A regulação da inteligência artificial no Direito: Brasil e União Europeia em perspectiva comparada

O cenário regulatório global da inteligência artificial

A inteligência artificial deixou de ser promessa tecnológica distante para se tornar realidade operacional em escritórios, tribunais e órgãos reguladores ao redor do mundo. Nesse contexto, duas das maiores jurisdições do planeta iniciaram movimentos regulatórios que prometem moldar o futuro do setor: a União Europeia, com o AI Act (Regulamento UE 2024/1689), publicado em julho de 2024 e em vigor desde agosto do mesmo ano, e o Brasil, com o Projeto de Lei nº 2338/2023, aprovado pelo Senado Federal em dezembro de 2024 e atualmente em análise na Câmara dos Deputados. Embora partilhem inspirações comuns, os dois marcos apresentam diferenças substantivas que afetam diretamente profissionais, empresas e cidadãos que operam em qualquer dos dois lados do Atlântico.

O AI Act europeu segue um calendário de aplicação faseada, com a maioria das obrigações entrando em vigor até agosto de 2026, e certas obrigações para sistemas de alto risco até 2027. O PL 2338/2023 brasileiro, por sua vez, permanece em tramitação na Câmara, com o relator indicando intenção de votação para 2026, embora o calendário dependa da dinâmica política e do contexto eleitoral. Para advogados que assessoram clientes com operações nos dois mercados, compreender essas diferenças não é mais competência acessória, mas exigência profissional crescente.

A arquitetura comum: regulação baseada em risco

Tanto o AI Act quanto o PL 2338/2023 adotam abordagem de regulação baseada em risco, em que a intensidade das obrigações é proporcional ao potencial de dano de um sistema de inteligência artificial. Essa convergência não é acidental: o projeto brasileiro inspirou-se explicitamente no modelo europeu e em relatórios comparativos produzidos por centros de pesquisa como o ITS Rio, além de consultas a instituições técnicas especializadas. A lógica central é simples: sistemas que apresentam risco inaceitável para a saúde, segurança ou direitos fundamentais devem ser proibidos; sistemas de alto risco exigem requisitos rigorosos de conformidade; sistemas de risco limitado demandam obrigações pontuais de transparência; e a grande maioria dos sistemas, classificados como risco mínimo, permanece sob o regime geral.

Apesar dessa arquitetura comum, o grau de detalhamento diverge de forma expressiva. O AI Act é um regulamento prescritivo, com obrigações específicas, prazos concretos e sanções definidas para cada categoria de ator na cadeia de valor. O PL 2338/2023, na forma como saiu do Senado, é mais focado em princípios e diretrizes gerais, remetendo diversos detalhamentos para regulamentação futura. Essa diferença de densidade normativa tem consequências práticas: no cenário europeu, operadores sabem exatamente o que é exigido e em que prazo; no brasileiro, há margem para interpretação e dependência de atos regulamentadores que ainda serão editados, gerando incerteza transitoria.

A supervisão humana e a classificação de alto risco

Uma convergência relevante está na exigência de supervisão humana para sistemas de alto risco. Tanto o regulamento europeu quanto o projeto brasileiro reconhecem que decisões com impacto significativo na esfera jurídica das pessoas não podem ser tomadas exclusivamente por algoritmos, sem possibilidade de revisão por uma pessoa natural. Essa garantia, porém, opera de formas distintas: na UE, ela surge como obrigação do fornecedor ou do utilizador do sistema; no Brasil, ela tende a ser concebida também como direito subjetivo da pessoa afetada. Essa distinção de enquadramento tem implicações práticas para quem busca reparação judicial em caso de dano algorítmico.

O problema da opacidade algorítmica na classificação de risco

Um desafio transversal à arquitectura baseada em risco é que a própria classificação de um sistema como "alto risco" depende de capacidade técnica para avaliar o sistema em causa. Em sistemas de "caixa preta", essa avaliação é dificultada pela impossibilidade de os desenvolvedores explicarem plenamente a lógica decisória do algoritmo. O AI Act tenta mitigar esse problema exigindo documentação técnica extensiva e registros de auditoria; o PL 2338/2023 prevê obrigações semelhantes, mas remete muitos detalhes para regulamentação futura. A eficácia de ambas as abordagens depende de autoridades competentes com capacidade técnica para avaliar sistemas complexos — capacidade esta que ainda está em construção tanto no Brasil quanto na maioria dos Estados-Membros da UE.

