O Marco Regulatório da Inteligência Artificial na Administração Pública Brasileira: O Que Muda com a Portaria 3.485/2026

O que aconteceu e por que importa

O Ministério da Gestão e da Inovação em Serviços Públicos publicou, em abril de 2026, a Portaria número 3.485, que institui a Política de Governança de Inteligência Artificial na administração pública federal. A norma passa a valer no prazo de 60 dias e estabelece princípios, diretrizes e responsabilidades para o desenvolvimento, a aquisição e a utilização de sistemas de IA pelos órgãos do Poder Executivo federal. Trata-se do conjunto mais detalhado de regras já editado no Brasil para o uso de inteligência artificial pelo Estado, alcançando desde as áreas internas do próprio ministério até órgãos que utilizam plataformas compartilhadas como o ColaboraGov.

A publicação ocorre em um contexto de expansão acelerada do uso de ferramentas de IA em órgãos públicos, tanto para tarefas operacionais quanto para a análise de dados e a prestação de serviços ao cidadão. Até então, não existia um marco normativo federal com força vinculante que disciplinasse de forma integral como a administração pública deveria se comportar diante dessas tecnologias. A portaria responde, ao menos em parte, a essa lacuna, ao impor obrigações concretas de transparência, supervisão humana e responsabilização.

Quem é alcançado pela norma

A regulamentação alcança todos os órgãos da administração pública federal que façam uso de inteligência artificial, independentemente de o sistema ter sido desenvolvido internamente ou adquirido de fornecedores privados. Estão sob o alcance do normativo tanto as aplicações que tomam decisões automatizadas com impacto direto no cidadão quanto aquelas que apenas apoiam servidores em análises e processos internos. A norma também estabelece diretrizes complementares que deverão ser seguidas por eventuais prestadores de serviços que atuam em nome do poder público.

Princípios e diretrizes da política de IA

A portaria define um conjunto de princípios que devem orientar toda a implementação de sistemas de IA na administração federal. Entre os mais relevantes estão a preservação dos direitos humanos, a transparência, a segurança da informação, a privacidade, a supervisão humana e a soberania digital. Esses princípios reproduzem, em grande medida, orientações já presentes em marcos regulatórios internacionais, como o AI Act da União Europeia, mas ganham contornos específicos ao serem adaptados para o contexto da administração pública brasileira.

O princípio da supervisão humana, em particular, estabelece que o nível de acompanhamento por servidores deverá ser proporcional ao risco da aplicação. Isso significa que sistemas de IA utilizados em decisões que afetam direitos fundamentais dos cidadãos deverão ter um grau de supervisão mais intenso do que ferramentas de apoio administrativo interno. A norma não detalha percentuais ou métricas específicas, deixando essa calibração para a estrutura de governança interna de cada órgão.

A estrutura de governança criada pela portaria

O normativo organiza a governança de IA dentro da pasta em três camadas. A alta administração responde pela deliberação final sobre questões estratégicas. O Comitê de Governança Digital e Segurança da Informação é responsável por estabelecer normas complementares e orientar tecnicamente a adoção de tecnologias. Já um subcomitê dedicado à inteligência artificial tem a função de propor diretrizes específicas e acompanhar a implementação das políticas. Completam a estrutura os gestores de tecnologia, os responsáveis por segurança da informação, os encarregados pelo tratamento de dados pessoais e as unidades de controle interno de cada órgão.

Uma das atribuições mais relevantes do comitê principal é a deliberação sobre o uso de aplicações com potencial impacto em direitos fundamentais. Isso inclui sistemas utilizados em benefícios sociais, fiscalizações, decisões tributárias e quaisquer outras aplicações que possam afetar, de forma significativa, a vida dos cidadãos. A competência para aprovar ou restringir o uso dessas ferramentas deixa de ser uma decisão puramente técnica e passa a depender de avaliação de governança.

Restrições à IA generativa no setor público

Um dos pontos mais relevantes da portaria diz respeito às limitações impostas ao uso de soluções de IA generativa. A norma restringe o emprego dessas ferramentas a informações de caráter público, proibindo expressamente o envio de dados sigilosos ou pessoais para plataformas que utilizem inteligência artificial generativa. A vedação se aplica tanto a dados protegidos por sigilo legal quanto a informações pessoais sensíveis dos cidadãos que sejam armazenadas em bases governamentais.

Exceções poderão ocorrer apenas após uma análise prévia de riscos e mediante garantias contratuais de segurança. Ou seja, um órgão público que queira utilizar uma ferramenta de IA generativa para processar informações que não sejam públicas deverá demonstrar que o fornecedor da solução oferece garantias adequadas de proteção de dados, incluindo contratos com cláusulas específicas de confidencialidade e uso limitado. Essa exigência tende a reduzir o universo de fornecedores elegíveis e a aumentar o custo de implementação.

Transparência e identificação de conteúdos gerados por IA

A portaria estabelece a obrigatoriedade de identificar conteúdos produzidos com apoio de ferramentas de inteligência artificial. Essa exigência vale tanto para documentos internos quanto para comunicações oficiais que sejam total ou parcialmente geradas por sistemas de IA. O objetivo, segundo a exposição de motivos da norma, é permitir que cidadãos e servidores saibam quando um conteúdo teve participação de sistemas automatizados, facilitando a cobrança de responsabilização quando necessário.

