Colorado AI Act entra em vigor em 30 de junho: o espelho americano do que o Brasil enfrentará no PL 2338

Em 30 de junho de 2026, o Colorado se torna o primeiro estado americano a colocar em vigor uma lei abrangente de inteligência artificial. Para empresas brasileiras com operação nos EUA, é uma data de compliance imediata. Para o Brasil, é uma prévia em escala 1:1 do que o PL 2338 trará quando entrar em vigor.

O que é o Colorado AI Act

O Colorado Artificial Intelligence Act, conhecido como SB 24-205, foi sancionado pelo governador Jared Polis em maio de 2024. Originalmente, a entrada em vigor estava prevista para 1º de fevereiro de 2026. Em agosto de 2025, o Senate Bill 25B-004 adiou o prazo para 30 de junho de 2026 — sem alterar o conteúdo substantivo das obrigações. O adiamento foi resultado de pressão da indústria e de manifestações do próprio governador e do procurador-geral do estado, que alertaram para a complexidade operacional do texto. As regras, porém, permanecem.

É a primeira lei estadual abrangente de IA dos Estados Unidos. Não trata de um setor específico nem de um tipo isolado de aplicação. Cria um regime geral de obrigações para qualquer organização que desenvolva ou utilize sistemas de IA classificados como de alto risco, quando esses sistemas tomam — ou contribuem substancialmente para tomar — decisões que afetam consumidores em áreas críticas.

Quem está coberto e o que muda em 30 de junho

A lei se aplica a duas categorias de empresas: desenvolvedores (developers) — quem cria, treina ou substancialmente modifica um sistema de IA — e deployers — quem efetivamente usa o sistema em decisões que afetam pessoas. As obrigações são distintas, mas se sobrepõem para empresas que cumprem os dois papéis (caso típico de bancos, seguradoras e serviços de saúde que treinam ou ajustam modelos para uso interno).

Sistema de alto risco, na definição do Colorado, é qualquer IA que toma ou é fator substancial em decisões consequentes envolvendo educação, emprego, serviços financeiros, habitação, saúde, seguros ou serviços jurídicos. A definição é deliberadamente ampla — cobre desde scoring de crédito e triagem de currículos até ferramentas de diagnóstico médico e modelos de pricing de seguros. Sistemas usados em diversão, marketing ou produtividade interna ficam fora do escopo, salvo quando alimentam decisões nas áreas críticas listadas.

A partir de 30 de junho de 2026, deployers de sistemas de alto risco precisam ter:

• Programa escrito de gestão de risco de IA, com políticas formais e atribuição de responsabilidade interna.
• Avaliações de impacto algorítmico (impact assessments) iniciais e revisadas anualmente para cada sistema de alto risco em uso.
• Notificação aos consumidores quando uma decisão consequente foi tomada com auxílio de IA, com explicação compreensível e informação sobre o tipo de sistema.
• Mecanismos de contestação: o consumidor afetado tem direito de corrigir dados pessoais incorretos e de recorrer da decisão adversa para revisão humana.
• Declaração pública sobre quais sistemas a empresa utiliza e como mitiga riscos de discriminação algorítmica.

Os desenvolvedores, por sua vez, precisam disponibilizar um pacote de informações para os deployers contendo descrição dos usos previstos, dos usos inadequados conhecidos, das medidas de governança aplicadas aos dados de treinamento e dos vieses identificados. Quando descobrem que um sistema causou ou pode ter causado discriminação algorítmica, têm 90 dias para informar o procurador-geral do Colorado e os deployers conhecidos.

Penalidades e enforcement

A multa é de até US$ 20 mil por violação. O dado importa menos pelo valor unitário do que pelo modelo de contagem: cada decisão automatizada potencialmente discriminatória configura uma violação separada. Em sistemas de alto volume — análise de crédito, triagem de RH, pricing dinâmico —, a soma pode escalar rapidamente.

O enforcement é exclusivo do procurador-geral do Colorado, sob a Colorado Consumer Protection Act. Não há ação privada — consumidores afetados não podem processar diretamente a empresa pelo descumprimento da lei de IA. Mas podem registrar queixas em portal oficial que entra no ar em 1º de setembro de 2026, e essas queixas alimentam as investigações do AG.

