Inteligência Artificial

PL 2338 na prática: o que a regulação da IA significa para quem já usa ou planeja usar inteligência artificial na empresa

Por Maria Augusta Bezerra 17 de maio, 2026 19 min de leitura
PL 2338 + LGPD: onde se sobrepõem e onde divergem

As empresas brasileiras investiram US$ 2,6 bilhões em software, serviços e infraestrutura de IA em 2025 — e a IDC projeta US$ 3,4 bilhões em 2026, crescimento de mais de 30% (IDC via Mobiletime, fevereiro de 2026). Ao mesmo tempo, 59,1% das empresas ainda não têm diretrizes formais para uso de IA (Abiacom/Brazil Panels, dezembro de 2025).

Essa combinação, adoção acelerada sem governança, é exatamente o cenário que o PL 2338/2023 pretende regular.

O texto foi aprovado pelo Senado em 10 de dezembro de 2024 e está em análise pela Câmara desde março de 2025. Votação prevista para 2026, sem data definida. Mas o impacto operacional nas empresas brasileiras já chegou antes da promulgação. A razão é direta: os principais fornecedores globais de IA – Microsoft, Google, OpenAI, IBM, SAP , já operam sob o EU AI Act europeu. Os contratos que assinam, a documentação que entregam e os requisitos que impõem já seguem essa norma.

O PL 2338 ainda não é lei. Já é, porém, realidade de mercado.

Contexto regulatório complementar → LGPD na prática: o que muda no operacional da empresa

Pontos principais

  • O PL 2338 foi aprovado pelo Senado (dez/2024) e está na Câmara, votação prevista para 2026 sem data definida
  • US$ 3,4 bilhões serão investidos em IA no Brasil em 2026 (IDC); mas 59,1% das empresas não têm diretrizes formais (Abiacom, 2025)
  • Fornecedores globais já operam pelo EU AI Act, seus contratos e documentação já refletem a norma europeia
  • Sistemas de RH (triagem automatizada) e crédito (scoring) se enquadram como “alto risco” no PL 2338
  • EU AI Act Omnibus (07/05/2026): prazo para alto risco stand-alone adiado para dez/2027, mas proibições e letramento vigentes desde fev/2025

O que é o PL 2338 e por que ele já importa antes de ser lei

O PL 2338/2023 foi aprovado pelo Senado em 10 de dezembro de 2024, resultado de cinco anos de debate sobre regulação de inteligência artificial no Brasil (Senado Federal, dezembro de 2024). Em março de 2025, chegou à Câmara dos Deputados. Uma Comissão Especial foi criada e, ao longo de 2025, realizou 31 reuniões, incluindo audiências públicas e sessões de trabalho, ouviu 180 convidados e votou 163 propostas (Câmara dos Deputados, 2025). Votação do plenário foi adiada para 2026, sem data definida.

O modelo estrutural do texto é o Regulamento Europeu de IA, EU AI Act (Regulamento 2024/1689). Não é coincidência: a comissão que redigiu o PL 2338 fez consultas explícitas ao modelo europeu. As categorias de risco, o conceito de “alto risco”, as obrigações de transparência e supervisão humana seguem a mesma lógica do texto europeu.

Mas há uma atualização relevante sobre o EU AI Act que poucas análises brasileiras incorporaram.

Atualização de 07/05/2026 – EU AI Act Omnibus: O Acordo Provisório entre Conselho e Parlamento Europeu adiou o prazo para aplicação das regras de sistemas de alto risco stand-alone de agosto/2027 para 2 de dezembro de 2027 (Pinsent Masons, maio de 2026). Isso cria uma janela adicional para fornecedores europeus, e impacta diretamente os contratos que sua empresa assina com eles hoje. As proibições absolutas e os requisitos de letramento em IA, porém, já estão vigentes desde 2 de fevereiro de 2025 e não foram adiados. Para empresas brasileiras que trabalham com fornecedores europeus: o que eles precisam entregar mudou de prazo, o que precisam documentar, não.

