 era parte de la SB 24-205 y fue derogada con ella. La alineacion con marcos sigue siendo la via practica para operacionalizar los deberes de documentacion, supervision y registro de la SB 26-189, y sirve en otras jurisdicciones, pero ya no ofrece un escudo de responsabilidad especifico de Colorado.
Si. Las aseguradoras sujetas a la ley de algoritmos en seguros de Colorado (SB 21-169) se consideran en general en cumplimiento en la practica de seguros. Las entidades cubiertas por HIPAA estan en gran parte exentas con deberes de divulgacion limitados, y los dispositivos medicos regulados por la FDA quedan excluidos de la mayoria de los requisitos. Los usos de seguridad, prevencion de fraude, verificacion de identidad y prevencion de lavado de dinero quedan excluidos de las decisiones consecuentes.
La SB 26-189 asigna la responsabilidad segun la culpa relativa en reclamaciones de discriminacion bajo la ley estatal antidiscriminacion existente. Los desarrolladores en general no son responsables cuando los implementadores usan un sistema fuera de su uso previsto o documentado, lo que hace fundamental una documentacion del desarrollador precisa. Las clausulas contractuales que indemnizan a una parte por sus propias infracciones son nulas.
Las infracciones son practicas comerciales desleales o engañosas bajo la Colorado Consumer Protection Act, aplicadas exclusivamente por el Fiscal General con sanciones civiles de hasta $20,000 por infraccion. Antes de aplicar, el AG debe dar una oportunidad de subsanacion de 60 dias cuando la subsanacion sea posible (esta expira el 1 de enero de 2030 y no esta disponible para infracciones conscientes o reiteradas). No hay derecho privado de accion. La oficina del AG esta en coag.gov.
Si, si su ADMT influye materialmente en decisiones consecuentes sobre consumidores de Colorado, incluidos empleados y candidatos a empleo residentes en Colorado, o sobre el acceso de cualquier persona a una oportunidad en Colorado. No importa donde se encuentre el desarrollador o el implementador.
Si. VerifyWise proporciona inventario y alcance de ADMT, seguimiento de avisos previos al uso, flujos de explicacion de resultados adversos de 30 dias, colas de revision humana con asignacion de revisores capacitados, plantillas de documentacion del desarrollador y retencion de registros por tres años con pistas de auditoria completas.

Listo para el cumplimiento de Colorado SB 26-189?

Comience su recorrido de cumplimiento con nuestras herramientas de evaluacion e implementacion de la ley ADMT de Colorado. Preparese antes de la fecha de entrada en vigor del 1 de enero de 2027.

Iniciar evaluacion de cumplimientoProgramar consulta
Colorado SB 26-189 (ADMT law) compliance requirements 2027