A lei prevê uma defesa relevante: organizações que adotem comprovadamente frameworks reconhecidos — como o NIST AI Risk Management Framework ou a norma ISO/IEC 42001 — gozam de presunção rebatível de conformidade. Não é imunidade. É um indício forte, em juízo, de que a empresa cumpriu seu dever de cuidado.

Por que isso atinge empresas brasileiras

O Colorado AI Act se aplica a qualquer empresa que opere ou ofereça serviços a consumidores no estado. Multinacionais brasileiras com subsidiária no Colorado, fintechs que servem clientes americanos, startups de SaaS com base de usuários nos EUA, healthtechs em parcerias transfronteiriças — todas estão potencialmente no escopo. A obrigação não exige presença física: basta a tomada de decisões consequentes sobre residentes do estado.

Para essas empresas, 30 de junho não é uma data abstrata. É um marco de compliance que exige hoje, em maio, o início do mapeamento de sistemas, a documentação de avaliações de impacto e a definição de quem responde internamente pelo programa de governança. Quem começar em junho chegará atrasado.

O paralelo com o PL 2338

O PL 2338/2023, marco legal brasileiro da inteligência artificial, foi aprovado pelo Senado em dezembro de 2024 e tramita atualmente na Câmara dos Deputados. A votação em plenário, originalmente prevista para o final de 2025, foi adiada para 2026 em função de impasses políticos sobre direitos autorais, mineração de dados para treinamento e o desenho da autoridade competente. A expectativa do mercado é de aprovação ainda neste ano legislativo.

A arquitetura do PL 2338 dialoga diretamente com o Colorado AI Act, ainda que tenha referência mais explícita no AI Act europeu. Há quatro pontos de convergência relevantes.

Classificação por risco

O PL 2338 classifica sistemas em risco excessivo (proibidos), alto risco (regulados) e demais categorias. O Colorado não tem proibições absolutas, mas sua definição de alto risco — decisões consequentes em áreas críticas — se sobrepõe substancialmente com o que o PL 2338 lista como alto risco no seu artigo 14. Crédito, RH, saúde, educação e serviços essenciais estão em ambos os regimes.

Avaliação de impacto algorítmico

O PL 2338 exige avaliação de impacto algorítmico para sistemas de alto risco — documento técnico que descreve a finalidade, o contexto de uso, as medidas de mitigação de vieses e o monitoramento contínuo. O Colorado AI Act exige a mesma figura, com nome ligeiramente diferente (impact assessment), mas conteúdo e periodicidade equivalentes. Empresas que estiverem se preparando para o regime americano já estarão construindo o artefato que o brasileiro exigirá.

Direitos dos afetados

Os direitos do consumidor que o Colorado garante — notificação, explicação, contestação, correção de dados — são essencialmente os mesmos que o PL 2338 atribui a pessoas afetadas por decisões automatizadas: direito à informação prévia, à explicação sobre os critérios usados, à contestação e à revisão humana. A linguagem é diferente; a substância, próxima.

Penalidades

Aqui há uma diferença significativa de magnitude. O PL 2338 prevê multas de até R$ 50 milhões por infração, com escalonamento por gravidade. O Colorado opera em ordem de grandeza menor por violação individual (US$ 20 mil), mas com contagem por decisão. Os dois modelos podem produzir exposições financeiras comparáveis em sistemas de alto volume — a engenharia jurídica do enforcement é distinta, o impacto operacional é semelhante.

Onde os regimes divergem

Três pontos merecem atenção para quem desenha um programa global de compliance.

Primeiro, a autoridade competente. No Colorado, é o procurador-geral, com competência exclusiva. No Brasil, o PL 2338 prevê a criação do Sistema Nacional de Regulação e Governança de IA (SIA), que atribui à ANPD a coordenação central, mas reconhece competências setoriais a reguladores como Bacen, ANS e CVM. Compliance no Brasil exigirá interlocução com mais de uma autoridade, dependendo do setor.

Segundo, a defesa por adoção de framework. O Colorado oferece presunção de conformidade para quem adota NIST AI RMF ou ISO 42001. O PL 2338, na versão atual, não traz cláusula equivalente — embora a adoção desses frameworks tenha valor probatório em qualquer regime. A lacuna brasileira pode ser endereçada por regulamentação infralegal posterior.