Em dezembro de 2025, o governo federal enviou ao Congresso um PL paralelo propondo o Sistema Nacional de Desenvolvimento, Regulação e Governança de IA (SIA), com a ANPD como autoridade regulatória residual (Gov.br/Gestão, dezembro de 2025). O texto do PL 2338 pode ser fundido com esta proposta, o que significa que o resultado final aprovado pode diferir do que saiu do Senado.

PL 2338 vs. LGPD: complementares, não redundantes

A distinção entre as duas normas é estrutural. A LGPD regula o ingrediente: dados pessoais no tratamento. O PL 2338 regula a receita: o comportamento do sistema de IA em si, independentemente de quais dados usa.

Um sistema de scoring de crédito que usa dados não-pessoais anonimizados não aciona a LGPD, mas aciona o PL 2338 se tomar decisões com impacto significativo sobre pessoas. Os dois textos coexistem em camadas, não se substituem.

Detalhamento da relação PL 2338 e LGPD → seção específica neste artigo + LGPD na prática

Como o PL 2338 classifica os sistemas de IA da sua empresa

O ponto de partida operacional do PL 2338 é a classificação por risco, ela determina o peso de todas as obrigações seguintes. O uso de IA nas empresas industriais brasileiras saltou de 16,9% em 2022 para 41,9% em 2024, crescimento de 163% em dois anos (IBGE PINTEC Semestral 2024, setembro de 2024). A maioria dessas empresas ainda não mapeou em qual categoria seus sistemas se enquadrariam.

Adoção de tecnologias avançadas na indústria brasileira (2024) 0% 10% 20% 30% 40% IA 41,9% Robótica 30,5% Big Data 27,8% Manuf. Aditiva 20,3%
Fonte: IBGE PINTEC Semestral 2024 — empresas industriais com 100+ funcionários. IA superou robótica, big data e manufatura aditiva pela primeira vez.

A pirâmide de risco do PL 2338 tem quatro níveis:

Proibido – sistemas cujo risco é inaceitável e cuja operação seria vedada no Brasil:

  • Pontuação social (social scoring) por autoridades públicas
  • Manipulação comportamental subliminal contra o interesse do usuário
  • Identificação biométrica remota em tempo real em espaços públicos (com exceções para segurança nacional)

Nenhuma empresa privada brasileira opera legalmente nessa categoria hoje. mas o PL 2338 a formaliza como proibição explícita com sanção.

Alto risco – a categoria com maior impacto operacional nas empresas. Os exemplos diretos para o mercado brasileiro:

  • RH e gestão de pessoas: sistemas de triagem automática de currículos, scoring de candidatos, avaliação de desempenho por IA, monitoramento de produtividade. Pesquisa Think Work (agosto de 2025) indica que 78% das empresas brasileiras já usam IA em processos de RH (ABRH Brasil, 2025), boa parte desses sistemas se enquadra como alto risco.
  • Crédito e risco financeiro: scoring de crédito, análise automatizada de inadimplência, detecção de fraude com decisão automatizada. Pesquisa Cinnecta (2024) aponta que 50% das instituições financeiras brasileiras já usam IA na concessão de crédito (Finsiders Brasil, novembro de 2024). Todos esses sistemas atraem obrigações de alto risco.
  • Saúde: diagnóstico por IA, triagem clínica automatizada, recomendação de tratamento.
  • Acesso e segurança: reconhecimento facial em controle de acesso corporativo, vigilância biométrica.

Risco limitado – obrigações de transparência, sem conformidade técnica pesada:

  • Chatbots e assistentes virtuais: o usuário precisa ser informado de que interage com IA, não com humano.
  • Conteúdo gerado por IA (imagens, vídeos, texto): deve ser identificado como tal.

