Governanca de inteligencia artificial sem lei: o vacuo regulatorio brasileiro e os riscos concretos para empresas e cidadaos

O paradoxo brasileiro: adocao em alta, regulacao em espera

O Brasil atraviesa um paradoxo peculiar no escenario da inteligencia artificial. Enquanto a tecnologia avanca a passos largos no cotidiano empresarial e na vida de milhoes de cidadaos, o arcabouco juridico que deveria reger seu uso permanece marcado por lacunas profundas e incertezas prolongadas. A realidade e que o pais convive, na pratica, com uma gouvernancia de IA funcionando quase inteiramente fora de parametros legais claros.

Os numeros ilustram essa disconnect com precisao. Pesquisa realizada pela ComputerWeekly em abril de 2026 revela que sete em cada dez profissionais brasileiros utilizaram ao menos uma ferramenta de IA nos ultimos doze meses, sendo que 26% fazem isso diariamente. Trata-se de uma penetracao massiva, compativel com economias desenvolvidas. Contudo, tres em cada quatro empresas brasileiras simplesmente nao possuem qualquer politica de governanca para inteligencia artificial, segundo levantamento da PwC em parceria com a Logicalis. Esse hiato entre pratica e estrutura juridica institucionalizada constitui o nucleo do problema que o pais enfrenta.

O dado da PwC e particularmente revelador. Fala-se de 75% das empresas operando sem qualquer parametros internos de controle sobre sistemas que, em muitos casos, tomam decisoes automatizadas envolvendo clientes, colaboradores, fornecedores e ate mesmo processos governamentais. Esse vacuo nao e apenas uma fragilidade operacional; e, sobretudo, uma fragilidade juridica que expoe empresas e cidadaos a riscos concretos e mensuraveis.

As iniciativas legislativas e o longest standstill da historia regulatoria brasileira

O Projeto de Lei 2338/2023 tramita na Camara dos Deputados como a principal tentativa brasileira de disciplinar a inteligencia artificial. Aprovado pelo Senado em dezembro de 2024, o texto ja contempla um principio que pode ser considerado revolucionario para o contexto juridico nacional: o principio da corresponsabilidade. Nos termos desse dispositivo, quem utiliza um sistema automatizado de IA responde legalmente pelos efeitos e resultados produzidos por esse sistema. Trata-se de uma quebra de paradigma que obliga empresas a assumir responsabilidade sobre algo que, muitas vezes, nem foi elas que desenvolveram.

O problema e que, desde entao, o PL 2338/2023 aguarda parecer na Comissao Especial da Camara dos Deputados. A stagnacao se arrasta ha mais de doze meses, desde marco de 2025. Esse atraso nao e irrelevante: significa que, durante esse periodo, qualquer empresa brasileira que implemente um sistema de IA o faz sem qualquer seguranca juridica sobre quais obrigacoes legais debera cumprir, quais parametros de transparencia debera observar e quais sancoes podera enfrentar em caso de falhas.

Paralelamente, o PL 2688/2025 surge como uma proposta centrada em auditabilidade e responsabilidade. Diferente do PL 2338, esse projeto foca nos mecanismos de rastreabilidade das decisoes automatizadas, estabelecendo obrigacoes de documentacao e registro. A Comissao de Comunicacao da Camara emitiu parecer sobre o projeto em 13 de marco de 2026, o que sugiere um cronograma legislative diferente, porem a coexistencia de duas propostas sobre a mesma materia gera duvidas sobre qual marco eventual prevalecera e como os dois projetos poderao se articular.

O Executivo, por sua vez,props o Sistema Nacional para Desenvolvimento, Regulacao e Governanca de IA, conhecido pela sigla SIA. Essa proposta tem o merito de sanar o vicio de iniciativa que pairava sobre o PL 2338, que havia sido proposto pelo Legislativo sem a devida anuencia previa do Executivo. Contudo, a arquitetura do SIA ainda esta sendo definida, e nao ha previsao concreta de quando podera efetivamente avancar no Congresso.

A voz do setor produtivo e da sociedade civil

Ainda sem marco legal consolidado, diferentes setores tem se organizado para tentar suprir a lacuna. O CEBRI (Centro de Estudos Brasil Grande) divulgue a Carta de Sao Paulo sobre Governanca de IA, documento que busca articular uma visao multissetorial para o Brasil e para a America Latina no pos-G20. A iniciativa reconhece que a ausencia de parametros nacionais pode comprometer a competitividade brasileira frente a parceiros comerciais que ja operam sob quadros regulatorios mais claros.

