Conformidade de Contratação com IA · Viés Multijurisdicional & Acessibilidade
Em abril de 2026, o CHRO ou Diretor Jurídico que opera AEDTs em Nova York, Colorado, Illinois, Texas, Califórnia ou na UE está dentro de uma janela regulatória para a qual a maioria de seus fornecedores não foi construída. A Illinois HB 3773 entrou em vigor em 1º de janeiro. A Texas TRAIGA entrou em vigor em 1º de janeiro. As emendas da FEHA ADS da Califórnia entraram em vigor em outubro passado. A Colorado SB 24-205 entra em vigor em 30 de junho. A Lei de IA da UE trata o recrutamento como de alto risco a partir de 2 de agosto. O Controlador do Estado de Nova York acaba de publicar uma auditoria de dezembro de 2025 que constatou 17 violações da LL144 onde o DCWP havia encontrado uma, e o DCWP concordou em migrar para a fiscalização proativa. Mobley v. Workday está em fase de instrução probatória. Kistler v. Eightfold questiona se as plataformas de contratação com IA são agências de relatórios ao consumidor sob a FCRA. Esta página existe porque nenhum fornecedor isolado em sua lista de finalistas pode responder honestamente a tudo isso por você.
17 vs. 1
Violações da LL144 encontradas por auditores do Estado de NY vs. DCWP na mesma amostra de 32 empresas
Controlador do Estado de NY, 2 de dez. de 2025
4,6%
Dos 391 empregadores de NYC haviam publicado uma auditoria de viés — a constatação de "Conformidade Nula"
Cornell / Data & Society / Consumer Reports, FAccT 2024
64M
Registros de candidatos expostos quando uma conta de administrador da McHire / Paradox usou a senha "123456"
Divulgação de Carroll & Curry, 30 de junho de 2025
Três desses eventos já estão em vigor. Dois entram em ação antes do fim do verão. Dois estão em litígio ativo. Nenhum deles espera pelo seu ciclo anual de conformidade.
Os empregadores devem reter os dados de entrada, saídas, resultados de testes de viés e critérios de seleção dos ADS por pelo menos quatro anos. A responsabilidade recai sobre práticas de emprego discriminatórias causadas por um ADS, intencionais ou não. Aplica-se a qualquer empregador que contrate na Califórnia, independentemente da localização da sede.
Proíbe o uso de IA que tenha efeito discriminatório no recrutamento, contratação, promoção, disciplina ou demissão. Proíbe explicitamente o uso de CEPs como variáveis substitutas (proxies) de classes protegidas. Notificação exigida sempre que a IA for usada para "influenciar ou facilitar" qualquer decisão de emprego. Fiscalizada pelo Departamento de Direitos Humanos de Illinois, que publicou regras preliminares de notificação no final de 2025.
Proíbe a discriminação intencional por meio de IA. O Texas rejeitou explicitamente o impacto desproporcional (disparate impact) como teoria autônoma, divergindo dos arcabouços da LL144 e do Colorado. Fiscalizada exclusivamente pelo Procurador-Geral do Texas. Os infratores recebem notificação e um período de saneamento de 60 dias; as penalidades variam de US$ 12.000 para violações saneáveis a US$ 200.000 para as não saneáveis.
Auditores estaduais encontraram 17 possíveis violações da LL144 na mesma amostra de 32 empresas em que o DCWP encontrou uma. 75% das 311 ligações de reclamação sobre AEDT foram encaminhadas incorretamente. O DCWP admitiu não ter expertise técnica para avaliar AEDTs e concordou em adotar a fiscalização proativa. Estrutura de penalidades inalterada: até US$ 1.500 por dia por violação. A "Conformidade Nula" — autoclassificar sua ferramenta como fora do escopo — não é mais uma postura defensável na cidade de Nova York.
A juíza Rita F. Lin negou o pedido de extinção da Workday, sustentando que um fornecedor de contratação com IA pode ser diretamente responsável como "agente" dos empregadores quando sua ferramenta participa da tomada de decisão ao recomendar ou filtrar candidatos. A certificação coletiva preliminar foi concedida em 16 de maio de 2025; a janela de adesão (opt-in) para candidatos com mais de 40 anos encerrou em 7 de março de 2026. O tribunal posteriormente ordenou que a Workday produzisse uma lista exaustiva de empregadores que habilitaram o HiredScore Spotlight e o Fetch, rejeitando a tentativa da Workday de excluir do grupo os produtos pós-aquisição.