Terceiro, a ação privada. No Colorado, o consumidor afetado não pode processar diretamente a empresa pelo descumprimento da lei de IA. No Brasil, a interação entre PL 2338, CDC e LGPD provavelmente abrirá espaço para ação individual e coletiva, especialmente em casos de dano material ou moral comprovado. A exposição ao contencioso brasileiro tende a ser mais distribuída e menos previsível do que a americana.

Implicações práticas para empresas brasileiras

Para o CFO, o COO e o diretor jurídico de uma empresa brasileira com operação ou clientes nos EUA, três realidades se impõem nas próximas semanas.

A primeira é o inventário. Quais sistemas de IA estão em produção hoje? Quais foram desenvolvidos internamente, quais são de fornecedores, quais são módulos de produtos SaaS contratados? Sem inventário, não há governança — e nenhuma das obrigações do Colorado AI Act ou do PL 2338 pode ser cumprida em sistemas que a empresa não sabe que opera.

A segunda é a definição de papel. Em quais sistemas a empresa atua como deployer? Em quais como developer? A resposta determina o pacote de obrigações aplicável. Empresas que ajustam modelos de fornecedores (fine-tuning, retrieval-augmented generation com base em dados próprios) frequentemente se tornam developers para fins regulatórios sem perceber.

A terceira é o orçamento de governança. Programa escrito, impact assessments, mecanismos de contestação, declarações públicas, treinamento de equipes — nada disso acontece sem alocação de tempo e dinheiro. As empresas que construírem o programa para atender o Colorado terão a base do que o Brasil exigirá. As que esperarem o PL 2338 entrar em vigor para começar trabalharão em paralelo, com prazo curto.

Checklist de governança para os próximos 60 dias

Para empresas brasileiras expostas ao Colorado AI Act, cinco movimentos concretos podem ser feitos antes de 30 de junho:

• Mapear sistemas de IA em uso e em desenvolvimento, classificando-os por área de aplicação e identificando quais se enquadram nas categorias de alto risco do Colorado (educação, emprego, financeiro, habitação, saúde, seguros, jurídico).
• Atribuir responsabilidade interna — quem responde pelo programa de governança de IA? CRO, jurídico, CISO, CTO? A escolha varia por empresa, mas alguém precisa assinar embaixo.
• Iniciar impact assessments para sistemas críticos, mesmo em versão preliminar. O Colorado exige o documento; o PL 2338 também. Quem fizer agora terá artefato útil para os dois regimes.
• Adotar publicamente um framework de referência — NIST AI RMF e ISO/IEC 42001 são os dois mais reconhecidos. A adoção formal cria base para a defesa de presunção de conformidade no Colorado e fortalece a posição da empresa diante de qualquer autoridade.
• Atualizar contratos com fornecedores de IA exigindo o pacote de informações que o Colorado obriga developers a entregar a deployers. Sem isso, a empresa contratante carrega sozinha o ônus de informações que não tem.

O recado para o Brasil

O Colorado AI Act não é uma lei perfeita. Foi criticado por sua amplitude, pelos custos de compliance, pela insuficiência de prazos. Tanto o governador quanto o procurador-geral pediram revisão antes da entrada em vigor. Ainda assim, ele entra em vigor — e o que ficou no texto será o piso de operação para qualquer empresa que queira atuar no estado.

É a foto antecipada do cenário brasileiro pós-PL 2338: regimes que nascem ambiciosos, sob crítica de ambos os lados, e cuja execução real depende da capacidade de empresas e reguladores de operacionalizar conceitos jurídicos abstratos — discriminação algorítmica, sistema de alto risco, dever de cuidado — em rotinas de governança verificáveis.

Quem estiver pronto no Colorado em 30 de junho terá a infraestrutura conceitual e operacional que o Brasil pedirá em seguida. Quem deixar para depois enfrentará dois regimes simultâneos com prazo curto e custo alto.

O IBGIA está acompanhando a tramitação do PL 2338 e a entrada em vigor do Colorado AI Act como parte do monitoramento contínuo do ambiente regulatório global de IA. Para aprofundar a discussão sobre governança de IA em sua organização, conheça o trabalho do instituto e considere associar-se ao IBGIA — onde profissionais brasileiros de governança, jurídico, dados e tecnologia constroem a interpretação prática que a regulação ainda não traz pronta.

Para acompanhar as próximas análises sobre regulação de IA no Brasil e no mundo, assine a newsletter do IBGIA — análise independente, sem jargão, enviada quinzenalmente.