Marco Legal da Inteligência Artificial no Brasil: o que o PL 2338/2023 muda para empresas, governo e cidadãos

O que aconteceu e por que importa

Em 10 de dezembro de 2024, o Senado Federal aprovou por unanimidade o Projeto de Lei 2338/2023, que institui o primeiro marco regulatório para a inteligência artificial no Brasil. O texto, relatado pelo Senador Eduardo Gomes (MDB-TO), consolidou contribuições de mais de 300 especialistas ouvidos ao longo de dois anos de debates legislativos e recebeu 52 emendas antes da votação em Plenário. A proposta agora aguarda análise da Câmara dos Deputados, onde deve ser apreciada em 2026, e caso seja aprovada sem alterações, seguirá para sanção presidencial.

A importância desse projeto vai muito além de uma simples atualização normativa. O Brasil é uma das dez maiores economias do mundo e abriga um ecossistema de tecnologia em expansão acelerada, com mais de 2.500 startups desenvolvendo soluções baseadas em inteligência artificial segundo dados do Distrito. Até então, o país operava sem uma legislação específica para regular sistemas de IA, relying solely on fragments of the LGPD, on the Marco Civil da Internet, and on sector-specific rules that proved insufficient to address the scale and complexity of algorithmic decision-making in banking, health, justice, and public administration.

O PL 2338/2023 introduz um modelo de governança baseado em riscos — o chamado risk-based approach — inspirado no AI Act europeu. Esse modelo classifica os sistemas de IA em quatro categorias de risco, ranging from prohibited practices to minimal-risk applications, e impõe obrigações proporcionais à severidade do risco. Para as empresas brasileiras, isso significa que chatbots de atendimento ao cliente estão sujeitos a regras muito menos rigorosas do que sistemas de triagem curricular em processos seletivos ou algoritmos de análise de crédito. A diferença no tratamento regulatório reflete a convicção do legislador de que nem toda aplicação de IA carrega o mesmo potencial de dano.

A dimensão do impacto regulatório

As sanções previstas no projeto são um indicador claro da seriedade com que o legislador trata a não conformidade. Infrações podem resultar em multas de até R$ 50 milhões por ocorrência, sem prejuízo de outras penalidades administrativas previstas na LGPD. Esse valor coloca o Brasil entre as jurisdições com as multas mais elevadas do mundo para casos de abuso algorítmico, superando em muito as multas do AI Act europeu, que estabelece tetos em euros significativamente menores em proporção ao faturamento das empresas.

Contexto histórico e regulatório

O caminho até o PL 2338/2023 não foi linear nem breve. O projeto é o resultado da fusão de quatro propostas anteriores que tramitavam simultaneamente no Senado — PL 5.051/2019, 5.691/2019, 2.101/2020 e 21/2020 — todas tentando ocupar o vácuo regulatório deixado pela ausência de regras específicas para IA no ordenamento brasileiro. Esse acúmulo de propostas reflete a urgência percebida por parlamentares de diferentes espectros políticos, embora cada texto original priorizasse aspectos distintos, desde a proteção de dados pessoais até a regulação de veículos autônomos.

A escolha do risk-based approach como arquitetura regulatória não foi óbvia desde o início. Houve propostas iniciais de regulamentação mais restritiva no Brasil, incluindo projetos que tentavam copiar elementos do Regulamento Geral de Proteção de Dados europeu sem a devida adaptação ao contexto brasileiro. A opção final por um modelo inspirado no AI Act europeu representou um ponto de equilíbrio entre os que queriam uma regulação mais pesada e os que defendiam praticamente nenhum novo marco regulatório, argumentando que o mercado brasileiro não suportaria custos de compliance elevados durante uma fase ainda inicial de maturidade tecnológica.

O arcabouço legal brasileiro já contava com peças relevantes antes do PL 2338/2023. A LGPD, promulgada em 2018 e parcialmente em vigor desde 2020, estabeleceu princípios de tratamento de dados pessoais que são naturalmente aplicáveis a sistemas de IA, especialmente aqueles que processam dados biométricos, comportamentais ou sensíveis. A Resolução CNJ 615/2025, aprovada pelo Conselho Nacional de Justiça, disciplinou o uso de inteligência artificial no Judiciário brasileiro, proibindo sistemas de reconhecimento facial em audiências criminais e exigindo transparência algorítmica em sistemas de apoio à decisão judicial. Essas normas anteriores não foram revogadas pelo PL 2338/2023, mas recebem agora um complemento estrutural que faltava para cobrir lacunas regulatórias específicas de IA.

Inspiração europeia e diferenças fundamentais

O AI Act europeu, promulgado em março de 2024 e em implementação progressiva até 2027, serviu como modelo conceitual para o PL 2338/2023, mas as diferenças entre os dois textos são significativas. Enquanto o regulamento europeu classifica como proibida a criação de bancos de dados de reconhecimento facial por raspagem de imagens da internet sem consentimento, o projeto brasileiro adota uma abordagem mais específica, proibindo apenas o uso de tal tecnologia para vigilância em massa sem autorização legal, mas permitindo seu uso em contextos específicos como investigação criminal com ordem judicial. Essa distinção é considerada por juristas brasileiros como uma adaptação necessária ao princípio da proporcionalidade previsto na Constituição Federal.

