Marco legal da inteligência artificial no Brasil: o que falta para a lei sair do papel

Uma trajetória de cinco anos que ainda não chegou ao fim

O Brasil está prestes a receber sua primeira lei dedicada exclusivamente à inteligência artificial. Depois de mais de cinco anos de tramitação legislativa, o Projeto de Lei número 2.338 de 2023 foi aprovado por unanimidade no Senado Federal em 10 de dezembro de 2024 e aguarda votação na Câmara dos Deputados ao longo de 2026. O texto consolidado propõe um modelo regulatório baseado na classificação de sistemas de IA por nível de risco, estabelece direitos para pessoas afetadas por decisões algorítmicas, cria sanções de até 50 milhões de reais por infração e propõe a criação do Sistema Nacional de Regulação e Governança de Inteligência Artificial, o SIA.

A expectativa inicial de que a votação ocorreria no final de 2025 não se concretizou. Atrasos causados por impasses políticos, disputas setoriais e pela identificação de um vício de inconstitucionalidade no texto aprovado pelo Senado empurraram a tramitação para o primeiro semestre de 2026. O cenário permanece incerto, e o calendário eleitoral do segundo semestre do ano adiciona uma camada adicional de complexidade que pode afetar a velocidade da deliberação legislativa.

Como o projeto saiu do Senado e o que ele propõe

O PL 2.338 de 2023 foi apresentado pelo presidente do Senado Federal, Rodrigo Pacheco, e consolidado a partir de contribuições de mais de 300 especialistas, empresas, academia e sociedade civil reunidas em audiências públicas realizadas entre 2023 e 2024 pela Comissão Temporária de Inteligência Artificial do Senado. O relatório final foi coordenado pelo senator Eduardo Gomes, do MDB do Tocantins, e o texto que saiu do Senado representou um equilíbrio entre representantes do setor de tecnologia, organizações de defesa de direitos civis e o próprio governo federal.

A estrutura do projeto segue o modelo do AI Act europeu, adotando uma abordagem baseada em risco: sistemas classificados como de risco inaceitável, como armas autônomas letais e sistemas de pontuação social governamental, são expressamente proibidos; sistemas de alto risco, que abrangem áreas como saúde, educação, justiça criminal, emprego e infraestrutura crítica, estão sujeitos a obrigações reforçadas de documentação técnica, supervisão humana, avaliação de impacto e auditabilidade; sistemas de risco baixo ou moderado, que incluem a maioria dos assistentes virtuais e chatbots comerciais, respondem a obrigações mínimas centradas na transparência perante o usuário.

O vício de inconstitucionalidade e a solução encontrada

Um complicador que tornou a tramitação ainda mais complexa foi a identificação de um vício de iniciativa no texto aprovado pelo Senado. Ao atribuir competências normativas à Autoridade Nacional de Proteção de Dados, o projeto tratou de matéria que, segundo a Constituição Federal, é de iniciativa privativa do Poder Executivo. Essa mesma questão já havia sido identificada por constitucionalistas durante a tramitação no Senado, e o próprio governo federal optou por não apresentar questão de ordem sobre o tema naquele momento.

Para sanar o problema sem comprometer a estrutura do marco legal, o Executivo encaminhou, em dezembro de 2025, um projeto de lei complementar que cria formalmente o Sistema Nacional para Desenvolvimento, Regulação e Governança de Inteligência Artificial e estabelece a ANPD como autoridade competente para regulação e fiscalização de setores hoje sem regulador próprio. O projeto, quando apensado ao PL 2.338, garante a constitucionalidade da tramitação e consolida a estrutura de governança proposta.

Esse novo projeto também institui duas instâncias consultivas: o Comitê de Regulação e Inovação em Inteligência Artificial, com participação da sociedade civil e do setor produtivo, e o Comitê de Especialistas e Cientistas de Inteligência Artificial, composto por especialistas com notório saber ou experiência na área. A criação desses órgãos busca responder a uma das principais críticas ao texto original, que era a ausência de mecanismos efetivos de participação social na governança da IA no país.

O modelo de governança proposto e o papel da ANPD

O Sistema Nacional de Regulação e Governança de Inteligência Artificial proposto pelo projeto cria uma estrutura distribuída de fiscalização. A ANPD atua como coordenador central, responsável por estabelecer normas gerais e regulação de setores desregulados, como sistemas de IA de propósito geral. As agências reguladoras setoriais como o Banco Central para finanças, a ANVISA para saúde e a ANATEL para telecomunicações mantêm suas competências normativas sobre IA em seus respectivos segmentos econômicos.

