Marco Legal da Inteligência Artificial: o que muda no Brasil com a nova lei em 2026

O que aconteceu e por que importa

O Projeto de Lei 2338/2023, que institui o Marco Regulatório da Inteligência Artificial no Brasil, foi aprovado por unanimidade no Senado Federal em 10 de dezembro de 2024 e segue agora para análise da Câmara dos Deputados, onde a expectativa é de votação final em 2026. O texto consolida cinco anos de tramitação legislativa e representa a primeira tentativa brasileira de criar regras gerais para o desenvolvimento, implementação e uso de sistemas de inteligência artificial no País. A proposta, relatada pelo Senador Eduardo Gomes (MDB-TO), foi construída a partir de mais de 300 contribuições de especialistas, empresas, academia e sociedade civil em audiências públicas realizadas entre 2023 e 2024. A importância deste momento não se limita ao universo tecnológico: a lei afetará diretamente setores como saúde, financeiro, trabalhista, educacional e segurança pública, além de criar obrigações de compliance para qualquer empresa que utilize sistemas automatizados de decisão.

O modelo adotado pelo PL 2338/2023 segue a arquitetura do AI Act europeu, classificando sistemas de inteligência artificial por nível de risco: excessivo, alto, baixo ou moderado. Sistemas de risco excessivo, como armas autônomas letais e social scoring governamental, serão proibidos no Brasil, com sanções de até R$ 50 milhões por infração. Sistemas de alto risco, que incluem triagem curricular automatizada, análise de crédito, diagnósticos médicos e vigilância biométrica no sistema de justiça criminal, estarão sujeitos a obrigações rigorosas de governança, avaliação de impacto algorítmico e supervisão humana. A criação de um catálogo de direitos para pessoas afetadas por decisões de IA é considerada a principal conquista cidadã do projeto, reunindo em um único texto normativo direitos que atualmente estão dispersos na legislação brasileira ou sequer existem de forma expressa.

A regulamentação da IA no Brasil ocorre em contexto de aceleração global da adoção da tecnologia, que cria pressão simultânea por inovação e por proteção de direitos fundamentais. Governos e empresas correm contra o tempo para criar adaptação adequada às mudanças provocadas pela IA generativa, que expandiu exponencialmente as possibilidades de uso e os riscos associados à tecnologia. A União Europeia já adotou seu AI Act, e os Estados Unidos avançam com ordens executivas sobre o tema, criando um ambiente de competição regulatória onde o Brasil precisa definir sua posição para não ficar isolado de fluxos de investimento e cooperação tecnológica com economias avançadas.

Contexto histórico e regulatório

A trajetória do marco regulatório da IA brasileira começou em fevereiro de 2020, quando o PL 21/2020 foi apresentado na Câmara dos Deputados. O projeto avançou rapidamente e foi aprovado na Câmara em setembro de 2021, seguindo para o Senado, onde uma Comissão de Juristas analisou o texto em 2022. Em maio de 2023, o Senador Rodrigo Pacheco apresentou o PL 2338/2023, que substituiu e incorporou as contribuições do PL 21/2020. A Comissão Temporária de Inteligência Artificial (CTIA) do Senado foi instalada em dezembro de 2023 para analisar o projeto, com o Senador Eduardo Gomes atuando como relator desde a criação da comissão. O relatório final foi apresentado em novembro de 2024, e a aprovação unânime no Plenário do Senado ocorreu em 10 de dezembro de 2024, marcando um raro momento de consenso político em tema de alta complexidade técnica.

O modelo de risk-based approach adotado pelo PL 2338/2023 foi inspirado no AI Act europeu, que classifica sistemas de IA conforme seu potencial de dano à saúde, segurança e direitos fundamentais. A proximidade conceitual com a regulamentação europeia não é acidental: o Brasil participou de negociações internacionais sobre governança de IA e busca alinhamento com blocos comerciais importantes, especialmente a União Europeia, com quem o Mercosul fechou acordo comercial em 2024 que inclui disposições sobre sustentabilidade e direitos digitais. A conexão com outras normas brasileiras é relevante: o Marco Legal da IA complementa a Lei Geral de Proteção de Dados Pessoais (LGPD), a Resolução CNJ 615/2025 sobre uso de IA no Judiciário, o Marco Civil da Internet e o Código de Defesa do Consumidor, formando um ecossistema regulatório que trata da proteção de dados e decisões automatizadas de forma integrada.

No âmbito internacional, a regulamentação brasileira está inserida em uma corrida global por regras de IA. A União Europeia adotou seu AI Act em 2024, com aplicação gradual a partir de 2025. Os Estados Unidos avançam com ordens executivas sobre IA, e a China anunciou regulamentação sobre recomendação algorítmica e deepfakes. Essa competição regulatória cria incentivos para que o Brasil defina seu marco rapidamente, sob pena de ficar em desvantagem competitiva em setores que dependem de investimentos estrangeiros em tecnologia. O PL 2338/2023 posiciona o Brasil como líder regulatório na América Latina, criando um modelo que pode ser referenciado por outros países da região.

