PL 2338/2023: o projeto que tenta colocar ordem na Inteligencia Artificial brasileira

O vacuo regulatorio que nao pode mais continuar

A Inteligencia Artificial deixou de ser promessa tecnologica ha muito tempo. No Brasil, ela ja opera em chatbots de atendimento ao cliente, em sistemas de analise de credito, em ferramentas de triagem processual do Poder Judiciario, em algoritmos de deteccao de fraudes bancarias e em plataformas de recomendacao comercial. A expansao foi rapida, mas o marco regulatorio que deveria limitar seus riscos e proteger direitos fundamentais ficou para tras. O pais opera, ate o momento, dentro de um vacuo legal: nao existe lei especifica que discipline como sistemas de IA devem se comportar, como dados pessoais podem ser usados por esses sistemas e quem responde quando um algoritmo causa dano.

Esse escenario comecou a mudar formalmente em 2023, quando o Senado Federal aprovou o Projeto de Lei 2.338/2023, de autoria do entao presidente da Casa, Rodrigo Pacheco. O texto chegou à Camara dos Deputados e passou a tramitar em regime de prioridade, reflexo direto da pressão de diversos setores que ja enfrentavam dificuldades praticas para operar com seguranca juridica. A proposta estabelece principios, direitos e obrigacoes para o desenvolvimento e uso de IA no pais, seguindo modelo semelhante ao AI Act da Uniao Europeia, adotado em 2024 e que comecou a produzir efeitos praticos em 2026.

Paralelamente, em dezembro de 2025, o Poder Executivo enviou ao Congresso Nacional o Projeto de Lei 6.237/2025, que institui o Sistema Nacional de Governanca da Inteligencia Artificial, o SIA. A intencao do governo e resolver um chamado vicio de iniciativa, ja que projetos que criam politicas publicas de grande impacto precisam partir do Executivo. O PL 6.237/2025 propone uma estrutura de governanca que distribui competencias entre orgaos setoriais e estabelece a Autoridade Nacional de Protecao de Dados, a ANPD, como reguladora residual para sistemas nao cobertos por outras entidades.

Os pilares do modelo de risco do PL 2338/2023

O texto aprovado no Senado organiza os sistemas de IA em categorias de risco, uma estrutura inspirada no modelo europeu. Sistemas classificados como de risco excessivo, como aqueles usados em decisoes de credito, em servicos essenciais ou em contextos de saude, enfrentam exigencias mais rigorosas: avaliacoes de impacto algoritmico obrigatorias, auditorias periodicas, transparencia sobre criterios decisorios e obrigatoriedade de supervisao humana. Sistemas de risco limitado enfrentam obrigacoes mais brandas, como informacao clara ao usuario sobre a natureza automatizada da interacao.

Um dos pontos mais relevantes do projeto e a definicao de responsabilidade. O texto do PL 2338/2023 estabelece quem responde por danos causados por sistemas de IA: pode ser o provedor do sistema, o operador ou ambos, a depender do papel que cada um desempenhou na cadeia de desenvolvimento e implantacao. Essa clareza e considerada um avanco significativo por setores que atuam com contratos envolvendo fornecedores internacionais de tecnologia, nos quais a atribuicao de responsabilidade era frequentemente disputada.

A articulacao com a Lei Geral de Protecao de Dados, a LGPD, tambem esta presente. O projeto reforça que o tratamento de dados pessoais por sistemas de IA deve observar os principios da LGPD, especialmente os de finalidade, necessidade e minimizacao. Alem disso, estabelece direitos especificos para pessoas afetadas por decisoes automatizadas, incluindo o direito de revisao humana e o direito à explicacao sobre criterios usados por algoritmos. Esse ultimo ponto e particularmente relevante em contextos de credito e seguros, onde decisoes automatizadas afetam a vida financeira de milhoes de brasileiros sem que hajam canais claros para compreensao dos criterios aplicados.

A estrutura de governanca proposta pelo Executivo

O PL 6.237/2025, enviado pelo governo federal, organiza a governanca de IA no pais a partir de uma estrutura mais horizontal. Propõe a criacao do Sistema Nacional de Governanca da Inteligencia Artificial, o SIA, que articula orgaos federais, estaduais e municipais. A ANPD e designada como reguladora residual, ou seja, atua nos casos em que nao existe orgao setorial com competencia especifica. O projeto saneia vicio de iniciativa e busca criar um arcabouco institucional que permita coordenacao entre diferentes reguladores.

A ANPD, segundo o projeto governamental, teria competencia normativa, regulatoria, fiscalizatoria e sancionatoria sobre sistemas de IA que tratam dados pessoais e que nao se encaixam em areas ja reguladas por outros orgaos. Essa atribuicao e relevante porque transforma a ANPD em uma especie de guarda-chuva regulatorio para a IA no Brasil, funcionando de maneira similar ao papel que a entidade ja exerce no campo da protecao de dados. O proprio PL 2338/2023, em sua versao atual, tambem aponta para essa direcao, embora a distribuicao final de competencias ainda precise ser definida pelo legislador.