Primeiro teste para determinar se as plataformas de contratação com IA são "agências de relatórios ao consumidor" sob a FCRA. Os autores alegam que a Eightfold extraiu dados (scraping) do LinkedIn, GitHub, Stack Overflow e bancos de dados públicos, construiu dossiês de candidatos a partir de "mais de 1,5 bilhão de pontos de dados globais" e produziu uma pontuação de "probabilidade de sucesso" de 0 a 5 sem certificação, notificação, divulgação, autorização ou processo de contestação por parte do candidato. Se o tribunal entender que a Eightfold é uma CRA, toda plataforma semelhante deverá a cada candidato pontuado uma notificação de ação adversa e um fluxo de contestação. Os danos legais previstos na FCRA são de US$ 100 a US$ 1.000 por consumidor por violação.
O governador Polis sancionou o projeto de lei de adiamento em 28 de agosto de 2025, transferindo a data de vigência de 1º de fevereiro para 30 de junho de 2026. Os implementadores (deployers) devem adotar um programa de gestão de riscos, realizar avaliações de impacto iniciais e anuais, emitir notificações ao consumidor pré-decisão e de decisão adversa e publicar divulgações no site. O Procurador-Geral do Colorado detém autoridade exclusiva de fiscalização. A defesa de presunção relativa (rebuttable presumption) exige cuidado razoável documentado.
Recrutamento, triagem, segmentação de anúncios de vagas, filtragem de candidaturas e avaliação de candidatos enquadram-se todos no alto risco do Anexo III. Até 2 de agosto de 2026, os provedores devem concluir avaliações de conformidade, publicar documentação técnica (Art. 11 / Anexo IV), implementar um programa de governança de dados (Art. 10), garantir supervisão humana (Art. 14), registrar-se na base de dados da UE e afixar a marcação CE. As penalidades chegam a € 35M ou 7% do faturamento anual global para violações de práticas proibidas, e € 15M ou 3% para obrigações de alto risco. A proposta do Digital Omnibus do final de 2025 pode adiar o Anexo III para dezembro de 2027, mas essa prorrogação não foi promulgada e a conformidade prudente trata 2 de agosto como vinculante.
A tabela abaixo não é um guia de compras. É um mapa de onde cada plataforma se posiciona em relação ao regime jurídico atual, e o que isso significa para um CHRO que precisa renovar ou substituir um contrato em 2026. Somos neutros em relação a fornecedores e não temos nenhuma relação comercial com qualquer empresa aqui listada.
| Fornecedor / Produto | Postura regulatória atual | A lacuna honesta que o CHRO assume |
|---|---|---|
| Workday + HiredScore (Spotlight, Fetch) | Publicou uma análise de terceiros da Secretariat; entrega configurações de auditoria LL144; defende-se ativamente em Mobley | A juíza Lin rejeitou a tentativa da Workday de excluir o HiredScore do grupo. Se um cliente implantou o Spotlight durante o período do grupo, o nome desse cliente está na lista determinada pelo tribunal. |
| Eightfold AI (Match) | Publica documentação de auditoria de viés; clientes corporativos incluem Microsoft, Morgan Stanley | Réu citado em Kistler. Se a teoria da FCRA prevalecer, todo cliente que usou a pontuação Match poderá dever aos candidatos notificações de ação adversa retroativamente. |
| HireVue | Abandonou a análise de codificação facial em janeiro de 2021; migrou para avaliações estruturadas de texto e vídeo | Citada na reclamação da ACLU de março de 2025 (D.K. v. Intuit/HireVue) com fundamentos na ADA, no Título VII e na Lei Antidiscriminação do Colorado. O CEO da HireVue nega que tenha sido usada avaliação por IA; o próprio pipeline de ASR ainda está sujeito ao problema de WER desproporcional documentado em pesquisas de acessibilidade. |
| Paradox (Olivia) | Sem diferenciação específica de conformidade; correções reativas | Expôs 64M de registros em junho de 2025 porque uma conta de teste de administrador de 2019 usava 123456 como senha. A causa raiz foi de configuração, não de ML. Seu DPO e CISO precisam estar em todas as conversas de renovação. |
| Pymetrics / Harver | Avaliação baseada em jogos com histórico público de auditoria de viés | Ainda sujeita à teoria da ADA na reclamação da ACLU sobre a Aon/Cangrade à FTC: instrumentos de traços de personalidade que espelham critérios de diagnóstico clínico funcionam como triagens de deficiência. |
| iCIMS, Greenhouse, Lever, SmartRecruiters, Ashby | Camada de ATS — alguns exportam relatórios de viés da LL144; geralmente não são réus citados | O ATS é um data warehouse, não um AEDT por si só. A questão de conformidade reside em qualquer plugin de pontuação ou ranqueamento que seus recrutadores tenham ativado, e que o fornecedor do ATS não audita por você. |
