Ley de IA de Colorado · SB 24-205

Cumplimiento de la Ley de IA de Colorado (SB 24-205)

La primera ley integral de IA a nivel estatal en EE.UU. Implementadores y desarrolladores de IA de alto riesgo deben prevenir la discriminacion algoritmica, realizar evaluaciones de impacto, notificar a los consumidores y mantener una defensa afirmativa mediante NIST AI RMF o ISO 42001.

Entrada en vigor
1 feb. 2026
Periodo de subsanacion
60 dias
Autoridad
Fiscal general
Iniciar evaluacion de cumplimientoReservar llamada de implementacion

Que es la Ley de IA de Colorado?

La Ley de Inteligencia Artificial de Colorado (Proyecto de Ley del Senado 24-205) es la primera ley integral a nivel estatal en EE.UU. que regula los sistemas de inteligencia artificial. Firmada como ley el 17 de mayo de 2024, establece obligaciones para desarrolladores e implementadores de sistemas de IA de alto riesgo utilizados en decisiones consecuentes.

Por que esto importa: La ley de Colorado establece un precedente para la regulacion de IA en EE.UU. Se enfoca en prevenir la discriminacion algoritmica mientras proporciona defensas afirmativas para organizaciones que adoptan marcos reconocidos de gestion de riesgos de IA.

Fecha de entrada en vigor

1 de febrero de 2026

Defensa afirmativa

Cumplimiento de NIST AI RMF o ISO 42001

Complementa la implementacion de NIST AI RMF y el cumplimiento de la Ley de IA de la UE.

Quien necesita cumplir?

Implementadores que usan IA en decisiones consecuentes

Organizaciones que usan sistemas de IA de alto riesgo para empleo, educacion, finanzas, salud, vivienda, seguros, servicios legales o gubernamentales

Desarrolladores de sistemas de IA

Empresas que desarrollan o modifican sustancialmente sistemas de IA destinados a su implementacion en Colorado

Empleadores que usan herramientas de contratacion con IA

Empresas que usan sistemas algoritmicos para seleccion de curriculos, evaluacion de candidatos o decisiones de empleo

Instituciones financieras

Prestamistas y proveedores de servicios financieros que usan IA para decisiones crediticias, aprobaciones de prestamos o servicios financieros

Proveedores de salud

Organizaciones que usan IA para diagnostico, recomendaciones de tratamiento o prestacion de servicios de salud

Agencias gubernamentales

Agencias estatales y locales de Colorado que implementan sistemas de IA que afectan a residentes

Como VerifyWise apoya el cumplimiento de la Ley de IA de Colorado

VerifyWise proporciona un preajuste de Colorado SB 24-205 que opera en modo de evaluacion de impacto, ofreciendo plantillas de evaluacion estructuradas que cubren cada seccion que la ley requiere

Requisito Colorado SB 205
Cobertura de VerifyWise
Evaluacion de impacto por discriminacion algoritmica
Plantilla estructurada de evaluacion de impacto con secciones dedicadas para cada requisito legal
Cobertura de 13 clases protegidas
Categorias preconfiguradas incluyendo raza, sexo, discapacidad, edad, identidad de genero y mas
Documentacion de alineacion con NIST AI RMF
Seccion dedicada de evaluacion para evidencia de alineacion con NIST AI RMF
Registros de analisis de riesgos y mitigacion
Campos de metadatos requeridos para analisis de riesgos, metricas de rendimiento y medidas de mitigacion

Capacidades adicionales de cumplimiento

Marco de politicas de gestion de riesgos

Genere politicas de gestion de riesgos compatibles con Colorado que aborden la prevencion de discriminacion algoritmica. La plataforma mantiene la documentacion y estructura de politicas requeridas bajo SB 24-205 tanto para implementadores como para desarrolladores.

Aborda: Obligacion del implementador: Politica y programa de gestion de riesgos

Flujos de trabajo de evaluacion de impacto

Realice y documente evaluaciones de impacto por discriminacion algoritmica para sistemas de IA de alto riesgo. La plataforma captura el proposito, metricas de implementacion, medidas de transparencia y documentacion de mitigacion de riesgos requerida antes de la implementacion.

