Como funciona a Matriz de Compliance de IA dos Estados dos EUA

Corpus de regras revisado por advogado

Motor de regras determinístico

O motor avalia expressões de gatilho contra suas entradas em uma ordem determinística. Cada regra é uma law YAML com triggers, obligations e penalty_range. Não há ranking probabilístico — se suas entradas satisfazem triggers.all_of, a lei se aplica.

Obrigações são divididas por papel (if_deployer, if_developer, if_either). A exposição a penalidades é agregada como soma de penalty_range.max_usd para leis acionadas, escalada por per_violation quando relevante.

Esquema de regras

Toda lei no corpus segue este esquema YAML:

law:
  id: co-caia
  name: Colorado AI Act
  statute: SB 24-205
  effective: 2026-06-30
  source_url: https://leg.colorado.gov/...
  jurisdiction: Colorado residents
  enforcement: Colorado Attorney General
  status: active
  last_reviewed: 2026-03-15
  reviewer: <firm>
triggers:
  all_of:
    - state_includes: [co]
    - any_use_case: [ai_hiring, ai_lending]
obligations:
  if_deployer: [...]
  if_developer: [...]
penalty_range:
  min_usd: 2000
  max_usd: 20000
  per_violation: true
  enforcement: Colorado AG

Gatilhos e obrigações são dados puros — nenhum JavaScript roda no servidor além do avaliador determinístico. O corpus é publicado como JSON e YAML para auditores externos.

Cadência de revisão

• Publicação inicial: revisão de advogado antes que a lei entre na matriz.
• Trimestral: cada lei é re-revisada a cada trimestre; o timestamp last_reviewed é atualizado.
• Revisão de emergência: quando uma ordem judicial, orientação de regulador ou emenda muda o efeito da lei, a matriz é atualizada dentro de 10 dias úteis.
• Verificações automatizadas: CI roda diariamente schema_validation, statute_url_health e verificações de obsolescência de last_reviewed; links quebrados e entradas obsoletas alertam o plantão.

O que aciona uma atualização

• Uma nova lei estadual de IA é assinada ou uma nova regulamentação setorial é finalizada.
• Uma ordem judicial detém, restringe ou expande a aplicação de um estatuto rastreado.
• Um procurador-geral ou regulador publica orientação formal que muda o escopo da obrigação.
• Um estatuto é emendado — a matriz registra a emenda e re-revisa as obrigações.

Dataset público

O corpus completo de regras é publicado como JSON em laws.json para auditores externos, motores de IA e pesquisadores. O dataset é CORS-aberto e com cache de borda.

Alinhamento com frameworks

• NIST AI RMF: obrigações mapeiam para funções AI RMF — Govern, Map, Measure, Manage — para apoiar programas de compliance unificados.
• EU AI Act: classificações de alto risco fazem referência cruzada às obrigações americanas aplicáveis, para que equipes multi-jurisdição possam planejar uma única vez.
• ISO 42001: controles do sistema de gestão de IA são marcados contra obrigações americanas para apoiar auditorias de certificação.
• Avaliação de Impacto Algorítmico (AIA): frameworks de avaliação de reguladores e indústria são referenciados onde encurtam circuitam obrigações.

Política de integridade

Pontuações são editoriais; fornecedores não pagam por colocação, priorização ou omissão. Solicitações de correção são revisadas dentro de 10 dias úteis; acompanhe solicitações abertas em github.com/buzzi-ai/us-ai-compliance-matrix.

Não é aconselhamento legal

A matriz exibe obrigações acionadas pelas suas entradas contra estatutos publicados na data abaixo. Não é aconselhamento legal. Consulte um advogado qualificado antes de agir sobre qualquer saída. O texto dos estatutos é resumido; as fontes originais governam.