Marco Regulatório da Inteligência Artificial no Brasil: Avanços, Impasses e Cenários para 2026

O cenário regulatório em 2026: transformações concretas sem marco legal geral

O cenário regulatório da inteligência artificial no Brasil passou por transformações concretas em 2026, mesmo sem a aprovação do marco legal geral. O Ministério da Gestão e Inovação (MGI) instituiu, por meio da Portaria nº 3.485/2026, a Política de Governança de Inteligência Artificial no âmbito da administração pública federal, definindo princípios, responsabilidades e diretrizes para o uso ético, seguro e transparente de sistemas de IA pelos órgãos do Executivo. A medida abrange a gestão interna do governo, mas sinaliza uma direção normativa que tende a se irradiar para o setor privado.

A Autoridade Nacional de Proteção de Dados (ANPD) incluiu inteligência artificial e tecnologias emergentes como um dos quatro eixos centrais de fiscalização no Mapa de Temas Prioritários para o biênio 2026-2027. O sandbox regulatório de IA da ANPD — mecanismo que permite teste controlado de inovações em ambiente supervisionado — já se encontra em operação com empresas selecionadas, construindo jurisprudência administrativa sobre casos concretos antes mesmo de qualquer lei específica entrar em vigor.

A tramitação do PL 2.338/2023 na Câmara dos Deputados

O Projeto de Lei nº 2.338/2023, aprovado pelo Senado Federal em dezembro de 2024, tramita na Câmara dos Deputados sob relatoria do deputador Aguinaldo Ribeiro (PP-PB). Em março de 2026, o relator afirmou que 90% dos temas estavam definidos e que o parecer seria apresentado até maio. A Comissão Especial sobre Inteligência Artificial, criada para analisar o texto, ouviu especialistas, representantes do setor produtivo e da sociedade civil em doze audiências públicas realizadas entre maio e setembro de 2025. A votação, inicialmente prevista para o final de 2025, foi adiada para 2026 devido a impasses políticos e à necessidade de incorporação de projeto complementar do Executivo.

O modelo brasileiro adota classificação por nível de risco, inspirado no AI Act europeu. Sistemas de risco inaceitável, como os que implementam pontuação social de cidadãos ou manipulam comportamentos de forma subliminar, são expressamente proibidos. Sistemas de alto risco — aqueles que operam em setores como saúde, educação, justiça criminal, emprego e infraestrutura crítica — estão sujeitos a obrigações reforçadas de documentação técnica, supervisão humana, avaliação de impacto e auditabilidade. Demais sistemas respondem a regulação mais leve, centrada na transparência perante o usuário.

A polêmica dos direitos autorais no treinamento de IA generativa

Um dos pontos mais sensíveis do projeto envolve o uso de obras protegidas por direitos autorais no treinamento de sistemas de IA generativa. O texto aprovado pelo Senado previa que empresas de tecnologia informassem quais obras foram utilizadas e assegurassem aos autores o direito de vetar esse uso. O setor cultural defende proteção mais ampla; plataformas tecnológicas argumentam que a obrigação é tecnicamente inviável em escala e que a exigência poderia comprometer o desenvolvimento de modelos no Brasil.

Essa disputa não é exclusivamente brasileira. Na União Europeia, o AI Act estabeleceu obrigações específicas sobre transparência no uso de obras protegidas para treinamento de IA, e a implementação prática dessas regras ainda está em construção. Nos Estados Unidos, múltiplas ações judiciais de editoras, jornais e artistas contra empresas de tecnologia seguem em tramitação, com decisões que podem definir o precedente global sobre o tema. O Brasil opera, portanto, num debate que é simultaneamente nacional e inserido numa discussão jurídica internacional sem resposta consolidada.