Aborda: Obligacion del implementador: Evaluacion de impacto antes de la implementacion

Gestion de notificaciones al consumidor

Rastree las obligaciones de notificacion al consumidor para decisiones consecuentes. La plataforma ayuda a identificar cuando se requieren notificaciones y mantiene registros de cumplimiento de divulgacion para el uso de sistemas de IA de alto riesgo.

Aborda: Obligacion del implementador: Notificacion y exclusion del consumidor

Programacion de revision anual

Programe y documente revisiones anuales de sistemas de IA de alto riesgo. La plataforma rastrea plazos de revision, mantiene registros historicos de revision y garantiza el cumplimiento continuo con los requisitos de monitoreo.

Aborda: Obligacion del implementador: Revisiones anuales de evaluacion de impacto

Seguimiento de documentacion del desarrollador

Mantenga documentacion de capacidades del sistema de IA, limitaciones conocidas, casos de uso de alto riesgo y uso de datos. La plataforma genera la documentacion tecnica que los desarrolladores deben proporcionar a los implementadores segun la ley de Colorado.

Aborda: Obligacion del desarrollador: Documentacion y divulgacion

Preparacion de defensa afirmativa

Demuestre cumplimiento con NIST AI RMF o ISO 42001 para establecer una defensa afirmativa contra sanciones. La plataforma mapea sus controles a marcos reconocidos y genera paquetes de evidencia para procedimientos de aplicacion.

Aborda: Ambos roles: Defensa afirmativa a traves del cumplimiento del marco

Todas las actividades de cumplimiento incluyen marcas de tiempo, propietarios asignados y pistas de auditoria. Esta documentacion sistematica demuestra esfuerzos de cumplimiento de buena fe y apoya la preparacion de la defensa afirmativa.

Cobertura completa de requisitos de la Ley de IA de Colorado

VerifyWise proporciona herramientas dedicadas para todas las obligaciones de cumplimiento

12

Areas de requisitos de cumplimiento

12

Areas con herramientas dedicadas

100%

Cobertura de obligaciones principales

Gestion de riesgos4/4

Politicas, evaluaciones, revisiones, documentacion

Evaluaciones de impacto3/3

Proposito, beneficios, metricas de implementacion

Notificaciones al consumidor2/2

Divulgacion de alto riesgo, derechos de exclusion

Cumplimiento anual3/3

Revisiones anuales, actualizaciones, registros

Construido para el cumplimiento de la Ley de IA de Colorado desde cero

Seguimiento de discriminacion algoritmica

Monitoree discriminacion en clases protegidas

Plantillas de evaluacion de impacto

Plantillas especificas de Colorado con todos los elementos requeridos

Preparacion de defensa afirmativa

Paquetes de evidencia de cumplimiento NIST AI RMF e ISO 42001

Cumplimiento multiestatal

Vista integrada entre requisitos de Colorado, Texas y federales

Requisitos clave de cumplimiento

Obligaciones principales bajo la Ley de IA de Colorado

Prevencion de discriminacion algoritmica

Los sistemas de IA de alto riesgo no deben discriminar por clases protegidas al tomar decisiones consecuentes.

  • Protocolos de prevencion de discriminacion
  • Monitoreo de clases protegidas
  • Sistemas de deteccion de sesgo
  • Procedimientos de accion correctiva

Evaluaciones de impacto

Los implementadores deben realizar evaluaciones de impacto antes de usar sistemas de IA de alto riesgo en decisiones consecuentes.

  • Documentacion de proposito y caso de uso
  • Analisis de beneficios y costos
  • Metricas de implementacion y uso
  • Transparencia en la gobernanza de datos

Notificaciones al consumidor

Los consumidores deben ser notificados cuando se usan sistemas de IA de alto riesgo en decisiones consecuentes que los afectan.