Na vespera do Natal de 2025, a ANPD publicou seu Mapa de Temas Prioritarios para 2026 e 2027, que incluía a protecao de criancas e adolescentes em contextos envolvendo IA generativa. A intencao e que, independentemente da aprovacao do PL 2338/2023, a autoridade reguladora avance com orientacoes especificas para setores sensiveis. Esse movimento mostra que a ANPD nao pretende esperar a conclusao do processo legislativo para comecar a atuar, o que gera tanto oportunidades quanto incertezas para empresas que precisam se planejar. Ao mesmo tempo, a falta de um marco legal especifico pode limitar a capacidade da ANPD de aplicar sancionamentos proporcionais aos danos causados por sistemas de IA.

Comparacao internacional: Europa, Estados Unidos e o lugar do Brasil

O modelo europeu, adotado como referencia pelo PL 2338/2023, classifica sistemas de IA por nivel de risco e impe obligaciones proporcionais. O AI Act da Uniao Europeia, adotado em 2024, comecou a produzir efeitos em agosto de 2026, e seu alcance e extraterritorial: empresas de qualquer pais que fornecam sistemas de IA para o mercado europeu precisam observar suas regras. Isso cria pressao sobre o Brasil, onde empresas que exportam servicos ou mantem operacoes no exterior podem enfrentar dupla conformidade regulatoria. A diretiva europeia tambem influenciou outros mercados, incluindo paises da America Latina que buscam modelos de referencia para suas proprias legislacoes.

Nos Estados Unidos, a abordagem regulatoria e mais fragmentada. Nao existe uma lei federal geral de IA como a europeia. Em vez disso, o governo federal editou ordens executivas e os estados aprovaram legislacoes proprias, como a Lei de IA da California, que entrou em vigor em 2026. Esse escenario de fragmentacao gera incerteza para empresas que operam em multiplas jurisdicoes e, paradoxalmente, pode favorecer jurisdicoes com marcos mais claros, como o que o Brasil pretende criar.

A comparacao com a Uniao Europeia revela tanto pontos de convergencia quanto divergencias. Ambos os modelos reconhecem a classificacao por risco como instrumento adequado de regulacao proporcional. Contudo, o AI Act europeu apresenta obligacoes mais detalhadas para sistemas de alto risco, incluindo requisitos de qualidade de dados de treinamento, documentacao tecnica e testes de conformidade realizados por terceiros independentes. O texto brasileiro, em sua versao atual, e menos prescritivo nesse aspecto, o que pode ser visto como flexibilidade por uns e como vulnerabilidade por outros. Especialistas em regulacao advertem que a ausencia de exigencias mais detalhadas pode permitir que empresas adotem compliance superficial sem garanti de protecao real para usuarios afetados por sistemas de IA.

Impactos praticos para empresas e consumidores

Para empresas que ja utilizam IA em operacoes comerciais, a mudanca mais significativa sera a obrigatoriedade de transparencia. Sistemas de chatbot que simulem conversa humana precisarao informar claramente ao usuario que ele esta interagindo com um sistema automatizado. Algoritmos de decisao de credito precisarao ser auditaveis, o que pode exigir investimentos em rastreabilidade e documentacao de criterios. Para pequenas empresas que usam ferramentas de IA incorporadas em sistemas de terceiros, a responsabilidade recaira sobre quem opera o sistema, e nao necessariamente sobre o fornecedor original da tecnologia.

Para consumidores, os impactos incluem o direito de saber quando uma decisao algoritmica afeta seus interesses e o direito de pedir revisao humana. Na pratica, porem, a efetividade desses direitos depende de infraestrutura de compliance que muitas empresas ainda nao tem. O desafio nao e apenas legal, mas operacional: implementar processos de resposta a solicitacoes de revisao humana exige mudancas em processos internos e treinamento de equipes. Para microempresas e pequenos escritorios, esse custo pode ser desproporcional ao tamanho da operacao, criando uma barreira de entrada regulatoria que favorece players maiores.

A questo dos vieses algoritmicos tambem e central. Sistemas treinados com dados historicos podem reproduzir padroes discriminatorios ja presentes na sociedade, e o PL 2338/2023 aborda esse ponto ao estabelecer a nao discriminacao como principio fundamental. Empresas que utilizam ferramentas de seleca de candidatos, de analise de comportamento do consumidor ou de concessao de credito precisarao demonstrar que seus sistemas nao perpetuam desigualdades, o que pode exigir auditorias tecnicas periodicas. Especialistas em tecnologia ainda apontam que a verificacao de vieses em modelos complexos e um campo tecnicamente desafiador, e que os padroes tecnicos para essa avaliacao ainda estao em desenvolvimento. A industria ainda nao converge sobre metodologias padronizadas de avaliacao de vieses, o que pode tornar essa exigencia letra morta na pratica.

