Regulação de IA no Brasil: o que muda em 2026

Por SAFIE · 4 de maio de 2026 · 4 min de leitura

Uma notícia aparentemente distante do universo de inteligência artificial ilustra bem o momento regulatório que o Brasil atravessa: segundo a MIT Technology Review Brasil, a Microsoft, uma das maiores clientes do mercado global de remoção de carbono, pode estar recuando de compromissos climáticos que ela própria ajudou a construir. O episódio é relevante porque expõe um padrão que se repete em diferentes setores: grandes empresas de tecnologia moldam mercados, criam dependências e, quando os ventos mudam, deixam para trás obrigações que outros assumiram como certas.

No Brasil, o mercado de inteligência artificial enfrenta dinâmica semelhante. Empresas adotam soluções de IA com velocidade, mas sem clareza sobre quem responde quando algo dá errado. A ausência de regulação específica não significa ausência de responsabilidade. Significa, na prática, que as regras existentes (Código Civil, LGPD, CDC, legislação setorial) serão aplicadas por juízes e reguladores sem um marco de referência consolidado.

Com o PL 2.338/2023 em tramitação avançada no Senado Federal, isso está prestes a mudar. O artigo a seguir analisa o que está em jogo para founders, CTOs, advogados e contadores que atuam com tecnologia no Brasil.

Contexto jurídico e regulatório

O PL 2.338/2023 e o marco regulatório em construção

O Projeto de Lei 2.338/2023, de autoria do senador Rodrigo Pacheco, é atualmente o principal instrumento regulatório de IA em discussão no Brasil. Aprovado em comissão especial do Senado em dezembro de 2024, o texto aguarda votação em plenário. Ele adota uma abordagem baseada em risco, semelhante ao AI Act europeu (Regulamento UE 2024/1689), classificando sistemas de IA em categorias: risco mínimo, risco limitado, alto risco e risco inaceitável.

Para sistemas de alto risco (como os usados em crédito, saúde, segurança pública e seleção de pessoal), o projeto exige avaliação de impacto algorítmico, registro em base de dados pública, transparência ativa ao usuário e responsabilidade objetiva do fornecedor em determinadas hipóteses. Isso significa que, provado o dano, a empresa responde independentemente de culpa.

A responsabilidade civil é o ponto mais sensível para startups. O artigo 28 do projeto estabelece responsabilidade solidária entre desenvolvedores e operadores de sistemas de IA de alto risco. Na prática, uma startup que vende uma solução de IA para uma empresa que a usa inadequadamente pode ser responsabilizada junto com o cliente, dependendo do grau de controle que mantém sobre o sistema.

LGPD, contratos e governança: o que já vale hoje

Independentemente da aprovação do PL 2.338/2023, a Lei Geral de Proteção de Dados (Lei 13.709/2018) já impõe obrigações relevantes para sistemas de IA que processam dados pessoais. O artigo 20 da LGPD garante ao titular o direito de solicitar revisão humana de decisões automatizadas que afetem seus interesses, inclusive acesso às informações sobre os critérios utilizados.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 2024, o Guia Orientativo sobre Inteligência Artificial e Proteção de Dados, que detalha como aplicar os princípios da LGPD a sistemas de machine learning e modelos de linguagem. O documento não tem força normativa, mas orienta fiscalizações e serve como parâmetro em disputas administrativas e judiciais.

No plano contratual, o Código Civil (artigos 421 a 480) e o Código de Defesa do Consumidor (Lei 8.078/1990) já estruturam o regime de responsabilidade aplicável a falhas de sistemas de IA em relações B2C. Para relações B2B, os contratos de fornecimento de IA precisam definir com precisão: propriedade dos dados de treinamento, limitações de uso, SLAs de precisão, cláusulas de auditabilidade e alocação de responsabilidade por outputs incorretos.