| FairNow, Holistic AI, Credo AI, Warden AI, Fairly AI | Plataformas de governança e ferramentas de auditoria; algumas especializadas em LL144 | Uma plataforma informa como suas métricas estão. Ela não substitui a due diligence de fornecedores, não audita a acessibilidade separadamente do impacto adverso e não concilia regimes conflitantes. É mais útil como um painel depois que a estratégia está definida. |
| DCI Consulting, ORCAA, Secretariat | Auditores independentes de LL144 legalmente reconhecidos; cerca de US$ 50 mil a US$ 200 mil por sistema por ano | Padrão-ouro para o retrato anual que a LL144 exige. Não é contínuo, não é multijurisdicional e não foi projetado para reescrever a arquitetura do seu AEDT. |
| Deloitte, KPMG, EY, PwC práticas de IA | Braços de consultoria com relações em direito do trabalho e credibilidade em auditoria | Os trabalhos normalmente começam em US$ 500 mil e chegam a US$ 2M+. Fortes em entregáveis de governança, fracos em entregar código funcional. Boa resposta para uma empresa da Fortune 50 com orçamento ilimitado, resposta errada para um CHRO de médio porte com um trimestre para se adequar. |
A resposta honesta é que Deloitte, KPMG, EY e PwC são a escolha certa se você precisa de um relatório de governança pronto para o conselho e não se importa com o número na fatura. A metodologia delas é sólida, a marca o protege politicamente e suas relações regulatórias são reais. Elas são a escolha errada quando o problema subjacente é uma rede neural produzindo pontuações de 0 a 5 em 2M de candidatos por trimestre, seu prazo é daqui a doze semanas, e você precisa de alguém que se sente com sua equipe de ML e reescreva os pipelines de engenharia de features. As grandes firmas terceirizam esse trabalho; firmas especializadas pequenas o fazem diretamente. Cobramos uma fração do que custa um trabalho de auditoria da Big 4 porque não estamos financiando uma torre de escritórios, e entregamos código funcional em vez de um deck de 200 slides. Se você precisa do deck, contrate a Big 4. Se você precisa do código, continue lendo.
Uma auditoria de viés que satisfaz a LL144 de NYC não satisfaz o Colorado. Uma auditoria que satisfaz o Colorado não satisfaz a Lei de IA da UE. Alguns requisitos são tecnicamente incompatíveis. Isso não é uma falha de design que o mercado corrigirá — é o ambiente jurídico no qual você está entrando.
A LL144 exige proporções de impacto interseccionais calculadas para raça × sexo em cada etapa de seleção. O padrão de "cuidado razoável" da SB 24-205 do Colorado não especifica metodologia, e a Lei de Direitos Humanos de Illinois foca no efeito discriminatório sem prescrever um teste estatístico. Executar uma única auditoria universal produz resultados grosseiros demais para a LL144 e detalhados demais para serem reconhecidos como a avaliação de impacto específica do Colorado. Cada jurisdição recebe um entregável de formato diferente, ou cada uma falha em seus próprios termos.
A Illinois HB 3773 proíbe explicitamente o uso de CEPs como variáveis substitutas (proxies) de classes protegidas. O Artigo 10(3) da Lei de IA da UE exige que os dados de treinamento sejam "relevantes, representativos e, na melhor medida possível, livres de erros e completos" — o que normalmente significa incluir características geográficas para evitar lacunas de cobertura regional. Remova os CEPs e você reprova na auditoria de representatividade da UE; mantenha-os e você viola a lei de Illinois. A resposta prática é uma característica de residência explícita com granularidade geográfica mais grosseira para os dados de treinamento da UE e uma máscara geográfica completa para a inferência em Illinois — o que requer duas configurações de implantação do mesmo modelo, não uma.
Sob a LL144, o empregador autodetermina se uma ferramenta "auxilia substancialmente" uma decisão de contratação. Sob Mobley, o fornecedor é diretamente responsável quando sua ferramenta recomenda ou filtra candidatos, independentemente do que o empregador alega. Um memorando de autoclassificação de 2024 que diz "nossa implantação do Workday Spotlight não é um AEDT" é agora a prova A dos autores. A única postura defensável é tratar qualquer ferramenta de pontuação, ranqueamento, filtragem ou roteamento como dentro do escopo e documentar de acordo.
A Texas TRAIGA é a primeira lei estadual a rejeitar explicitamente o impacto desproporcional (disparate impact) como base autônoma para responsabilidade na contratação com IA. Isso não significa que os empregadores do Texas estejam seguros — as ações federais sob o Título VII e a Lei da Comissão de Direitos Humanos do Texas ainda se aplicam — mas significa que o entregável de conformidade da TRAIGA é focado na intenção, e não nas estatísticas. Uma análise federal de impacto adverso do Título VII, um relatório da regra dos quatro quintos da LL144 e uma avaliação de intenção da TRAIGA são três trabalhos separados com três padrões probatórios separados.