A ICC Brasil, por sua vez, publicou um policy paper com propuestas especificantly voltadas para a construcao do Marco Regulatorio de IA. O documento enfatiza a necessidade de equilibrio entre inovacao e protecao, evitando que a regulacao se torne um freio ao desenvolvimento tecnologico brasileiro. Essas contribuições sao relevantes, porem funcionam como meros inputs para um processo legislativo que permanece estagnado.

Os numeros que assustam: evidencias de um problema sistematico

Os dados disponiveis traçam um panorama que nao permite otimismo acritico. Pesquisa do TEC.Institute em parceria com a Peers Consulting mostra que apenas 22% das empresas brasileiras estavam totalmente preparadas em governanca de IA no periodo analisado. Esse indice significa que quase oito em cada dez empresas operam em algum grau de inadimplemento pratico, ainda que nao hajam leis especificas a serem cumpridas.

A mesma pesquisa revela que apenas 33,8% das empresas brasileiras praticam monitoramento continuo de vieses em seus sistemas de IA. Essa estatistica e particularmente preocupante porque viese algoritmicos estao entre os riscos mais documentados da tecnologia: sistemas de recrutamento que descartam mulheres, analises de credito que penalizam grupos raciais especificos, triagens de saude que subdiagnosticam populacoes marginalizadas. Sem monitoramento, esses vieses se perpetuam e se ampliam.

Mais de 43,9% das empresas admitiram estar expostas a riscos legais, reputacionais e operacionais derivados do uso de IA. Essa autoflagelacao corporativa sugere que o setor reconhece suas propias limitacoes, porem age de forma insuficiente para mitiga-las. O gap entre consciencia do risco e acao pratica e enormes, e alimenta um ciclo de exposicao crescente.

Shadow AI: a ameaca invisivel que as empresas nem veem

Um fenomeno que agrava significativamente o quadro e o chamado Shadow AI. Trata-se da pratica em que colaboradores conectam ferramentas externas de IA aos sistemas corporativos sem o conhecimento ou a autorizacao da area de TI. Relatado pela ComputerWeekly, o Shadow AI transforma o vacuo regulatorio em um problema ainda mais incontrolavel, porque as empresas sequer sabem quantos sistemas estao em operacao, quais dados estao sendo processados e quais decissoes estao sendo influenciadas por algoritmos nao auditados.

O fenomeno e alimentado pela facilidade de acesso a ferramentas de IA generativa, muitas delas disponiveis diretamente pelo navegador, sem necessidade de installacao formal. Colaboradores bem-intencionados usam essas ferramentas para aumentar produtividade, sem conciencia de que podem estar expondo dados sensiveis da empresa a sistemas externos ou tomando decisoes com base em outputs nao verificados. A area de TI fica alheia a tudo isso, e a governanca corporativa se torna letra morta.

Agentes autonomos: a proxima fronteira ja esta entre nos

A IA agenciaria, definida como sistemas capazes de encadear decisoes sem instrucao humana explicita, surge como a tendencia mais priorizada pelas empresas em 2026, de acordo com levantamentos de mercado. Trata-se de sistemas que, uma vez acionados, tomam sequencias de acoes autonomas: avaliar condicoes, aplicar regras, disparar processos, escalar problemas e ate mesmo iniciar transacoes financeiras, tudo sem intervencao humana direta.

O problema regulatorio dessa tendencia e obvio. Se ja e dificil estabelecer responsbilidade sobre uma decisao pontual de um sistema de IA, imagine-se a complexidade de rastrear uma cadeia de decisoes autonomas, jede uma pode gerar efeitos juridicos distintos. O principio da corresponsabilidade inserido no PL 2338/2023 tenta cobrir esse cenario, porem a ausencia de regulamentacao especifica significa que, na pratica, empresas que implementam agentes autonomos estao operando em territorio juridico inteiramente Desconhecido.

Os investimentos que amplificam o problema

Os numeros de mercado tornam a questo ainda mais urgente. A IDC projetta que os investimentos brasileiros em inteligencia artificial ultrapassarao US$ 3,4 bilhoes em 2026, representando um salto de 30% sobre o ano anterior. Trata-se de uma escala de recursos que supera em muito a capacidade atual de supervisão dos orgaos de controle e da propia estrutura juridica nacional.