A medida se alinha a tendências internacionais de regulação de IA. O AI Act europeu, que entrou em vigor gradualmente a partir de 2024, também prevê obrigações de transparência para sistemas de IA que interagem com seres humanos. No entanto, a norma brasileira não estabelece sanções específicas para o descumprimento dessa obrigação de identificação, deixando essa definição para a legislação futura ou para atos normativos complementares.

Comparação com marcos internacionais

O cenário global de regulação de IA no setor público tem se diversificado. A União Europeia, com seu AI Act, adotou uma abordagem baseada em risco que classifica os sistemas em categorias que vão desde risco inaceitável até risco mínimo. Os sistemas de IA utilizados por órgãos públicos europeus em decisões que afetam direitos fundamentais são classificados como de alto risco e estão sujeitos a obrigações rigorosas de transparência, supervisão humana e auditabilidade. As regras de transparência do AI Act para modelos de propósito geral entram em vigor em agosto de 2026.

Nos Estados Unidos, a abordagem tem sido menos prescritiva, privilegiando diretrizes voluntárias e marcos regulatórios setoriais. A Ordem Executiva sobre IA, editada em 2023, estabeleceu princípios gerais e pediu a elaboração de diretrizes específicas para o uso de IA pelo governo federal. Contudo, não há nos Estados Unidos uma lei geral de IA comparável ao marco europeu, e muitas decisões sobre o uso dessas ferramentas ainda dependem de avaliações caso a caso.

O Brasil, ao editar a Portaria 3.485, se alinha mais ao modelo europeu do que ao norte-americano, ao estabelecer princípios vinculantes e uma estrutura de governança com instâncias deliberativas específicas. Porém, o alcance da norma brasileira é restrito ao Poder Executivo federal e não cria um marco geral aplicável a estados, municípios ou demais poderes, o que limita sua abrangência em um país de estrutura federativa como o Brasil.

Contrapontos, críticas e limites da análise

A portaria tem sido elogiada por especialistas em governança digital pela amplitude do escopo e pela tentativa de estruturar uma governança específica para IA. Contudo, existem críticas relevantes a serem consideradas. A primeira delas diz respeito à ausência de sanções específicas para o descumprimento das obrigações. A norma define princípios e estruturas de governança, mas não estabelece penalidades claras para órgãos ou servidores que não cumpram as diretrizes. Isso pode limitar a efetividade prática da regulamentação.

Uma segunda limitação está na profundidade técnica das diretrizes. A portaria estabelece princípios gerais, mas não entra em detalhes sobre padrões técnicos de explicabilidade, requisitos de testagem de viés algorítmico ou critérios objetivos para a classificação de risco das aplicações. Essa ausência pode criar dificuldades práticas na hora de implementar a norma, já que cada órgão deverá desenvolver seus próprios critérios, o que pode gerar inconsistências entre diferentes pastas.

Há ainda uma terceira fragilidade: a norma não cria um mecanismo centralizado de fiscalização. A governança é distribuída entre os órgãos, com supervisão do comitê do ministério e das unidades de controle interno de cada instituição. Não há uma autoridade nacional de IA, como existe na União Europeia, com poder de auditoria e sanção sobre o uso de sistemas de inteligência artificial pelo setor público. Essa ausência pode comprometer a capacidade de enforcement da regulamentação.

Por fim, a restrição ao uso de IA generativa, embora compreensível do ponto de vista da proteção de dados, pode ter o efeito colateral de limitar a adoção de ferramentas que poderiam aumentar a eficiência da administração pública. A vedação a dados públicos, em particular, pode se mostrar excessivamente cautelosa, considerando que muitas ferramentas de IA generativa podem processar informações públicas sem riscos significativos à privacidade.

Cenários e síntese

A curto prazo, a principal consequência da Portaria 3.485 será a necessidade de cada órgão federal mapear os sistemas de IA que já utiliza e adaptá-los às novas diretrizes. Esse processo de conformidade deverá mobilizar equipes técnicas e jurídicas e pode demandar investimentos em capacitação de servidores. A estrutura de governança prevista na norma também precisará ser efetivamente implementada, o que envolve designar responsáveis, constituir comitês e estabelecer procedimentos operacionais.

A médio prazo, o impacto dependerá da edição de atos normativos complementares que detalhem os critérios técnicos e estabeleçam mecanismos de fiscalização. Se o Ministério da Gestão atuar de forma ativa na orientação dos órgãos e na construção de padrões técnicos harmonizados, a regulação tem potencial para elevar o nível de segurança e transparência no uso de IA pelo Estado. Se, ao contrário, a implementação ficar paralisada por falta de capacidade técnica ou de recursos, a norma poderá se tornar letra morta.

Uma incerteza relevante diz respeito ao PL 6.237/2025, que tramita no Congresso Nacional e propõe a criação de um Sistema Nacional de Governança de IA. Se aprovado, esse projeto de lei poderá estabelecer um marco geral que substitua ou complemente o atual escopo da portaria. A coexistência entre a norma administrativa e a eventual legislação geral será um desafio adicional de coordenação institucional. Até que o legislativo se pronuncie, a Portaria 3.485 permanece como o principal instrumento de regulação do uso de IA na administração pública federal, ainda que com limitações que restringem sua capacidade de transformar efetivamente as práticas do Estado.