Voltar ao site SAFIE →
Regulação de IA no Brasil

Regulação de IA no Brasil: o que muda em 2026

Por · · 4 min de leitura
Regulação de IA no Brasil: o que muda em 2026

Em maio de 2026, o debate sobre regulação de inteligência artificial no Brasil deixou de ser acadêmico. Com o PL 2.338/2023 avançando no Senado Federal e regulações setoriais do Banco Central, da ANPD e da ANS já produzindo efeitos práticos, empresas de tecnologia enfrentam um novo ambiente de conformidade, com prazos, penalidades e exigências técnicas concretas.

O cenário regulatório brasileiro se inspira no AI Act europeu, aprovado em 2024, mas tem características próprias. A proposta nacional adota uma abordagem baseada em risco, classificando sistemas de IA em categorias que vão do risco mínimo ao risco excessivo, proibido por lei. Cada faixa impõe obrigações diferentes para desenvolvedores, operadores e usuários finais.

Para founders, CTOs e investidores, a questão central não é se a regulação vai acontecer, mas quando e com qual intensidade. Este artigo apresenta o estado atual do marco regulatório, as obrigações jurídicas mais relevantes e os impactos práticos para quem desenvolve ou aplica IA no Brasil.

Contexto jurídico e regulatório

O PL 2.338/2023 e a estrutura de risco

O Projeto de Lei 2.338/2023, de autoria do senador Rodrigo Pacheco, é o principal instrumento em tramitação para regular IA no Brasil. O texto classifica sistemas de IA em quatro níveis: risco mínimo, risco limitado, alto risco e risco excessivo. Sistemas de alto risco incluem aplicações em saúde, educação, crédito, segurança pública e seleção de pessoal.

Para sistemas de alto risco, o projeto exige documentação técnica detalhada, registro em autoridade competente, avaliação de impacto algorítmico e mecanismos de supervisão humana. O descumprimento pode gerar multas de até 2% do faturamento anual da empresa no Brasil, limitadas a R$ 50 milhões por infração, segundo o texto aprovado em comissão especial em dezembro de 2024.

A responsabilidade civil é tratada de forma objetiva para sistemas de alto risco: o fornecedor responde pelos danos causados independentemente de culpa, salvo prova de culpa exclusiva do usuário ou de terceiro. Esse ponto tem impacto direto na estrutura contratual de SaaS, APIs e produtos embarcados de IA.

Normas setoriais já em vigor

Enquanto o PL tramita, normas setoriais já impõem obrigações a empresas de IA. A Resolução BCB nº 4.557/2017, atualizada pela Resolução CMN nº 4.966/2021, exige que instituições financeiras que usam modelos algorítmicos para crédito documentem e expliquem as decisões automatizadas. O Banco Central publicou em 2025 um guia específico sobre governança de IA para o setor.

A ANPD (Autoridade Nacional de Proteção de Dados) enquadra decisões automatizadas que produzem efeitos jurídicos como tratamento de dados pessoais sujeito à LGPD (Lei nº 13.709/2018). O artigo 20 da LGPD garante ao titular o direito de revisão humana de decisões tomadas exclusivamente por algoritmos, o que afeta diretamente produtos de IA usados em RH, saúde e financeiro.

A ANVISA e o CFM publicaram diretrizes sobre IA em dispositivos médicos e diagnóstico clínico. Empresas que desenvolvem soluções de saúde com IA precisam de registro de produto, validação clínica e plano de monitoramento pós-mercado, conforme a RDC nº 657/2022 da ANVISA.

Impacto prático

Para startups de IA em fase de produto, o momento de pensar em conformidade regulatória é o da arquitetura, não o do lançamento. Sistemas classificados como alto risco precisarão de registros, auditorias e documentação que levam meses para estruturar. Deixar para depois significa retrabalho técnico e jurídico caro.