Kistler v. Eightfold não é um caso de impacto adverso. O arcabouço da FCRA pergunta se a plataforma funciona como uma agência de relatórios ao consumidor, independentemente de suas pontuações serem justas. Uma plataforma perfeitamente imparcial ainda pode dever a cada candidato pontuado uma notificação de pré-ação adversa, uma cópia do "relatório" e um caminho de contestação. As auditorias de viés não produzem nenhum desses artefatos. Um comprador que otimiza apenas para a conformidade com a LL144 e o Colorado ainda pode ser réu em uma ação coletiva porque a questão da FCRA nunca foi feita.
A LL144 não exige testes de impacto sobre a deficiência. O Colorado o exige sob o padrão geral de "cuidado razoável", mas não especifica metodologia. A reclamação da ACLU em nome de uma funcionária Surda e Indígena (D.K. v. Intuit / HireVue) argumenta que entrevistas em vídeo conduzidas por ASR desfavorecem desproporcionalmente pessoas cujos padrões de fala foram sub-representados nos dados de treinamento. O problema técnico subjacente é mensurável: pesquisas publicadas mostram que o WER médio multilíngue do Whisper é cerca de três vezes seu WER em inglês, e a equipe vencedora do Speech Accessibility Project Challenge da Interspeech 2025 alcançou um WER de 8,11% na fala com deficiência — ainda múltiplos dos benchmarks padrão. Auditorias de viés que rastreiam apenas raça e sexo não revelarão isso, e uma empresa que passa na LL144 ainda pode enfrentar uma reclamação sob a ADA.
A violação da Paradox / McHire expôs 64M de registros de candidatos porque uma conta de teste de administrador de 2019 ainda estava ativa com 123456 tanto como nome de usuário quanto como senha, sem MFA, e com uma IDOR em uma API interna. Nada disso tinha qualquer relação com ML. Tudo isso agora recai sobre o CHRO, porque dados de candidatos expostos por meio de uma ferramenta de contratação ainda são dados de contratação, sujeitos à notificação de violação do GDPR, ao direito privado de ação da CCPA e à perda de base legal para o processamento continuado. A due diligence de fornecedores em ferramentas de contratação com IA precisa abranger a higiene de credenciais, os limites de autorização de API e auditorias de senhas padrão — o que não é o que uma carta padrão de SOC 2 lhe diz.
Estes são trabalhos de consultoria, não produtos. Cada um é sob medida. O que nos torna úteis é que escrevemos código e participamos de suas reuniões com fornecedores. Somos neutros em relação a fornecedores: não revendemos tecnologia de RH, e diremos a você quando sua implantação do Workday ou Eightfold for defensável como está.
Enumeramos toda ferramenta que toca uma decisão de contratação — plugins de ATS, mecanismos de pontuação, bots de agendamento, entrevistadores em vídeo, APIs de verificação de referências, integrações de verificação de antecedentes, a IA nativa do LinkedIn Recruiter, qualquer coisa que destaque ou oculte candidatos. Para cada ferramenta, nós a classificamos em relação à definição de "auxilia substancialmente" da LL144, à distinção implementador/desenvolvedor do Colorado, ao teste de "influenciar ou facilitar" de Illinois, ao teste apenas de intenção do Texas e à classificação de alto risco do Anexo III da UE. O resultado é um registro de AEDT que resiste a uma investigação de um regulador e uma lista de fornecedores que diz ao jurídico quais contratos precisam de aditamento.
Entregável: registro de AEDT, matriz de exposição jurisdicional, lista de aditamentos de contratos de fornecedores, fila de prioridade de remediação.
Executamos a análise completa da regra dos quatro quintos no nível interseccional que a LL144 exige, calculamos a avaliação de impacto de "cuidado razoável" do Colorado no formato para o qual as regras preliminares do Procurador-Geral do CO estão tendendo, geramos os artefatos de notificação de Illinois e produzimos a documentação de governança de dados do Artigo 10 da Lei de IA da UE. Onde os regimes conflitam, escrevemos um memorando que diz exatamente onde e por quê, e fazemos a recomendação de estratégia jurídica (para qual regime você otimiza, em qual aceita exposição, qual é de fato a magnitude da exposição). Não somos um auditor independente sob a LL144 — esse papel pertence à DCI, à ORCAA ou à Secretariat — mas levamos seu sistema ao estado em que a auditoria independente não encontra nada digno de registro.
Entregável: relatório interseccional da LL144, avaliação de impacto do Colorado, modelo de notificação de Illinois, pacote de documentação do Art. 10/11 da UE, memorando de conflitos.