O vício de constitucionalidade e a solução em curso

O Poder Executivo identificou que o texto aprovado pelo Senado apresenta vício de iniciativa: ao atribuir competências normativas à ANPD, o projeto tratou de matéria de iniciativa privativa do Poder Executivo, o que expõe o texto a questionamento de inconstitucionalidade perante o Supremo Tribunal Federal. Para sanar o problema, o governo enviou, em dezembro de 2025, projeto de lei complementar que cria o Sistema Nacional para Desenvolvimento, Regulação e Governança de Inteligência Artificial (SIA) e formaliza o papel da ANPD como coordenador do sistema. Esse projeto deverá ser apensado ao PL 2.338/2023, adicionando mais uma camada de complexidade à tramitação e potencialmente alterando a dinâmica do debate na Comissão Especial.

A doutrina jurídica brasileira tem acompanhado com atenção essa questão. Um projeto de lei aprovado pelo Congresso que atribui competência normativa a órgão federal sem respeitar a iniciativa reservada ao Executivo enfrenta risco real de declaração de inconstitucionalidade. Manter essa disposição sem correção permitiria que qualquer interessado questionasse a lei perante o STF — risco que o Legislativo preferiu evitar ao aceitar a contribuição do Executivo.

A LGPD como base regulatória efetiva

Enquanto o marco legal específico não é aprovado, a Lei Geral de Proteção de Dados (LGPD) já disciplina o uso de sistemas de IA que envolvam tratamento de dados pessoais, o que na prática abrange a esmagadora maioria das aplicações comerciais de IA. O artigo 20 assegura ao titular de dados o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado quando essas decisões afetarem seus interesses — incluindo decisões de crédito, seleção de pessoal e triagem de perfis. Os artigos 6º e 37 impõem os princípios de transparência e finalidade a todo tratamento, além da obrigação de manter o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando o tratamento representar risco elevado aos direitos dos titulares.

A postura da ANPD em casos recentes demonstra que a fiscalização não aguarda a aprovação do PL 2.338/2023. A suspensão de funcionalidades de plataformas que utilizavam dados de usuários para treinamento de sistemas sem base legal adequada mostra que empresas que operam sistemas de IA com dados pessoais devem tratar a adequação à LGPD não como etapa preparatória para uma futura lei de IA, mas como obrigação corrente e exigível. A ANPD já construiu um histórico de decisões sobre tratamento de dados que aplica, por analogia, aos sistemas de IA, e esse movimento tende a se intensificar no biênio 2026-2027.

A aplicação extraterritorial do AI Act europeu

O Regulamento (UE) 2024/1689, que entrou em vigor em agosto de 2024, tem aplicação extraterritorial: aplica-se a qualquer fornecedor de sistemas de IA cujos produtos sejam colocados no mercado europeu ou cujos efeitos se produzam em território da União, independentemente do local de estabelecimento do fornecedor. Empresas brasileiras que exportem tecnologia, produtos ou serviços para a Europa, que possuam subsidiárias em países membros da UE ou que utilizem sistemas de IA desenvolvidos por fornecedores europeus precisam mapear suas obrigações sob o AI Act. O regime sancionatório é severo: infrações relacionadas a sistemas de IA proibidos podem gerar multas de até 35 milhões de euros ou 7% do faturamento global anual, o que for maior.

Para empresas com operações simultâneas no Brasil e na União Europeia, a análise comparada entre o modelo brasileiro em construção e o modelo europeu já vigente deixa de ser exercício acadêmico para se tornar necessidade prática de compliance. A convergência estrutural entre os dois modelos — ambos baseados em classificação por risco — facilita a adequação cumulativa, mas as diferenças pontuais em definição de escopo, obrigações de transparência e regime sancionatório exigem atenção específica.

Responsabilidade civil e profissional no uso de sistemas de IA

Questões de responsabilidade pelo uso de sistemas de IA já se apresentam ao Judiciário brasileiro, independentemente da aprovação do marco legal. O problema mais imediato é o da responsabilidade do profissional que utiliza IA generativa para produzir documentos sem a devida supervisão técnica. Advogados que subscrevem petições com citações jurisprudenciais geradas por sistemas de IA sem verificar sua autenticidade respondem pela irregularidade perante seus clientes e perante o juízo. O dever de diligência profissional previsto no Estatuto da OAB e no Código de Ética não é afastado pelo uso de ferramentas tecnológicas — a responsabilidade pela decisão final permanece com o profissional que assina o documento.

