ooligo
PT-BR
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
Assinar
Ferramentas Comparações Workflows Stacks Aprender
Verticais
RevOps Legal Ops Recrutamento e TA Customer Success
Idioma
English Español Português (Brasil) 日本語 Français Deutsch
GitHub Assinar
TIPO · definition

Colorado AI Act (SB 24-205, now SB 26-189)

Por Marius Bughiu Última atualização 2026-05-26 Recrutamento e TA

A Colorado AI Act começou como SB 24-205, a primeira lei estadual dos EUA a impor deveres de gestão de risco no estilo da EU AI Act sobre “sistemas de inteligência artificial de alto risco” usados em decisões consequenciais em emprego, crédito, moradia, saúde, educação, seguros e serviços governamentais essenciais. Em 14 de maio de 2026, o governador Jared Polis sancionou a SB 26-189, que revogou integralmente a SB 24-205 e a substituiu por um framework mais enxuto de divulgação e direitos voltado à “tecnologia de tomada de decisão automatizada coberta” (ADMT). A lei substituta entra em vigor em 1 de janeiro de 2027. Se o seu time é um deployer usando AI em decisões de hiring no Colorado, o que vincula você é a SB 26-189, não o texto original da SB 24-205 que ainda circula nos decks de compliance dos vendors.

O que a Colorado AI Act NÃO é (mais)

A Colorado AI Act não é mais:

  • Uma lei de discriminação algorítmica. A SB 26-189 retirou as disposições de duty of care, a causa de ação por discriminação algorítmica, as impact assessments obrigatórias e o requisito de programa de gestão de risco de AI que definiam a SB 24-205.
  • Uma análoga da EU AI Act. A SB 24-205 foi modelada no regime baseado em risco da EU AI Act. A SB 26-189 se afasta desse modelo e se aproxima de um framework de divulgação no estilo da Colorado Privacy Act.
  • Em vigor. A SB 24-205 original entraria em vigor em 1 de fevereiro de 2026, foi adiada para 30 de junho de 2026 pela SB 25B-004 em agosto de 2025, depois pausada por um tribunal federal em 27 de abril de 2026 (ação movida por um desenvolvedor de AI na qual o Departamento de Justiça dos EUA interveio), e então revogada pela SB 26-189 antes que sua data de vigência chegasse. A SB 26-189 entra em vigor em 1 de janeiro de 2027.

Um vendor que entrega uma atestação de “programa de gestão de risco SB 24-205” em maio de 2026 está vendendo um artefato de compliance para uma lei que não existe mais. A pergunta relevante é o que a SB 26-189 vai exigir em 1 de janeiro de 2027.

Quem é coberto pela SB 26-189

A lei cobre developers e deployers de ADMT coberta que fazem negócios no Colorado, onde a ADMT processa dados pessoais e influencia materialmente uma decisão consequencial em um de sete domínios:

  • Emprego (hiring, demissão, promoção, compensação, escala de turnos)
  • Educação e matrícula educacional
  • Moradia e imóveis residenciais
  • Serviços financeiros e de crédito
  • Seguros
  • Saúde
  • Serviços governamentais essenciais

Para times de recruiting: qualquer ferramenta de AI usada para filtrar, ranquear, pontuar ou de qualquer outro modo influenciar materialmente uma decisão de hiring, demissão, promoção, compensação ou escala sobre um candidato ou employee no Colorado entra no escopo. Ferramentas que apenas capturam dados sem pontuar (transcrição, scheduling, roteamento de ATS) ficam fora do escopo pela mesma lógica que a NYC LL 144.

Não há limite de número de empleados nem isenção para pequenas empresas no estatuto promulgado.

O que a SB 26-189 exige dos deployers

Quatro deveres importam para times de recruiting:

  1. Aviso prévio ao uso. Antes de usar a ADMT para influenciar materialmente uma decisão consequencial, o deployer deve dar ao consumidor afetado (candidato ou employee) aviso claro e conspícuo de que uma ADMT será usada, o que ela fará e quais dados ela processará. Uma cláusula enterrada em uma política de privacidade não cumpre — o padrão espelha o padrão de aviso da LL144.
  2. Aviso pós-decisão adversa em até 30 dias. Quando a ADMT contribui para um resultado adverso (sem oferta, sem promoção, demissão, negação de um benefício), o deployer deve entregar uma descrição em linguagem simples da decisão, o papel da ADMT nela e instruções para solicitar mais informações.
  3. Revisão humana significativa mediante solicitação. O consumidor pode solicitar revisão humana e reconsideração. O revisor precisa ter autoridade para anular, precisa considerar evidência relevante e precisa ser treinado. Um recrutador que apenas chancela o ranking gerado pela AI não atinge esse padrão.
  4. Registros de três anos. O deployer mantém registros de compliance — identificadores de versão da ADMT, changelogs, documentação de mudanças materiais na mitigação de risco — por três anos.