Risco mínimo – sem obrigações adicionais além das já existentes em outras leis:

  • Filtros de spam, sistemas de recomendação de conteúdo, análise de sentimento para pesquisa de mercado.

O que o mapeamento revela na prática: A maioria das empresas que acredita usar IA apenas como “apoio à decisão” descobrirá, ao fazer o mapeamento, que a linha entre apoio e decisão é mais tênue do que parece. Um sistema que “recomenda” rejeitar um candidato, mas cuja recomendação é seguida em 95% dos casos, funciona operacionalmente como sistema de decisão, e o PL 2338 tende a tratar dessa forma. O critério não é a intenção do sistema; é o impacto real sobre pessoas.

O que o PL 2338 vai exigir do time de TI na prática

Profissional de tecnologia analisando dashboards com múltiplas métricas de dados em ambiente corporativo representando supervisão de sistemas de inteligência artificial

Para sistemas de alto risco, as obrigações técnicas do PL 2338 recaem sobre quem configura, implanta e opera o sistema, não só sobre quem faz compliance jurídico. Apenas 25% das organizações globais implementaram programa de governança de IA plenamente (AuditBoard, 2025), e as obrigações técnicas são uma das razões por esse número ser baixo (Knostic, 2025).

Documentação técnica obrigatória

Para cada sistema de alto risco, a empresa precisa manter documentação sobre: finalidade declarada do sistema, dados usados no treinamento ou operação, desempenho esperado (acurácia, taxa de erro), limitações conhecidas e casos de uso excluídos.

Essa documentação não existe para “atender à auditoria”. Existe para que o gestor responsável possa supervisionar o sistema com informação suficiente para decidir quando confiá-lo, e quando não.

Logs de auditoria e rastreabilidade de decisões

Sistemas de alto risco precisam registrar: qual input receberam, qual output geraram, quando e com qual configuração. O objetivo é que qualquer decisão possa ser rastreada e explicada retroativamente, para o regulador, para o gestor, para o titular que exercer direito de contestação.

Isso tem implicação direta em arquitetura: bancos de logs com retenção definida, acesso controlado, integração com o workflow de resposta a incidentes.

Supervisão humana: o que significa na arquitetura

“Human-in-the-loop” não é um checkbox de governança. É um requisito arquitetural.

Um sistema de alto risco precisa oferecer mecanismos reais para que um humano possa intervir antes ou durante a decisão, não só cancelá-la depois do fato consumado. Na prática:

  • Alertas configuráveis para casos em que o sistema opera com baixa confiança
  • Dashboards de supervisão mostrando distribuição de decisões ao longo do tempo
  • Workflows de aprovação humana para decisões de alto impacto (demissão, reprovação de crédito, negação de acesso a serviço)

Avaliação de conformidade antes do deploy

Para sistemas de alto risco, o PL 2338 exige avaliação formal antes de colocar o sistema em operação. Não é um processo de QA técnico, é uma avaliação específica de risco regulatório, documentada e, em alguns casos, certificada por organismo externo.

O que muda nos contratos com fornecedores de IA

O PL 2338 distingue “fornecedor” (quem desenvolve e comercializa o sistema) de “operador” (empresa que usa). Para quem compra IA de terceiros, essa divisão tem implicações contratuais diretas.

O que o operador precisa exigir do fornecedor por contrato:

  • Documentação técnica do sistema (propósito declarado, limitações, vieses conhecidos)
  • Logs exportáveis em formato auditável
  • SLA para notificação de incidentes que afetam o sistema
  • Declaração de conformidade com normas aplicáveis (EU AI Act, para fornecedores europeus)

Fornecedores que operam na União Europeia já têm essa documentação, o EU AI Act os obrigou. Um fornecedor que não consegue entregar esses documentos em 2026 é um sinal de alerta concreto.