Direitos autorais e treino de modelos de inteligência artificial

O tema mais controverso e mais diretamente diferenciado entre os dois marcos é a regulação dos direitos autorais no contexto do treino de modelos de IA generativa. O PL 2338/2023 prevê três mecanismos que ainda podem sofrer ajustes na Câmara: a obrigação de fornecedores informarem que obras protegidas foram utilizadas no treino; o direito deopt-out dos titulares para vedar a utilização de suas obras; e um sistema de remuneração justa pelo uso de conteúdos protegidos. A comunidade criativa brasileira argumenta que a proteção é necessária para evitar apropriação não consentida do trabalho intelectual; associações do setor tecnológico alertam que as exigências podem encarecer o desenvolvimento de modelos e desincentivar investimentos no país.

O AI Act europeu, por sua vez, remete expressamente a questão para a Diretiva 2019/790 sobre direitos de autor no Mercado Único Digital, que regula a exceção de mineração de textos e dados. Em termos gerais, a legislação europeia permite a reprodução e extração de obras para fins de text and data mining, incluindo aplicações comerciais, desde que os titulares não tenham expressamente reservado essa utilização. Essa diferença de abordagem coloca empresas que desenvolvem modelos de IA no Brasil e na UE perante regimes de conformidade distintos, o que pode influenciar decisões de localização de pesquisa e desenvolvimento.

Tensões entre inovação e proteção autoral nos dois modelos

As tensões entre o setor tecnológico e o setor criativo manifestam-se nos dois lados do Atlântico, embora com intensidades e contornos diferentes. No Brasil, a disputa concentra-se no desenho de mecanismos deopt-out e sistemas de remuneração que não tornem o desenvolvimento de IA proibitivamente caro. Na Europa, a existência prévia da Diretiva 2019/790 permitiu um debate mais sofisticado, embora a aplicação prática da exceção de mineração de textos e dados a modelos de IA generativa ainda esteja sendo testada nos tribunais. Em ambos os casos, a velocidade da evolução tecnológica supera a capacidade dos marcos regulatórios de acompanhar, criando zonas cinzentas que só serão esclarecidas pela prática jurisprudencial.

Governança e arquitetura institucional

Na arquitetura institucional, os dois modelos seguem caminhos nitidamente distintos. O AI Act prevê um sistema de governança multinível: cada Estado-Membro da UE designa autoridades nacionais competentes, articuladas a nível europeu pelo Serviço Europeu para a IA (EU AI Office), pelo Conselho Europeu da IA e por um painel científico de peritos independentes. O PL 2338/2023 propõe a criação do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), coordenado pela Autoridade Nacional de Proteção de Dados (ANPD), integrando reguladores setoriais como a ANATEL e a ANS. A escolha da ANPD como entidade-coordenadora acompanha o peso dos temas de dados pessoais na regulação de IA, mas suscita preocupações sobre concentração de competências numa autoridade que ainda consolida sua estrutura e recursos.

Importa sublinhar que a arquitetura exata do SIA ainda depende da aprovação de um projeto de lei complementar enviado pelo Poder Executivo e de eventuais emendas na Câmara, pelo que o desenho institucional definitivo pode divergir significativamente da proposta atual. Essa indefinição gera incerteza para empresas que precisam planejar suas estruturas de compliance com antecedência razoável.

Responsabilidade civil e o desafio da prova

O ordenamento jurídico brasileiro adota, como regra geral, a responsabilidade subjetiva, exigindo comprovação de conduta, dano, nexo causal e culpa. Porém, em sistemas de "caixa preta", onde nem mesmo os desenvolvedores conseguem explicar com precisão como o algoritmo chegou a determinada conclusão, a prova da culpa torna-se barreira intransponível para a vítima. O PL 2338/2023 propõe regime de responsabilidade civil que busca enfrentar esse desafio, com diferentes regimes conforme a classificação de risco do sistema. O AI Act, embora não seja um instrumento de responsabilidade civil direto, estabelece obrigações que, se descumpridas, fundamentam ações de reparação.

