La ley de sesgo de IA de Colorado convierte el cumplimiento en un riesgo de secreto comercial

Todo programa de gobernanza de IA termina creando una carpeta llamada evidencia. Esa carpeta es donde las notas de pruebas de sesgo, los cuestionarios de proveedores, los campos de datos y las decisiones de escalamiento se guardan para volverse defendibles. También es donde el comportamiento de modelos propietarios, las decisiones sobre datos y los métodos de proveedores pueden filtrarse si nadie se tomó la molestia de separar la prueba de la receta del producto. La ley de sesgo en IA de Colorado vuelve concreta esa tensión. La pregunta de cumplimiento no es si los creadores deben ser transparentes; esa es la respuesta fácil de un panel de conferencia. La pregunta más difícil es quién recibe qué evidencia, con qué nivel de detalle y bajo qué controles contractuales.

La fecha límite ya está bajo control de versiones

TrustArc describe la SB24-205 como vigente a partir del 30 de junio de 2026, mientras que el análisis de Skadden de 2024 describía la Ley de Inteligencia Artificial de Colorado como vigente a partir del 1 de febrero de 2026. Eso no es un error tipográfico que se deba ignorar; es un recordatorio de que los calendarios de cumplimiento de IA son documentos vivos. Fisher Phillips informó que un grupo de trabajo estatal publicó una propuesta de reescritura el 17 de marzo de 2026 que eliminaría las auditorías de sesgo obligatorias, las reemplazaría por un marco de transparencia y aviso, y pospondría la fecha de entrada en vigor al 1 de enero de 2027. Law and the Workplace informó después que un juez magistrado federal suspendió la aplicación de la ley el 27 de abril de 2026 y que la ley no entraría en vigor el 30 de junio.

Regla de letra pequeña: no construyas con base en la fecha de un blog cuando el estatuto, un proyecto de ley de reemplazo y una orden judicial están todos en movimiento. Asigna a alguien la responsabilidad de dar seguimiento al estado de Colorado y mantén los artefactos de implementación lo bastante modulares como para sobrevivir a un cambio de auditorías a avisos. Los equipos que sufrirán son los que traten una auditoría de sesgo, un aviso al consumidor y un anexo de proveedor como el mismo documento con encabezados distintos.

Qué intenta detectar la ley

La alerta de Stinson de junio de 2024 describe a Colorado como el primer estado en promulgar una ley integral de IA para proteger a los consumidores contra la discriminación, después de que un proyecto de ley casi idéntico fracasara en Connecticut. Stinson dice que la ley apunta a la discriminación algorítmica mediante un enfoque basado en riesgos dirigido a sistemas de IA de alto riesgo, es decir, sistemas que toman, o son un factor sustancial para tomar, una decisión trascendental. Skadden también describió la ley como centrada en sistemas de IA de alto riesgo y advirtió que las leyes estatales de IA podrían crear un mosaico normativo en ausencia de regulación federal.

Traducido para los creadores, la primera obligación es la clasificación, no un ensayo público sobre la equidad. Necesitas saber si la herramienta influye en una decisión trascendental, si tu rol se parece más al de desarrollador, implementador o empleador dentro de la cadena, y qué evidencia necesitará el usuario posterior. Jackson Lewis dice que el marco más reciente de Colorado para empleadores traslada la responsabilidad desde el cumplimiento a nivel de sistema hacia la responsabilidad decisión por decisión, lo que significa que una tarjeta de modelo genérica no soportará toda la carga.

El problema del secreto comercial está en la prueba

Fisher Phillips informa que la propuesta de reescritura se alejaría de las auditorías de sesgo obligatorias y avanzaría hacia la transparencia, el aviso, los derechos de corrección y la revisión humana. Eso suena más liviano que un mandato de auditoría, pero no significa que el papeleo desaparezca. Jackson Lewis dice que los empleadores deben proporcionar transparencia posterior a la decisión, incluido el aviso, el acceso a los datos utilizados, una oportunidad de corrección y revisión humana.

Aquí es donde entra el problema de la propiedad intelectual, de forma silenciosa y costosa. Ninguno de los resúmenes citados describe una obligación general de publicar el código fuente. El riesgo real es que los registros necesarios para explicar un resultado individual pueden exponer decisiones sobre características, procedencia de datos, umbrales de puntuación, prompts, métodos de evaluación o el flujo de trabajo del proveedor. Trata esos materiales como conjuntos de registros controlados: una explicación orientada al usuario, un paquete para reguladores o auditores y un anexo técnico confidencial no deberían tener la misma audiencia ni los mismos derechos de acceso.

Los contratos necesitan carriles de divulgación

Stinson señala que el enfoque de Colorado centrado en la discriminación contrasta con el enfoque de transparencia de Florida y el enfoque de Utah en la publicidad política. Eso importa porque un creador nacional de IA no puede escribir una sola narrativa de divulgación y darla por terminada. El mismo producto puede necesitar controles de sesgo en Colorado, avisos diferentes en otro estado y flujos de trabajo a nivel de empleador cuando se venda para contratación u otras decisiones laborales.

El contrato con el proveedor es donde esto se vuelve práctico. Debe decir qué documentación se suministrará para la clasificación, qué campos de datos pueden compartirse con las personas afectadas, cómo se enrutan las solicitudes de revisión humana y qué materiales técnicos siguen siendo confidenciales salvo que la divulgación sea legalmente obligatoria. La página del proyecto de ley SB24-205 de la Asamblea General de Colorado debe seguir formando parte de la verificación de estado, no ser una ocurrencia tardía pegada en un memorando trimestral de cumplimiento.

La lección útil solo parece contraintuitiva si el cumplimiento y la protección de la propiedad intelectual están en departamentos distintos. Colorado está empujando la gobernanza de IA hacia resultados individuales explicables, mientras que la gestión de secretos comerciales pide a las empresas limitar la divulgación innecesaria. Los creadores deberían unir esos flujos de trabajo ahora: diseñar el rastro de evidencia, etiquetar las capas sensibles y vigilar el proyecto de ley de reemplazo y la postura del litigio antes de congelar la hoja de ruta.