As obrigações de developer (fornecer ao deployer uma declaração geral de usos pretendidos e usos prejudiciais conhecidos, categorias de dados, limitações conhecidas e instruções de uso) ficam a montante. A maioria dos times de ops está do lado do deployer, mas o checklist de diligência do deployer agora precisa da divulgação do lado do developer como input.

Enforcement e o vácuo regulatório

O procurador-geral do Colorado tem autoridade exclusiva de enforcement. Não há direito privado de ação. O procurador-geral declarou publicamente que não vai aplicar a SB 26-189 até que o rulemaking seja concluído, e o rulemaking ainda não começou em maio de 2026. O estatuto prevê um período de saneamento antes das ações de enforcement por violações não dolosas — 60 dias na versão aprovada.

Leitura prática: entre agora e 1 de janeiro de 2027, a exposição legal ativa para AI em hiring no Colorado não é a Colorado AI Act em si. É:

  • Análise federal de disparate impact sob o Title VII (permanece em pleno vigor independentemente da agitação da lei estadual de AI).
  • Fair Credit Reporting Act quando os scores de AI vêm de agências de relatório ao consumidor.
  • NYC LL 144 se você filtra qualquer candidato residente em NYC.
  • Illinois AIVIA se você usa entrevistas em vídeo analisadas por AI sobre candidatos de Illinois.
  • EU AI Act para AI de emprego de alto risco usada sobre candidatos da UE (obrigações de alto risco adiadas para 2 de dezembro de 2027 sob o acordo político do Digital Omnibus da UE alcançado em 7 de maio de 2026, pendente de adoção formal).

A Colorado AI Act se torna um artefato vinculante de compliance em 1 de janeiro de 2027 — antes se um deployer quiser usar o preparo para SB 26-189 como sinal de procurement.

Cuidados para times de recruiting

  • Ler o estatuto errado. Páginas de compliance de vendors datadas antes de 14 de maio de 2026 ainda referenciam a classificação de alto risco da SB 24-205, o template de impact assessment e a causa de ação por discriminação algorítmica. Nenhuma delas vincula nenhum deployer hoje. Confirme que a postura de compliance do vendor está atrelada à SB 26-189, não à sua predecessora. Guarda: exija que o vendor identifique a versão do estatuto à qual a documentação dele mapeia, com citação.
  • Tratar o não-enforcement do procurador como zero-exposição. A intenção declarada do procurador de não aplicar até o rulemaking ser concluído é política, não estatuto. A lei federal antidiscriminação existente não é afetada por isso. Guarda: rode sua postura de bias-audit e aviso contra LL144 + Title VII como piso; o preparo para SB 26-189 é aditivo.
  • Confundir “ADMT coberta” com “qualquer ferramenta de AI”. Ferramentas que não influenciam materialmente uma decisão consequencial não são ADMT coberta sob a SB 26-189 — mas o teste de materialidade é específico aos fatos. Uma ferramenta de “decision-support” cujo ranking é seguido em 95% dos casos está influenciando materialmente a decisão independentemente do rótulo do vendor. Guarda: documente o processo de revisão humana e a taxa de override; se os revisores anulam a AI em menos de 10% dos casos, trate a ferramenta como coberta.
  • Assumir que aviso prévio = boilerplate do job posting. O requisito de aviso da SB 26-189 é estruturalmente similar ao da LL144 mas o conteúdo é diferente (categorias de dados e descrição da ADMT, não resumo do bias-audit). Um time que já publica um aviso de LL144 ainda precisa atingir o patamar de conteúdo da SB 26-189. Guarda: mantenha dois templates de aviso por jurisdição, ou um template unificado que cumpra os dois.

O que os deployers devem fazer agora

  1. Inventarie toda ferramenta de AI que influencie materialmente uma decisão consequencial de emprego sobre um candidato ou employee no Colorado — incluindo ferramentas no passo de sourcing, screening, entrevista, scoring, scheduling ou recomendação de compensação.
  2. Puxe do vendor o mapeamento para SB 26-189 (não SB 24-205). Se o vendor ainda não tem um, registre a lacuna e coloque no checklist de revisão de renovação.
  3. Redija o template de aviso prévio ao uso e aviso pós-decisão adversa contra o texto do estatuto. Reutilize a infraestrutura de aviso de LL144 onde você tem; adicione o conteúdo específico faltante da SB 26-189.
  4. Defina o processo de revisão humana e designe o pool de revisores, com autoridade de override e treinamento documentados. Este é o requisito que mais provavelmente vai surpreender times que se apoiam demais no scoring da AI.
  5. Inicie o relógio de retenção de registros de três anos em 1 de janeiro de 2027. Construa a coleta de registros dentro do workflow do ATS, não como exercício separado de preparo de auditoria.

Consulte um advogado para análise específica de jurisdição. As regras vão se mover de novo durante o processo de rulemaking antes da data de vigência de 1 de janeiro de 2027.

Relacionados

Editar esta página no GitHub