Tratamos isso como uma disciplina separada porque nenhum arcabouço de auditoria de viés a cobre. Comparamos seu pipeline de ASR de entrevistas em vídeo com o corpus do Speech Accessibility Project e com as disparidades de WER publicadas para falantes Surdos, com Deficiência Auditiva (HOH) e com sotaque. Avaliamos os instrumentos de personalidade em relação à teoria da Aon da ACLU: se as perguntas espelham critérios de diagnóstico clínico, elas funcionam como uma triagem de deficiência sob a ADA. Projetamos o caminho de escalonamento humano no circuito (human-in-the-loop) para candidatos que divulgam uma necessidade de acomodação, incluindo um SLA de provedor de CART que não deixe os candidatos esperando 72 horas. É aqui que começa uma reclamação da ACLU ou uma investigação da ADA pelo DOJ, então documentamos isso no padrão probatório que esses processos exigem.
Entregável: relatório de disparidade de WER em ASR, revisão de instrumentos de personalidade sob a ADA, especificação de fluxo de acomodação, modelo de SLA de provedor de CART.
Avaliamos se seus fornecedores de contratação com IA se enquadram no padrão fático que os autores de Kistler estão alegando: extração (scraping) de dados de terceiros, construção de perfis de candidatos, produção de pontuações numéricas e uso dessas pontuações para filtrar. Onde o padrão se aplica, construímos o pipeline de notificação de ação adversa da FCRA, o fluxo de contestação voltado ao candidato, o registro de proveniência de dados que mostra quais informações foram usadas em uma pontuação e o cronograma de resolução de contestações que seu Diretor Jurídico possa defender em juízo. Se o tribunal em Kistler entender que a Eightfold é uma CRA, você estará pronto desde o primeiro dia. Se não entender, você terá uma experiência do candidato pela qual sua equipe de DEI lhe agradecerá de qualquer forma.
Entregável: memorando de aplicabilidade da FCRA, modelos de notificação de ação adversa, especificação de portal de contestação para candidatos, arquitetura de registro de proveniência de dados.
Depois da McHire, uma carta de SOC 2 não é suficiente. Realizamos uma revisão de segurança consciente de IA em cada fornecedor de tecnologia de RH em sua stack: credenciais padrão, imposição de MFA em contas de administrador, limites de autorização de API (especificamente bugs da classe IDOR como o que expôs 64M de registros), retenção de transcrições de chat de candidatos, proteção contra injeção de prompt em interfaces conversacionais e residência de dados para a análise de base legal do GDPR. O entregável é um memorando de risco de fornecedor que o CISO pode coassinar e um anexo contratual que sua equipe de compras pode anexar a cada renovação.
Entregável: memorando de risco de fornecedor, resultados de testes de IDOR / limites de autorização, anexo contratual de segurança, atualização de DPIA para o GDPR.
Quando a auditoria revela uma ferramenta que não pode ser tornada conforme sem alterar o modelo, temos duas opções. Opção um: substituí-la por uma arquitetura de caixa de vidro (glass-box) que construímos — um mecanismo de correspondência de competências baseado em grafo de conhecimento ou um mecanismo simbólico de regras com restrições impostas, em que cada decisão remete a um nó auditável em vez de um peso de ponto flutuante. Opção dois: sobrepor uma camada de conformidade ao fornecedor existente, interceptando pontuações, aplicando ajustes específicos por jurisdição e gerando uma trilha de auditoria independente que sobrevive à instrução probatória. Não começamos do zero a menos que a alternativa seja genuinamente pior; na maioria das vezes uma camada de sobreposição restrita resolve o problema.
Entregável: memorando de opções de remediação, protótipo ou código de sobreposição, especificação de integração para o ATS existente.
Não vendemos contratos de retenção (retainers). Cada fase abaixo é seu próprio escopo de trabalho com seu próprio entregável. Alguns clientes param após a Fase 1 e ficam satisfeitos com isso; outros continuam até a remediação arquitetural. Nenhuma fase depende do comprometimento com a próxima.
Acompanhamos um ciclo completo de contratação, enumeramos cada AEDT, mapeamos suas jurisdições de operação e produzimos um memorando de exposição que diz quais regimes se aplicam e onde você está atualmente fora de conformidade. Sessões de trabalho com RH, Jurídico, Compras e Segurança de TI. Honorário fixo. Estado final: seu Diretor Jurídico pode entrar em uma reunião de conselho com uma lista numerada.
O trabalho estatístico propriamente dito. Tabelas de impacto adverso interseccional, avaliação de impacto do Colorado, artefatos de notificação de Illinois, documentação do Art. 10/11 da UE, memorando de aplicabilidade da FCRA, benchmarks de WER em ASR. Produzimos o pacote pré-auditoria que o auditor independente de LL144 de sua escolha (DCI, ORCAA, Secretariat) aceitará sem reescrever. Identificamos conflitos irreconciliáveis e escrevemos o memorando de estratégia jurídica que diz à liderança quais exposições ela está conscientemente aceitando.