Dados, evidências e o que os números mostram

Até o momento da votação no Senado, não existia um levantamento oficial completo sobre o número de sistemas de inteligência artificial em operação no Brasil. A ANPD conduziu em 2023 um estudo preliminar identificando pelo menos 800 aplicações de IA em órgãos públicos federais, embora esse número seja amplamente reconhecido como subestimado, dado que muitos sistemas de governos estaduais e municipais não foram incluídos na contagem. No setor privado, estimativas de associações do setor sugerem que mais de 60% das grandes empresas brasileiras já utilizam alguma forma de IA em suas operações, variando desde automação simples de chatbots até algoritmos complexos de análise de crédito.

Os dados sobre discriminação algorítmica no Brasil são preocupantes. Pesquisas conduzidas por organizações da sociedade civil documentaram casos de viés racial e de gênero em sistemas algorítmicos de contratação usados por grandes empresas brasileiras, encontrando casos em que candidatos de determinadas regiões geográficas ou com trajetórias profissionais não tradicionais eram penalizados em taxas significativamente mais elevadas do que revisores humanos fariam. O impacto desproporcional sobre populações vulneráveis é um dos principais argumentos utilizados pelos defensores do projeto de lei para justificar a urgência regulatória, mesmo em face das críticas de representantes do setor de tecnologia.

Panorama regulatório internacional

Outros países e blocos econômicos já avançaram em suas próprias estruturas regulatórias. Além do AI Act europeu, os Estados Unidos adotaram em 2023 a Executive Order on Safe, Secure, and Trustworthy AI, que estabeleceu princípios não vinculantes para agências federais, mas não criou uma legislação federal geral. A China publicou regulamentos sobre algoritmos de recomendação em 2022 e sobre IA gerativa em 2023, com abordagens que combinam controle estatal e obrigações de transparência. No continente africano, apenas Uganda e Egito possuem marcos regulatórios específicos para IA, enquanto no restante da América Latina, apenas Argentina e Chile publicaram guias não vinculantes de boas práticas em inteligência artificial. Esse posicionamento do Brasil como potencial líder regulatório na América Latina é significativo do ponto de vista geopolítico e comercial.

Impactos práticos e consequências

Para o setor empresarial, a entrada em vigor do PL 2338/2023 representará uma mudança de paradigma na forma como sistemas de inteligência artificial são desenvolvidos, implementados e auditados. Empresas que já mantêm programas de conformidade alinhados com a LGPD encontrarão muitos de seus processos existentes podem ser adaptados para atender aos novos requisitos da lei de IA com esforço adicional modesto, mas empresas que ainda não investiram em estruturas de governança enfrentarão custos substanciais. Estima-se que os custos de conformidade para pequenas e médias empresas possam variar entre R$ 50 mil e R$ 500 mil no primeiro ciclo de adaptação, dependendo da complexidade dos sistemas de IA em uso.

No campo do direito do trabalho, o projeto estabelece obrigações específicas para sistemas utilizados em decisões de contratação, demissão, promoção e alocação de trabalhadores. O direito à revisão humana obrigatória significa que empresas não podem automatizar totalmente decisões de demissão sem supervisão humana, uma previsão que foi duramente criticada pelo setor empresarial como potencialmente inviável em operações de grande escala, mas que foi defendida por entidades trabalhistas e pelo Ministério Público do Trabalho como essencial para proteger trabalhadores de decisões algorítmicas injustas. Escritórios de advocacia especializados em direito do trabalho já reportam aumento na demanda por pareceres sobre compliance com o futuro marco legal, indicando que essa área deve gerar significativo volume de contencioso nos próximos anos.

Setores mais afetados

Os setores de saúde, finanças e justiça criminal são aqueles que enfrentarão as obrigações mais rigorosas. No setor de saúde, sistemas de diagnóstico assistido por IA precisarão passar por avaliações de impacto algorítmico antes de sua implementação, e pacientes terão direito a explicação sobre como a decisão algorítmica afetou seu tratamento. No setor financeiro, algoritmos de análise de crédito e subscrição de seguros estarão sujeitos a testes de não discriminação e auditorias periódicas, com a obrigação de demonstrar que variações estatisticamente significativas entre grupos demográficos são justificadas por fatores de risco legítimos. Na justiça criminal, a Resolução CNJ 615/2025 já havia avançado na matéria, mas o PL 2338/2023 complementa com direitos adicionais para réus cujos processos envolveram ferramentas de avaliação de risco algorítmico.

