Regulamentacao de inteligencia artificial no Brasil em 2026: o PL 2338/2023, os impasses e os cenarios que podem definir o futuro da governanca tecnologica

O estado atual da tramitacao e o cenario de incerteza

O Projeto de Lei numero 2338 de 2023, que propone o marco legal para inteligencia artificial no Brasil, chegou a maio de 2026 em uma posicao que pode ser descrita sem exageros como central para o futuro da governanca tecnologica do pais. Aprovado pelo Senado Federal em dezembro de 2024 em votacao simbolica, o texto foi remetido a Camara dos Deputados em marco de 2025, onde aguarda parecer do relator na Comissao Especial criada especificamente para analisar a materia. A comissao, presided pela deputaa Luisa Canziani e com relatoria do deputy Aguinaldo Ribeiro, realizou doze audiencias publicas entre maio e setembro de 2025, ouviu representantes de setores diversos e deveria ter concluido a votacao no final de 2025, mas o prazo foi adiado, sem previsao firma de nova data.

O quadro que se apresenta e o de uma regulamentacao simultaneamente urgente e indefinida. De um lado, empresas de todos os portes ja operam com sistemas de inteligencia artificial em seus processos, sem um quadro normativo claro que defina obrigacoes, direitos e responsabilidades. De outro, a complexidade politica envolvida na materia, que mexe com interesses bilionarios de empresas de tecnologia, expectativas da sociedade civil e prerrogativas de diferentes poderes, tem impedido a conclusao do processo legislativo.

Para escritorios de advocacia que atuam com compliance e direito digital, a situacao representa um desafio diario. Clientes perguntam o que fazer enquanto a lei nao sai. A resposta honesta e: aplicar os principios que ja existem na LGPD, acompanhar as orientacoes da ANPD e nao esperar que uma lei especifica resolva todos os problemas.

Os pilares do PL 2338/2023: uma arquitetura de governanca baseada em risco

O projeto de lei de autoria do presidente do Senado Federal, Rodrigo Pacheco, propone uma estrutura normativa construida em torno de principios fundamentais e de uma classificacao de sistemas de inteligencia artificial por nivel de risco. Essa estrutura e, em seus elementos centrais, analoga a adotada pelo AI Act europeu, que entrou em vigor em agosto de 2024 e se tornara plenamente aplicavel em agosto de 2026, coincidencia de calendario que coloca o Brasil em uma encruzilhada de competitividade regulatoria com o principal bloco economico do Ocidente.

Os principios fundamentais que o PL estabelece incluem transparencia, explicabilidade, nao discriminacao, privacidade e protecao de dados, participacao humana e responsabilizacao. Esses principios nao sao meramente programaticos: o projeto prev mecanismos de fiscalizacao, sancoes administrativas e responsabilidade civil para casos de descumprimento, criando um regime juridico com densidade normativa que a literatura especializada compara em ambicao ao da propria Lei Geral de Protecao de Dados.

A espinha dorsal do projeto e a classificacao de sistemas por nivel de risco. Sistemas considerados de risco inaceitavel, aqueles que manipulam comportamentos de forma subliminar, que implementam pontuacao social de cidadaos ou que permitem categorizacao biometrica para vigilancia em massa, sao expressamente proibidos. Sistemas de alto risco, que operam em setores como saude, educacao, justica criminal, emprego e infraestrutura critica, estao sujeitos a obrigacoes reforçadas de documentacao tecnica, supervisao humana, avaliacao de impacto e auditabilidade. Demais sistemas respondem a uma regulacao mais leve, centrada na transparencia perante o usuario.

Os direitos assegurados as pessoas afetadas por sistemas de IA

Um aspecto distintivo do modelo brasileiro em comparacao com seus paralelos internacionais e a enfase nos direitos das pessoas afetadas por sistemas de IA. O PL 2338/2023 dedicou um capitulo especifico a essa questao, prevendo o direito a informacao previa sobre a interacao com sistemas de IA, o direito a determinacao humana em decisoes relevantes, o direito a nao discriminacao e correcao de vieses algoritmicos e o direito a privacidade e a protecao de dados pessoais.

