O Marco Legal da Inteligência Artificial no Brasil: o que o PL 2338/2023 realmente muda para empresas e cidadãos

O que está em jogo na regulação de inteligência artificial no Brasil

A inteligência artificial deixou de ser um tema exclusivamente acadêmico no Brasil. Em dezembro de 2025, a ANPD (Autoridade Nacional de Proteção de Dados) publicou o Mapa de Temas Prioritários para o biênio 2026-2027 e incluiu inteligência artificial e tecnologias emergentes como um dos quatro eixos de fiscalização. Paralelamente, o PL 2338/2023, que estabelece o chamado Marco Legal da Inteligência Artificial, aguarda votação na Câmara dos Deputados após ter sido aprovado por unanimidade no Senado em dezembro de 2024. O Brasil está prestes a ter sua primeira lei específica sobre IA, mas o caminho até a sanção presidencial ainda envolve impasses políticos, pressões setoriais e incertezas técnicas que merecem análise cuidadosa.

O projeto adota, como referência central, o modelo europeu do AI Act, classificando sistemas de IA por nível de risco. Essa arquitetura divide os sistemas em três categorias principais: risco excessivo, cujo uso é proibido no território nacional; alto risco, sujeitos a obrigações rigorosas de governança e transparência; e risco baixo ou moderado, com exigências mínimas focadas principalmente em transparência ao usuário. A inspiração no modelo europeu não é acidental: a União Europeia foi pioneira em regular IA de forma abrangente, e muitos países em desenvolvimento buscam referências internacionais para construir seus próprios marcos regulatórios sem repetir erros.

Uma trajetória de cinco anos até aqui

O marco regulatório da IA brasileira não nasceu pronto. O PL 21/2020 foi apresentado na Câmara em fevereiro de 2020, aprovado na Casa em setembro de 2021, e seguiu para o Senado, onde uma Comissão de Juristas analisou o texto ao longo de 2022. Em maio de 2023, o senador Rodrigo Pacheco apresentou o PL 2338/2023, que substituiu e ampliou o PL anterior. A Comissão Temporária de Inteligência Artificial (CTIA) do Senado foi instalada em dezembro de 2023, realizou centenas de audiências públicas com especialistas, empresas, academia e sociedade civil, e produziu um relatório final consolidado em novembro de 2024.

O senator Eduardo Gomes (MDB-TO), relator do projeto desde a CTIA, consolidou contribuições de mais de 300 especialistas ao longo de 2023 e 2024. Sua posição é declarada como pragmática: equilibrar inovação com proteção de direitos fundamentais, sem sufocar o desenvolvimento tecnológico nacional. A votação na Câmara dos Deputados estava inicialmente prevista para o final de 2025, mas foi adiada para 2026 devido a impasses políticos relacionados à abrangência do texto e à distribuição de competências regulatórias entre diferentes órgãos.

O modelo de classificação por risco: o que muda na prática

A classificação de sistemas de IA por nível de risco é o elemento central do PL 2338/2023 e o ponto que mais gera debate entre setor privado, academia e sociedade civil. Sistemas classificados como de risco excessivo são proibidos no Brasil. A lista inclui armas autônomas letais sem supervisão humana significativa, sistemas de manipulação comportamental subliminar que causem danos, exploração de vulnerabilidades de grupos específicos e produção de material de abuso sexual infantil. A violação dessas proibições prevê sanções de até R$ 50 milhões por infração, além da suspensão imediata da atividade.

Os sistemas de alto risco incluem aplicações em áreas sensíveis: triagem curricular e recrutamento automatizado, análise de crédito e risco financeiro, diagnóstico médico e triagem de pacientes, avaliação educacional de estudantes, sistemas de justiça criminal como análise de reincidência e vigilância biométrica, e serviços públicos essenciais como imigração e veículos autônomos. Para esses sistemas, o projeto exige avaliação de impacto algorítmico prévia, governança robusta com logs e auditorias, supervisão humana efetiva, transparência sobre o funcionamento do sistema, documentação técnica completa disponível para a autoridade reguladora, e registro em banco público de sistemas de alto risco.