  • Requisitos claros de divulgacion
  • Provision de mecanismo de exclusion
  • Opciones alternativas de toma de decisiones
  • Declaracion del proposito del sistema de IA

Revisiones anuales

Las evaluaciones de impacto deben revisarse y actualizarse al menos anualmente o cuando ocurran modificaciones sustanciales.

  • Programacion de revision anual
  • Actualizaciones de metricas de rendimiento
  • Efectividad de mitigacion de riesgos
  • Documentacion de cambios

Areas de decisiones consecuentes

Los sistemas de IA de alto riesgo son aquellos utilizados en decisiones que afectan materialmente estas areas

Empleo

Contratacion, despido, promocion, compensacion, asignacion de trabajo

Educacion

Matriculacion, becas, ayuda financiera, admisiones

Servicios financieros

Credito, prestamos, aprobacion de prestamos, productos financieros

Salud

Diagnostico, tratamiento, acceso a atencion, cobertura de seguros

Vivienda

Solicitudes de alquiler, seleccion de inquilinos, acceso a vivienda

Seguros

Precios, suscripcion, decisiones de reclamaciones, cobertura

Servicios legales

Acceso a representacion legal, evaluacion de casos

Servicios gubernamentales

Elegibilidad de beneficios, acceso a servicios publicos

Obligaciones del implementador vs desarrollador

Diferentes requisitos segun su rol en el ciclo de vida de la IA

Implementador

Organizaciones que usan sistemas de IA de alto riesgo para tomar o asistir sustancialmente en decisiones consecuentes

Obligaciones clave

  • Implementar politica y programa de gestion de riesgos
  • Realizar evaluaciones de impacto antes de la implementacion
  • Proporcionar notificaciones al consumidor
  • Establecer mecanismos de exclusion
  • Realizar revisiones anuales
  • Mantener documentacion de cumplimiento
  • Reportar descubrimientos de discriminacion al AG
Plazo de cumplimiento: 1 de febrero de 2026

Desarrollador

Personas o entidades que desarrollan o modifican intencionalmente y sustancialmente sistemas de IA

Obligaciones clave

  • Proporcionar declaracion de informacion general
  • Documentar limitaciones conocidas
  • Identificar usos previstos de alto riesgo
  • Divulgar requisitos de uso de datos
  • Proporcionar materiales de gestion al implementador
  • Hacer la documentacion disponible publicamente
  • Reportar descubrimientos de discriminacion al AG
Plazo de cumplimiento: 1 de febrero de 2026

Hoja de ruta de implementacion de 12 meses

Un camino practico hacia el cumplimiento de la Ley de IA de Colorado antes del 1 de febrero de 2026

Fase 1Meses 1-3

Inventario y clasificacion

  • Identificar todos los sistemas de IA en uso
  • Clasificar sistemas de alto riesgo vs no alto riesgo
  • Determinar roles de implementador vs desarrollador
  • Identificar puntos de decision consecuentes
  • Establecer comite de gobernanza
Fase 2Meses 4-6

Fundamentos de gestion de riesgos

  • Desarrollar politica de gestion de riesgos
  • Crear plantillas de evaluacion de impacto
  • Disenar procesos de notificacion al consumidor
  • Establecer mecanismos de exclusion
  • Implementar sistemas de documentacion
Fase 3Meses 7-10

Evaluaciones de impacto

  • Realizar evaluaciones de impacto para sistemas de alto riesgo
  • Documentar proposito y beneficios
  • Analizar metricas de implementacion
  • Evaluar riesgos de discriminacion
  • Implementar medidas de mitigacion
Fase 4Meses 11-12

Activacion del cumplimiento

  • Activar sistemas de notificacion al consumidor
  • Implementar mecanismos de exclusion
  • Programar ciclos de revision anual
  • Capacitar al personal sobre obligaciones
  • Preparar evidencia de defensa afirmativa

Sanciones y aplicacion

Comprender el panorama de aplicacion y las defensas afirmativas

Aplicacion del Fiscal General de Colorado

El Fiscal General de Colorado tiene la autoridad exclusiva de aplicacion bajo la Ley. No hay derecho privado de accion. El AG puede investigar infracciones, emitir demandas civiles de investigacion e iniciar acciones de aplicacion por incumplimiento. Contacte la oficina del AG en coag.gov.

