O Marco Legal da Inteligência Artificial no Brasil: o que está em disputa, o que já funciona e o que ainda depende do Congresso

O ponto em que a regulação brasileira se encontra

O Projeto de Lei nº 2.338/2023, que estabelece o marco legal da inteligência artificial no Brasil, foi aprovado pelo Senado Federal em 10 de dezembro de 2024 e remetido à Câmara dos Deputados em março de 2025, onde aguarda parecer do relator na Comissão Especial. A expectativa era de que a votação na comissão ocorresse ainda no primeiro semestre de 2026. Contudo, a complexidade técnica e política do tema, somada à proximidade do calendário eleitoral, levou analistas e operadores do direito a tratarem o prazo como apertado e incerto. O que está em jogo não é apenas um texto legal, mas a definição dos parâmetros segundo os quais sistemas de inteligência artificial vão operar no Brasil pelos próximos anos.

Enquanto isso, a regulamentação não espera. A Autoridade Nacional de Proteção de Dados incluiu inteligência artificial e tecnologias emergentes como um dos quatro eixos centrais de fiscalização no Mapa de Temas Prioritários para o biênio 2026-2027. O sandbox regulatório de IA da ANPD já se encontra em fase de operação com empresas selecionadas. E a agência já demonstrou disposição para agir em casos concretos, como a suspensão de funcionalidades de plataformas que utilizavam dados de usuários para treinamento de sistemas sem base legal adequada. Esses movimentos mostram que, na prática, a fiscalização de IA já acontece sob o guarda-chuva da LGPD, independentemente de lei específica.

O que o PL 2.338/2023 propõe e por que importa

O projeto, de autoria do presidente do Senado Federal Rodrigo Pacheco, consolida em texto único iniciativas legislativas anteriores e estrutura um marco regulatório baseado na gestão de riscos. Os sistemas de IA são classificados conforme o potencial de dano aos direitos fundamentais: sistemas de risco inaceitável, como os que implementam pontuação social de cidadãos, são expressamente proibidos; sistemas de alto risco, que operam em saúde, educação, justiça criminal, emprego e infraestrutura crítica, ficam sujeitos a obrigações reforçadas de documentação técnica, supervisão humana, avaliação de impacto e auditabilidade; demais sistemas respondem a uma regulação mais leve, centrada na transparência perante o usuário.

Um diferencial do modelo brasileiro em relação ao seu principal referência, o AI Act europeu, é a ênfase nos direitos das pessoas afetadas por sistemas de IA. O projeto dedica capítulo específico ao tema, prevendo o direito à informação prévia sobre a interação com sistemas automatizados, o direito à determinação humana em decisões relevantes, o direito à não discriminação e correção de vieses algorítmicos, e o direito à privacidade e proteção de dados. Essa abordagem reflete a influência dos debates constitucionais brasileiros e da experiência consolidada com a LGPD, que já criou uma cultura de proteção de dados no país.

Além dos direitos dos titulares, o projeto estabelece um pilar relevante para o setor cultural ao reforçar a Lei de Direitos Autorais, propondo a reserva de direitos para que autores vetem o uso de suas obras no treinamento de modelos de IA, a obrigatoriedade de transparência sobre conteúdos protegidos utilizados por empresas de tecnologia e a previsão de remuneração justa, que poderá ser negociada coletivamente por associações de criadores. Essa questão dos direitos autorais no treinamento de modelos generativos é uma das mais sensíveis e politicamente carregadas da tramitação.

Os impasses que travam a votação

Dois eixos de controvérsia dominam o debate na Câmara. O primeiro envolve a crítica do setor de tecnologia ao chamado compliance ex ante, obrigações que a empresa precisa cumprir antes mesmo de colocar o sistema em uso, o que seria particularmente pesado para startups e pequenas empresas. Entidades empresariais argumentam que a carga burocrática imposta pelo texto pode prejudicar justamente o ecossistema de inovação local que o Brasil precisa fortalecer para não ser apenas consumidor de tecnologias estrangeiras.

O segundo eixo envolve a posição oposta: organizações de defesa de direitos civis apontam que o texto aprovado pelo Senado já havia sido esvaziado em pontos críticos, como a retirada de salvaguardas trabalhistas relacionadas à automação e a ausência de regras substantivas sobre direitos autorais no treinamento de sistemas de IA generativa. O setor cultural defende maior proteção aos criadores; plataformas tecnológicas resistem a obrigações que consideram tecnicamente inviáveis. O resultado é um impasse que não se resolve sem escolha política expressa.

Há ainda um complicador de natureza constitucional. O Poder Executivo identificou que o texto aprovado pelo Senado apresenta vício de iniciativa: ao atribuir competências normativas à ANPD, o projeto tratou de matéria de iniciativa privativa do Poder Executivo. O Executivo enviou, em dezembro de 2025, projeto de lei complementar que cria o Sistema Nacional para Desenvolvimento, Regulação e Governança de Inteligência Artificial e formaliza o papel da ANPD como órgão regulador do sistema. Esse projeto deverá ser apensado ao PL 2.338/2023, adicionando mais uma camada de complexidade à tramitação.

