PL 2338/2023: o que o marco legal da inteligência artificial no Brasil ainda precisa resolver

O contexto da regulamentação de IA no Brasil

A regulamentação da inteligência artificial no Brasil encontra-se em um momento decisivo. Após mais de cinco anos de debate legislativo, audiências públicas e sucessivos adiamentos, o Projeto de Lei número 2.338, de 2023, foi aprovado pelo Senado Federal em dezembro de 2024 e remetido à Câmara dos Deputados em março de 2025, onde aguarda parecer do relator na Comissão Especial destinada a analisar o texto. A tramitação, contudo, não é linear: impasses políticos, disputas setoriais, um vício de constitucionalidade identificado pelo próprio Poder Executivo e a sombra do calendário eleitoral de 2026 tornam o cenário regulatório brasileiro simultaneamente urgente e incerto.

O PL 2.338/2023, de autoria do presidente do Senado Federal, Rodrigo Pacheco, tem como objeto central o desenvolvimento, o fomento e o uso ético e responsável da inteligência artificial no Brasil. O projeto consolida, em texto único, iniciativas legislativas anteriores que tramitavam em separado, entre elas o PL 21/2020 e o PL 5.051/2019, adotando uma estrutura normativa que combina princípios gerais, classificação de sistemas por nível de risco e obrigações específicas para desenvolvedores, operadores e usuários de sistemas de IA. O modelo proposto é fortemente inspirado no AI Act europeu, que entrou em vigor em agosto de 2024, e também dialogue com a experiência brasileira da Lei Geral de Proteção de Dados, que já disciplina aspectos relevantes do uso de IA quando envolve tratamento de dados pessoais.

Para empresas, advogados e gestores que já utilizam sistemas de inteligência artificial em suas operações, compreender o estado atual dessa regulamentação não é exercício acadêmico. É condição de compliance. O vacancy regulatório, embora não seja absoluto porque a LGPD já fornece um quadro normativo aplicável, expõe organizações a riscos que vão desde sanções administrativas da Autoridade Nacional de Proteção de Dados até ações civis e penalidades por uso indevido de dados pessoais em sistemas de IA.

O que propõe o marco legal

Em sua arquitetura fundamental, o projeto estabelece que todo sistema de inteligência artificial deve ser desenvolvido e utilizado de acordo com princípios como transparência, explicabilidade, não discriminação, privacidade e proteção de dados, participação humana e responsabilização. Esses princípios não são meramente programáticos: o texto prevê mecanismos de fiscalização, sanções administrativas e responsabilidade civil para casos de descumprimento, criando um regime jurídico com densidade normativa comparável ao da LGPD.

A espinha dorsal do projeto é a classificação dos sistemas de IA conforme o risco que representam para direitos fundamentais. Sistemas de risco inaceitável, como aqueles que manipulam comportamentos de forma subliminar ou que implementam pontuação social de cidadãos, são expressamente proibidos. Sistemas de alto risco, que operam em setores como saúde, educação, justiça criminal, emprego e infraestrutura crítica, estão sujeitos a obrigações reforçadas de documentação técnica, supervisão humana, avaliação de impacto e auditabilidade. Demais sistemas respondem a uma regulação mais leve, centrada na transparência perante o usuário.

Um aspecto que distingue o modelo brasileiro de sua principal referência internacional é a ênfase nos direitos das pessoas afetadas por sistemas de IA. O PL 2.338/2023 dedica capítulo específico ao tema, prevendo o direito à informação prévia sobre a interação com sistemas de IA, o direito à determinação humana em decisões relevantes, o direito à não discriminação e correção de vieses algorítmicos e o direito à privacidade e à proteção de dados pessoais. Essa abordagem centrada na pessoa humana reflete a influência dos debates constitucionais brasileiros e da experiência consolidada com a LGPD.

O vício de constitucionalidade e a solução em tramitação

Um complicador adicional de natureza constitucional foi identificado pelo próprio Poder Executivo. O texto aprovado pelo Senado atribui competências normativas à Autoridade Nacional de Proteção de Dados, o que constitui matéria de iniciativa privativa do Poder Executivo. Se mantida essa previsão, o projeto fica exposto a questionamento de constitucionalidade perante o Supremo Tribunal Federal, o que poderia resultar na declaração de nulidade de dispositivo essencial do marco legal após sua aprovação.

Para sanar o problema, o Executivo encaminhhou, em dezembro de 2025, projeto de lei complementar que cria o Sistema Nacional para Desenvolvimento, Regulação e Governança de Inteligência Artificial, o SIA, e formaliza o papel da ANPD como Coordenadora do sistema. Esse projeto deverá ser apensado ao PL 2.338/2023, adicionando mais uma camada de complexidade à tramitação e prolongando o debate sobre a estrutura institucional adequada para a governança de IA no Brasil.

