Voltar ao site SAFIE →
Regulação de IA no Brasil

Regulação de IA no Brasil: o que muda em 2026

Por · · 4 min de leitura
Regulação de IA no Brasil: o que muda em 2026

A notícia publicada pelo MIT Technology Review Brasil sobre 'reprogramação celular' e o entusiasmo em torno de bilhões de dólares investidos em biotecnologia de reversão do envelhecimento pode parecer distante do universo jurídico. Mas ela revela um padrão que se repete em toda tecnologia disruptiva: o capital e a narrativa chegam antes da regulação, e as empresas que ignoram esse gap pagam o preço depois.

No Brasil, esse padrão está se consolidando agora no setor de inteligência artificial. O país está prestes a ter uma lei específica para IA, e o intervalo entre 'tecnologia funcionando' e 'regra clara aplicável' é exatamente onde mora o risco jurídico para quem está construindo produtos com IA hoje.

Este artigo explica o estado atual da regulação de IA no Brasil, o que já é obrigação legal mesmo sem a lei aprovada, e o que founders, CTOs e seus assessores jurídicos e contábeis precisam colocar na agenda agora.

Contexto jurídico e regulatório

O PL 2.338/2023 e o marco regulatório em construção

O principal instrumento em tramitação é o Projeto de Lei 2.338/2023, de autoria do Senador Rodrigo Pacheco. O texto foi aprovado no Senado em dezembro de 2024 e segue para a Câmara dos Deputados. Ele adota uma abordagem baseada em risco, semelhante ao AI Act europeu (Regulamento UE 2024/1689), classificando sistemas de IA em categorias: risco mínimo, risco limitado, alto risco e risco inaceitável.

Sistemas de alto risco, como os usados em concessão de crédito, triagem de currículos, diagnóstico médico auxiliado por IA e decisões com efeito jurídico sobre pessoas, ficam sujeitos a obrigações mais severas. Isso inclui: avaliação de impacto algorítmico, registro em cadastro nacional, obrigação de explicabilidade das decisões e designação de um responsável técnico identificável.

O texto também prevê responsabilidade civil objetiva do fornecedor quando o sistema causar dano ao usuário, salvo comprovação de culpa exclusiva do operador. Para startups que ainda tratam a IA como 'ferramenta interna', esse ponto é crítico: se o sistema influencia decisões que afetam terceiros, o fornecedor responde.

O que já é exigível hoje, antes da lei de IA

Mesmo sem o PL aprovado, já existem obrigações legais aplicáveis a sistemas de IA no Brasil. A Lei Geral de Proteção de Dados (Lei 13.709/2018, a LGPD) exige, no artigo 20, que o titular de dados possa solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados. Isso se aplica a qualquer sistema de IA que processe dados pessoais para tomar ou recomendar decisões.

O Código de Defesa do Consumidor (Lei 8.078/1990) também incide sobre produtos e serviços baseados em IA comercializados ao consumidor final. Falhas, vieses sistêmicos e ausência de informação adequada sobre o funcionamento do sistema podem configurar defeito de produto ou serviço, com responsabilidade solidária na cadeia de fornecimento.

Adicionalmente, o Banco Central do Brasil, a ANATEL e a ANS já editaram normas setoriais que regulam o uso de modelos automatizados em crédito, telecomunicações e saúde suplementar, respectivamente. Quem opera nesses setores já está sob escrutínio regulatório específico, independentemente do marco geral de IA.

Impacto prático

Para founders e CTOs de startups de IA, o impacto mais imediato é a necessidade de mapear todos os sistemas que tomam ou influenciam decisões com efeito sobre pessoas. Esse mapeamento não é apenas jurídico: ele tem reflexo contábil, porque sistemas classificados como alto risco exigirão investimento em conformidade (compliance), documentação técnica e, possivelmente, auditorias externas, o que representa custo operacional recorrente que precisa constar do planejamento financeiro.

Investidores de venture capital e private equity já começam a incluir due diligence regulatória de IA nos processos de investimento em deep tech. Um sistema sem documentação de conformidade, sem política de uso aceitável publicada e sem registro de avaliação de impacto é um passivo que reduz valuation e pode travar rodadas de captação. Founders que tratar isso como 'problema futuro' estão transferindo o custo para o pior momento possível.

Para advogados e contadores que atendem empresas de tecnologia, o momento é de estruturar produtos de serviço específicos para conformidade em IA: desde a revisão de contratos com cláusulas de responsabilidade por decisão automatizada até a criação de centros de custo para obrigações regulatórias de IA. O mercado para isso no Brasil ainda é incipiente, mas a demanda vai crescer rapidamente quando a lei for sancionada.

Considerações finais

A regulação de IA no Brasil não é uma ameaça ao setor de tecnologia. É, na prática, uma oportunidade para empresas sérias se diferenciarem de players que tratam conformidade como opcional. Quem construir agora os processos de governança de IA, a documentação técnica e as políticas de transparência vai ter vantagem competitiva real quando a lei entrar em vigor.

O padrão que a biotecnologia de longevidade ilustra, capital e entusiasmo antes de regulação, vale também para IA. A diferença é que, no Brasil, a regulação de IA está chegando em prazo mais curto do que muitos founders estimam. Preparar-se agora custa menos do que remediar depois.

Perguntas frequentes

O PL 2.338/2023 já está em vigor no Brasil?

Não. Em junho de 2026, o PL 2.338/2023 foi aprovado pelo Senado em dezembro de 2024 e tramita na Câmara dos Deputados. Ainda não foi sancionado como lei. Mas isso não significa ausência de obrigações: LGPD, CDC e normas setoriais já se aplicam a sistemas de IA que processam dados pessoais ou afetam consumidores.

Minha startup usa IA só internamente. Preciso me preocupar com regulação?

Depende. Se o sistema processa dados pessoais de colaboradores ou terceiros, a LGPD já incide. Se as decisões geradas pelo sistema afetam contratos, demissões ou concessão de benefícios a pessoas, o artigo 20 da LGPD exige que o titular possa solicitar revisão humana. O uso 'interno' não é isenção automática.

Quais sistemas de IA são considerados de alto risco pelo PL 2.338/2023?

O texto aprovado pelo Senado lista sistemas de alto risco em áreas como: concessão de crédito, seleção de pessoal, acesso a serviços públicos essenciais, diagnóstico médico auxiliado por IA, decisões judiciais ou administrativas automatizadas, e sistemas de vigilância biométrica em espaços públicos. Esses sistemas ficam sujeitos a avaliação de impacto, registro e obrigações de explicabilidade.

Como a regulação de IA afeta o valuation de uma startup em rodada de investimento?

Investidores institucionais já incluem due diligence de conformidade regulatória em IA nos processos de M&A e VC. Sistemas sem documentação técnica, sem política de uso aceitável e sem registro de avaliação de impacto são tratados como passivo contingente. Isso pode reduzir valuation, exigir escrow ou travar o fechamento da rodada.

O que é avaliação de impacto algorítmico e quando ela é obrigatória?

É um documento técnico que descreve o funcionamento do sistema de IA, os dados utilizados, os riscos de viés e discriminação, e as medidas de mitigação adotadas. Pelo PL 2.338/2023, ela é obrigatória para sistemas de alto risco antes de serem colocados em operação. A LGPD já prevê instrumento similar (Relatório de Impacto à Proteção de Dados Pessoais, o RIPD) para tratamentos de dados de alto risco.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.