Criticas, limites e o que a analise ainda nao responde

O PL 2338/2023 nao esta isento de criticas. Uma das principais diz respeito ao processo de aprovacao. A votacao, inicialmente prevista para o final de 2025, foi adiada para 2026 em decisao articulada entre as presidencias da Camara e do Senado. O adiamento reflete divergencias sobre a abrangencia do projeto: setores industriais temem que obligacoes muito detalhadas freiem a inovacao, enquanto organizacoes da sociedade civil argumentam que textos mais brandos podem criar compliance de fachada sem protecao real de direitos.

Ha tambem a questo da competencia regulatoria. Se a ANPD for designada como reguladora residual, ainda faltam clareza sobre como essa competencia se articula com outros orgaos setoriais que ja regulam areas com componente de IA, como o Banco Central no caso de fintechs e a ANS no caso de planos de saude. A sobreposicao de competencias pode gerar inseguranca juridica no periodo de transicao, enquanto os orgaos definem limites de suas atuações. Essa indefinicao pode ser explorada por empresas que buscam arbitragem regulatoria, escolhendo o orgao mais flexivel para seu caso especifico.

O tema da inovacao tambem permanece como tensao. Setores como o de startups de tecnologia argumentam que excesso de regulacao pode concentrar o mercado nas grandes empresas que ja tem recursos para compliance, prejudicando emergentes. Por outro lado, defensores de regulacao mais forte apontam que a ausencia de regras favorece exatamente as empresas menos responsaveis, que externalizam riscos para consumidores e para a sociedade. Essa tensao nao tem resposta simples, e o equilibrio depende de calibragem fina entre protecao e dinamica de mercado.

Um ponto que a analise atual nao permite determinar com seguranca e o timeline final de aprovacao. O processo legislativo brasileiro e influenciado por fatores politicos que vao alem do merito tecnico do projeto. Embora o marco regulatorio de IA seja unanimemente reconhecido como necessario, a forma final que o texto tera apos apreciacao na Camara e no Senado ainda e incerta, e pode incluir modificacoes substanciais que alterem o equilibrio entre inovacao e protecao. Esse grau de incerteza e significativo e deve ser considerado por empresas que estao planejando investimentos de longo prazo em infraestrutura de IA.

Cenarios provaveis e o que observar nos proximos anos

Considerando o estagio atual do processo legislativo e as articulacoes conhecidas, o escenario mais provavel e a aprovacao de uma versao do PL 2338/2023 ao longo de 2026, com ajustes que incorporem partes do PL 6.237/2025 do Executivo. Esse escenario traria um marco regulatorio geral para a IA no Brasil, com classificacao por risco, obligacoes de transparencia e governanca compartilhada entre reguladores setoriais e a ANPD. A vigencia efetiva das obligacoes, porem, provavelmente ocorreria com periodos de adaptacao, dado o tempo que empresas precisam para se ajustar. Historicamente, marcos regulatorios complexos no Brasil tem exigido prazos de transicao de 18 a 24 meses para que o mercado se adapte plenamente.

O escenario alternativo seria a nao aprovacao ou o arquivamento do projeto, o que manteria o vacuo regulatorio atual. Nesse caso, a ANPD continuaria atuando com base em orientacoes e na LGPD, mas sem um marco especifico para IA. Esse escenario geraria presso continua sobre empresas que operam com sistemas de alto risco e manteria o pais em posicao de incerteza juridica comparativamente a jurisdicoes que ja definiram suas regras. A pressures do setor de negocios poderia impulsionar novas tentivas de legislacao, mas sem garantia de avanco.

O terceiro escenario, menos provavel mas nao descartavel, seria a aprovacao de regulamentos setoriais fragmentados antes de um marco geral, o que criaria um escenario de multiplas normas setoriais sem articulacao entre si. Esse escenario representaria, na pratica, uma resposta do sistema politico à presso por acao, mas sem a coerencia de um marco integrado. O resultado seria uma paisagem regulatoria fragmentada, onde diferentes setores teriam regras diferentes para o mesmo tipo de sistema de IA, gerando complexidade adicional para empresas que operam em multiplos segmentos.

O ponto que permanece como variavel critica nos proximos meses e a capacidade do legislativo brasileiro de priorizar a pauta em um ano com outras demandas concorrentes. A regulamentacao de IA e tema de interesse de muitos setores, mas nao mobiliza a opiniao publica da mesma forma que temas como seguranca publica ou reforma tributaria. O resultado final dependera, em grande medida, da articulacao politica em torno do projeto, e nao apenas de seus meritos tecnicos.