Os direitos dos afetados: a contribuição cidadã do projeto

Uma das inovações mais significativas do PL 2338/2023 é a criação de um catálogo de direitos para pessoas afetadas por decisões de sistemas de IA. Esses direitos não existem hoje de forma unificada no ordenamento jurídico brasileiro, o que torna o capítulo dedicado a eles uma conquista civil importante. O direito à informação prévia garante que qualquer pessoa saiba, antes de interagir com um sistema de IA, que está lidando com tecnologia, qual a finalidade do sistema, quais dados são coletados e quem é o operador responsável.

O direito à explicação permite que qualquer pessoa afetada por uma decisão automatizada exija uma explicação técnica e compreensível sobre os critérios utilizados, os dados relevantes e a lógica geral do sistema. O direito à revisão humana garante que decisões automatizadas que afetem direitos possam ser contestadas perante um profissional humano qualificado. O direito à não-discriminação algorítmica proíbe discriminação direta, indireta ou por viés algorítmico com base em raça, gênero, orientação sexual, religião ou convicção política. Esses direitos representam um avanço significativo em termos de responsabilização algorítmica, mas sua efetividade depende de mecanismos práticos de fiscalização que ainda não estão completamente definidos.

O papel da ANPD e a governança fragmentada

O PL 2338/2023 propõe a criação do Sistema Nacional de Inteligência Artificial (SIA), que funciona como um ecossistema regulatório coordenado pela ANPD, mas sem vínculo de subordinação hierárquica entre os participantes setoriais. Isso significa que reguladores específicos como ANATEL para telecomunicações, ANS para saúde suplementar e ANVISA para equipamentos médicos mantêm suas competências regulatórias sobre sistemas de IA aplicados a esses setores. A ANPD atua como regulador residual, normatizando onde não houver regulador específico.

Em dezembro de 2025, o Poder Executivo enviou ao Congresso o PL 6.237/2025, propondo formalmente o SIA e saneando um vício de iniciativa apontado por juristas. Esse movimento demonstrou que o governo federal pretende estruturar a governança nacional de IA de forma coordenada, posicionando a ANPD como autoridade central. As competências atribuídas à ANPD incluem imposição de sanções e multas por uso inadequado de IA envolvendo dados pessoais, expedição de normas sobre certificação de sistemas de IA, definição de procedimentos para avaliação de impacto algorítmico, regulamentação da comunicação de graves incidentes envolvendo IA, e representação do Brasil perante organismos internacionais na área de inteligência artificial.

O sandbox regulatório: inovação sob supervisão

A ANPD colocou em prática, em 2025, um sandbox regulatório para inteligência artificial, configurando um ambiente experimental onde empresas podem testar soluções de IA sob acompanhamento direto do regulador. O Projeto Piloto de Sandbox Regulatório em Inteligência Artificial foi lançado em junho de 2025, com edital público para seleção de empresas participantes. O objetivo é permitir a inovação sem o risco imediato de sanções durante o período experimental, desde que as empresas demonstrem compromisso com a conformidade regulatória e transparência sobre os testes realizados.

O modelo de sandbox é inspirado em experiências similares conduzidas por reguladores financeiros como Banco Central e CVM, e busca responder a uma reclamação recorrente do setor de tecnologia: a dificuldade de inovar em um ambiente regulatório incerto. Críticos argumentam, contudo, que o sandbox tem alcance limitado, pois só beneficia as poucas empresas selecionadas, e que a ausência de um marco regulatório definitivo mantém a incerteza para a grande maioria das startups e empresas que não participam do programa experimental.

