Colorado SB 205
El Colorado Senate Bill 205 (SB 24-205) es la ley del estado de Colorado que regula el uso de sistemas de IA de alto riesgo en decisiones que afectan a consumidores. Entró en vigencia en febrero de 2026 y establece obligaciones específicas para desplegadores de IA, con un enfoque particular en la protección del consumidor.
Los 5 Requisitos que Lupar Rastrea
1. Política de Gestión de Riesgos
Qué exige: La organización debe tener una política documentada de gestión de riesgos para sistemas de IA de alto riesgo. Esta política debe describir cómo se identifican, evalúan y mitigan los riesgos asociados con el despliegue de IA.
Cómo ayuda Lupar: El sistema de risk-assessment proporciona el marco de evaluación de riesgos documentado. Los reports generan evidencia de que la organización tiene un proceso activo de gestión de riesgos con clasificación por niveles, score cuantitativo y seguimiento continuo.
2. Evaluación de Impacto
Qué exige: Antes de desplegar un sistema de IA de alto riesgo, la organización debe realizar una evaluación de impacto que considere los posibles efectos en los consumidores, incluyendo sesgos, errores y consecuencias adversas.
Cómo ayuda Lupar: El flujo de compliance-tracking permite documentar la evaluación de impacto para cada herramienta antes de autorizar su uso. Las evaluaciones individuales por requisito generan un registro de que el impacto fue considerado.
3. Divulgación al Consumidor
Qué exige: Las organizaciones deben informar a los consumidores cuando están sujetos a decisiones tomadas o influenciadas por sistemas de IA de alto riesgo. La divulgación debe ser clara y accesible.
Cómo ayuda Lupar: El inventory identifica todas las herramientas de IA en uso por categoría. Las categorías sujetas a divulgación (RRHH, finanzas, salud) se marcan con nivel de riesgo Alto, facilitando la implementación de las divulgaciones requeridas.
4. Declaración Pública
Qué exige: Las organizaciones que despliegan sistemas de IA de alto riesgo deben publicar una declaración pública describiendo cómo gestionan los riesgos de IA. Esta declaración debe estar disponible y accesible.
Cómo ayuda Lupar: Los reports de Lupar proporcionan la base documentada para elaborar esta declaración. Los datos del inventario, las evaluaciones de riesgo y el estado de compliance constituyen la evidencia que respalda una declaración pública creíble.
5. Defensa Afirmativa ISO 42001
Qué exige: Las organizaciones que implementen un Sistema de Gestión de IA certificado bajo iso-42001 tienen una defensa afirmativa contra acciones regulatorias bajo esta ley. Esto significa que la certificación ISO 42001 funciona como una protección legal.
Cómo ayuda Lupar: Lupar cubre los 5 controles principales de ISO 42001, lo que permite a tu organización trabajar hacia la certificación mientras cumple simultáneamente con los requisitos de Colorado SB 205.
Fecha de Vigencia
Colorado SB 205 entró en vigencia en febrero de 2026. Si tu organización opera en Colorado, sirve consumidores en Colorado, o toma decisiones que afectan a residentes de Colorado, debés cumplir con esta ley desde ya.
Alcance de la Ley
La ley aplica a sistemas de IA que toman o influyen en decisiones “consecuenciales” que afectan a consumidores, incluyendo:
- Decisiones de empleo (contratación, evaluación, despido)
- Decisiones financieras (crédito, seguros)
- Decisiones de salud (diagnóstico, tratamiento)
- Decisiones educativas (admisión, evaluación)
- Acceso a servicios públicos y vivienda
Tabla de Mapeo Requisito - Lupar
| Requisito CO SB 205 | Funcionalidad Lupar |
|---|---|
| Política gestión riesgos | risk-assessment, reports |
| Evaluación impacto | compliance-tracking |
| Divulgación consumidor | inventory, categorías |
| Declaración pública | reports, dashboard |
| Defensa afirmativa ISO | iso-42001, todas las funcionalidades |
Relacionado
- compliance-tracking – Evaluación por herramienta
- reports – Documentación para cumplimiento
- eu-ai-act – Reglamento europeo complementario
- iso-42001 – Estándar con defensa afirmativa