Colorado pasó dos años como el caso de prueba de cómo un estado de Estados Unidos podría regular la inteligencia artificial. En 2024 se convirtió en el primer estado en aprobar una ley amplia de IA, la Senate Bill 24-205, que habría obligado a las empresas que crean o despliegan IA de alto riesgo a demostrar que protegían contra la discriminación algorítmica. Esa ley nunca entró en vigor. El 14 de mayo de 2026, el gobernador Jared Polis firmó la Senate Bill 26-189, que la deroga y la reemplaza por algo mucho más ligero.
Para cualquier negocio que opere agentes de IA en préstamos, crédito o seguros, esto no es una historia sobre Colorado dando marcha atrás. El papeleo pesado desapareció, pero la parte que afecta a tus clientes sobrevivió, y un cambio discreto en realidad amplía quién debe cumplir.
Qué hizo Colorado
La 24-205 original debía entrar en vigor el 1 de febrero de 2026, y luego se aplazó al 30 de junio de 2026 tras una sesión especial en agosto de 2025. Antes de ese segundo plazo, los legisladores desecharon el marco por completo. La SB 26-189, titulada simplemente "Automated Decision-Making Technology", fue impulsada por el senador Robert Rodriguez, el mismo legislador detrás del proyecto original, junto con el senador James Coleman y los representantes Monica Duran y Jennifer Bacon. Ya es ley. El estatuto entra en vigor el 12 de agosto de 2026, y sus obligaciones centrales de cumplimiento comienzan el 1 de enero de 2027.
La nueva ley se apoya en una sola definición. Describe la tecnología de toma de decisiones automatizada, o ADMT, como una tecnología que procesa datos personales y usa computación para generar resultados, incluidas predicciones, recomendaciones, clasificaciones, rankings, puntajes u otra información que se usa para tomar, guiar o asistir una decisión sobre una persona. Si tu IA moldea una decisión consecuente sobre alguien, está cubierta.
Qué se eliminó y qué sobrevivió
La reforma quitó casi todo lo que hacía exigente a la 24-205. Desapareció el deber de cuidado de desarrolladores y desplegadores dirigido a prevenir la discriminación algorítmica. Desaparecieron los programas obligatorios de gestión de riesgos, las evaluaciones de impacto y la obligación de reportar discriminación al fiscal general. Según el bufete Hunton Andrews Kurth, la ley revisada adopta un enfoque más estrecho, centrado en la divulgación y la transparencia en torno a ciertas tecnologías de decisión automatizada.
Lo que quedó es la capa de cara al consumidor. Los desarrolladores deben entregar a los desplegadores información específica: usos previstos, usos potencialmente dañinos, las categorías de datos de entrenamiento e instrucciones de supervisión. Las personas conservan derechos limitados, incluidos el acceso y la corrección de sus datos y una revisión humana significativa de una decisión automatizada adversa en circunstancias definidas. El núcleo de transparencia, en otras palabras, sigue intacto aunque la maquinaria de auditoría haya desaparecido.
El giro que incluye a los bancos
Esta es la parte que las instituciones financieras deberían leer dos veces. La 24-205 original incluía una exención a nivel de entidad ligada a la ley Gramm-Leach-Bliley, que en la práctica dejaba fuera a muchos bancos y cooperativas de crédito regulados. Según un análisis de Cooley, la SB 26-189 elimina por completo esa exención. Una decisión consecuente cubierta ahora incluye expresamente cualquier cosa que limite, retrase, niegue o altere materialmente el acceso de un consumidor a un servicio financiero o de préstamo, o al precio o la cobertura de un seguro.
Interested in implementing similar AI solutions? Discover how PATech Labs can help your business leverage cutting-edge artificial intelligence.
Learn About Our ServicesLa ley sí exceptúa los casos de uso defensivos en los que se apoyan los bancos: controles contra el lavado de dinero y la financiación del terrorismo, prevención de fraude, verificación de identidad, cumplimiento de sanciones y ciberseguridad. Y las instituciones que ya emiten avisos de acción adversa bajo ECOA, la Regulación B o la Fair Credit Reporting Act pueden satisfacer las nuevas reglas de aviso por esos canales existentes, en lugar de construir divulgaciones paralelas. Las obligaciones restantes son prácticas: un aviso posterior al resultado adverso dentro de 30 días, revisión humana significativa a solicitud, tres años de retención de registros y una divulgación en el sitio web sobre la ADMT en uso.
Qué significa si operas IA en finanzas
La lectura fácil es "aplazada y vaciada, así que a relajarse". Es la lectura equivocada. Tres cosas son ciertas a la vez.
Primero, las obligaciones que sobrevivieron son las que tocan a clientes reales, y ahora alcanzan a bancos y prestamistas que antes se escudaban en la GLBA. La infraestructura de divulgación, revisión humana y registro es barata de construir temprano y cara de adaptar después de una queja. Lo vemos constantemente cuando desplegamos agentes de IA para clientes regulados: los equipos que conectaron una vía de escalado con un humano en el circuito desde el primer día avanzan más rápido después, no más lento.
Segundo, la revisión humana significativa de una decisión automatizada adversa es el requisito que sostiene todo lo demás para la IA en crédito y seguros. Si un agente puede rechazar, recotizar o retrasar a un cliente, una persona debe poder intervenir y explicar el resultado. Diseña esa vía dentro del flujo de trabajo, no como un añadido.
Tercero, las reglas siguen en movimiento. Un tribunal de Colorado pausó la aplicación en abril de 2026 a la espera de la reglamentación del fiscal general, y la oficina debe emitir reglas de implementación antes del 1 de enero de 2027. Otros estados y la Unión Europea no se están frenando. Construir una vez con un estándar estricto, con registro, explicabilidad y una pista de auditoría limpia, es mejor que perseguir una regla distinta en cada jurisdicción. Para ver con qué rapidez los agentes de IA ya mueven dinero y decisiones reales, lee nuestro artículo anterior sobre los pagos agénticos.
La conclusión
Colorado no abandonó la regulación de la IA. Cambió un régimen pesado, centrado en la discriminación, por un régimen de transparencia más ligero, movió el reloj a 2027 y, casi de paso, metió a las instituciones financieras reguladas dentro del perímetro. La carga de cumplimiento es menor que antes, pero para bancos y prestamistas ya no es cero. Lo inteligente es tratar los requisitos de divulgación y revisión humana como el piso mínimo, construirlos ahora y dejar de suponer que el próximo estado será igual de indulgente.