Contrapontos: as críticas ao projeto e os pontos ainda não resolvidos

O PL 2338/2023 não está livre de críticas. Setores da academia e da sociedade civil argumentam que o projeto, embora inspirado no AI Act europeu, não reproduz completamente a rigidez do regulamento europeu em termos de transparência e direitos dos afetados. A questão da responsabilidade civil por danos causados por sistemas de IA permanece parcialmente não resolvida, já que o projeto não estabelece um regime claro de responsabilidade objetiva para operadores de IA de alto risco. A dúvida sobre qual agente deve responder legalmente quando um sistema autônomo causa um dano permanece como uma lacuna significativa.

Outra divergência central envolve a distribuição de poder regulatório. Representantes do setor industrial argumentam que posicionar a ANPD como órgão centralizador pode criar obstáculos desnecessários à inovação, especialmente para pequenas e médias empresas que não dispõem de equipes de compliance para interagir com o regulador. Essas empresas podem enfrentar custos de conformidade desproporcionais que as excluam do uso de tecnologias de IA, concentrando o mercado em grandes corporações com recursos suficientes para atender às exigências regulatórias.

A tensão entre inovação e proteção de direitos

Um dos debates mais intensos no processo legislativo envolve o equilíbrio entre o fomento à inovação tecnológica e a proteção de direitos fundamentais. Setores do agronegócio, financeiro e de telecomunicações pressionaram por regras que não impusessem custos de conformidade excessivos, argumentando que uma regulação muito rigorosa poderia deslocar investimentos para jurisdições mais permissivas. Por outro lado, organizações da sociedade civil e académicos que defendem os direitos digitais argumentam que a proteção de grupos vulneráveis deve prevalecer sobre os interesses comerciais das empresas de tecnologia.

A questão da identidade digital e do reconhecimento facial também gera controvérsia. Enquanto o projeto proíbe o scraping indiscriminado de imagens faciais em ambientes públicos, ativistas argumentam que a exceção para sistemas de vigilância autorizados por lei não é suficientemente restritiva. Não há ainda consenso sobre quais sistemas de monitoramento biométrico devem ser considerados de alto risco e, portanto, sujeitos às obrigações mais rigorosas de governança e transparência.

Cenários: o que esperar após a votação na Câmara

Após votação na Câmara dos Deputados, o projeto retorna ao Senado para nova análise, já que sofreu modificações no substitutivo aprovado pelos deputados. Esse processo de vaivém legislativo é habitual em projetos de grande complexidade, mas cria um período adicional de incerteza regulatória. Estima-se que, se aprovado ainda em 2026, o marco legal possa entrar em vigor no início de 2027, após período de vacância legal para adaptação do setor.

Para empresas que já utilizam IA em seus processos, a recomendação de especialistas em direito digital é clara: não se deve esperar a publicação da lei para começar a mapear sistemas de IA que tratam dados pessoais, documentar sua governança algorítmica e estabelecer processos internos de conformidade. A ANPD já sinalizou, por meio de sua agenda regulatória 2026-2027, que sistemas de IA envolvendo dados pessoais serão objeto de fiscalização independente da aprovação do marco legal. Ou seja, a conformidade com a LGPD em contextos de IA já é obrigatória, e as empresas que retardarem sua adequação correm riscos de sanções em um horizonte próximo.

O que permanece incerto

Apesar do avanço significativo do projeto, permanecem incertezas relevantes. A definição de mecanismos eficazes de responsabilização para sistemas autônomos ainda não está completamente resolvida no texto. A questão da responsabilidade por danos causados por decisões automatizadas continua como lacuna central, com diferentes correntes doutrinárias defendendo desde a responsabilidade do operador do sistema até modelos de responsabilidade compartilhada entre desenvolvedor, operador e usuário. A existência de diferentes correntes indica que a matéria ainda exigirá debate público aprofundado antes de alcançar um consenso sobre a distribuição de riscos entre os diversos agentes da cadeia de inteligência artificial.