PL 2338 + LGPD: onde se sobrepõem e onde divergem

PL 2338 + LGPD: onde se sobrepõem e onde divergem

PL 2338 e LGPD não são redundantes, são camadas distintas que atuam em paralelo. A ANPD reconheceu isso formalmente na Nota Técnica nº 12/2025/CON1/CGN/ANPD, publicada em maio de 2025, que consolida 124 contribuições de consulta pública sobre decisões automatizadas e proteção de dados (Lefosse Advogados / ANPD, maio de 2025). A regulamentação de IA consta como Item 7 da Agenda Regulatória da ANPD para 2025-2026.

Onde as duas leis convergem:

  • Base legal para uso de dados: se o sistema de IA usa dados pessoais, a LGPD se aplica. O PL 2338 acrescenta requisitos de transparência sobre como esses dados foram usados no treinamento.
  • Direito de contestação: a LGPD já dá ao titular o direito de contestar decisões automatizadas (Art. 20). O PL 2338 expande para incluir explicação do mecanismo do sistema e revisão por humano.
  • DPO como ponto de contato: o Encarregado de Proteção de Dados já tem papel na LGPD. O PL 2338 expande suas responsabilidades para incluir supervisão de sistemas de alto risco.

Onde o PL 2338 vai além da LGPD:

ObrigaçãoLGPDPL 2338
Explicabilidade de decisões automatizadasInforma critérios usadosExige explicação do mecanismo
Categorização de risco do sistemaNão existeObrigatória para todos os sistemas de IA
Avaliação de conformidade antes do deployNão existeObrigatória para sistemas de alto risco
Cadeia de responsabilidade no fornecimentoControlador / operador de dadosFornecedor / operador de sistema de IA
Supervisão humana obrigatóriaNão existeObrigatória para alto risco
Certificação por terceiroNão existeNecessária em categorias específicas

A forma mais direta de entender a sobreposição: a LGPD é condição necessária mas não suficiente para operar sistemas de IA de alto risco. Ter o programa de LGPD em dia não cumpre nenhuma das obrigações técnicas do PL 2338.

Padrão observado em organizações mais avançadas: Empresas que construíram o programa de LGPD com boa documentação de tratamento de dados saem à frente no PL 2338, não porque o trabalho já está feito, mas porque já têm a cultura de documentar impacto sobre pessoas, já têm o DPO ativo e já treinaram o time para pensar nesses termos. Essas são as fundações que o PL 2338 exige em escala maior. Quem montou a LGPD como exercício burocrático terá que refazer o trabalho de qualquer forma.

LGPD na prática: o que a lei exige no operacional

O que decidir agora, antes da lei entrar em vigor

A adoção de IA cresce, mas a governança formal não acompanha. Pesquisa FGV IBRE (Q1 2025, 3.608 empresas) mostra adoção de IA de 46,7% em grandes empresas, 30,6% em médias e 20,7% em pequenas (FGV IBRE, 2025). A governança formal fica muito atrás em todos os portes.

Uso de IA vs maturidade de governança — 2025-2026 0% 25% 50% 75% 41,9% Usando IA (IBGE, 2024) 40,9% Com diretrizes (Abiacom, 2025) 25% Gov. plena (AuditBoard, 2025) 7% Gov. embarcada (Trustmarque, 2025)
Fontes: IBGE PINTEC 2024; Abiacom/Brazil Panels, dez. 2025; AuditBoard 2025; Trustmarque 2025. Governança global, demais dados Brasil.

Quatro decisões que não dependem de o PL 2338 ser promulgado, e que ficam significativamente mais caras de reverter depois:

Decisão 1: mapear os sistemas de IA atuais por categoria de risco

A pergunta não é “usamos IA?”. É: “quais sistemas tomam ou influenciam decisões com impacto em pessoas, emprego, crédito, acesso a serviços, saúde?” Esse inventário é o ponto de partida de qualquer programa de governança de IA. Sem ele, não há como saber o que precisaria de documentação técnica, supervisão humana ou avaliação de conformidade.