O projeto também propõe a criação do Conselho Brasileiro de Inteligência Artificial, aos moldes do Conselho Monetário Nacional, responsável por fixar as diretrizes e políticas estratégicas de IA, composto por até cinco ministérios e pela ANPD. Esse desenho institucional busca equilibrar a coordenação centralizada, necessária para evitar lacunas regulatórias, com a especialização setorial, que garante que normas técnicas reflitam as especificidades de cada área.

A coordenação central pela ANPD levanta questões práticas que ainda não foram totalmente resolvidas. A autoridade de proteção de dados brasileira é uma agência relativamente nova, com recursos humanos e orçamentários limitados, e assumir a coordenação da regulação de IA em todos os setores desregulados representa um desafio operacional considerável. A efetividade do modelo dependerá de quanto da estrutura operacional a ANPD conseguirá construir durante o período de vacatio legis.

Os pontos de controvérsia que travam a votação na Câmara

A Comissão Especial da Câmara dos Deputados, sob relatoria do deputy Aguinaldo Ribeiro, já realizou doze audiências públicas sobre o tema e identificou pelo menos três grandes áreas de controvérsia que estão sendo negociadas antes da votação em Plenário.

A primeira é a questão dos direitos autorais no treinamento de sistemas de IA generativa. O texto aprovado pelo Senado previa que empresas de tecnologia informassem quais obras protegidas foram utilizadas no treinamento de seus modelos e assegurava aos autores o direito de vetar esse uso. O setor tecnológico considera essa obrigação tecnicamente inviável, porque determina que empresas revelem segredos comerciais sobre seus processos de treinamento. O setor cultural, por sua vez, defende maior proteção, argumentando que a ausência de regras substantivas transforma a lei em um mecanismo de legitimação de apropriações indevidas.

A segunda é o modelo de compliance ex ante proposto para sistemas de alto risco. A estrutura regulatória do projeto impõe obrigações às empresas antes mesmo de que um sistema de IA seja colocado em uso, incluindo a realização de avaliações de impacto algorítmico, a manutenção de logs de auditoria e a documentação técnica completa. Empresas de tecnologia argumentam que esse modelo cria barreiras desproporcionais para startups e pequenas empresas, que não têm recursos para arcar com processos de compliance complexos antes de colocar seus produtos no mercado. Defensores do textoreplicam que os custos de compliance são proporcionais ao risco do sistema, e que empresas que operam em setores de alto risco devem estar preparadas para arcar com obrigações mais rigorosas.

A terceira é a ausência de salvaguardas trabalhistas específicas. Organizações da sociedade civil apontaram que o texto aprovado pelo Senado foi esvaziado em pontos críticos relacionados à automação e seus efeitos sobre o mercado de trabalho. A ausência de regras sobre recomposição salarial para trabalhadores cujas funções são substituídas por sistemas automatizados, sobre a necessidade de plano de recolocação profissional e sobre a contribuição financeira de empresas de tecnologia para fundos de assistência ao desemprego foi criticada como uma omissão que pode agravar desigualdades existentes no mercado de trabalho.

Perspectiva internacional e o efeito extraterritorial do AI Act

O regulamento europeu AI Act, que entrou em vigor em agosto de 2024, tem aplicação extraterritorial e afeta diretamente empresas brasileiras que exportam tecnologia, possuem subsidiárias em países membros da União Europeia ou utilizam sistemas de IA desenvolvidos por fornecedores europeus. O regime sancionatório europeu é particularmente severo: infrações relacionadas a sistemas de IA proibidos podem ensejar multas de até 35 milhões de euros ou 7% do faturamento global anual, o que for maior.

Para empresas brasileiras com operações transnacionais, isso significa que a aprovação do PL 2.338 não é apenas uma questão de compliance doméstico, mas também uma oportunidade de alinhar práticas regulatórias entre jurisdições. O modelo brasileiro foi diretamente influenciado pela experiência europeia, e a estrutura de classificação por risco é substancialmente semelhante, o que pode reduzir custos de adequação para empresas que já estão mapeando suas obrigações sob o AI Act. Contudo, as divergências específicas entre os dois textos especialmente em relação a direitos autorais e supervisão humana ainda precisam ser gerenciadas em operações biculturais.

