Uma decisão da Corte de Cassação italiana, noticiada pela InfoMoney, trouxe à tona um debate sobre direitos, jurisdição e a aplicação de normas em contextos transnacionais. O episódio, embora trate de cidadania italiana para brasileiros, ilustra um princípio que vale para qualquer área regulatória: as regras mudam, os tribunais interpretam, e quem não acompanha paga o preço depois.
No campo da inteligência artificial, o Brasil vive exatamente esse momento de transição. Não há ainda uma lei geral de IA em vigor, mas há um projeto concreto, pressão regulatória crescente e um conjunto de normas já existentes que se aplicam, queiram ou não as empresas do setor.
Este artigo apresenta o panorama atual da regulação de IA no Brasil, os riscos jurídicos reais para empresas e profissionais, e o que precisa ser feito antes que o marco legal seja aprovado.
Contexto jurídico e regulatório
O PL 2.338/2023 e o estado atual da regulação
O principal projeto de lei sobre inteligência artificial no Brasil é o PL 2.338/2023, de autoria do senador Rodrigo Pacheco. O texto foi aprovado na Comissão Temporária do Senado em dezembro de 2024 e segue em tramitação. Ele se inspira no AI Act europeu, mas com adaptações ao contexto brasileiro.
O projeto classifica sistemas de IA por nível de risco: mínimo, limitado, alto e inaceitável. Sistemas de alto risco incluem aqueles usados em crédito, saúde, seleção de pessoas e segurança pública. Para essas categorias, o texto exige avaliação de impacto, transparência algorítmica e responsabilidade civil objetiva do fornecedor em alguns casos.
A responsabilidade civil objetiva significa que a empresa responde pelos danos causados pelo sistema de IA independentemente de culpa comprovada. Isso representa uma mudança significativa em relação ao regime geral do Código Civil brasileiro, que exige demonstração de culpa ou dolo.
LGPD, CDC e normas setoriais já em vigor
Enquanto o PL 2.338/2023 não é aprovado, três regimes normativos já se aplicam às empresas de IA no Brasil. O primeiro é a Lei Geral de Proteção de Dados (Lei 13.709/2018), que regula o tratamento de dados pessoais usados para treinar modelos ou gerar outputs. A ANPD já manifestou entendimento de que decisões automatizadas com impacto significativo sobre pessoas exigem base legal específica e direito de revisão humana, conforme o artigo 20 da LGPD.
O segundo é o Código de Defesa do Consumidor (Lei 8.078/1990), aplicável quando o sistema de IA é usado em relações de consumo. Chatbots, sistemas de recomendação e ferramentas de precificação dinâmica já estão sujeitos às regras de transparência, não discriminação e responsabilidade do fornecedor previstas no CDC.
O terceiro são as normas setoriais. O Banco Central regulou o uso de IA em serviços financeiros por meio da Resolução CMN 4.557/2017 e normas posteriores de gestão de riscos. A ANS e a ANVISA possuem diretrizes próprias para softwares de saúde, incluindo aqueles com componentes de IA. Ignorar o regulador do setor é um erro comum e caro.
Autoridade reguladora: quem vai fiscalizar?
O PL 2.338/2023, em sua versão atual, distribui a fiscalização entre órgãos setoriais existentes (Banco Central, ANS, ANATEL, entre outros) e atribui papel coordenador a uma autoridade central ainda a ser definida. A ANPD tem reivindicado protagonismo nessa coordenação, dado o vínculo direto entre IA e proteção de dados.
Essa fragmentação regulatória é um risco em si. Empresas que atuam em mais de um setor podem se deparar com exigências conflitantes ou sobrepostas. A recomendação jurídica é mapear todos os reguladores relevantes para o modelo de negócio antes de lançar qualquer produto com componente de IA.
Impacto prático
Para startups de IA, o impacto mais imediato não vem da lei que ainda não existe, mas das que já estão em vigor. Um sistema de IA que toma decisões sobre concessão de crédito, contratação de pessoas ou diagnóstico médico já pode ser questionado judicialmente com base na LGPD e no CDC. Founders precisam incluir análise jurídica no processo de desenvolvimento do produto, não apenas antes do lançamento.
Para CTOs e times de engenharia, o conceito de "IA por design" começa a ganhar relevância regulatória concreta. O PL 2.338/2023 prevê obrigatoriedade de documentação técnica, registros de decisões automatizadas e mecanismos de auditabilidade para sistemas de alto risco. Implementar isso depois que o produto está em produção custa muito mais do que construir desde o início.
Para investidores, a due diligence em empresas de IA precisa incluir avaliação de conformidade regulatória. Uma startup que não tem mapeamento de risco jurídico relacionado à IA carrega passivo oculto. O AI Act europeu já está em vigor e afeta qualquer empresa brasileira que opere no mercado europeu ou processe dados de cidadãos europeus, o que inclui boa parte das scale-ups brasileiras com ambição de internacionalização.
Considerações finais
O Brasil está em um ponto de inflexão regulatória. A aprovação do PL 2.338/2023, quando ocorrer, vai consolidar obrigações que para muitas empresas representarão mudanças operacionais significativas. Mas o risco jurídico já existe hoje, distribuído entre LGPD, CDC e reguladores setoriais. Esperar pela lei final para começar a se adequar é uma estratégia arriscada.
A lição que se extrai de qualquer processo regulatório maduro, seja na cidadania italiana ou na regulação de IA, é que quem se antecipa às regras tem vantagem. No mercado de IA, essa vantagem se traduz em produtos mais confiáveis, menos passivo jurídico e maior atratividade para investidores e clientes corporativos que já exigem conformidade como critério de contratação.