Decisão 2: revisar os contratos com fornecedores de IA

Quem é responsabilizado se o sistema causar dano? O contrato atual provavelmente não responde. Exigir documentação técnica, logs exportáveis e SLA para notificação de incidentes é razoável hoje, e obrigatório quando o PL for aprovado.

Decisão 3: verificar compliance europeu do fornecedor

Fornecedores que operam na UE já têm documentação de conformidade com o EU AI Act. É o proxy mais rápido disponível hoje para avaliar maturidade regulatória de um fornecedor antes de fechar contrato. Perguntar diretamente: “vocês têm documentação de conformidade com o EU AI Act para este sistema?” leva menos de cinco minutos e revela muito sobre como o fornecedor trata risco.

Decisão 4: criar uma política interna de uso de IA

47,4% dos profissionais brasileiros usam IA sem aprovação oficial, o que a pesquisa Abiacom chama de “Shadow AI” (dezembro de 2025). Uma política interna, mesmo simples, reduz esse risco e, quando o PL for aprovado, é o primeiro atenuante documentável. O paralelo com a LGPD é inevitável: empresas que esperaram a entrada em vigor para se adequar tiveram custos de implementação muito maiores do que as que aproveitaram a vacatio legis.

Quem decide o quê: TI vs. Jurídico sob o PL 2338

O PL 2338 distribui responsabilidades de forma clara entre “fornecedor” (quem desenvolve e comercializa) e “operador” (empresa que usa). Para o operador, essa distribuição tem implicações sobre quem na organização responde pelo quê, e é onde os silos entre TI e Jurídico costumam criar brechas reais.

O fornecedor responde por:

  • Conformidade do sistema com os requisitos técnicos do PL 2338
  • Documentação técnica e declaração de conformidade
  • Notificação ao operador de incidentes que afetam o sistema
  • Qualidade e disponibilidade dos logs de auditoria

O operador (sua empresa) responde por:

  • Usar o sistema apenas dentro dos casos de uso declarados pelo fornecedor
  • Garantir supervisão humana adequada
  • Manter registros de uso e das decisões tomadas com base no sistema
  • Responder aos titulares que exercerem direito de explicação ou contestação

O que TI decide:

  • Arquitetura de supervisão humana, dashboards, alertas, workflows de aprovação
  • Implementação e retenção dos logs de auditoria
  • Configuração do sistema dentro dos parâmetros documentados pelo fornecedor
  • Avaliação técnica da documentação do fornecedor na fase de compra

O que DPO/Jurídico decide:

  • Base legal para uso de dados pessoais no sistema (LGPD)
  • Cláusulas contratuais com o fornecedor, responsabilidade, SLAs, direito de auditoria
  • Política interna de uso de IA e treinamento de colaboradores
  • Resposta a titulares que exercerem direitos previstos no PL 2338

Quando o CTO e o DPO trabalham a partir do mesmo inventário de sistemas de IA de alto risco, as decisões de arquitetura e as de compliance se informam mutuamente. Quando trabalham em silos, a empresa tende a ter documentação de compliance que não reflete a arquitetura real, e a arquitetura real que não reflete os requisitos legais.

Como mapear sistemas de IA de alto risco na sua empresa

Perguntas frequentes sobre o PL 2338 e regulação da IA no Brasil

Quando o PL 2338 será aprovado?

Não há data definida. Aprovado pelo Senado em 10 de dezembro de 2024, está na Câmara desde março de 2025. A Comissão Especial realizou 31 reuniões em 2025, ouviu 180 convidados e votou 163 propostas; a votação do plenário foi adiada para 2026 (Câmara dos Deputados, 2025). Há ainda a possibilidade de fusão com o PL paralelo do governo enviado em dezembro de 2025, o que pode alterar o texto final aprovado pelo Senado.

Quais sistemas da minha empresa se enquadrariam como alto risco?

