Virginia ha dado un paso más hacia convertirse en el segundo estado, después de Colorado, en aprobar una legislación integral que aborda la discriminación derivada del uso de inteligencia artificial (IA). Sin embargo, ambos estados han adoptado enfoques distintos para enfrentar este desafío regulatorio emergente.
El 12 de febrero de 2025, el Senado del estado de Virginia aprobó la Ley para Desarrolladores y Usuarios de Inteligencia Artificial de Alto Riesgo (H.B. 2094). Si el gobernador Glenn Youngkin firma la ley, esta regulará el uso de la IA en diversos ámbitos, incluyendo su aplicación en la toma de decisiones sobre el “acceso al empleo”.
La legislación ahora espera la firma del gobernador y, de ser aprobada, entrará en vigor el 1 de julio de 2026. A partir de esa fecha, las empresas que utilicen sistemas de IA de “alto riesgo” que afecten a los “consumidores” de Virginia, incluidos los solicitantes de empleo, deberán cumplir con nuevas obligaciones de cumplimiento normativo, reporta el National Law Review.
La legislación de Virginia establece un deber de diligencia razonable para las empresas que emplean sistemas de toma de decisiones automatizados en varios sectores regulados, incluyendo empleo, servicios financieros, atención médica y otras áreas de alto impacto.
Este marco regulatorio se aplica específicamente a los sistemas de inteligencia artificial considerados de “alto riesgo” que están “diseñados específicamente para tomar decisiones de manera autónoma” o para ser un factor sustancial en la toma de decisiones. Este lenguaje legal reduce significativamente el alcance de la ley en comparación con el enfoque adoptado en Colorado.
Una diferencia clave en la legislación de Virginia es que la IA debe ser el “principal fundamento” de una decisión para activar las disposiciones contra la discriminación de la ley. Este umbral es más alto que el estándar de “factor sustancial” establecido en la legislación de Colorado, lo que significa que la aplicación de la ley en Virginia se limita a los casos en los que la IA tiene un papel determinante en la decisión final.
¿Quién es un “consumidor”?
Uno de los principales objetivos de esta ley es proteger a los “consumidores” contra la discriminación algorítmica, especialmente cuando los sistemas automatizados se utilizan para tomar decisiones que afectan significativamente a las personas.
La legislación define a un “consumidor” como una persona física que reside en Virginia y actúa en un contexto individual o doméstico. Al igual que la Virginia Consumer Data Protection Act, la ley H.B. 2094 excluye a quienes actúan en un contexto comercial o laboral.
Una posible fuente de confusión radica en cómo el “acceso al empleo” puede considerarse una “decisión de alto impacto” bajo la ley, mientras que simultáneamente se excluye a los empleados de la definición de “consumidores”. Una interpretación lógica de esta aparente contradicción es que los solicitantes de empleo no actúan en una capacidad laboral en nombre de una empresa, sino como individuos que buscan empleo por razones personales.
En otras palabras, si un residente de Virginia solicita un trabajo y se utiliza una herramienta de selección basada en IA para evaluar su candidatura, una interpretación estricta de la ley sugiere que sigue siendo un consumidor, ya que está actuando en un contexto personal.
Por otro lado, una vez que la persona es contratada, su interacción con la empresa y sus sistemas de IA pasa a ser considerada parte de su relación laboral. En consecuencia, si un empleador utiliza IA de alto riesgo para monitorear el desempeño de los empleados (por ejemplo, mediante el seguimiento de métricas de productividad o tiempo de trabajo), el empleado ya no sería considerado un “consumidor” bajo H.B. 2094.
Sistemas de IA de alto riesgo y decisiones de alto impacto
La ley H.B. 2094 regula únicamente los sistemas de inteligencia artificial clasificados como “de alto riesgo”. Estos son sistemas que toman decisiones autónomas o que son un factor clave en la toma de decisiones sobre derechos fundamentales u oportunidades clave, como el acceso a programas educativos, la aprobación de préstamos, la concesión o denegación de vivienda o seguros, y, como se mencionó anteriormente, el acceso al empleo.
La legislación tiene como objetivo frenar la “discriminación algorítmica”, definida como el trato desigual ilegal o los efectos negativos desproporcionados basados en características protegidas como raza, sexo, religión o discapacidad, derivados del uso de herramientas automatizadas de toma de decisiones.
Incluso si un desarrollador o empresa no tiene la intención de utilizar una herramienta de IA de manera discriminatoria, el simple hecho de emplear un sistema que genere resultados sesgados podría derivar en responsabilidades legales.