Os pontos decontroversia na Câmara dos Deputados

A Comissão Especial criada pela Câmara para analisar o PL 2.338/2023 realizou doze audiências públicas entre maio e setembro de 2025, com participação de especialistas, representantes do setor produtivo, sociedade civil e organismos internacionais. A votação, inicialmente prevista para o final de 2025, foi adiada para 2026 em decisão alinhada entre as presidências da Câmara e do Senado, em razão de impasses políticos e da ausência de consenso sobre pontos considerados sensíveis.

Os principais pontos de controvérsia revelam a complexidade do equilíbrio que o legislador precisa alcançar. De um lado, representantes do setor de tecnologia e entidades empresariais criticam o texto por sua excessiva rigidez regulatória, especialmente o modelo de compliance ex ante, que impõe obrigações antes mesmo do uso do sistema, criando barreiras consideradas desproporcionais para startups e pequenas empresas que desenvolvem ou utilizam soluções baseadas em IA. De outro, organizações de defesa de direitos civis apontam que o texto aprovado pelo Senado já havia sido esvaziado em pontos críticos, como a retirada de salvaguardas trabalhistas relacionadas à automação e a ausência de regras substantivas sobre direitos autorais no treinamento de sistemas de IA generativa.

A questão dos direitos autorais é particularmente sensível. O texto aprovado pelo Senado previa que empresas de tecnologia informassem quais obras protegidas foram utilizadas no treinamento de sistemas de IA e assegurava aos autores o direito de vetar esse uso. O debate na Câmara reacendeu as disputas sobre o alcance dessas disposições, com o setor cultural defendendo maior proteção aos creadores e plataformas tecnológicas resistindo a obrigações que consideram tecnicamente inviáveis de implementar em escala. O impasse reflete uma tensão global entre inovação tecnológica e proteção da propriedade intelectual, e o Brasil não encontrou ainda uma formulação que equilibre esses dois valores.

Os prazos e o impacto do calendário político

O adiamento da votação para 2026 está diretamente relacionado ao calendário político. Questões sensíveis para o setor de tecnologia, como a definição de obrigações para plataformas digitais, são frequentemente usadas como moeda de troca em negociações políticas mais amplas. Some analistas avaliam que a proximidade das eleições gerais de 2026 pode acelerar ou travavar dependendo de como se comportarem as lideranças do Congresso em relação ao tema.

Há também o risco de que a discussão seja postergada caso surjam outras prioridades legislativas que ocupem a pauta do Congresso. A experiência mostra que projetos de lei complexos, que envolvem interesses econômicos poderosos e questões técnicas wysiwyg, tendem a demorar mais do que o inicialmente previsto, especialmente quando há disputa sobre a distribuição de custos regulatórios entre diferentes setores.

Impactos para empresas e profissionais

Enquanto o marco legal específico não é aprovado, o Brasil não opera em vácuo normativo total. A Lei Geral de Proteção de Dados já disciplina, de forma relevante, o uso de sistemas de inteligência artificial que envolvam o tratamento de dados pessoais, o que, na prática, abrange a esmagadora maioria das aplicações comerciais de IA. O artigo 20 da LGPD assegura ao titular de dados o direito de solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado quando essas decisões afetarem seus interesses, incluindo decisões de crédito, seleção de pessoal e triagem de perfis. O artigo 6. impõe os princípios de transparência e finalidade a todo tratamento de dados. O artigo 37 obriga o controlador a manter o Relatório de Impacto à Proteção de Dados Pessoais quando o tratamento representar risco elevado aos direitos dos titulares.

A ANPD já demonstrou disposição para atuar nesse espaço. A autoridade publicou, em dezembro de 2025, o Mapa de Temas Prioritários para o biênio 2026-2027, incluindo inteligência artificial e tecnologias emergentes como um dos quatro eixos centrais de fiscalização. O sandbox regulatório de IA da ANPD já se encontra em fase de operação com empresas selecionadas. Isso significa que, na prática, a autoridade de proteção de dados brasileira já exerce papel regulatório sobre IA mesmo na ausência de lei específica, valendo-se das competências da LGPD e construindo sua jurisprudência administrativa sobre o tema.

Empresas que operam sistemas de IA com dados pessoais devem, portanto, tratar a adequação à LGPD não como etapa preparatória para uma futura lei de IA, mas como obrigação corrente e exigível. A postura da ANPD em casos recentes, como a suspensão de funcionalidades de plataformas de tecnologia que utilizavam dados de usuários para treinamento de sistemas sem base legal adequada, demonstra que a fiscalização não aguarda a aprovação do PL 2.338/2023.

A responsabilidade de profissionais que utilizam IA generativa

Independentemente da aprovação do marco legal, as questões de responsabilidade pelo uso de sistemas de IA já se apresentam ao Judiciário brasileiro. O problema mais imediato, e que tem gerado decisões em tribunais superiores, é o da responsabilidade do profissional que utiliza IA generativa para produzir documentos sem a devida supervisão técnica.