No campo empresarial, o PL 2.338/2023 propõe um regime de responsabilidade civil que distingue entre agentes da cadeia de IA. Desenvolvedores respondem pelos danos causados por defeitos nos sistemas que colocarem no mercado. Operadores — empresas que implementam e utilizam sistemas de IA em seus produtos e serviços — respondem pelos danos decorrentes do uso inadequado ou que exceda os parâmetros estabelecidos pelo desenvolvedor. A natureza dessa responsabilidade — se objetiva ou subjetiva para determinadas categorias de agentes — permanece em discussão e pode sofrer alterações significativas no texto final que sair da Câmara.

Contrapontos, críticas e limites da análise

A abordagem do PL 2.338/2023 recebe críticas de diferentes direções. Setores de tecnologia argumentam que o modelo de compliance ex ante impõe obrigações desproporcionais para startups e pequenas empresas, criando barreiras de entrada que favorecem grandes plataformas com equipes de compliance já estabelecidas. Organizações de defesa de direitos civis apontam que o texto aprovado pelo Senado já havia sido esvaziado em pontos críticos, como a retirada de salvaguardas trabalhistas relacionadas à automação e a ausência de regras substantivas sobre direitos autorais no treinamento de sistemas de IA generativa. Para esses grupos, a classificação por risco, embora conceitualmente adequada, não resolve o problema de sistemas de médio risco que afetam milhões de pessoas sem passar por avaliação reforçada.

Outra limitação relevante é a dimensão temporal do framework legal. A aprovação do marco legal representará apenas o início de um processo regulatório mais longo. A lei precisará ser regulamentada em detalhe por atos normativos secundários, os critérios de classificação de risco precisarão ser operacionalizados em instruções técnicas, e a autoridade competente precisará construir sua capacidade técnica de fiscalização. A experiência da LGPD, que levou quase três anos para produzir seu regulamento de execução e que ainda está construindo precedentes administrativos relevantes depois de seis anos de vigência, sugere que a maturidade regulatória do marco de IA brasileiro será construída ao longo de uma década, não de um ciclo legislativo.

Cenários e síntese

Três cenários emergem do quadro atual. No cenário otimista, o projeto é aprovado com as correções de constitucionalidade, entra em vigor com período de adequação suficiente e a ANPD consegue construir capacidade técnica de fiscalização a tempo de operar os mecanismos previstos. Nesse cenário, o Brasil teria um marco regulatório funcionalmente comparável ao europeu dentro de dois a três anos após a publicação da lei.

No cenário intermediário, a votação é novamente adiada, mas as normas infralegais derivadas da LGPD e as políticas setoriais do MGI consolidam uma governança pragmática de IA sem necessidade de lei geral. Empresas que operam internacionalmente se adaptam ao padrão europeu por precaução; empresas menores operam sob a LGPD com interpretações construídas pela ANPD. O cenário é de estagnação formal com evolução prática.

No cenário adverso, o impasse político prolonga-se até 2027, o projeto perde força com a renovação do Congresso e o Brasil permanece sem marco legal próprio num momento em que suas principais parcerias comerciais já operam sob regimes regulatórios definidos. A incerteza jurídica afeta investimentos, cria riscos de conformidade cumulativa em múltiplas jurisdições e posiciona o país como jurisdição de maior incerteza para aplicações de IA de alto risco.

O cenário mais provável no curto prazo situa-se entre o intermediário e o otimista: avanços setoriais e infralegais significativos em 2026, com aprovação do marco geral ainda no segundo semestre de 2026 ou no início de 2027, mas com implementação prática distribuída ao longo de vários anos. A velocidade real não será medida pela publicação da lei, mas pela capacidade institucional que o Estado brasileiro demonstrar na regulamentação e fiscalização dos anos subsequentes. A questão central não é mais se o Brasil terá um marco legal de IA, mas quão rapidamente conseguirá operacionalizá-lo após a aprovação.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.