PL 2338/2023: o marco legal da inteligência artificial no Brasil e a votação que se aproxima

O contexto da votação imminent e a importância do PL 2338/2023

Em 27 de maio de 2026, o Plenário da Câmara dos Deputados deve votar o PL 2338/2023 — o projeto que vai definir as regras do jogo da inteligência artificial no Brasil. O texto foi aprovado pelo Senado Federal em dezembro de 2024 e tramitou ao longo de 2025 na Câmara, onde passou por análises em comissão especial. A votação, inicialmente prevista para o fim de 2025, foi adiada por impasses políticos e divergências sobre pontos considerados sensíveis, em especial o equilíbrio entre proteção de direitos e estímulo à inovação.

O presidente da Câmara, Hugo Motta, alinhado com o relator do projeto, o deputies Aguinaldo Ribeiro, definiu a apresentação do relatório final para o dia 19 de maio de 2026, com votação em Plenário oito dias depois. O cenário é de iminência, e o relógio corre para empresas que ainda não iniciaram qualquer processo de adequação. Segundo levantamento citado por especialistas do setor, 72% das empresas brasileiras já utilizam IA em algum nível — o que significa que a regulação chega tardia para muitos e urgente para todos.

O timing não poderia ser mais carregado. Enquanto o país debate o texto, o mercado global de IA acelerou: em 2025 e 2026, as grandes plataformas lançaram agentes autônomos, sistemas multimodais e modelos de uso corporativo que já estão embarcados nas operações de empresas brasileiras. Regulamentar agora não é mais teoria — é lidar com tecnologia que já decidiu crédito, filtrou currículos e direcionou publicidade para milhões de brasileiros. Dados do setor indicam que 54% dos brasileiros já usam IA de alguma forma, e o número de startups com IA no nome cresceu 857% entre 2023 e 2025.

O que diz o projeto de lei: arcabouço baseado em risco e obrigações específicas

O PL 2338/2023 cria um arcabouço regulatório baseado em risco. Na prática, isso significa: quanto maior o potencial de impacto negativo de um sistema de IA sobre pessoas, maiores as obrigações de quem desenvolve ou usa esse sistema. O texto define categorias de aplicação, desde sistemas de baixo impacto, como recomendações de conteúdo em plataformas, até sistemas de alto risco, que incluem aplicações em saúde, educação, processos seletivos, concessão de crédito, segurança pública e infraestrutura crítica.

Para aplicações de alto risco, o projeto prevê um conjunto de obrigações detalhadas. A primeira delas é a transparência algorítmica: o usuário deve ser informado quando uma decisão que o afeta foi tomada ou apoiada por IA. A segunda é a avaliação de impacto algorítmico: empresas precisarão documentar os riscos dos seus sistemas antes de colocá-los em produção. A terceira é o direito à revisão humana: toda pessoa sujeita a uma decisão automatizada poderá solicitar revisão por um ser humano. A quarta obrigação é a proteção de dados no treinamento: o uso de dados pessoais para treinar modelos estará sujeito a regras mais rígidas, em diálogo com a Lei Geral de Proteção de Dados. A quinta é a auditabilidade: sistemas de alto risco deverão ser passíveis de auditoria por autoridades competentes.

O projeto também estabelece regras sobre classificação de risco e criação de sistemas de governança. As empresas precisarão manter registros sobre a origem dos dados utilizados no treinamento de modelos, os critérios de decisão adotados pelo sistema e os processos de monitoramento contínuo. Para sistemas de muito alto risco, há obrigações adicionais de teste e certificação antes da implementação.

Quem será mais afetado pelo marco legal

O projeto não mira apenas as grandes empresas de tecnologia. Ele atinge qualquer organização que use IA em processos que afetam pessoas. Isso inclui bancos que utilizam modelos de crédito, planos de saúde que analisam autorizações de procedimentos, plataformas de recrutamento com triagem automatizada, fintechs, seguradoras e qualquer empresa com sistemas de atendimento ao cliente baseados em IA generativa.

Empresas como Nubank e iFood, que já testaram conformidade antecipada, reportaram que a documentação de algoritmos e auditoria de viés geram custo inicial, mas reduzem riscos legais e aumentam a confiança dos clientes a longo prazo. Esses relatos do setor sugerem que a adequação antecipada, mesmo antes da aprovação definitiva, pode ser vista como vantagem competitiva.

Startups e pequenas empresas são o ponto mais delicado do debate. A carga regulatória prevista pelo PL pode ser desproporcional para organizações menores, que muitas vezes constroem produtos baseados em IA sem equipes jurídicas estruturadas. A definição de quais obrigações se aplicam a micro e pequenas empresas ainda é objeto de negociação no relatório final, e o texto que será apresentado em 19 de maio pode trazer carve-outs ou regimes diferenciados para esses atores.

Críticas ao texto atual e pontos de tensão no debate parlamentar

O debate parlamentar em torno do PL 2338/2023 é intenso, e as críticas se concentram em três frentes principais. A primeira é a inspiração europeia sem adaptação local: parte do texto é influenciada pelo AI Act da União Europeia, criado para um mercado com características muito diferentes do Brasil. Críticos argumentam que a transposição direta pode prejudicar a competitividade do ecossistema de inovação nacional, especialmente em setores onde empresas brasileiras competem globalmente.

A segunda crítica é sobre a ambiguidade nas definições. Termos como sistema de IA e alto risco ainda carecem de delimitação precisa no texto, o que pode gerar insegurança jurídica e litígios entre empresas e reguladores. A definição de quando uma aplicação é considerada de alto risco pode variar conforme a interpretação do órgão fiscalizador, o que gera incerteza para empresas que precisam planejar investimentos em conformidade.

