Regulação de IA no Brasil: o que muda em 2026

Por SAFIE · 10 de maio de 2026 · 4 min de leitura

A notícia enviada como base desta análise trata de uma partida de tênis no Roma Open e não guarda relação com regulação de IA, direito ou contabilidade. Por responsabilidade editorial, o SAFIE IA for Business não utiliza notícias desconexas como ponto de partida falso para análises jurídicas. O artigo a seguir trata do tema central solicitado, regulação de IA no Brasil, com base em fontes primárias e legislação vigente.

O Brasil vive, em 2026, um momento decisivo para o setor de inteligência artificial. O Projeto de Lei 2338/2023, de autoria do senador Eduardo Gomes, tramita no Congresso com substitutivo aprovado no Senado em 2024 e aguarda votação definitiva na Câmara. Enquanto isso, o Banco Central, a ANS, a ANPD e outros reguladores setoriais já editaram normas específicas que afetam diretamente sistemas de IA.

Para founders, CTOs e investidores, ignorar esse movimento regulatório é um risco estratégico. Contratos, estrutura societária, política de privacidade e arquitetura de sistemas precisam ser revistos à luz das obrigações que já estão em vigor ou que entrarão em vigor nos próximos meses.

Contexto jurídico e regulatório

O PL 2338/2023 e o modelo de regulação por risco

O substitutivo aprovado no Senado em dezembro de 2023 adota uma abordagem baseada em risco, semelhante ao AI Act europeu. Sistemas de IA são classificados em categorias: uso proibido, alto risco, risco limitado e risco mínimo. Cada categoria impõe obrigações distintas de transparência, auditabilidade e responsabilização.

Sistemas classificados como alto risco, como os usados em crédito, saúde, educação, segurança pública e seleção de pessoal, precisarão passar por avaliações de conformidade antes da implantação. O projeto prevê ainda a criação de uma autoridade nacional de IA, com competências ainda em debate no texto que tramita na Câmara.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) já incide sobre qualquer sistema de IA que processe dados pessoais. A ANPD publicou em 2024 o Regulamento de Uso de Dados Pessoais para Fins de Segurança Pública e, em paralelo, iniciou consulta pública sobre IA e tratamento automatizado de dados. Decisões automatizadas que produzem efeitos jurídicos sobre titulares já exigem, pelo artigo 20 da LGPD, a possibilidade de revisão humana e explicação dos critérios utilizados.

Responsabilidade civil e contratos

O PL 2338/2023 prevê responsabilidade objetiva para fornecedores de sistemas de IA de alto risco. Isso significa que, comprovado o dano causado pelo sistema, a empresa responde independentemente de culpa. Para startups que vendem IA como serviço (AIaaS), cláusulas contratuais de limitação de responsabilidade precisam ser revisadas com atenção redobrada, pois podem ser consideradas abusivas em relações com consumidores.

O Código de Defesa do Consumidor (Lei 8.078/1990) já se aplica integralmente a serviços de IA oferecidos a pessoas físicas. O Superior Tribunal de Justiça tem consolidado entendimento de que falhas em sistemas automatizados geram responsabilidade do fornecedor, conforme julgados recentes envolvendo plataformas digitais e crédito automatizado.

Impacto prático

Para startups de IA em estágio inicial, o momento mais barato de se adequar é agora. Implementar governança de IA na fase de construção do produto custa uma fração do que custará uma reestrututura após autuação da ANPD ou demanda judicial. O investimento mínimo envolve documentar os dados usados no treinamento, definir responsáveis internos pelo ciclo de vida do modelo e criar uma política de revisão humana para decisões de alto impacto.

Para CTOs e times de engenharia, as obrigações regulatórias se traduzem em requisitos técnicos concretos: logs auditáveis de decisões automatizadas, mecanismos de explicabilidade (como SHAP ou LIME para modelos de machine learning), versionamento documentado de modelos e planos de resposta a incidentes envolvendo viés algorítmico. Essas práticas, conhecidas como MLOps com governança, já são exigidas por clientes enterprise e tendem a se tornar critério de contratação pública.