Esses direitos nao sao inovadores no direito brasileiro. Muitos ja estao previstos na LGPD e em dispositivos constitucionais. A contribuicao do marco legal esta em especifica-los para o contexto de sistemas de IA, criando obrigacoes concretas de implementacao. O direito a explicacao de decisoes automatizadas, por exemplo, ganha concretude alem do que ja estabelece o artigo 20 da LGPD, ao detalhar que a explicacao deve incluir nao apenas o resultado, mas tambem os fatores considerados e o nivel de automacao envolvido no processo decisorio.

Os pontos de controversia que travam a tramitacao

A complexidade politica do PL 2338/2023 revela-se nos multiplos pontos de atrito que mantem o projeto paralisado. O primeiro, e talvez mais estrutural, e a disputa sobre o grau de rigidez regulatoria adequado ao momento brasileiro. Entidades do setor de tecnologia, incluindo associacoes que representam grandes plataformas e startups, criticam o texto aprovado pelo Senado por impor obrigacoes consideradas desproporcionais, especialmente para empresas menores e inovadores. O modelo de compliance ex ante, que impõe obrigacoes antes mesmo do uso efetivo do sistema, e apontado como barreira a inovacao e potencial incentiva a concentracao de mercado, ja que apenas grandes empresas teriam recursos para arcar com os custos de conformidade.

De outro lado, organizacoes de defesa de direitos civis argumentam que o texto aprovado pelo Senado ja representa um esvaziamento em relacao as propostas originais. Segundo essa leitura, o processo de negociacao que resultou no texto aprovado pelo Senado retirou salvaguardas trabalhistas relacionadas a automacao e nao estabeleceu regras substantivas sobre direitos autorais no treinamento de sistemas de IA generativa, pontos que essas organizacoes consideram essenciais para proteger trabalhadores e criadores culturais dos impactos da automacao.

O tema dos direitos autorais no treinamento de IA e particularmente sensivel. O texto aprovado pelo Senado previa que empresas de tecnologia informassem quais obras protegidas foram utilizadas no treinamento de sistemas de IA e assegurava aos autores o direito de vetar esse uso. O debate na Camara reacendeu as disputas sobre o alcance dessas disposicoes, com o setor cultural defendendo maior protecao e plataformas tecnologicas resistindo a obrigacoes que consideram tecnicamente inviaveis de implementar em escala.

A questao constitucional que adiciona complexidade

Um complicador adicional, e talvez o mais dificil de resolver no curto prazo, e de ordem constitucional. O Poder Executivo identificou que o texto aprovado pelo Senado apresenta vicio de iniciativa: ao atribuir competencias normativas a Autoridade Nacional de Protecao de Dados, o projeto tratou de materia de iniciativa privativa do Poder Executivo, o que, se mantido, exporia o texto a questionamento de inconstitucionalidade perante o Supremo Tribunal Federal.

Para sanar o problema, o Executivo encaminhhou, em dezembro de 2025, um projeto de lei complementar que cria o Sistema Nacional para Desenvolvimento, Regulacao e Governanca de Inteligencia Artificial e formaliza o papel da ANPD como coordenador do sistema. Esse projeto devera ser apensado ao PL 2338/2023, o que adiciona mais uma camada de complexidade a tramitacao, ja que a Camara precisara analisar textos concorrentes e reconciliar diferentes visoes sobre a estrutura institucional da governanca de IA no Brasil.

O vacuo regulatorio atual e a aplicacao da LGPD como alternativa

Enquanto o marco legal especifico nao e aprovado, o Brasil nao opera em vacuo normativo total. A Lei Geral de Protecao de Dados pessoais ja disciplina, de forma relevante, o uso de sistemas de inteligencia artificial que envolvam tratamento de dados pessoais, o que, na pratica, abrange a esmagadora maioria das aplicacoes comerciais de IA.

O artigo 20 da LGPD assegura ao titular de dados o direito de solicitar a revisao de decisoes tomadas exclusivamente com base em tratamento automatizado quando essas decisoes afetarem seus interesses, incluindo decisoes de credito, selecao de pessoal e triagem de perfis. O artigo 6 impoe os principios de transparencia e finalidade a todo tratamento de dados. O artigo 37 obriga o controlador a manter o Relatorio de Impacto a Protecao de Dados Pessoais quando o tratamento representar risco elevado aos direitos dos titulares.