Para cada fornecedor citado, fazemos uma revisão de segurança consciente de IA, revisamos os DPAs em relação às sete zonas de colisão e redigimos os anexos contratuais que sua equipe de compras anexará na renovação. Para clientes da Workday / HiredScore, revisamos especificamente a exposição em Mobley e documentamos onde sua implantação diverge do padrão fático. Para clientes da Eightfold, sinalizamos o risco de Kistler e recomendamos mitigações provisórias.
Apenas se necessário. Uma camada de sobreposição que intercepta pontuações antes que cheguem à tela de um recrutador, um portal de contestação voltado ao candidato integrado ao seu ATS, um mecanismo de correspondência de competências baseado em grafo de conhecimento para a única família de cargos em que o fornecedor existente não consegue ser aprovado. Nós construímos, entregamos o código e o documentamos para sua equipe de engenharia. Trabalho típico: de um a três trimestres.
Ajudamos você a estabelecer um monitoramento contínuo sobre uma plataforma de governança que você já possui ou escolheu (FairNow, Holistic AI, Credo AI são todas adequadas para isso; não estamos revendendo nenhuma delas). Treinamos sua equipe interna sobre como interpretar os painéis na linguagem que cada regulador usa. Depois nos retiramos.
Sobre prazos e honestidade: Uma empresa que não tocou nisso desde 2024 não pode estar totalmente em conformidade com seis regimes até 2 de agosto de 2026. Diremos a você exatamente quais exposições permanecem, escreveremos o memorando e ajudaremos você a tomar uma decisão informada de estratégia jurídica sobre o que está aceitando. A alternativa — alegar cobertura total até uma data que nunca foi alcançável — cria exatamente o registro de "má-fé" que reguladores e autores de ações procuram.
Informe onde você contrata e o que você usa. A ferramenta calcula quais regimes se aplicam, quais de seus fornecedores têm litígio ativo ou exposição regulatória, e qual é a ordem de prioridade de remediação. Nada é enviado a lugar algum — isso roda inteiramente no seu navegador. Use o resultado em sua próxima reunião de conformidade, contratando-nos ou não.
Formuladas da maneira como os clientes realmente as formulam na primeira ligação, sem polimento para o site.
Não são auditorias separadas, mas entregáveis separados derivados de uma única auditoria bem projetada. O trabalho estatístico subjacente — proporções de impacto adverso, análise interseccional, atribuições de features — é comum. A formatação e o que é calculado não são. A LL144 exige proporções de impacto interseccionais raça por sexo e um resumo publicado em formato específico. O Colorado quer uma avaliação de impacto documentada como parte de um programa de gestão de riscos, sem exigência explícita da regra dos quatro quintos. Illinois precisa de um artefato de notificação e documentação de variáveis substitutas (proxy). A UE quer registros de governança de dados do Art. 10 e documentação técnica do Art. 11, que é muito mais aprofundada do que qualquer arcabouço dos EUA. Um único auditor que executa uma auditoria "universal" da LL144 e a declara boa para o Colorado está lhe dando algo que um regulador rejeitará. Um trabalho de auditoria produz quatro ou cinco entregáveis de formatos diferentes se for projetado corretamente. Nós projetamos os trabalhos dessa forma; a maioria dos fornecedores de auditoria de uso geral não.
Você pode estar ou não. O grupo que recebeu a certificação preliminar em maio de 2025 abrange candidatos a vagas com 40 anos ou mais que foram eliminados na triagem por um cliente da Workday usando as ferramentas da Workday. A juíza Lin posteriormente rejeitou a tentativa da Workday de excluir o HiredScore Spotlight e o Fetch do grupo, mesmo que esses produtos tenham sido adquiridos após a reclamação, e ordenou que a Workday produzisse uma lista exaustiva de empregadores que habilitaram recursos do HiredScore. A janela de adesão (opt-in) para candidatos com mais de 40 anos encerrou em 7 de março de 2026, o que significa que a instrução probatória agora prossegue com membros identificados do grupo. Suas ações imediatas são: extrair seu histórico de implantação do HiredScore com datas, identificar os cargos e geografias onde o Spotlight ou o Fetch filtraram candidatos, preservar todos os dados em nível de candidato desse período e documentar o ponto de verificação de revisão humana, se houver. Uma defesa de "o fornecedor cuidou disso" é exatamente o que a decisão de "agente" da juíza Lin foi concebida para derrotar. Quanto mais cedo seu Diretor Jurídico tiver um memorando fático, melhor será sua postura quando os advogados dos autores entrarem em contato.
