Regulação de IA no Brasil

Regulação de IA no Brasil: o que

Por · · 4 min de leitura
Regulação de IA no Brasil: o que

A notícia publicada pelo MIT Technology Review Brasil sobre o custo elevado da energia de fusão nuclear pode parecer distante do universo regulatório da inteligência artificial. Mas a conexão é mais direta do que parece: tanto a fusão quanto a IA dependem de infraestrutura energética massiva, e o custo de operação de grandes modelos de linguagem já é um fator estratégico para qualquer empresa do setor.

Mais do que isso, a reportagem reforça um ponto que o mercado de IA precisa internalizar: tecnologias transformadoras não escapam das restrições do mundo real. Custos, riscos e responsabilidades existem, e governos ao redor do mundo estão legislando sobre isso. O Brasil não é exceção.

Em 2026, o país vive um momento decisivo na construção do seu marco regulatório para IA. O PL 2.338/2023, aprovado pelo Senado Federal em novembro de 2024, tramita na Câmara dos Deputados e deve ser votado ainda neste ano. Founders, CTOs e advogados que ainda não mapearam as obrigações desse texto estão correndo um risco desnecessário.

Contexto jurídico e regulatório

O que diz o PL 2.338/2023

O Projeto de Lei 2.338/2023, de autoria do senador Rodrigo Pacheco, é o principal texto em tramitação sobre regulação de IA no Brasil. Aprovado pelo Senado em novembro de 2024 por 54 votos a 22, o projeto segue para a Câmara dos Deputados com alterações possíveis antes da sanção presidencial.

O texto adota uma abordagem baseada em risco, similar ao AI Act europeu (Regulamento UE 2024/1689, publicado em julho de 2024). Isso significa que sistemas de IA classificados como de alto risco, como os usados em crédito, saúde, segurança pública e decisões trabalhistas, estão sujeitos a obrigações mais rígidas de transparência, auditabilidade e gestão de impacto.

Entre as obrigações previstas no PL 2.338 estão: dever de informar ao usuário quando ele está interagindo com um sistema de IA; avaliação de impacto antes da implantação de sistemas de alto risco; designação de responsável pela conformidade com a lei dentro da empresa; e vedação expressa ao uso de IA para manipulação subliminar ou exploração de vulnerabilidades de grupos específicos.

Responsabilidade civil e proteção de dados

O projeto estabelece responsabilidade objetiva para agentes que operem sistemas de IA de alto risco, ou seja, não é necessário provar culpa para que a empresa responda por danos causados. Isso representa uma mudança relevante em relação ao regime geral do Código Civil brasileiro (Lei 10.406/2002), que adota a responsabilidade subjetiva como regra.

A interação com a Lei Geral de Proteção de Dados (Lei 13.709/2018, a LGPD) também é direta. Sistemas de IA que processam dados pessoais já estão sujeitos à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), e o PL 2.338 reforça essa camada ao exigir avaliações de impacto específicas para IA. Empresas que já estão em conformidade com a LGPD têm uma base sólida, mas precisarão adaptar seus processos para os requisitos adicionais do novo marco.

Impacto prático

Para startups de IA em estágio inicial, o impacto mais imediato é de governança: será necessário documentar como o sistema funciona, quais dados ele usa, como as decisões são tomadas e quem é o responsável interno pela conformidade. Isso não é apenas uma obrigação legal futura; é um critério crescente de due diligence em rodadas de investimento, especialmente com fundos internacionais.

Do ponto de vista contábil, as empresas precisarão provisionar custos relacionados à adequação regulatória. Isso inclui contratação ou treinamento de profissionais de privacidade e ética em IA, auditorias de sistemas e eventual reestruturação de modelos que não passem no teste de conformidade. Esses custos devem ser tratados como despesas operacionais ou, em alguns casos, como investimento em ativo intangível, dependendo da natureza da adequação realizada.

CTOs e diretores de tecnologia têm um papel central nesse processo. A documentação técnica dos sistemas de IA, incluindo arquitetura, fontes de dados, critérios de decisão e métricas de desempenho, será exigida tanto pela regulação brasileira quanto por clientes corporativos e órgãos públicos que contratam soluções de IA. Empresas que não tiverem esse material organizado perderão contratos e credibilidade.

Considerações finais

A regulação de IA no Brasil não é uma ameaça ao setor; é uma oportunidade para empresas que levam compliance a sério se diferenciarem em um mercado que vai exigir, cada vez mais, confiança e previsibilidade. O PL 2.338/2023 ainda pode ser alterado na Câmara, mas sua aprovação final é questão de tempo, e as obrigações centrais já estão desenhadas.

Founders, CTOs, advogados e contadores que começarem agora a mapear os sistemas de IA de suas empresas, identificar os de alto risco e estruturar os processos de conformidade estarão em posição muito melhor quando a lei entrar em vigor. Agir na última hora, neste caso, tem custo real: multas, responsabilidade civil e perda de contratos.

Perguntas frequentes

O PL 2.338/2023 já está em vigor no Brasil?

Não. O PL 2.338/2023 foi aprovado pelo Senado Federal em novembro de 2024 e tramita na Câmara dos Deputados. Ainda não foi sancionado pelo presidente da República. Até a publicação no Diário Oficial e o prazo de vacatio legis, as empresas não estão formalmente obrigadas. Porém, adequar-se antes da vigência é uma boa prática de governança.

Minha startup usa IA em decisões de crédito. Ela é considerada de alto risco pelo PL 2.338?

Sim. O texto do PL 2.338/2023 classifica como de alto risco os sistemas de IA usados em concessão de crédito, emprego, saúde, educação, segurança pública e acesso a serviços essenciais. Nesses casos, as obrigações de transparência, auditabilidade e avaliação de impacto são mais rigorosas.

Qual é a multa prevista para quem descumprir a lei de IA no Brasil?

O PL 2.338/2023, na versão aprovada pelo Senado, prevê sanções que incluem advertência, multa de até 2% do faturamento anual da empresa no Brasil (limitada a R$ 50 milhões por infração) e suspensão do sistema de IA. O texto ainda pode ser alterado na Câmara, mas os valores de referência seguem o modelo da LGPD.

A regulação brasileira de IA se aplica a empresas estrangeiras que operam no Brasil?

Sim. O PL 2.338/2023 adota critério territorial e de efeito: aplica-se a qualquer sistema de IA oferecido ou que produza efeitos no Brasil, independentemente de onde a empresa está sediada. Isso inclui plataformas de IA estrangeiras com usuários ou clientes brasileiros.

Como a regulação de IA interage com a LGPD?

As duas normas se complementam. A LGPD (Lei 13.709/2018) já exige base legal para tratamento de dados pessoais e direito de explicação em decisões automatizadas (art. 20). O PL 2.338/2023 vai além e adiciona obrigações específicas para sistemas de IA, como avaliação de impacto algorítmico e designação de responsável pela conformidade. Empresas que já têm programa de adequação à LGPD têm ponto de partida vantajoso.
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.