Voltar ao site SAFIE →
Regulação de IA no Brasil

Regulação de IA no Brasil: o que muda em 2026

Por · · 4 min de leitura
Regulação de IA no Brasil: o que muda em 2026

Um episódio recente do podcast da MIT Technology Review Brasil trouxe uma análise provocadora: o que mudaria no trânsito urbano se tivéssemos carros voadores? A discussão, conduzida por Carlos Aros, Rafael Coimbra e Alexandre Roldão, parte da mobilidade física para revelar algo mais profundo. Sistemas autônomos, seja no ar ou no asfalto, dependem de regulação clara para existir em escala.

O paralelo com a inteligência artificial é direto. Tecnologias disruptivas não se sustentam apenas pela inovação técnica. Elas precisam de um ambiente jurídico que defina responsabilidades, limite riscos e dê segurança para investidores e usuários. No Brasil, esse ambiente ainda está sendo construído, e o ritmo dessa construção afeta decisões de negócio hoje.

Este artigo parte desse ponto de inflexão para examinar o estado atual da regulação de IA no Brasil, o que já é exigível juridicamente, o que está por vir e o que founders, CTOs e advogados precisam considerar em suas operações.

Contexto jurídico e regulatório

O PL 2.338/2023 e o marco legal em construção

O principal instrumento em debate é o Projeto de Lei 2.338/2023, de autoria do senador Rodrigo Pacheco. O texto foi aprovado em comissão especial no Senado em novembro de 2024 e aguarda votação em plenário. Ele adota uma abordagem baseada em risco, semelhante ao AI Act europeu (Regulamento UE 2024/1689), classificando sistemas de IA em categorias: risco mínimo, risco limitado, alto risco e risco excessivo.

Sistemas de alto risco incluem aplicações em saúde, educação, crédito, segurança pública e infraestrutura crítica. Para essas categorias, o PL prevê obrigações como avaliação de impacto algorítmico, registro junto a autoridade competente, mecanismos de supervisão humana e explicabilidade das decisões automatizadas.

Sistemas de risco excessivo, como IA usada para manipulação subliminar ou pontuação social de cidadãos pelo Estado, seriam proibidos. A autoridade fiscalizadora ainda não está definitivamente definida no texto, mas há proposta de atribuir competência à Autoridade Nacional de Proteção de Dados (ANPD) ou a um órgão específico a ser criado.

O que já é exigível hoje: LGPD e responsabilidade civil

Mesmo sem a lei de IA aprovada, empresas que operam sistemas de inteligência artificial já têm obrigações jurídicas concretas. A Lei 13.709/2018 (LGPD) aplica-se integralmente a qualquer tratamento de dados pessoais por sistemas automatizados, incluindo modelos de machine learning e IA generativa.

O artigo 20 da LGPD garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses. Esse dispositivo já é acionável hoje e impõe às empresas a obrigação de manter processos de contestação e revisão documentados.

Além da LGPD, o Código Civil (artigos 186 e 927) e o Código de Defesa do Consumidor (Lei 8.078/1990, artigos 12 a 14) criam responsabilidade objetiva para danos causados por produtos e serviços defeituosos, incluindo sistemas de IA que produzam outputs prejudiciais. A discussão doutrinária sobre quem responde pelo dano, o desenvolvedor do modelo, o integrador ou o usuário final, ainda não tem resposta legislativa consolidada no Brasil.

Impacto prático

Para startups e empresas que desenvolvem ou integram IA, o cenário atual exige uma postura proativa em compliance, mesmo sem lei aprovada. O primeiro passo é mapear quais sistemas da empresa se enquadrariam nas categorias de alto risco do PL 2.338/2023. Modelos usados em concessão de crédito, triagem de currículos, diagnóstico médico auxiliar ou monitoramento de comportamento já atraem escrutínio regulatório e judicial.

Do ponto de vista contábil, empresas que recebem investimento de fundos com mandato ESG ou de origem europeia precisam considerar que o AI Act já está em vigor na União Europeia desde agosto de 2024, com obrigações progressivas até 2027. Contratos com parceiros ou clientes europeus podem conter cláusulas de conformidade que se tornam exigíveis independentemente da legislação brasileira.

Para founders em fase de captação, documentar práticas de governança de IA, política de uso aceitável, registro de versões de modelos e processos de avaliação de risco pode ser determinante em due diligences. Fundos de venture capital com tese em deep tech no Brasil já incluem questionários de AI governance em seus processos, segundo relatos do ecossistema. A ausência de documentação adequada pode não apenas reduzir valuation, mas inviabilizar rodadas junto a investidores institucionais.

Considerações finais

A regulação de IA no Brasil está em fase decisiva. O PL 2.338/2023 pode ser votado em plenário no Senado ainda em 2026, e a janela para que empresas se antecipem às exigências é estreita. Ignorar esse processo não é uma opção para quem opera em setores de alto risco ou tem ambições de escala internacional.

A lição que vem do debate sobre mobilidade autônoma, seja no asfalto ou no ar, é que tecnologia sem arcabouço jurídico não escala. Founders e CTOs que investirem agora em estruturar governança de IA, documentar processos e entender as obrigações já vigentes sob a LGPD estarão em posição muito mais sólida quando a lei for aprovada.

Perguntas frequentes

O Brasil já tem uma lei de inteligência artificial aprovada?

Não. Em maio de 2026, o principal instrumento em tramitação é o PL 2.338/2023, aprovado em comissão especial no Senado em novembro de 2024 e aguardando votação em plenário. Até a aprovação, as empresas estão sujeitas à LGPD, ao Código Civil e ao CDC para responsabilidades relacionadas a sistemas de IA.

Minha startup de IA precisa se preocupar com regulação agora, antes da lei ser aprovada?

Sim. A LGPD já impõe obrigações concretas para qualquer sistema que processe dados pessoais, incluindo o direito à revisão humana de decisões automatizadas (artigo 20). Além disso, responsabilidade civil por danos causados por sistemas defeituosos já é exigível via Código Civil e CDC.

O que é considerado IA de alto risco no projeto de lei brasileiro?

O PL 2.338/2023 classifica como alto risco sistemas usados em saúde, educação, concessão de crédito, segurança pública, recrutamento e infraestrutura crítica. Para essas categorias, o texto prevê avaliação de impacto algorítmico, explicabilidade das decisões e supervisão humana obrigatória.

Como o AI Act europeu afeta empresas de IA brasileiras?

O AI Act (Regulamento UE 2024/1689) tem efeito extraterritorial: aplica-se a qualquer sistema de IA colocado no mercado europeu ou que afete usuários na União Europeia. Startups brasileiras com clientes, parceiros ou investidores europeus precisam verificar se suas soluções se enquadram nas categorias reguladas pelo regulamento.

Quem será o órgão regulador de IA no Brasil?

O PL 2.338/2023 ainda não define com clareza a autoridade competente. As propostas em debate incluem atribuir competência à ANPD (Autoridade Nacional de Proteção de Dados) ou criar um órgão específico. Esse ponto é um dos mais sensíveis da negociação política em torno do texto.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.