Auditores independentes reconhecidos sob a LL144 — principalmente DCI Consulting, ORCAA, Secretariat e um punhado de firmas menores — normalmente cobram de US$ 50.000 a US$ 200.000 por AEDT por ano, dependendo do volume de dados, da disponibilidade demográfica e da complexidade do fluxo de seleção. O prazo de execução, do estado de dados prontos até a auditoria assinada, é de 15 a 20 dias úteis assim que o auditor tem tudo de que precisa. A fase de "chegar ao estado de dados prontos" é onde a maior parte do tempo se perde, e é o que fazemos: pipeline de dados, escolha do método de imputação demográfica, agrupamento interseccional, cálculo da taxa de seleção, formatação de artefatos. Um auditor que recebe de nós um pacote pré-auditoria limpo pode aprovar nos 15 a 20 dias previstos; um auditor que precisa limpar seus dados por conta própria cobrará no topo da faixa e levará mais tempo. Não somos um auditor independente — não podemos assinar o entregável final da LL144, por concepção — mas somos a razão pela qual a auditoria que seu auditor independente assina é limpa.
Não. A Lei de IA da UE é o regime mais exigente em documentação, governança de dados e supervisão humana, mas não exige as proporções específicas de impacto adverso interseccional que a LL144 demanda, e não produz o formato de avaliação de impacto do Colorado que as regras preliminares do Procurador-Geral do CO contemplam. A conformidade com a UE é necessária, mas não suficiente, para a conformidade com os estados dos EUA. Na direção oposta, a conformidade com a LL144 não o coloca ao alcance do patamar da UE — a LL144 é essencialmente uma auditoria estatística restrita e um resumo publicado, enquanto a Lei de IA da UE quer um sistema completo de gestão da qualidade (Art. 17), uma avaliação de conformidade, um dossiê de documentação técnica, monitoramento pós-comercialização e marcação CE. Se sua presença é tanto nos EUA quanto na UE, planeje duas frentes de trabalho. As zonas de conflito em que o requisito de um regime viola o de outro (o CEP sendo o exemplo mais claro) são reais e precisam de uma decisão de estratégia jurídica, não de engenharia.
Você se defende dela com uma revisão de pipeline da ADA separada, que a maioria dos fornecedores de auditoria de viés não oferece porque é uma teoria jurídica diferente e uma base probatória diferente. Para ferramentas de entrevista em vídeo, isso significa comparar seu componente de ASR com o corpus do Speech Accessibility Project e conjuntos de teste semelhantes de falantes Surdos, com Deficiência Auditiva (HOH) e de inglês com sotaque. As disparidades publicadas são grandes: a equipe vencedora do SAP Challenge de 2025 alcançou um WER de 8,11% na fala com deficiência, o que ainda é vários múltiplos do WER de referência para o inglês padrão, e o desempenho multilíngue do Whisper é, em média, cerca de 3x pior do que seu desempenho em inglês. Para avaliações de personalidade e baseadas em jogos, a questão é se o instrumento espelha critérios de diagnóstico clínico — a teoria na reclamação da Aon da ACLU à FTC. Para a experiência do candidato, você precisa de um fluxo de acomodação que não deixe um candidato Surdo esperando 72 horas por suporte humano de CART, porque "o processo estava disponível" não é uma defesa quando o processo exige que o candidato saiba que deve pedir. A D.K. v. Intuit/HireVue reclamação é o modelo que os advogados dos autores estão usando agora; leia-a e alinhe seus controles a cada alegação específica, porque é exatamente isso que a instrução probatória vai percorrer.
Depende de qual teoria o pega. A LL144 é de US$ 1.500/dia por violação, o que chega a US$ 547.500 por ano por ferramenta não auditada, antes que qualquer direito privado de ação se acumule. A Texas TRAIGA chega ao teto de US$ 200.000 por violação não saneável. A Lei de IA da UE limita-se ao maior valor entre € 15M ou 3% do faturamento anual global para obrigações de alto risco. A EEOC fechou seu primeiro acordo em um caso de contratação com IA (iTutorGroup, 2023) por US$ 365.000, o que é pequeno até você perceber que agora é o piso para reclamações individuais de discriminação. As ações coletivas escalam de forma diferente: o grupo de Mobley potencialmente abrange uma fração significativa dos candidatos com mais de 40 anos que passaram pelo ecossistema da Workday, que o tribunal observou poder exceder um bilhão. A teoria da FCRA de Kistler, se prevalecer, aplica danos legais de US$ 100 a US$ 1.000 por consumidor por violação a cada candidato pontuado por uma plataforma considerada uma agência de relatórios ao consumidor. Uma empresa que pontua 2 milhões de candidatos por ano e que seja considerada devedora até mesmo do limite inferior está diante de US$ 200M por ano de exposição. O custo de um programa de auditoria e remediação multirregime é medido na casa baixa dos seis dígitos para a maioria de nossos clientes, e na casa baixa dos sete dígitos apenas para os maiores. A conta entre seguro e exposição não chega nem perto.