Essevolume de investimento esta sendo alocado em sistemas cada vez mais sofisticados, que tomam decisoes em tempo real, afetando desde a oferta de credito ate a gestao deestoques, da triagem de processos judiciales ate a operacao de infraestruturas criticas. A ausencia de marco regulatorio significa que essa alocacao acontece sem qualquer parametro de seguranca juridica, com risco concentrado em quem implementa, em quem e afetado e em quem debera responder em caso de falhas.

A Gartner, por sua vez, posiciona a governanca digital como um dos tres eixos principais da agenda de lideres de TI em 2026. Essa sinalizacao de mercado confirma que o tema ja ultrapassou a esfera especulativa eentrou definitivamente no dominio do o dominio daplanejamento estrategico corporativo. Porem, agendas de governanca sem respaldo legal operam em base de voluntarismo, o que limita severamente sua eficacia e escala.

Extraterritorialidade: quando o problema foge das fronteiras

O vacuo regulatorio brasileiro se torna ainda mais critico quando se considera que empresas e sistemas no Brasil ja estao sujeitos a legislacoes extraterritoriais. O AI Act da Uniao Europeia, em vigor desde agosto de 2024 com aplicacao faseada ate 2027, estabelece multas de ate 35 milhoes de euros ou 7% do faturamento global para violacoes. A Lei de Ciberseguranca da China entrou em vigor em janeiro de 2026, com parammetros próprios de conformidade. O SB-53 da California foi aprovado em setembro de 2025, impondo obrigacoes de transparencia para sistemas automatizados.

A consequence, conformeanalisado pela ConJur, e que um unico sistema de IA pode estar sujeito simultaneamente a regras europeias, chinesas, californianas e brasileiras. Essa multiplicidade de marcos regulatorios nao e apenas um desafio de compliance; levanta questoes fundacionais sobre a sustentabilidade a longo prazo de um modelo fragmentado. A extraterritorialidade significa que empresas brasileiras que desejam exportar servicos ou manter operasoes internacionais precisarao, na pratica, aderir a marcos regulatorios estrangeiros para manter competitividade.

Um cenario de multiplas Jurisdicoes e a confusao que se instala

Para uma empresa brasileira que desarrolla ou implementa sistemas de IA com aplicacao internacional, a questao nao e mais se deve cumprir ou nao uma regulamentacao estrangeira, mas qual regulamentacao estrangeira devera cumprir em primeiro lugar. A hierarquia entre marcos regulatorios permanece incerta, mecanismos de harmonizacao praticamente inexistem, e a possibilidade de dupla ou tripla exposicao a sancoes e um risco real e ja nao mais teorico.

A fragmentacao regulatoria tambem afeta diretamente cidadaos brasileiros. Um sistema de IA que processa dados de clientes brasileiros pode estar sujeito simultaneamente a LGPD, ao AI Act europeu e a normas californianas. Quando essas legislecoes conflitam em aspectos como consentimento, transparenciocia ou direito de revisao, o cidadao brasileiro fica em uma zona de incerteza juridica onde seus proprios direitos podem ser contraditos ou relativizados por forcas extraterritoriais.

Contrapontos e limitacoes: o que se pode questionar na narrativa do vacuo

E necessario reconhecer que nem toda a responsabilidade pelo vacuo regulatorio recai sobre o poder publico. Parte das empresas brasileiras opera com o que se pode chamar de estrategia do silencioso, ou seja, adia investimentos em conformidade esperando que a lei obrigatoria reduza a necessidade de decisoes autonomas sobre governanca. Ha tambem um discurso de inovacao que, frequentemente, e usado para justificar a ausencia de parametros internos, como se a ausencia de regras fosse condicao necessaria para a criatividade tecnologica.

Outra limitacao a considerar: a regulacao itself pode gerar efeitos indesejados. Historicamente, legislacoes na area tecnologica apresentaram problemas de sobreposicao com inovacao, especialmente quando redactadas sem participacao efetiva do setor tecnologico. A experiencia internacional mostra que marcos regulatorios excessivamente prescricionais podem concentrar o mercado em grandes players capazes de arcar com custos de conformidade, prejudicando PMEs e startups. Esse risco deve ser ponderado no debate sobre a velocidade e o conteudo da regulacao.

Ha ainda uma questao de capacidade institucional. Mesmo que o Brasil aprovasse amanha um marco regulatorio completo para IA, os orgaos responsaveis pela vigilancia e fiscalizacao teriam condicoes de aplicar essas normas? A experiencia com a LGPD, que ja enfrenta dificuldades de aplicacao pratique apos mais de quatro anos de vigencia, sugere que a existencia formal de uma lei nao e suficiente para garantir a protecao efetiva de direitos.