Do ponto de vista contábil, custos de conformidade com regulação de IA podem ser capitalizados como ativos intangíveis quando vinculados ao desenvolvimento de software, conforme o CPC 04 (R1). Multas e provisões por descumprimento da LGPD, que chegam a 2% do faturamento no Brasil limitadas a R$ 50 milhões por infração, devem ser provisionadas conforme o CPC 25 quando a obrigação for provável e mensurável.

Considerações finais

O Brasil está construindo um regime de regulação de IA que combina proteção de dados, responsabilidade civil e supervisão setorial. O marco legal ainda não está consolidado, mas as obrigações já existentes, especialmente pela LGPD e pelo CDC, são suficientes para gerar riscos reais a empresas que operam sem governança mínima. Esperar a aprovação definitiva do PL 2338/2023 para agir é uma aposta arriscada.

Founders e gestores que tratarem conformidade como ativo estratégico, e não como custo, sairão na frente em processos de due diligence, contratos com o setor público e captação de investimento. Regulação bem compreendida é vantagem competitiva.

Perguntas frequentes

O PL 2338/2023 já está em vigor no Brasil?

Não. O substitutivo foi aprovado no Senado em dezembro de 2023 e tramita na Câmara dos Deputados. Ainda não há prazo definido para votação final. Porém, a LGPD e normas setoriais já impõem obrigações concretas a sistemas de IA que processam dados pessoais ou afetam consumidores.

Quais sistemas de IA são considerados de alto risco pelo projeto de lei brasileiro?

O PL 2338/2023 lista como alto risco sistemas usados em: concessão de crédito, seleção de pessoal, educação, saúde, segurança pública, infraestrutura crítica e administração da justiça. Esses sistemas exigirão avaliação de conformidade, documentação técnica e mecanismos de supervisão humana.

Minha startup pode ser multada pela ANPD por uso inadequado de IA?

Sim. Se o sistema de IA processar dados pessoais sem base legal adequada, sem transparência ao titular ou sem mecanismo de revisão humana em decisões automatizadas (art. 20 da LGPD), a ANPD pode autuar a empresa com multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração.

Como tratar contabilmente os custos de adequação regulatória de IA?

Custos de adequação vinculados ao desenvolvimento ou aprimoramento de software podem ser capitalizados como ativos intangíveis conforme o CPC 04 (R1), desde que atendidos os critérios de reconhecimento (viabilidade técnica, intenção de completar, benefício econômico futuro). Custos de treinamento interno e consultorias de conformidade são geralmente reconhecidos como despesa do período.

Investidores estrangeiros exigem conformidade com regulação de IA em due diligence?

Cada vez mais sim. Fundos com exposição ao mercado europeu seguem o AI Act da UE como referência e verificam se as startups investidas possuem políticas de governança de IA, documentação de modelos e planos de gestão de risco. A ausência dessas práticas pode inviabilizar rodadas ou gerar representações e garantias específicas no contrato de investimento.

Fontes e referências

InfoMoney
PL 2338/2023 (Marco Legal da IA): https://www25.senado.leg.br/web/atividade/materias/-/materia/157233
Lei Geral de Proteção de Dados (Lei 13.709/2018): http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
ANPD, Regulamento de Uso de Dados Pessoais para Fins de Segurança Pública (2024): https://www.gov.br/anpd/pt-br
CPC 04 (R1), Ativo Intangível, CFC/CVM: https://www.cpc.org.br/CPC/Documentos-Emitidos/Pronunciamentos/Pronunciamento?Id=35
CPC 25, Provisões, Passivos Contingentes e Ativos Contingentes: https://www.cpc.org.br/CPC/Documentos-Emitidos/Pronunciamentos/Pronunciamento?Id=56
Código de Defesa do Consumidor (Lei 8.078/1990): http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm
Nota: a notícia original enviada como base (InfoMoney, Roma Open) não guarda relação com o tema regulatório e não foi utilizada como fonte desta análise.