A classificação de alto risco inclui sistemas que tomam ou influenciam decisões com impacto em pessoas em domínios específicos: emprego (triagem de currículos, avaliação de desempenho), crédito (scoring, análise de inadimplência), saúde (diagnóstico, triagem clínica) e segurança (reconhecimento facial, vigilância biométrica). Se 78% das empresas brasileiras usam IA em RH (Think Work, 2025) e 50% das instituições financeiras usam IA em crédito (Cinnecta, 2024), a maioria já tem pelo menos um sistema de alto risco em operação.

PL 2338 e LGPD precisam de programas de compliance separados?

São complementares, não substituíveis. A LGPD regula o uso de dados pessoais no tratamento, e continua vigente. O PL 2338 regula o comportamento do sistema de IA, independentemente dos dados que usa. Um programa de governança de IA bem estruturado cobre as duas normas, mas com obrigações específicas de cada camada. Ter LGPD em dia não cumpre os requisitos técnicos do PL 2338 para sistemas de alto risco. LGPD na prática: obrigações operacionais

Fornecedores de IA estrangeiros precisam cumprir o PL 2338?

Sim, se oferecerem sistemas ou serviços a pessoas ou empresas no Brasil, mesmo sem presença jurídica no país. O modelo segue o critério de territorialidade pelo local do tratamento, não pela sede do fornecedor, o mesmo adotado pela LGPD. Para fornecedores europeus, a convergência estrutural com o EU AI Act simplifica a adequação ao texto brasileiro.

O que é o SIA proposto pelo governo em dezembro de 2025?

O PL enviado pelo governo em dezembro de 2025 propõe o Sistema Nacional de Desenvolvimento, Regulação e Governança de IA (SIA), com a ANPD como autoridade regulatória residual. O texto pode ser fundido com o PL 2338 na Câmara ou tramitar em paralelo. Independentemente do resultado legislativo, a ANPD já incluiu regulamentação de IA como Item 7 de sua Agenda Regulatória 2025-2026, o que significa que a agência atuará na matéria mesmo antes de qualquer aprovação final.

A governança de IA não é gasto de compliance. É vantagem competitiva.

A regulação da IA no Brasil vai seguir o ciclo da LGPD: tramitação longa, aprovação formal, período de adaptação, depois enforcement progressivo. A diferença, desta vez, é que a infraestrutura regulatória europeia já está funcionando, e os fornecedores globais já estão adequados a ela.

Empresas que mapearem seus sistemas de alto risco, revisarem contratos com fornecedores e criarem política interna antes de o PL 2338 ser promulgado não apenas reduzem risco regulatório. Ganham vantagem competitiva concreta: clientes enterprise já exigem governança de IA como critério de qualificação em processos de compra. O mercado financeiro e de saúde está acelerando esse movimento.

A vantagem de 2026 não é ter IA. É conseguir provar que você sabe operar IA com governança.

ChatGPT para empresas: como avaliar risco antes de contratar

Fontes primárias consultadas:

Os melhores artigos no seu e-mail.

Curadoria semanal. Sem barulho.

Tags:
Compartilhe:
Maria Augusta Bezerra

Maria Augusta Bezerra

Trabalha com tecnologia há 35 anos, tempo suficiente para entender que a parte mais importante do ofício é não parar de aprender. Acompanhou de perto as transformações que mudaram a forma como lidamos com informação: da chegada da internet comercial ao surgimento da computação em nuvem, da automação de processos à era da inteligência artificial. Cada onda trouxe uma lição, e a Mabex é o espaço onde essas lições viram texto. Aqui, escreve sobre os projetos que conduz, os debates que considera urgentes e as tecnologias que merecem atenção sem promessa milagrosa, com honestidade sobre o que funciona e o que ainda está em construção.

Site do Autor

Você também pode gostar

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Utilizamos cookies para oferecer melhor experiência, aperfeiçoar o desempenho, analisar como você interage em nosso site e personalizar conteúdo.