Regulação de IA no Brasil

Regulação de IA no Brasil: o que muda em 2026

Por · · 4 min de leitura

Uma reportagem da MIT Technology Review Brasil trouxe à tona um debate que vai muito além dos laboratórios de biologia sintética: a criação de bactérias-espelho, organismos com estrutura molecular invertida em relação à vida natural, pode representar um risco existencial para ecossistemas inteiros. O problema, segundo cientistas ouvidos pela publicação, é que ninguém sabe ao certo o que acontece se esses organismos escaparem para o ambiente.

O que isso tem a ver com regulação de IA no Brasil? Tudo. A biologia sintética moderna depende diretamente de ferramentas de inteligência artificial para design de proteínas, modelagem molecular e previsão de comportamento de organismos. Empresas de IA que atuam nesse setor, ou que fornecem infraestrutura para ele, estão inseridas em um vácuo regulatório que combina riscos tecnológicos, ambientais e de responsabilidade civil.

Este artigo analisa o estado atual da regulação de IA no Brasil, com foco especial nos setores de risco elevado, e aponta o que empresas, founders e profissionais jurídicos precisam considerar para operar com segurança jurídica em 2026.

Contexto jurídico e regulatório

O Marco Legal de IA no Brasil: onde estamos

O Projeto de Lei 2.338/2023, aprovado no Senado em dezembro de 2024 e em tramitação na Câmara dos Deputados em 2025 e 2026, é o principal instrumento em construção para regulação de inteligência artificial no Brasil. Ele adota uma abordagem baseada em risco, semelhante ao AI Act europeu, classificando sistemas de IA em categorias: risco mínimo, risco limitado, risco alto e risco excessivo.

Sistemas de IA aplicados à saúde, biotecnologia, infraestrutura crítica e segurança pública estão enquadrados como de risco alto. Isso significa obrigações específicas: avaliações de conformidade, registros documentais, auditorias periódicas e responsabilização clara do agente de IA, seja o desenvolvedor, o fornecedor ou o usuário final.

O ponto crítico é que o PL 2.338/2023 ainda não foi sancionado como lei até a data de publicação deste artigo. Na ausência de lei específica, aplicam-se o Código de Defesa do Consumidor (Lei 8.078/1990), a Lei Geral de Proteção de Dados (Lei 13.709/2018, a LGPD), o Marco Civil da Internet (Lei 12.965/2014) e, para biotecnologia, a Lei de Biossegurança (Lei 11.105/2005) e as normas da CTNBio (Comissão Técnica Nacional de Biossegurança).

Responsabilidade civil e o vácuo normativo em IA de alto risco

O caso das bactérias-espelho ilustra com precisão o problema jurídico central: quando uma IA projeta um organismo sintético que causa dano, quem responde? O desenvolvedor do modelo? A empresa que usou a API? O laboratório que executou o protocolo?

Pelo Código Civil (Lei 10.406/2002), a responsabilidade pode ser objetiva quando há atividade de risco (art. 927, parágrafo único). Mas a aplicação desse dispositivo a sistemas de IA autônomos ainda é objeto de debate doutrinário sem pacificação jurisprudencial. Sem lei específica, cada caso será analisado individualmente, o que aumenta a insegurança para investidores e founders.

A LGPD, por sua vez, trata da responsabilidade no tratamento de dados pessoais, mas não abrange diretamente danos causados por decisões automatizadas que não envolvam dados de pessoas físicas identificáveis. Isso cria uma lacuna importante para IA aplicada a pesquisa científica e biotecnologia.

Impacto prático

Para startups de IA que atuam em biotecnologia, saúde ou pesquisa científica, o cenário exige ação imediata em três frentes. Primeira: mapeamento de risco jurídico do produto ou serviço, identificando em qual categoria do PL 2.338/2023 ele se enquadraria caso a lei fosse aprovada hoje. Segunda: estruturação de contratos com cláusulas de alocação de responsabilidade claras, especialmente em relações B2B com laboratórios, hospitais e instituições de pesquisa.

Do ponto de vista contábil, empresas que desenvolvem ou utilizam IA de alto risco devem considerar a constituição de provisões para contingências jurídicas (CPC 25 e IAS 37), especialmente em setores onde a probabilidade de litígio regulatório é alta. Investidores de venture capital e private equity já começam a exigir due diligence regulatória de IA como parte dos processos de investimento em deep tech.

Para CTOs e diretores de tecnologia, a recomendação prática é documentar todas as decisões de design de sistemas de IA, incluindo os critérios usados para treinar modelos e os limites de aplicação definidos. Essa documentação pode ser decisiva em eventual responsabilização administrativa ou judicial, além de ser exigência expressa no texto do PL 2.338/2023 para sistemas de risco alto.

Considerações finais

O Brasil tem uma janela de oportunidade para construir um marco regulatório de IA que equilibre inovação e segurança. A aprovação do PL 2.338/2023 na Câmara e sua sanção presidencial são passos necessários, mas não suficientes: setores de fronteira como biotecnologia sintética com uso de IA exigem normas complementares específicas, com participação ativa da CTNBio, da Anvisa e da futura autoridade de IA.

Enquanto a lei não vem, a estratégia mais segura para empresas, founders e investidores é agir como se ela já existisse: documentar, auditar, alocar responsabilidades contratualmente e manter assessoria jurídica especializada. Quem construir essa governança agora terá vantagem competitiva e menor risco quando a regulação se tornar obrigatória.

Perguntas frequentes

O Brasil já tem lei de inteligência artificial aprovada?

Não. O principal projeto em tramitação é o PL 2.338/2023, aprovado no Senado em dezembro de 2024 e ainda em análise na Câmara dos Deputados em 2026. Enquanto não há lei específica, aplicam-se LGPD, Marco Civil da Internet, Código Civil e legislações setoriais como a Lei de Biossegurança.

Startups de IA precisam se adequar à regulação mesmo antes da lei ser aprovada?

Sim. A ausência de lei específica não elimina obrigações existentes em outras normas, como a LGPD para tratamento de dados e o Código Civil para responsabilidade por danos. Além disso, investidores e parceiros corporativos já exigem conformidade antecipada como critério de due diligence.

Como o PL 2.338/2023 classifica sistemas de IA de alto risco?

O projeto classifica como de risco alto os sistemas de IA aplicados à saúde, biotecnologia, infraestrutura crítica, educação, emprego e segurança pública. Para esses sistemas, prevê obrigações como avaliação de conformidade, documentação técnica, supervisão humana e registro junto à autoridade competente.

Quem responde civilmente por danos causados por uma IA no Brasil?

Hoje, a responsabilidade é analisada caso a caso, com base no Código Civil e no CDC. O art. 927 do Código Civil prevê responsabilidade objetiva para atividades de risco. O PL 2.338/2023, se aprovado, atribuirá responsabilidade primária ao agente de IA (desenvolvedor ou fornecedor), com possibilidade de responsabilização solidária.

Empresas de IA precisam fazer provisão contábil para riscos regulatórios?

Sim, quando a probabilidade de obrigação futura for provável e o valor puder ser estimado com razoabilidade, conforme o CPC 25 (equivalente ao IAS 37). Para empresas que atuam em setores de risco alto, como biotecnologia e saúde, a constituição de provisões para contingências regulatórias e judiciais é recomendada e pode ser exigida por auditores independentes.

Artigos relacionados

Mais artigos em breve.

Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.