Dados, evidências e o que os números mostram

Pesquisa da Exame realizada em parceria com a Ordem dos Advogados do Brasil (OAB) indica que 77% dos advogados brasileiros já utilizam alguma forma de inteligência artificial em sua rotina profissional, seja para pesquisa jurisprudencial, elaboração de documentos ou análise contratual. Esse dado ilustra a penetração da tecnologia em setores onde a supervisão humana ainda é predominante e levanta questões sobre os limites de responsabilidade profissional quando decisões são assistidas ou substituídas por sistemas algorítmicos. O PL 2338/2023 não ignora essa realidade: seu texto inclui disposições sobre uso de IA no âmbito profissional, com obrigações de transparência sobre quando e como a tecnologia está sendo utilizada em contextos de trabalho jurídico.

As sanções previstas pelo projeto variam conforme a gravidade da infração: advertência e obrigação de adequação para infrações leves; multa simples de até 2% do faturamento, com limite de R$ 50 milhões, para infrações médias; multa e suspensão parcial da atividade para infrações graves; e proibição de operar combinada com multa máxima para infrações gravíssimas. A reincidência dobra o valor da multa a cada ocorrência seguinte. Esse escalonamento de sanções foi desenhado para criar efeito dissuasório sobre grandes empresas de tecnologia sem comprometer a viabilidade de startups e pequenos desenvolvedores, que terão regime simplificado para produtos de baixo risco. A coordenação de fiscalização será feita pela Autoridade Nacional de Proteção de Dados (ANPD), com apoio de reguladores setoriais como Banco Central, ANVISA e ANATEL.

O cronograma esperado para 2026-2027 é o seguinte: no primeiro semestre de 2026, a Comissão Especial da Câmara analisa o projeto e eventuais emendas são discutidas; no segundo semestre, a votação em Plenário deve ocorrer até setembro-outubro, com sanção presidencial ainda em 2026 e publicação no Diário Oficial da União. A vacatio legis prevista é de 12 a 24 meses, o que significa que a lei deve entrar em vigor entre 2028 e 2029. Esse prazo será usado pelas empresas para se adequarem às novas obrigações, especialmente pelo setor de tecnologia, que terá que rever contratos, atualizar termos de uso e criar canais de atendimento para exercício de direitos por parte dos afetados por decisões de IA.

Impactos práticos e consequências

Para advogados e escritórios de advocacia, o PL 2338/2023 cria um novo mercado de consultoria em compliance de IA, comparável ao que ocorreu com a LGPD em 2020-2021, quando muitos profissionais se especializaram em proteção de dados e criaram práticas autônomas de consultoria. A necessidade de implementar políticas internas de uso de IA, conduzir avaliações de impacto algorítmico e treinar equipes sobre a nova lei gerará demanda por serviços especializados que ainda não estão plenamente disponíveis no mercado brasileiro. O uso interno de IA em escritórios também exigirá adequações: advogados que utilizam ferramentas como ChatGPT, Gemini ou Claude para pesquisa e redação precisarão anonimizar dados antes de enviar informações a provedores de nuvem, validar outputs dado que alucinações da IA continuam sendo passíveis de responsabilização profissional, e documentar uso para fins de auditoria.

No setor de saúde, classificado como alto risco pelo projeto, empresas de planos de saúde, hospitais e clínicas que utilizem sistemas de triagem automatizada, diagnóstico assistido por computador ou priorização de pacientes deverão cumprir obrigações específicas de governança e transparência. A ANVISA deverá emitir regulamentação complementar sobre uso de IA em dispositivos médicos, criando um marco regulatório específico para o setor que determinará como hospitais e laboratórios deverão documentar eauditar sistemas automatizados de diagnóstico. No setor financeiro, bancos e fintechs que utilizem análise de crédito automatizada terão que explicar critérios usados em decisões de concessão ou recusa de crédito, permitindo que clientes solicitem revisão por analista humano. Essa obrigação já existe parcialmente na LGPD, mas o Marco Legal da IA a torna mais rigorosa e específica para decisões algorítmicas que afetam diretamente a vida financeira dos consumidores.