Infracciones del implementador

$20,000 por infraccion

Por decision consecuente afectada

Infracciones del desarrollador

$20,000 por infraccion

Por implementador afectado

Descubrimiento de discriminacion (falta de reporte)

Sanciones adicionales

Por no notificar al AG dentro de 90 dias

Periodo de correccion disponible

60 dias para corregir

Primera infraccion con cumplimiento de buena fe

Defensa afirmativa a traves del cumplimiento del marco

Las organizaciones que cumplen sustancialmente con un marco reconocido de gestion de riesgos de IA y continuan con esfuerzos razonables de cumplimiento pueden establecer una defensa afirmativa contra sanciones monetarias (aunque no contra otras acciones de aplicacion).

NIST AI RMF

Cumplimiento con el Marco de Gestion de Riesgos de IA del NIST

Caso de uso: Demuestra un enfoque sistematico de gestion de riesgos

VerifyWise: Implementacion completa de NIST AI RMF y generacion de evidencia

ISO 42001

Certificacion en ISO 42001 Sistema de Gestion de IA

Caso de uso: Muestra un estandar internacional reconocido de gobernanza de IA

VerifyWise: Evaluacion de preparacion para ISO 42001 y mapeo de controles

Plantillas de politicas

Plantillas de politicas de la Ley de IA de Colorado

Acceda a plantillas de politicas listas para usar, alineadas con los requisitos de la Ley de IA de Colorado, NIST AI RMF e ISO 42001

Politicas del implementador

  • • Politica de Gestion de Riesgos
  • • Politica de Evaluacion de Impacto
  • • Politica de Notificacion al Consumidor
  • • Procedimientos de Exclusion
  • • Politica de Revision Anual
  • • Reporte de Discriminacion
  • + 3 politicas mas

Politicas del desarrollador

  • • Estandares de Documentacion
  • • Divulgacion de Limitaciones Conocidas
  • • Politica de Casos de Uso de Alto Riesgo
  • • Requisitos de Uso de Datos
  • • Materiales de Soporte al Implementador
  • • Politica de Informacion Publica
  • + 2 politicas mas

Politicas compartidas

  • • Prevencion de Discriminacion Algoritmica
  • • Monitoreo de Clases Protegidas
  • • Deteccion y Mitigacion de Sesgo
  • • Procedimientos de Reporte al AG
  • • Preparacion de Defensa Afirmativa
  • • Cumplimiento Multiestatal
  • + 4 politicas mas
Explorar todas las plantillas de politicas

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento de la Ley de IA de Colorado