La ley H.B. 2094 también especifica 19 tipos de tecnologías que quedan excluidas de la definición de “sistema de inteligencia artificial de alto riesgo”. Una exclusión destacada es la “tecnología antifraude que no use reconocimiento facial”. Esto es relevante en un contexto donde aumentan los intentos de fraude en contrataciones remotas, lo que ha llevado a muchas empresas a implementar herramientas para mitigar estos riesgos.
Otras exclusiones incluyen herramientas de ciberseguridad, software antivirus y antimalware, que quedan fuera de la regulación por razones evidentes. Además, la ley aclara que hojas de cálculo y calculadoras no serán consideradas IA de alto riesgo, despejando cualquier inquietud sobre la posible regulación de fórmulas y tablas dinámicas.
Obligaciones para desarrolladores
Los desarrolladores—entidades que crean o modifican sustancialmente sistemas de IA de alto riesgo—tienen la obligación de actuar con una “diligencia razonable” para proteger a los consumidores de daños discriminatorios previsibles.
Antes de proporcionar un sistema de IA de alto riesgo a un usuario final (deployer), los desarrolladores deben divulgar información clave, incluyendo:
- Los usos previstos del sistema,
- Las limitaciones conocidas,
- Las medidas tomadas para mitigar la discriminación algorítmica,
- Información para que el usuario final pueda monitorear continuamente el sistema en busca de sesgos.
Si los desarrolladores realizan modificaciones significativas en el sistema, deben actualizar estas divulgaciones en un plazo de 90 días.
Además, se requiere que los desarrolladores proporcionen documentación detallada sobre sus herramientas de IA, incluyendo evaluaciones de impacto y políticas de gestión de riesgos.
Otro aspecto importante de H.B. 2094 es su regulación sobre deep fakes. Si un desarrollador utiliza IA generativa para crear contenido sintético (audio, video o imágenes), debe incluir un marcado detectable que permita a los consumidores identificarlo como generado por IA. Sin embargo, se hacen excepciones para obras creativas y expresiones artísticas legítimas, como la sátira o la ficción.
Obligaciones para empresas que implementan IA (Deployers)
Las empresas que utilizan sistemas de IA de alto riesgo también deben cumplir con un estándar de “diligencia razonable” para prevenir la discriminación algorítmica. La ley exige que desarrollen e implementen políticas de gestión de riesgos específicas para los sistemas de IA de alto riesgo que usen.
Estas políticas deben alinearse con marcos regulatorios reconocidos, como el AI Risk Management Framework (NIST AI RMF) del National Institute of Standards and Technology o el estándar ISO/IEC 42001.
Antes de implementar un sistema de IA de alto riesgo, los deployers deben completar una evaluación de impacto que contemple ocho factores específicos, incluyendo:
- El propósito del sistema,
- Riesgos de discriminación potencial,
- Medidas adoptadas para mitigar sesgos.
En caso de que un sistema de IA tome una decisión adversa—como la denegación de un préstamo o el rechazo de una solicitud de empleo—la empresa debe explicar las razones detrás de la decisión, indicar si la IA fue el factor determinante y ofrecer la posibilidad de corregir errores en los datos o apelar la decisión.
Exenciones, períodos de corrección y protección legal
Aunque H.B. 2094 tiene un alcance amplio, establece exenciones para ciertos sectores regulados con normativas equivalentes o más estrictas, como agencias federales e instituciones financieras.
También se otorgan exenciones parciales a entidades cubiertas por la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) y proveedores de telesalud en situaciones limitadas.
Las empresas que descubran y corrijan una violación antes de que el fiscal general inicie acciones pueden evitar sanciones si resuelven el problema de inmediato y notifican a las autoridades.
Sanciones y aplicación de la ley
Solo el fiscal general de Virginia podrá hacer cumplir H.B. 2094. Las violaciones pueden dar lugar a investigaciones, órdenes judiciales y multas.
- Las infracciones no intencionales pueden generar multas de hasta $1,000 por caso, más costos legales.
- Las infracciones intencionales pueden resultar en multas de hasta $10,000 por cada violación.
Dado que cada caso se contabiliza por separado, las sanciones pueden acumularse rápidamente si un sistema de IA impacta a múltiples personas.
Si es firmada por el gobernador, la ley entraría en vigor el 1 de julio de 2026. Las organizaciones que desarrollan o implementan IA de alto riesgo deberían comenzar a prepararse, alineando sus procesos con estándares reconocidos como NIST AI RMF y ISO/IEC 42001 para garantizar el cumplimiento y fomentar la confianza de los consumidores.