A terceira crítica é sobre o custo de conformidade. A implementação de processos de governança, documentação e auditoria tem custo real, e para startups em estágio inicial, pode representar uma barreira de entrada no mercado. O relatório de Aguinaldo Ribeiro, apresentado em março de 2026, indicou que o texto estaria 90% pronto, com alterações finais buscando justamente equilibrar proteção e inovação. A versão final só será conhecida com a apresentação do relatório em 19 de maio.

O contexto internacional e os riscos do vácuo regulatório

A questão internacional pesa sobre o debate doméstico. A União Europeia já aplica o AI Act desde 2024, com obrigações escalonadas que entraram em vigor gradualmente. Os Estados Unidos estão construindo seu próprio arcabouço federal, com propostas em diferentes estágios de discussão no Congresso. A China adotou regras para algoritmos e geração de conteúdo sintético. O Brasil corre o risco de operar em vácuo regulatório justamente quando as plataformas globais expandem seus produtos no mercado nacional.

Esse vácuo tem consequências práticas. Empresas multinacionais que já se adequaram às regras europeias implementam os mesmos padrões no Brasil, o que pode gerar vantagens competitivas para players globais em detrimento de empresas locais que não têm capacidade de acompanhar a evolução regulatória internacional. Por outro lado, a ausência de regras claras também significa que empresas brasileiras operam sem conhecer exatamente suas obrigações, o que pode gerar surpresas no futuro quando a regulação finalmente se consolidar.

OPL também aborda a questão da soberania tecnológica. O texto inclui provisions sobre armazenamento de dados e exigência de localização de infraestrutura para sistemas de alto risco, o que pode afetar empresas que utilizam serviços de computação em nuvem oferecidos por fornecedores internacionais. A relação entre o marco legal da IA e a LGPD é outro ponto que requer articulação regulatória, já que ambas as normas tratam de dados pessoais, mas com enfoques e instrumentos diferentes.

Contrapontos, limites da análise e pontos ainda não resolvidos

A principal limitação da análise do PL 2338/2023 é que o texto ainda não é definitivo. O relatório do deputy Aguinaldo Ribeiro, apresentado em 19 de maio, pode alterar significativamente o alcance das obrigações, os critérios de classificação de risco e os prazos de implementação. Acompanhar o relatório é essencial para empresas que precisam planejar sua adequação.

Outra limitação é sobre a capacidade de enforcement. O projeto cria obrigações para empresas, mas não detalha suficientemente os mecanismos de fiscalização e as sanções por descumprimento. A eficácia do marco legal dependerá da estruturação de órgãos reguladores com capacidade técnica para audits de algoritmos e sistemas de IA — capacidade que, no Brasil, ainda é limitada e em formação.

Há também tensão entre a inovação e a regulação que não está resuelta no texto. Especialistas do setor de tecnologia apontam que a classificação de risco pode se tornar rapidamente defasada em um setor que evolui em meses. O que hoje é considerado sistema de alto risco pode se tornar trivial com a maturação da tecnologia, mas o processo de revisão da classificação pode ser mais lento do que a evolução do mercado.

O que as empresas devem fazer agora

Com a votação marcada para 27 de maio, não há mais tempo para uma postura de espera. Independentemente da aprovação imediata, o alinhamento antecipado com os princípios do PL é um movimento estratégico — e as empresas que chegarem preparadas ao cenário pós-votação sairão na frente. Algumas ações práticas podem ser iniciadas imediatamente.

A primeira é mapear os sistemas de IA: identificar quais ferramentas e processos automatizados a organização já usa e se algum deles afeta decisões sobre pessoas. A segunda é avaliar o nível de risco de cada sistema: perguntar se a ferramenta é usada em crédito, saúde, seleção de pessoas, segurança ou infraestrutura — essas categorias provavelmente se enquadram em alto risco. A terceira é documentar os modelos em produção: ter registros sobre origem dos dados de treinamento, finalidade do modelo e critérios de decisão, mesmo que de forma simplificada por ora. A quarta é envolver jurídico e compliance desde já: a conformidade com IA não é só pauta de TI — precisa de alinhamento com as áreas de risco, privacidade e governança.

A quinta ação é acompanhar o relatório de 19 de maio: o texto final pode alterar obrigações específicas. Assinar alertas legislativos ou acompanhar portais especializados pode ajudar empresas a se prepararem antes que a norma entre em vigor. Os prazos de implementação, que geralmente variam de 6 a 24 meses após a publicação, precisam ser monitorados para que a empresa tenha tempo adequado de adequação.

Cenários e síntese

A votação do marco legal da IA não é apenas um evento legislativo — é o sinal de que o Brasil escolheu ter regras para essa tecnologia. O modelo baseado em risco segue a tendência global de evitar regulação genérica e focar onde o impacto é maior. Para as empresas brasileiras, a mensagem é clara: a janela para testar sem pensar em conformidade está se fechando.

As organizações que iniciarem a jornada de governança de IA antes da aprovação sairão na frente — não só juridicamente, mas também na confiança de clientes, parceiros e investidores. A regulação não é inimiga da inovação; pelo contrário, um marco legal claro pode reduzir incertezas e criar ambiente mais favorável a investimentos de longo prazo em tecnologia.

O desafio agora é acompanhar o relatório final de 19 de maio, entender as obrigações específicas que virão e iniciar o processo de adequação antes que o prazo legal se torne urgente. O Brasil está prestes a entrar na era da IA regulada — e a preparação começa antes da publicação no Diário Oficial.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.