Para empresas de tecnologia, o PL 2338/2023 impõe regras sobre identificação de conteúdo gerado por IA, especialmente deepfakes e imagens sintéticas. Anunciantes e operadores de plataformas deverão indicar claramente quando conteúdos publicitários ou informativos são gerados por IA, criando obrigações de transparência que afetam práticas de marketing digital em todos os canais. O text and data mining (TDM), prática comum em treinamento de modelos de IA generativa, será regulado pelo projeto, que estabelece regras sobre uso de dados para treinamento de sistemas, com implicações diretas para empresas que desenvolvem large language models e modelos de linguagem baseados em corpus brasileiros. A zona cinzenta sobre direito autoral em conteúdo gerado por IA ainda está sendo debatida, com posicionamentos divergentes de setores criativos, editoras e empresas de tecnologia sobre quem detém direitos sobre obras produzidas por sistemas algorítmicos.

Contrapontos, críticas e limites da análise

Críticos do PL 2338/2023 incluem setores de tecnologia que argumentam que a regulamentação excessiva pode sufocar inovação e dificultar a competitividade brasileira no mercado global de IA. O FNDC (Fórum Nacional pela Democratização da Comunicação) alertou para riscos de desidratação do projeto durante sua tramitação no Senado, argumentando que a versão final pode não garantir proteção suficiente contra usos abusivos da tecnologia por grandes corporações. A retirada de alguns dispositivos protetivos durante as negociações no Senado foi interpretada por organizações da sociedade civil como sinal de que o lobby de grandes empresas de tecnologia conseguiu diluir proteções cidadãs fundamentais.setoriais como o de tecnologia argumentam que os custos de compliance podem ser desproporcionais para startups e empresas menores, criando barreiras de entrada que consolidam a posição de incumbentes no mercado.

Outra preocupação envolve a obrigatoriedade de registro de sistemas de alto risco em banco de dados público, o que pode expor algoritmos proprietários e reduzir a vantagem competitiva de desenvolvedores brasileiros frente a concorrentes estrangeiros que operam em jurisdições menos exigentes. A obrigatoriedade de revisão humana para todas as decisões algorítmicas que afetem direitos também gera questões práticas: prestadores de serviços de saúde argumentam que exigir revisão humana para cada decisão de triagem automatizada pode retardar significativamente o atendimento médico e aumentar custos em um sistema já sobrecarregado. No setor financeiro, a mesma exigência pode reduzir a velocidade de decisões de crédito, afetando a eficiência operacional de bancos e fintechs e potencialmente excluindo clientes de baixo perfil de acesso ao crédito.

Também é questionada a capacidade institucional da ANPD para regular e fiscalizar sistemas de IA efetivamente, dado que a agência já está sobrecarregada gerenciando a conformidade de proteção de dados de toda a economia brasileira. O Tribunal de Contas da União ainda não publicou relatório de avaliação sobre a estrutura necessária para absorver as novas atribuições regulatórias sem comprometer a qualidade da fiscalização. Empresas de tecnologia argumentam que as disposições de responsabilidade objetiva para sistemas de alto risco podem desencorajar investimentos em desenvolvimento de IA no Brasil e levar empresas a realocar operações para jurisdições menos reguladas. A complexidade de determinar quais sistemas se encaixam na categoria de alto risco também levanta preocupações, com alguns juristas apontando que as definições atuais são amplas o suficiente para capturar muitas aplicações comerciais comuns que não foram originalmente intencionadas para serem classificadas como alto risco, criando incerteza de conformidade que pode afetar decisões de investimento em múltiplos setores da economia brasileira.

Cenários e síntese

O cenário mais provável para 2026 é de aprovação do Marco Legal da IA na Câmara dos Deputados até o final do primeiro semestre, com sanção presidencial no segundo semestre. deepfakes eleitorais em 2026, dado o contexto de eleições municipais naquele ano, podem acelerar a aprovação do projeto, criando senso de urgência among legislators para estabelecer regras sobre manipulação de conteúdo político por IA. A pressão de big techs, da indústria de tecnologia e da sociedade civilará o tom das negociações finais sobre eventuais emendas ao texto aprovado no Senado. Setores que já utilizam IA em contextos de alto risco necesitarão iniciar procesos de adequação imediatamente após a sanção, dado o prazo curto de vacatio legis que se espera para sistemas de risco elevado.

Para acompanhamento: as discussões sobre text and data mining (TDM) e direitos autorais em treinamento de modelos de IA generativa continuarão sendo os pontos mais controversos na tramitação da Câmara. A regulamentação da ANPD e dos órgãos setoriais após a sanção definirá na prática como as obrigações do Marco Legal serão interpretadas e aplicadas, especialmente em setores como saúde, finanças e trabalho, onde a intersecção entre decisão algorítmica e direitos fundamentais é mais intensa. Advogados especializados em direito digital e proteção de dados terão papel central na transição: a capacidade do mercado jurídico brasileiro de absorver a demanda por compliance de IA determinará a velocidade de adequação das empresas ao novo marco legal e a qualidade da proteção de direitos dos cidadãos afetados por sistemas automatizados.