Impacto prático

Para startups de IA, o risco imediato não é a multa regulatória (que depende da aprovação do PL), mas a exposição em contratos mal estruturados. Casos de viés algorítmico, discriminação em processos seletivos automatizados ou erros em sistemas de crédito já chegam ao Judiciário com base na LGPD e no CDC. Sem cláusulas contratuais adequadas, a startup responde integralmente.

CTOs e diretores de tecnologia precisam mapear agora quais sistemas da empresa se enquadrariam como alto risco pelo critério do PL 2.338/2023. Esse mapeamento antecipa adequações técnicas (logs de decisão, explicabilidade, testes de viés) e reduz o custo de conformidade quando a lei entrar em vigor. Empresas que começarem esse processo em 2026 terão vantagem competitiva frente a quem esperar a sanção da lei.

Para investidores em deep tech, a regulação de IA passa a ser critério de due diligence. Fundos que investem em startups de IA com uso em saúde, crédito ou RH precisam avaliar a estrutura de governança de dados, os contratos com clientes e a capacidade técnica da empresa de gerar explicabilidade nos modelos. Uma startup sem essas estruturas representa risco regulatório que afeta valuation e saída.

Considerações finais

O Brasil não está atrasado na regulação de IA por acaso. O processo legislativo reflete a complexidade do tema e a dificuldade de equilibrar inovação com proteção de direitos. Mas o ritmo de adoção de IA pelo mercado não espera o ritmo do Congresso. Startups, empresas e investidores que agirem agora, com base no que já está em vigor (LGPD, CDC, Código Civil) e no que está em tramitação (PL 2.338/2023), estarão melhor posicionados do que os que aguardarem a publicação no Diário Oficial.

A analogia com o mercado de carbono é precisa: empresas que construíram modelos de negócio sobre compromissos de terceiros, sem estrutura própria de governança, ficam vulneráveis quando o ambiente muda. No mercado de IA, governança não é burocracia. É resiliência.

Perguntas frequentes

O PL 2.338/2023 já está em vigor no Brasil?

Não. Em maio de 2026, o projeto ainda aguarda votação em plenário no Senado Federal. Foi aprovado em comissão especial em dezembro de 2024, mas não tem força de lei até ser sancionado pelo presidente da República. Mesmo assim, as obrigações da LGPD e do Código Civil já se aplicam a sistemas de IA.

Minha startup de IA precisa se adequar à LGPD mesmo sem usar dados sensíveis?

Sim. Qualquer dado pessoal (nome, e-mail, comportamento de uso, localização) processado por sistemas de IA está sujeito à LGPD. Além disso, o artigo 20 da lei garante ao usuário o direito de revisar decisões automatizadas, o que exige que sua empresa documente os critérios dos modelos e permita contestação humana.

O que é responsabilidade objetiva em IA e como ela afeta contratos?

Responsabilidade objetiva significa que a empresa responde pelo dano causado pelo sistema de IA independentemente de ter agido com culpa ou negligência. O PL 2.338/2023 prevê esse regime para sistemas de alto risco. Nos contratos, isso exige cláusulas claras de alocação de responsabilidade, limitação de danos e obrigações de auditabilidade entre desenvolvedor e operador.

Como saber se meu sistema de IA é classificado como alto risco pelo projeto de lei brasileiro?

O PL 2.338/2023 lista critérios como: impacto em direitos fundamentais, uso em decisões sobre crédito, emprego, saúde, educação ou segurança pública, e escala de implantação. Se o sistema influencia decisões que afetam significativamente a vida de pessoas físicas, a classificação de alto risco é provável. Recomenda-se análise jurídica específica do caso.

Investidores precisam avaliar conformidade regulatória de IA antes de investir?

Sim. A ausência de governança de dados, contratos inadequados com clientes e falta de documentação técnica sobre os modelos representam passivo jurídico potencial. Fundos de venture capital e investidores-anjo em deep tech já incluem checklist regulatório de IA na due diligence, especialmente para startups que atuam em setores regulados como saúde, fintech e RH.