O vácuo regulatório atual e o papel da LGPD

Enquanto o marco legal específico não é aprovado, o Brasil não opera em vácuo normativo completo. A Lei Geral de Proteção de Dados Pessoais, em vigor desde 2020, já disciplina aspectos relevantes do uso de sistemas de IA que envolvam tratamento de dados pessoais. O artigo 20 da LGPD assegura ao titular de dados o direito de solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado quando essas decisões afetarem seus interesses, incluindo decisões de crédito, seleção de pessoal e triagem de perfis.

A ANPD já demonstrou disposição para atuar nesse espaço mesmo antes da aprovação do marco legal de IA. Em dezembro de 2025, a autoridade publicou o Mapa de Temas Prioritários para o biênio 2026-2027, incluindo inteligência artificial e tecnologias emergentes como um dos quatro eixos centrais de fiscalização. O sandbox regulatório de IA da ANPD, mecanismo que permite o teste controlado de inovações tecnológicas em ambiente regulatório supervisionado, já se encontra em fase de operação com empresas selecionadas.

A postura da ANPD em casos recentes indica que a fiscalização não aguarda a aprovação do PL 2.338. A suspensão de funcionalidades de plataformas de tecnologia que utilizavam dados de usuários para treinamento de sistemas sem base legal adequada demonstra que empresas que operam sistemas de IA com dados pessoais precisam tratar a adequação à LGPD como obrigação corrente e exigível, não como etapa preparatória para uma futura lei de IA.

Cronograma provável e incertezas restantes

O cronograma mais provável para a aprovação do marco legal envolve a votação em comissão especial no primeiro semestre de 2026, seguida de eventuais emendas e deliberação em Plenário no segundo semestre, com expectativa concentrada entre setembro e outubro. Após a aprovação na Câmara, o texto segue para sanção presidencial, quando poderão ser exercidos vetos em pontos específicos. A publicação no Diário Oficial da União deverá ocorrer ainda em 2026, iniciando o período de vacatio legis.

Para 2027,prevê-se a ANPD e os órgãos setoriais iniciarão a elaboração das normas regulamentares que operacionalizarão o marco legal. A experiência com a LGPD sugere que esse período de regulamentação pode ser demorado e que a aplicabilidade efetiva da lei dependerá fortemente da qualidade e da tempestividade dessas normas infralegais. A vacatio legis esperada é de 12 a 24 meses, o que colocaria a entrada em vigor efetiva por volta de 2028 ou 2029.

Existem, porém, variáveis que podem alterar esse cronograma. A proximidade do calendário eleitoral de 2026 pode criar incentivos para que a votação seja acelerada ou adiada, dependendo da conjuntura política do momento. Eventos como deepfakes eleitorais ou vazamentos de dados em massa envolvendo sistemas de IA podem criar pressão por uma aprovação mais rápida. Da mesma forma, lobbies intensivos de grandes empresas de tecnologia podem buscar alterações no texto que fragilizam pontos considerados essenciais por organizações de defesa de direitos.

Contrapontos e o que permanece em aberto

É importante reconhecer que o modelo regulatório proposto no PL 2.338 não é isento de críticas desde a perspectiva de quem defende maior abertura tecnológica. Pesquisadores e empresas de tecnologia argumentam que uma regulação excessivamente rígida pode inibir a inovação e criar barreiras de entrada que beneficiem apenas grandes empresas com recursos para compliance, deixando pequenos negócios em desvantagem. Esse argumento tem mérito especialmente no contexto brasileiro, onde a base empresarial é amplamente composta por pequenos negócios com recursos limitados.

Também há incerteza sobre a capacidade operacional dos órgãos reguladores. A ANPD, responsável pela coordenação central do sistema, enfrenta restrições orçamentárias e de pessoal que podem limitar sua capacidade de fiscalização efetiva. A experiência regulatória brasileira mostra que a existência de uma lei não garante automaticamente sua efetividade: a capacidade de monitoramento e imposição de sanções é tão importante quanto a qualidade do texto normativo.

Por fim, a velocidade da inovação tecnológica pode tornar algumas disposições do marco legal obsoletas no momento em que ele entrar em vigor. Sistemas de IA estão em constante evolução, e um modelo regulatório baseado em classificações de risco pode necessitar de atualizações frequentes para acompanhar desenvolvimentos tecnológicos. A estrutura de governança proposta, com instâncias consultivas permanentes, pode ajudar a responder a essas mudanças, mas a efetividade desse mecanismo dependerá de como ele for concretamente implementado.