O que já funciona enquanto a lei não sai

A ideia de que o Brasil opera em vácuo normativo total enquanto a lei específica não é aprovada é imprecisa. A LGPD já disciplina, de forma relevante, o uso de sistemas de inteligência artificial que envolvam tratamento de dados pessoais, o que na prática abrange a esmagadora maioria das aplicações comerciais de IA. O artigo 20 assegura ao titular de dados o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado quando afetarem seus interesses. O artigo 6º impõe princípios de transparência e finalidade. O artigo 37 obriga o controlador a manter o Relatório de Impacto à Proteção de Dados Pessoais quando o tratamento representar risco elevado aos direitos dos titulares.

Além da LGPD, outras iniciativas setoriais começam a ocupar espaços que a legislação geral ainda não regulou. O Conselho Federal de Medicina baixou a Resolução nº 2.454/2026 para normatizar o uso de IA na medicina. O Estado de Goiás aprovou a Lei Complementar nº 205/2025 para regular o uso ético e seguro de IA no âmbito estadual. Essa proliferação de normas setoriais é, ao mesmo tempo, um sinal de que o tema está sendo tratado com seriedade e um alerta para o risco de fragmentação regulatória, situação em que diferentes setores criam regras incompatíveis entre si, gerando complexidade adicional para empresas que operam em múltiplos mercados.

Perspectiva internacional: o AI Act europeu e seus efeitos sobre empresas brasileiras

O Regulamento (UE) 2024/1689, conhecido como AI Act, entrou em vigor na União Europeia em agosto de 2024, tornando-se o primeiro instrumento normativo abrangente sobre inteligência artificial com força de lei em jurisdição de grande porte. Adota estrutura de classificação por risco substancialmente semelhante à proposta no PL 2.338/2023, não por coincidência, mas porque a experiência europeia influenciou diretamente o modelo brasileiro, da mesma forma que o GDPR europeu precedeu e moldou a LGPD.

A relevância do AI Act para empresas brasileiras vai além da comparação acadêmica. O regulamento tem aplicação extraterritorial: aplica-se a qualquer fornecedor de sistemas de IA cujos produtos sejam colocados no mercado europeu ou cujos efeitos se produzam em território da União, independentemente do local de estabelecimento do fornecedor. Empresas brasileiras que exportam tecnologia, possuem subsidiárias em países membros da UE ou utilizam sistemas de IA desenvolvidos por fornecedores europeus precisam mapear suas obrigações sob o AI Act. O regime sancionatório é severo: infrações relacionadas a sistemas de IA proibidos podem ensejar multas de até 35 milhões de euros ou 7% do faturamento global anual, o que for maior. Para empresas com operação bilateral Brasil-Europa, a necessidade de compliance em dois marcos regulatórios simultâneos já é realidade concreta.

Contrapontos, limites e o cenário à frente

A análise do marco legal brasileiro precisa registrar pelo menos três limitações estruturais. A primeira é que a velocidade de elaboração do texto pode não acompanhar a velocidade de evolução tecnológica. O próprio conceito de sistema de IA de alto risco pode se tornar impreciso à medida que modelos de propósito geral ganham capacidade e aplicação em contextos não antecipados pelo legislador. Regras formuladas para aplicações específicas podem não fazer sentido quando a mesma tecnologia é capaz de operar em múltiplas áreas.

A segunda limitação é a capacidade institucional de fiscalização. A ANPD, embora ativa, possui estrutura limitada para lidar com um universo vastíssimo de empresas e sistemas que usam dados pessoais. A criação de um sistema nacional de governança de IA, conforme proposto no projeto do Executivo, pode racionalizar a distribuição de competências, mas também pode adicionar camadas burocráticas se a coordenação entre órgãos não funcionar de forma efetiva.

A terceira limitação é que a própria dinâmica política do tema introduz incertezas que transcendem a técnica. O calendário eleitoral de 2026 adiciona imprevisibilidade ao processo legislativo. Tema que exige escolhas de valores, como quem assume riscos, quem paga custos de compliance e quem responde por danos, não se resolve por consenso técnico, e sim por decisão política que carrega consequências para diferentes setores.

O cenário mais provável é de aprovação no médio prazo, com texto final que deve incorporar ajustes derivados do processo de conciliação entre as posições dos diferentes blocos. O resultado será um marco legal que resolve problemas reais em alguns aspectos e deixa lacunas em outros. O mais importante para empresas e operadores do direito nesse momento não é aguardar a aprovação para agir, mas usar a LGPD como instrumento corrente de compliance e monitorar a tramitação para antecipar obrigações específicas que o marco legal efetivamente trará quando entrar em vigor.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.