La Ley de Inteligencia Artificial de Colorado (SB 24-205) fue firmada como ley el 17 de mayo de 2024 y entra en vigor el 1 de febrero de 2026. Las organizaciones tienen hasta esta fecha para establecer programas de cumplimiento. Consulte el texto oficial del proyecto de ley en leg.colorado.gov/bills/sb24-205.
Un sistema de IA de alto riesgo es cualquier sistema de IA que, cuando se implementa, toma o es un factor sustancial en la toma de una decision consecuente. Las decisiones consecuentes incluyen aquellas que afectan el empleo, educacion, servicios financieros, salud, vivienda, seguros, servicios legales o beneficios y servicios gubernamentales.
Es un implementador si usa un sistema de IA de alto riesgo para tomar decisiones consecuentes en Colorado. Es un desarrollador si crea o modifica sustancialmente sistemas de IA destinados a ser usados como sistemas de alto riesgo. Algunas organizaciones pueden ser ambos: implementadores (para la IA que usan) y desarrolladores (para la IA que construyen).
Los implementadores deben implementar politicas de gestion de riesgos, realizar evaluaciones de impacto, notificar a los consumidores y proporcionar mecanismos de exclusion. Los desarrolladores deben proporcionar documentacion, divulgar limitaciones conocidas, identificar usos de alto riesgo y hacer cierta informacion disponible publicamente. Ambos deben reportar descubrimientos de discriminacion al Fiscal General de Colorado.
La discriminacion algoritmica ocurre cuando un sistema de IA diferencia ilegalmente en trato o impacto basado en clasificaciones protegidas como edad, raza, discapacidad, etnia, religion, sexo u otras clases protegidas bajo la ley de Colorado o federal. La Ley prohibe esto en decisiones consecuentes.
Las evaluaciones de impacto deben documentar el proposito del sistema de IA, casos de uso previstos y beneficios, categorias de datos procesados, limitaciones conocidas, medidas de transparencia, metricas para evaluacion de rendimiento y equidad, pasos de mitigacion de riesgos y procedimientos de monitoreo post-implementacion. Las evaluaciones deben revisarse anualmente.
Cuando use sistemas de IA de alto riesgo en decisiones consecuentes, debe proporcionar un aviso claro y visible a los consumidores afectados. El aviso debe explicar que se esta usando IA, el proposito del sistema, la naturaleza de la decision consecuente y como excluirse o solicitar un proceso alternativo.
Los implementadores deben proporcionar a los consumidores la oportunidad de excluirse del perfilado para decisiones que producen efectos legales o igualmente significativos. Esto significa ofrecer un proceso alternativo de toma de decisiones basado en humanos cuando los consumidores lo soliciten, aunque se aplican excepciones limitadas.
Si. Si cumple sustancialmente con un marco reconocido de gestion de riesgos como NIST AI RMF o ISO 42001 y continua haciendo esfuerzos razonables para cumplir con la Ley, puede establecer una defensa afirmativa contra sanciones. Esto no elimina las acciones de aplicacion pero protege contra sanciones financieras.
La Ley se aplica cuando se usan sistemas de IA de alto riesgo para tomar decisiones consecuentes sobre residentes de Colorado, independientemente de donde se encuentre el implementador o desarrollador. Si sus sistemas de IA afectan a personas en Colorado en areas de decision cubiertas, necesita cumplir.
Tanto los implementadores como los desarrolladores deben notificar al Fiscal General de Colorado dentro de 90 dias de descubrir que un sistema de IA de alto riesgo ha causado discriminacion algoritmica. Se puede contactar la oficina del AG a traves de coag.gov. El no reportar puede resultar en sanciones adicionales.
Si. La Ley exime a los sistemas de IA usados unicamente para detectar, prevenir o investigar fraude; realizar tareas procedimentales limitadas; realizar funciones anti-malware/ciberseguridad; y cierta IA usada en cumplimiento con leyes federales. Las instituciones financieras que cumplen con requisitos federales de gestion de riesgos de IA tambien reciben exenciones limitadas.
Mientras que Colorado se enfoca en la discriminacion algoritmica en decisiones consecuentes, la Ley de IA de la UE usa un sistema de clasificacion por niveles de riesgo mas amplio. Ambos son enfoques basados en riesgo. Las organizaciones que operan globalmente deben implementar controles que satisfagan los requisitos de ambos marcos.
Debe mantener evaluaciones de impacto, politicas de gestion de riesgos, notificaciones al consumidor, solicitudes y respuestas de exclusion, documentacion de revision anual y registros de cualquier descubrimiento de discriminacion y esfuerzos de remediacion. Estos registros pueden ser solicitados por el Fiscal General de Colorado durante acciones de aplicacion.
Si, VerifyWise proporciona flujos de trabajo de evaluacion de impacto, plantillas de politicas de gestion de riesgos, seguimiento de notificaciones al consumidor, programacion de revision anual y preparacion de defensa afirmativa. Mapeamos sus controles a NIST AI RMF e ISO 42001 para ayudar a establecer la proteccion de defensa afirmativa.

Listo para el cumplimiento de la Ley de IA de Colorado?

Comience su recorrido de cumplimiento con nuestra evaluacion e implementacion de la Ley de IA de Colorado. Preparese antes de la fecha de entrada en vigor del 1 de febrero de 2026.

Iniciar evaluacion de cumplimientoProgramar consulta
Colorado AI Act (SB 24-205) compliance: deadlines, cure period, affirmative defense