Regulação de IA no Brasil

Regulação de IA no Brasil: o que muda em 2026

Por · · 4 min de leitura
Regulação de IA no Brasil: o que muda em 2026

Stewart Brand, um dos principais pensadores da cultura tecnológica contemporânea, lança um livro que questiona como as sociedades priorizam a manutenção em vez da inovação constante. A obra, resenhada pela MIT Technology Review Brasil, coloca uma pergunta incômoda: por que construímos tanto e mantemos tão pouco?

A pergunta de Brand ressoa diretamente no debate regulatório sobre inteligência artificial no Brasil. O país produz soluções de IA com velocidade crescente, mas o arcabouço jurídico que deveria sustentar, monitorar e corrigir esses sistemas ainda está sendo construído. A lacuna entre o ritmo da tecnologia e o ritmo da regulação cria riscos reais para empresas, usuários e investidores.

Este artigo examina onde está o Brasil na regulação de IA, quais são as obrigações jurídicas já vigentes e o que founders, CTOs e profissionais do direito precisam considerar hoje, antes que a omissão regulatória se torne omissão estratégica.

Contexto jurídico e regulatório

O PL 2.338/2023: o marco legal que está chegando

O Projeto de Lei 2.338/2023, de autoria do senador Rodrigo Pacheco, foi aprovado pelo Senado Federal em dezembro de 2024 por 54 votos a favor. Atualmente tramita na Câmara dos Deputados, onde deve ser votado ao longo de 2026. O texto define IA como qualquer sistema que, com diferentes níveis de autonomia, gera saídas como previsões, recomendações ou conteúdos que influenciam ambientes reais ou virtuais.

O projeto adota uma abordagem baseada em risco, semelhante ao AI Act europeu. Sistemas classificados como de risco excessivo, como aqueles usados em pontuação social ou manipulação comportamental subliminar, seriam proibidos. Sistemas de alto risco, como os aplicados em saúde, crédito, segurança pública e processos seletivos, exigirão avaliação de conformidade, documentação técnica e mecanismos de auditabilidade antes de serem colocados em operação.

A autoridade responsável pela fiscalização ainda não está definitivamente definida no texto. Há proposta de criação de uma Autoridade Nacional de Inteligência Artificial (ANIA), mas o debate sobre sua vinculação ao Executivo e sua independência permanece aberto. Enquanto isso, a ANPD (Autoridade Nacional de Proteção de Dados) já exerce jurisdição sobre sistemas de IA que tratam dados pessoais, com base na Lei Geral de Proteção de Dados (Lei 13.709/2018).

O que já é exigível hoje, sem esperar o marco de IA

Mesmo sem o marco específico de IA aprovado, diversas normas já impõem obrigações concretas. A LGPD exige base legal para tratamento de dados, transparência sobre decisões automatizadas (artigo 20) e a possibilidade de revisão humana em decisões com impacto significativo sobre o titular. O Código de Defesa do Consumidor (Lei 8.078/1990) responsabiliza fornecedores por danos causados por produtos e serviços defeituosos, incluindo sistemas de software. O Marco Civil da Internet (Lei 12.965/2014) estabelece responsabilidades para provedores de aplicações. Uma startup de IA que opera chatbots, sistemas de recomendação ou ferramentas de análise preditiva já está sujeita a todas essas normas simultaneamente.

Impacto prático

Para founders e CTOs, a mensagem central é que conformidade não é um evento futuro. É um processo contínuo que começa no design do produto. Sistemas de IA precisam ser documentados desde a fase de desenvolvimento: quais dados foram usados no treinamento, como o modelo toma decisões, quais mecanismos existem para corrigir erros e como o usuário pode contestar uma saída automatizada.

Do ponto de vista contábil e de governança corporativa, a regulação de IA começa a criar categorias de risco que precisam aparecer nos relatórios internos e nas due diligences de investimento. Fundos de venture capital e investidores de deep tech já incorporam questionários de conformidade regulatória em seus processos. Uma startup sem documentação de governança de IA pode ter sua valuation impactada ou enfrentar condições contratuais mais restritivas.

Advogados e contadores que atendem empresas de tecnologia devem estar preparados para auditar contratos de uso de IA de terceiros (fornecedores de LLMs, APIs de visão computacional, sistemas de automação), identificar responsabilidade contratual em caso de falha do sistema e estruturar políticas internas de uso aceitável de IA que possam ser apresentadas a clientes corporativos e reguladores.

Considerações finais

A provocação de Stewart Brand sobre manutenção versus inovação é mais pertinente para o ecossistema de IA brasileiro do que pode parecer. Construir sistemas de IA sem estrutura de monitoramento, correção e conformidade é o equivalente digital de erguer um edifício sem projeto de manutenção. O PL 2.338/2023, quando aprovado, não será uma surpresa: será a formalização de obrigações que já existem no horizonte regulatório há pelo menos dois anos.

Empresas que tratarem a regulação como parte do processo de engenharia e não como obstáculo burocrático terão vantagem competitiva real. No mercado B2B, especialmente em setores regulados como saúde, finanças e educação, a capacidade de demonstrar conformidade já é um diferencial de vendas. O momento de agir é antes da aprovação do marco, não depois.

Perguntas frequentes

O PL 2.338/2023 já está em vigor no Brasil?

Não. O projeto foi aprovado pelo Senado em dezembro de 2024 e tramita na Câmara dos Deputados. Ainda não tem data definitiva de aprovação, mas é esperada uma votação ao longo de 2026. Mesmo sem o marco específico, a LGPD e o CDC já impõem obrigações a sistemas de IA em operação no Brasil.

Quais sistemas de IA serão considerados de alto risco pela futura regulação brasileira?

O PL 2.338/2023 classifica como alto risco sistemas usados em saúde, segurança pública, processos seletivos de emprego, concessão de crédito, educação e infraestrutura crítica. Esses sistemas precisarão de documentação técnica, avaliação de conformidade e mecanismos de supervisão humana antes de entrar em operação.

Uma startup de IA que usa APIs de terceiros (como OpenAI ou Google) é responsável pelos riscos do modelo?

Sim, em grande parte. Quem coloca o produto final no mercado responde perante o usuário e o regulador. O contrato com o fornecedor da API pode distribuir responsabilidades entre as partes, mas isso não elimina a responsabilidade do integrador frente ao CDC e à LGPD. Revisar os termos de uso e os acordos de processamento de dados dos fornecedores é obrigatório.

A ANPD já pode fiscalizar sistemas de IA antes da aprovação do marco específico?

Sim. A ANPD tem competência para fiscalizar qualquer operação de tratamento de dados pessoais, incluindo decisões automatizadas por IA. O artigo 20 da LGPD garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados. Empresas que operam sistemas de IA com dados pessoais já estão sob jurisdição da ANPD.

Como estruturar a governança de IA em uma startup antes da regulação ser aprovada?

O mínimo recomendado inclui: documentar os dados usados no treinamento dos modelos, registrar as versões do sistema e as decisões de design, criar uma política interna de uso aceitável de IA, definir um responsável pela conformidade (DPO ou equivalente) e mapear os contratos com fornecedores de tecnologia para identificar cláusulas de responsabilidade. Esses elementos serão exigidos pelo PL 2.338/2023 e já são avaliados por investidores em processos de due diligence.

Artigos relacionados

Mais artigos em breve.

Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.