A doutrina brasileira tem discutido a aplicação da Teoria do Risco, prevista no parágrafo único do artigo 927 do Código Civil, para sistemas de IA de alto risco. A objeção de que a atividade de desenvolvimento de IA implica, por sua natureza, risco para direitos de outrem ganha força na medida em que a opacidade algorítmica dificulta a prova de culpa. Contudo, a aceitação ou rejeição dessa tese ainda não está pacificada na jurisprudência brasileira, especialmente em relações de consumo, onde o Código de Defesa do Consumidor tende a favorecer a reparação integral ao consumidor.

Quem responde na cadeia de desenvolvimento e operação

Uma questão central que nem o PL 2338/2023 nem o AI Act resolvem de forma completamente satisfatória é a alocação de responsabilidade ao longo da cadeia de valor da IA. Em sistemas complexos, a responsabilidade pode ser fragmentada entre quem recolhe os dados, quem treina o modelo, quem desenvolve a aplicação final e quem a implementa no mercado. O Código de Defesa do Consumidor brasileiro prevê responsabilidade solidária entre fornecedores da cadeia de consumo, mas a aplicação desse regime a sistemas de IA ainda está por ser consolidada jurisprudencialmente. No contexto europeu, o AI Act estabelece obrigações diferenciadas para fornecedores, importadores, distribuidores e utilizadores, mas a questão da responsabilidade civil é remetida para o direito nacional dos Estados-Membros.

Contrapontos e limites da análise

É fundamental reconhecer que tanto o AI Act quanto o PL 2338/2023 foram elaborados num contexto de rápida evolução tecnológica, o que implica que qualquer enquadramento regulatório carrega uma dose de obsolescência acelerada. O risco de sobre-regulação é real: exigências demasiadamente complexas podem concentrar o desenvolvimento de IA nas mãos de grandes empresas capazes de arcar com custos de conformidade, eliminando players menores e reduzindo a diversidade do ecossistema. Por outro lado, a sub-regulação apresenta riscos igualmente relevantes, como a ausência de mecanismos eficazes de reparação para vítimas de danos algorítmicos e a fragilização de direitos fundamentais.

Além disso, a existência de dois marcos regulatórios distintos cria desafios práticos para empresas com operações globais. O chamado "efeito Bruxelas" — pelo qual padrões regulatórios europeus tendem a ser adotados globalmente por empresas que não querem manter sistemas de compliance paralelos — pode operar também no sentido inverso quando o padrão brasileiro for mais permissivo, gerando risco de arbitragem regulatória. A harmonização internacional permanece objetivo distante, embora o PL 2338/2023 tenha sido construído com referências explícitas ao modelo europeu, facilitando, em certa medida, a coerência entre os dois sistemas.

Cenários e síntese

Os dois marcos regulatórios refletem escolhas políticas e econômicas que vão além da técnica jurídica. A abordagem europeia, mais detalhada e prescritiva, reflete a prioridade dada à proteção de direitos fundamentais e à prevenção de riscos sistêmicos. A abordagem brasileira, mais principiológica e dependente de regulamentação futura, reflete uma tentativa de equilibrar proteção com flexibilidade para acomodar um ecossistema tecnológico em desenvolvimento. Para o advogado que atua em contextos transnacionais ou assessora empresas tecnológicas, a capacidade de navegar entre esses dois enquadramentos torna-se competência estratégica.

O cenário mais provável para os próximos anos é de coexistência regulatória, com empresas adaptando-se a diferentes padrões conforme os mercados em que operam. A monitorização ativa da tramitação do PL 2338/2023 na Câmara dos Deputados, bem como dos atos regulamentares que serão editados pela ANPD e pelo futuro SIA, será essencial para quem precisa planejar estratégias de compliance com antecedência. A análise comparada aqui apresentada não esgota as diferenças — ficam por explorar, entre outros, os regimes de sanções, os mecanismos de recurso e as regras específicas para sistemas de IA em setores regulados como saúde e finanças — mas oferece o mapa base para navegação num terreno que continuará a evoluir rapidamente.