Sim, e para o monitoramento contínuo uma plataforma de governança é genuinamente útil. Temos clientes que usam o FairNow para o rastreamento contínuo da LL144 e o Holistic AI para a visibilidade de riscos cruzados, e recomendamos ambos no contexto certo. O que uma plataforma não faz é participar de sua revisão de segurança de fornecedor com seu CISO, escrever o memorando de estratégia jurídica quando os requisitos de Illinois e da UE colidem, executar um benchmark de ASR com o corpus do SAP em sua implantação do HireVue, ou reescrever um pipeline de pontuação para interceptar saídas antes que cheguem à tela do recrutador. Uma plataforma é um painel; o trabalho que executamos é o que preenche o painel com dados significativos em primeiro lugar. Use a plataforma e contrate o especialista para o trabalho. Eles não são substitutos.
Era suficiente em 2024. Não é suficiente agora. A pesquisa da Cornell / Data & Society / Consumer Reports cunhou o termo "Conformidade Nula" exatamente para esse padrão: 391 empregadores de NYC estudados, apenas 4,6% publicaram uma auditoria de viés, e o restante recorreu a argumentos de autoclassificação que colocavam a ferramenta fora do escopo da LL144. A auditoria de dezembro de 2025 do Controlador do Estado de NY então demonstrou que a autoclassificação não sobrevive a uma revisão rigorosa de terceiros — auditores estaduais encontraram 17 possíveis violações na mesma amostra de 32 empresas em que o DCWP havia encontrado uma. O DCWP concordou em adotar a fiscalização proativa, o que significa que o regulador agora executa sua própria análise em vez de esperar que os empregadores divulguem. No lado da responsabilidade do fornecedor, a teoria do "agente" de Mobley rejeita explicitamente a ideia de que uma ferramenta de triagem que recomenda ou filtra candidatos não está participando da decisão. A postura prática para qualquer CHRO é: presuma que toda ferramenta de pontuação, ranqueamento ou filtragem está no escopo, trate o memorando de "o fornecedor disse que não somos um AEDT" como uma futura prova na instrução probatória, e audite de acordo. Uma defesa de autoclassificação que exige que o regulador e o autor concordem com a caracterização do fornecedor não é uma defesa, é uma esperança.
Esta página de solução baseia-se em oito de nossos whitepapers interativos. Cada um aborda uma fatia distinta do problema de conformidade de contratação com IA. O comprador sério deve folhear todos eles antes de qualquer conversa de contratação.
O artigo âncora desta página. Analisa a auditoria de dezembro de 2025 da LL144 pelo Controlador do Estado de NY, o "Trilema da Conformidade" entre NYC, Colorado, Illinois e a UE, e os requisitos arquiteturais para sistemas de contratação com IA prontos para auditoria.
Abordagens baseadas em grafos de conhecimento para a contratação explicável. Como uma ontologia de competências viabiliza o tipo de rastreamento de decisões que os Art. 13 e 14 da Lei de IA da UE exigem, e onde a abordagem esbarra nos limites do viés por variáveis substitutas (proxy).
Justiça contrafactual e Modelos Causais Estruturais. Por que a remoção de viés adversarial é instável na prática e como é, de fato, o tradeoff com a acurácia preditiva.
A exposição à ADA que as auditorias de viés não cobrem. Analisa a teoria da reclamação da Aon da ACLU à FTC e os limites técnicos da aprendizagem de representação causal para avaliações conscientes da deficiência.
Análise post-mortem da violação de 64M de registros da McHire / Paradox. Higiene de credenciais, bugs da classe IDOR e por que uma carta de SOC 2 não substitui uma due diligence de fornecedor consciente de IA.
Mergulho profundo na decisão sobre o "agente" em Mobley v. Workday. Como as arquiteturas neuro-symbolic produzem as trilhas de decisão auditáveis que sobrevivem à instrução probatória.
Aplicabilidade da FCRA a plataformas de contratação com IA, o padrão fático de Kistler v. Eightfold, e os fluxos de proveniência de dados e "Direito de Contestação" que um fornecedor classificado como CRA precisará construir.
O ângulo da acessibilidade e da fusão multimodal. Disparidades de WER em ASR para falantes Surdos, com Deficiência Auditiva (HOH) e de inglês Indígena; o padrão fático de D.K. v. Intuit / HireVue; e um design realista de escalonamento HITL.
Um AEDT não auditado em NYC acumula até US$ 547.500 por ano apenas em penalidades da LL144. Mobley e Kistler adicionam exposição a ações coletivas que escala com seu volume de candidaturas. O custo de um trabalho adequado de auditoria multirregime é uma pequena fração do custo de uma única defesa em ação coletiva.
Começamos com uma revisão de descoberta e exposição com honorário fixo. Você sai com um registro de AEDT defensável e um memorando numerado — quer continue o trabalho ou não.