A ANPD, reguladora da LGPD, ja demonstrou disposicao para atuar nesse espaco mesmo na ausencia de lei especifica de IA. A autoridade publicou, em dezembro de 2025, o Mapa de Temas Prioritarios para o bienio 2026-2027, incluindo inteligencia artificial e tecnologias emergentes como um dos quatro eixos centrais de fiscalizacao. O sandbox regulatorio de IA da ANPD, mecanismo que permite teste controlado de inovacoes tecnologicas em ambiente regulatorio supervisionado, ja se encontra em fase de operacao com empresas selecionadas. A participacao no sandbox e voluntaria, mas as orientacoes publicadas pela autoridade criam expectativas sobre praticas adequadas que tendem a ser incorporadas pelo mercado.

Como a ANPD esta construindo jurisprudencia administrativa sobre IA

Casos recentes demonstram que a ANPD nao aguarda a aprovacao do PL 2338/2023 para exercer sua competencia regulatoria sobre IA. A suspensao de funcionalidades de plataformas de tecnologia que utilizavam dados de usuarios para treinamento de sistemas sem base legal adequada sinalizou que a fiscalizacao ja opera no tema, mesmo antes de qualquer marco legal especifico. Para empresas, isso significa que a adequacao a LGPD nao pode ser vista como etapa preparatoria para uma futura lei de IA, mas como obrigacao corrente e exigivel.

Esse cenario coloca empresas em uma posicao complexa: precisam se adequar a obrigacoes que ainda nao estao plenamente definidas por lei, acompanhar orientacoes administrativas em evolucao e manter capacidade de adaptacao caso o marco legal aprovado seja diferente do esperado. A situacao favorece empresas com estruturas robustas de compliance e prejudica pequenas empresas e startups que nao dispõem de departamentos juridicos especializados.

A regulamentacao brasileira em perspectiva comparada com o AI Act europeu

O Regulamento da Uniao Europeia, conhecido como AI Act, entrou em vigor em agosto de 2024 e se tornara plenamente aplicavel em agosto de 2026. A coincidencia temporal com o momento em que o Brasil potencialmente aprova seu proprio marco legal cria uma dicotomia significativa: empresas brasileiras com operacoes na Europa ja precisam se adequar ao regulamento europeu, enquanto aguardam a definicao do quadro normativo domestico.

A estrutura do AI Act e substancialmente semelhante a proposta no PL 2338/2023, classificacao por risco, obrigacoes crescentes conforme o nivel de impacto potencial, proibicoes para sistemas de risco inaceitavel, exigencias de transparencia e supervisao humana para sistemas de alto risco. Essa convergencia nao e coincidencia: a experiencia regulatoria europeia influenciou diretamente o modelo brasileiro, da mesma forma que o GDPR europeu precedeu e moldou a LGPD.

A relevancia do AI Act para empresas brasileiras vai alem da comparacao academica. O regulamento europeu tem aplicacao extraterritorial: aplica-se a qualquer fornecedor de sistemas de IA cujos produtos sejam colocados no mercado europeu ou cujos efeitos se produzam em territorio da Uniao Europeia, independentemente do local de estabelecimento do fornecedor. Empresas brasileiras que exportam tecnologia, produtos ou servicos para a Europa, que possuem subsidiarias em paises membros da UE ou que utilizam sistemas de IA desenvolvidos por fornecedores europeus precisam mapear suas obrigacoes sob o AI Act agora.

As sancoes do regulamento europeu e o risco para empresas brasileiras

O regime sancionatorio do AI Act e particularmente severo. Infrações relacionadas a sistemas de IA proibidos podem ensejar multas de ate 35 milhoes de euros ou 7% do faturamento global anual, o que for maior. Para uma empresa multinacional com faturamento de milhoes de euros, isso significa multas potenciais de centenas de milhoes, uma magnitude que muda o calculo de investimento em conformidade.