A narrativa do "brazilian unique path": ha fundamento?

Alguns analistas defendem que o Brasil deveria esperar que marcos regulatorios internacionais amadurecessem antes de fixar parametros propios, evitando o risco de obsolescencia rapida de uma lei nacional frente a evolucao tecnologica. Esse argumento tem merito parcial, porem ignora que a espera ativa tambem tem custos: cada mes sem marco regulatorio e um mes em que empresas tomam decisoes irreversiveis sobre arquitetura de sistemas, infraestrutura de dados e modelagem de processos, decisoes essas que serao difficeis e caras de reverter caso um marco regulatorio venha a exige-las posteriormente.

Ademais, a defesa de uma estrategia de espera pressupoe que o pais tera condicoes de influencia-los marcos internacionais de forma ativa, o que nao corresponde necessariamente a realidade do atual equilibrio geopolitico da inteligencia artificial, dominado por economias dos Estados Unidos e da China.

Cenarios e projecoes: o que esperar dos proximos anos

O escenario mais provavel no curto prazo e a manutencao do status quo: empresas continuarao implementando IA sem politicas internas adequadas, colaboradores continuarao usando ferramentas nao autorizadas, e a exposicao a riscos legais e operacionais crescera de forma continua ate que um evento critico de grande repercussao Force a tomada de conciencia coletiva. Historicamente, regulation in tecnology tiende a ser acelerada por crises, nao por planeamento previo.

Um segundo cenario possivel e a consolidao de mecanismos de autorregulacao setorial, em que asociaciones de mercado e entidades de classe desenvolvem codigos de conduta que, na pratica, funcionem como padroes de facto. Esse modelo ja esta em curso em alguns segmentos, porem sua eficacia e limitada pela ausencia de forca coercitiva e pela dificuldade de imposicao uniform.

Um terceiro cenario, mais otimista, envolve a aprovacao do SIA ou de algum outro marco especifico no médio prazo, provavelmente entre 2026 e 2027, impulsionado pela pressao acumuleda de dados de mercado e pela proximidade de eleicoes legislativas que podem criar incentivos politicos para a pauta.

A dimensao dos riscos para o cidadãobrasileiro

Para alem das empresas, o cidadao comum enfrenta consecuencias diretas do vacuo regulatorio. Decisoes automatizadas de credito, seguros, serviçcos publicos e ate mesmo justica estao sendo tomadas por sistemas cujos criterios permanecem opacos e cujas responsabilides sao juridicamente indefinidas. Quando um cidadao tem seu pedido de credito negado por um algoritmo, quem explica o criterio? Quem reverte a decisao? Quem indeniza o dano?

A ausencia de marco regulatorio transforma essas perguntas em desafios praticos diarios. A LGPD oferece alguma protecao em termos de tratamento de dados, porem nao cobre adequadamente a dimensao especifica de sistemas de IA, especialmente no que se refere a decisoes automatizadas com potencial de afetarem diretamente direitos fundamentais.

Conclusao: entre a espera e a urgencia

O vacuo regulatorio brasileiro em inteligencia artificial nao e um problema abstrato. Esta presente nas decisoes de credito negadas por algoritmos nao auditados, nos sistemas de recrutamento que descartam candidatos por criterios nao transparentes, nos sistemas publicos que decidem sobre beneficios sem que o cidadao saiba como, e nas empresas que investem milhoes em IA sem saber exatamente quais obrigacoes legais estarao cumprindo ou deixando de cumprir amanha.

Os dados demonstram que sete em cada dez profissionais brasileiros ja usam ferramentas de IA regularmente, que tres em cada quatro empresas nao tem governanca sobre isso, que 43,9% reconhecem estar expostas a riscos que mal compreendem, e que investimentos de billions de dolares estao sendo alocados sem que o marco legal acompanhe. Esse desnivel entre maturidade tecnologica e maturidade juridica nao e sustentavel no longo prazo.

A questao central nao e mais se o Brasil deveria regular a IA, mas como e quando hacerlo de forma que a regulacao seja efetiva, proporcionada e capaz de proteger empresas, cidadaos e a propia inovacao. A esper passivamente pelo amadurecimento de modelos internacionais e uma estrategia de risco calculado que pode funcionar, porem exige consciência de que cada dia de espera amplia o passivo juridico acumulado e reduz as opcoes de desenho regulatorio disponiveis. O momento de agir e agora, ou pelo menos logo. O vacuo, por mais confortavel que pareca, tem prazo de validade curto.