Contrapontos, críticas e limites da análise

O setor de tecnologia, representado por entidades como Brasscom, ABES e associações de startups, apresentou críticas substantivas durante o período de audiências públicas. A principal delas é que a classificação de risco, embora inspirada no AI Act europeu, foi calibrada de forma mais gravosa para empresas brasileiras, especialmente no que se refere às sanções e aos prazos de adequação. Representantes de grandes empresas de tecnologia argumentaram que o prazo de dois anos para conformidade é insuficiente para empresas com sistemas legados complexos realizarem as avaliações de impacto algorítmico necessárias, conduzirem auditorias internas e implementarem as mudanças de governança necessárias sem arriscar interrupções operacionais. Esse argumento perdeu força parcial quando o texto final estendeu o prazo de conformidade para três anos para sistemas de alto risco.

Uma crítica substantiva veio da academia durante as audiências públicas, especialmente no que se refere à definição de sistemas de alto risco. Acadêmicos apontam que a definição de sistemas de IA de alto risco no projeto é ampla o suficiente para potencialmente incluir muitas aplicações amplamente consideradas benéficas e de baixo risco, como filtros de spam ou sistemas de recomendação algorítmica de música. Essa amplitude na definição pode gerar incerteza para empresas que precisarão determinar se seus sistemas exigem conformidade total ou se beneficiam de isenções, criando exposição legal durante um período em que a orientação regulatória ainda é escassa. A ANPD foi incumbida de publicar orientações detalhadas sobre critérios de classificação, mas a capacidade do órgão de emitir orientações tempestivas e abrangentes permanece incerta, dado o atual quadro de pessoal e as restrições orçamentárias em curso.

Direitos dos afetados e seus limites práticos

Embora o projeto contemple um catálogo robusto de seis direitos dos afetados por sistemas de IA — incluindo direito à informação prévia, direito à explicação, direito à revisão humana e direito à não-discriminação — especialistas questionam a efetividade prática desses direitos. A exigibilidade do direito à explicação é particularmente contestada porque muitos sistemas modernos de IA, especialmente aqueles baseados em deep learning, são inerentemente opacos mesmo para seus desenvolvedores — o famoso problema da caixa-preta. Solicitar a uma empresa que explique por que uma rede neural aprovou ou recusou um pedido de crédito em um caso específico costuma ser tecnicamente impossível sem mudanças significativas na arquitetura do sistema. Advogados especializados em direito digital apontam que isso cria um paradoxo em que o direito existe na lei, mas nem sempre pode ser cumprido na prática, potencialmente gerando uma onda de litígios sobre um direito que pode revelar-se amplamente teórico em seus primeiros anos de vigência.

Cenários e síntese

O cenário mais provável para o PL 2338/2023 nos próximos anos é a aprovação pela Câmara dos Deputados com alterações pontuais, seguido de um período de transição de pelo menos três anos antes da entrada em vigor integral das sanções. Durante esse período, espera-se que a ANPD publique uma série de resoluções complementares detalhando os procedimentos de avaliação de impacto algorítmico, os critérios específicos para classificação de risco de diferentes setores, e os padrões técnicos para cumprimento das obrigações de transparência. Esse processo de implementação gradual é considerado essencial para permitir que empresas brasileiras, especialmente as menores, desenvolvam a capacidade institucional necessária para cumprir as exigências sem sofrer prejuízos competitivos que poderiam beneficiar concorrentes estrangeiros operando em mercados menos regulados.

O cenário menos provável, mas não impossível, seria a não aprovação do projeto pela Câmara, o que aconteceria se houvesse uma mudança significativa na composição do Congresso após as eleições de 2026 ou se o setor empresarial conseguisse articular uma oposição efetiva ao texto aprovado pelo Senado. Alguns juristas argumentam que mesmo sem uma lei geral de IA, o arcabouço existente — LGPD, Marco Civil, resoluções do CNJ — seria suficiente para regular os casos mais graves de abuso algorítmico, embora essa visão seja minoritária e seja questionada por quem sustenta que a ausência de uma estrutura específica deixa lacunas críticas, especialmente em relação a aplicações de IA de alto risco em saúde, justiça criminal e emprego.

O que merece acompanhamento

Para cidadãos, empresas e operadores do direito, três aspectos do processo de implementação que se inicia merecem atenção cuidadosa. Primeiro, a capacidade da ANPD em emitir orientações claras e tempestivas antes do início do período de conformidade, dado que empresas que começarem a se adaptar sem orientação clara arriscam incorrer em custos com medidas de compliance que podem não estar alinhadas com os requisitos regulatórios finais. Segundo, a resposta do setor de tecnologia, especialmente a possibilidade de consolidação de mercado à medida que empresas menores lutam com custos de conformidade e jogadores maiores usam seus recursos para se adaptar mais rapidamente. Terceiro, a evolução jurisprudencial sobre os direitos dos afetados, uma vez que tribunais serão inevitavelmente chamados a interpretar disposições que são conceitualmente sólidas, mas operacionalmente ambíguas, e seus julgamentos moldarão o significado prático da lei muito mais do que qualquer texto regulatório sozinho. O Marco Legal da IA no Brasil será, durante muitos anos, tanto um texto quanto uma construção jurisprudencial — e a segunda dimensão pode revelar-se tão ou mais importante que a primeira.