Advogados que subscrevem petições com citações jurisprudenciais geradas por sistemas de IA sem verificar sua autenticidade respondem pela irregularidade perante seus clientes e perante o juízo. O dever de diligência profissional, previsto no Estatuto da OAB e no Código de Ética, não é afastado pelo uso de ferramentas tecnológicas. Da mesma forma, contadores, consultores e outros profissionais que utilizam sistemas de IA para gerar análises ou recomendações respondem pelos erros e omissões dessas ferramentas quando não exercem o controle humano adequado sobre o produto final.

O AI Act europeu e a regulação extraterritorial

O Regulamento da União Europeia, conhecido como AI Act, entrou em vigor em agosto de 2024, tornando-se o primeiro instrumento normativo abrangente sobre inteligência artificial a ter força de lei em uma jurisdição de grande porte. O AI Act adota uma estrutura de classificação por risco substancialmente semelhante à proposta no PL 2.338/2023, o que não é coincidência: a experiência regulatória europeia influenciou diretamente o modelo brasileiro, da mesma forma que o GDPR europeu precedeu e moldou a LGPD.

A relevância do AI Act para empresas brasileiras vai além da comparação acadêmica. O regulamento europeu tem aplicação extraterritorial: aplica-se a qualquer fornecedor de sistemas de IA cujos produtos sejam colocados no mercado europeu ou cujos efeitos se produzam em território da União Europeia, independentemente do local de estabelecimento do fornecedor. Empresas brasileiras que exportam tecnologia, produtos ou serviços para a Europa, que possuem subsidiárias em países membros da UE ou que utilizam sistemas de IA desenvolvidos por fornecedores europeus precisam mapear suas obrigações sob o AI Act agora. O regime sancionatório é severo: infrações relacionadas a sistemas de IA proibidos podem ensejar multas de até 35 milhões de euros ou 7% do faturamento global anual, o que for maior.

A perspectiva comparada é, nesse contexto, de valor prático imediato. Escritórios e departamentos jurídicos que assessoram clientes com operações transnacionais precisam dominar tanto o modelo brasileiro em construção quanto o modelo europeu já vigente, avaliando as convergências, as divergências e as obrigações que se acumulam em ambas as jurisdições.

Contrapontos e limites da análise

O modelo de regulação por risco proposto no PL 2.338/2023 não é isento de críticas. Alguns especialistas argumentam que a classificação de sistemas por nível de risco, tal como desenhada, pode se mostrar inadequada diante da velocidade da evolução tecnológica. Sistemas que hoje são classificados como de baixo risco podem, com o tempo, adquirir capacidades que os tornem significativamente mais impactantes para direitos fundamentais, exigindo atualização contínua da classificação. O risco é que a lei se torn e defasado rapidamente, criando incerteza jurídica em vez de segurança.

Também há questionamentos sobre a capacidade do Estado brasileiro de fiscalizar o cumprimento das obrigações estabelecidas. A ANPD, que deverá assumir papel central na governança de IA, já enfrenta desafios para dar conta da fiscalização da LGPD, que ainda não está plenamente implementada em todos os setores da economia. A criação de obrigações reforçadas para sistemas de alto risco pode eenfrentar na limitação de recursos técnicos e humanos dos órgãos reguladores.

Do ponto de vista da inovação, há o risco de que um regime regulatório demasiado oneroso afaste empresas menores do desenvolvimento de soluções de IA, concentrando a capacidade de inovação nas grandes empresas de tecnologia que têm condições de arcar com os custos de compliance. Esse efeito concentração pode ter consequências negativas para a competição no setor e para a diversificação da oferta de soluções de IA no país.

Cenários e síntese

O cenário mais provável para o curto prazo é a manutenção do quadro atual de incerteza regulatória. O PL 2.338/2023 deve continuar em tramitação ao longo de 2026, com possíveis novos adiamentos conforme o calendário político e os acordos entre lideranças. A aprovação de um texto final depende de resolução dos impasses sobre direitos autorais, estrutura institucional e alcance das obrigações para desenvolvedores e operadores de sistemas de IA.

Enquanto isso, a LGPD continúa sendo o quadro normativo efetivamente aplicável, e a ANPD deve intensificar suas atividades de fiscalização relacionadas ao uso de IA. Empresas que postergam a adequação de seus sistemas de IA às exigências da LGPD enfrentam riscos crescentes de sanções administrativas e ações civis.

Para o longo prazo, a tendência é de consolidação de um regime regulatório específico para IA no Brasil, independente do formato final que o PL 2.338/2023 assumir. A pressão internacional, especialmente do AI Act europeu, e a crescente consciência pública sobre os riscos e oportunidades da IA devem empurrar o Legislativo brasileiro na direção de uma regulamentação substantive. A questão não é se haverá marco legal de IA no Brasil, mas quando e com que conteúdo.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.