Empresas brasileiras com presencia no mercado europeu estao, portanto, sob dupla pressao regulatoria: precisam cumprir o AI Act para suas operacoes europeias e aguardam a definicao do marco brasileiro para suas operacoes domesticas. A tendencia de multinacionais com operacoes globais e aplicar os padroes mais elevados em todas as jurisicoes, o que, na pratica, significa implementar requisitos proximos ao AI Act mesmo antes de qualquer obrigacao legal brasileira, reduzindo o risco regulatorio em todas as jurisicoes relevantes simultaneamente.

Contrapontos, criticas e limites da analise

A narrativa de que o Brasil precisa urgentemente de uma lei de inteligencia artificial para nao ficar para tras no cenario global merece nuance. Primeiro, a propria ideia de atraso regulatorio assume que a ausencia de regras especificas e, por si so, prejudicial. Pesquisadores de institutos brasileiros de tecnologia tem argumentado que a LGPD ja oferece um arcabouco substancial para grande parte das aplicacoes de IA, e que a obsessao com um marco legal especifico pode distrair da implementacao efetiva da legislacao existente.

Segundo, a comparacao com o AI Act europeo esquece que a Uniao Europeia tem uma populacao de cientos de milhoes de habitantes, um mercado unico consolidado, instituicoes regulatorias com décadas de maturidade e uma tradicao de intervencao estatal em mercados que nao encontra paralelo na America Latina. A tentativa de replicar o modelo europeu no Brasil sem considerar as diferencas estruturais pode gerar um arcabouco formal que nao corresponde a capacidade institucional real de implementacao e fiscalizacao.

Terceiro, ha criticos que argumentam que a concentracao do debate sobre IA em um projeto de lei especifico obscurece transformacoes legislativas que ja estao em curso em areas conexas. O Projeto de Lei das Fake News, em tramitacao no Congresso, ja aborda dimensoes de IA na medida em que trata de conteudo sintetico e manipulacao algoritmica de informacao. Outras propostas tratam de temas que se intersectam com o uso de IA, desde direitos autorais ate regulamentacao de plataformas digitais, criando um mosaico normativo que pode gerar contradicoes e sobreposicoes com o marco de IA quando aprovado.

Cenarios e sintese: o que esperar para 2026 e alem

O ano de 2026 apresenta-se como definidor para o futuro da regulamentacao de IA no Brasil. A votacao do PL 2338/2023 na Camara, se ocorrer, sera apenas o inicio de um processo mais longo de maturacao normativa. A experiencia da LGPD, que levou anos para produzir inúmera regulamentacao complementar e precedentes administrativos relevantes, sugere que a maturidade regulatoria do marco de IA brasileiro sera construida ao longo de uma decada, nao de um ciclo legislativo.

Para empresas, a estrategia mais prudente no curto prazo envolve tres eixos: primeiro, manter a adequacao continua a LGPD como fundacao obrigatoria e imediata; segundo, acompanhar as orientacoes da ANPD sobre IA, especialmente as que emergirem do sandbox regulatorio; terceiro, monitorar a tramitacao do PL 2338/2023 e seus projetos relacionados, identificando obrigacoes que devem ser incorporadas aos sistemas de compliance conforme o andamento do processo.

O cenario de aprovacao do marco legal em 2026, embora possivel dado compromissos anteriores assumidos, nao deve ser tratado como certo. Questoes politicas, tecnicas e constitucionais permanecem nao resolvidas, e o calendario legislativo pode ser afetado por desenvolvimentos nao relacionados ao tema, como crises economicas, eventos internacionais ou o proprio processo eleitoral que se aproxima.

Permanecem tambem questoes que nenhum marco legal brasileiro, se aprovado em 2026, podera resolver completamente: como garantir capacidade tecnica da administracao publica para fiscalizar sistemas complexos de IA? Como evitar que a concentracao de mercado em poucas grandes empresas de tecnologia seja agravada por barreiras regulatorias que apenas grandes empresas podem arcar? Como construir uma governanca de IA que seja efetivamente inclusiva, considerando a diversidade de contextos e realidades do pais? Essas perguntas exigem nao apenas lei, mas instituicoes, recursos e participacao social, elementos que vao alem do texto de qualquer projeto de lei.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.