Do ponto de vista contábil, as obrigações regulatórias geram custos que precisam ser provisionados. Auditorias de algoritmos, contratação de DPO (encarregado de proteção de dados), seguros de responsabilidade civil tecnológica e adequações de infraestrutura são despesas reais que afetam o EBITDA e o valuation de empresas em rodadas de captação. Investidores de venture capital e private equity já incluem due diligence regulatória em processos de M&A envolvendo empresas de IA.

CTOs e diretores de tecnologia devem mapear agora quais sistemas da empresa se enquadram em alto risco segundo o PL 2.338/2023. Esse mapeamento orienta decisões de produto, define prioridades de engenharia para explicabilidade e auditabilidade dos modelos, e antecipa os custos de conformidade antes que se tornem obrigações exigíveis.

Considerações finais

O marco regulatório de IA no Brasil está sendo construído em camadas: uma lei geral em tramitação, normas setoriais já vigentes e orientações de autoridades que têm força normativa crescente. Empresas que tratam isso como prioridade estratégica saem na frente, seja em contratos com o setor público, seja em processos de captação com investidores institucionais.

O custo da não conformidade tende a superar o custo da adequação preventiva. Multas, litígios, retrabalho técnico e danos reputacionais são riscos mensuráveis. A recomendação prática é simples: mapeie seus sistemas, classifique-os por nível de risco e construa sua documentação agora, enquanto as regras ainda estão sendo definidas e há margem para influenciar o processo.

Perguntas frequentes

O PL 2.338/2023 já está em vigor no Brasil?

Não. Em maio de 2026, o PL 2.338/2023 ainda está em tramitação no Congresso Nacional. Ele foi aprovado em comissão especial no Senado em dezembro de 2024, mas ainda precisa passar por votação em plenário e, eventualmente, pela Câmara dos Deputados, antes de ser sancionado. Enquanto isso, normas setoriais da LGPD, do Banco Central e da ANVISA já produzem efeitos para empresas de IA.

Minha startup de IA precisa de um DPO mesmo sendo pequena?

A LGPD (Lei nº 13.709/2018) exige a indicação de um encarregado (DPO) para qualquer organização que realize tratamento de dados pessoais em larga escala ou que processe dados sensíveis. Se sua startup de IA usa dados de usuários para treinar ou operar modelos, a obrigação provavelmente se aplica. A ANPD admite que o DPO seja um colaborador interno ou um prestador de serviço externo.

O que é avaliação de impacto algorítmico e quando ela é obrigatória?

A avaliação de impacto algorítmico é um processo documentado que analisa os riscos de um sistema de IA sobre direitos fundamentais, grupos vulneráveis e decisões que afetam pessoas. Pelo texto do PL 2.338/2023, ela é obrigatória para sistemas de alto risco antes do lançamento e deve ser atualizada periodicamente. A LGPD já prevê obrigação similar para decisões automatizadas com base em dados pessoais, conforme o artigo 10, parágrafo 3º.

Como a regulação de IA afeta contratos de SaaS e APIs de inteligência artificial?

A responsabilidade objetiva prevista para sistemas de alto risco no PL 2.338/2023 muda o equilíbrio contratual entre fornecedores e clientes de SaaS e APIs de IA. Cláusulas de limitação de responsabilidade precisam ser revistas, e contratos devem especificar quem é o desenvolvedor e quem é o operador do sistema, pois as obrigações legais diferem para cada papel. Advogados que atendem empresas de tecnologia devem atualizar seus modelos contratuais.

Investidores podem ser responsabilizados por danos causados por IA de empresas do portfólio?

Em regra, investidores que detêm participação societária minoritária sem controle operacional não respondem diretamente por danos causados por produtos da empresa investida. Contudo, o PL 2.338/2023 prevê responsabilidade solidária em casos de controle efetivo sobre o desenvolvimento do sistema. Fundos de venture capital com assento no conselho e poder de veto em decisões técnicas devem avaliar esse risco com seus assessores jurídicos.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.