Inteligência Artificial

Marco Legal da IA Brasil 2026: status do PL 2338 e o que decidir agora

O PL 2338 já foi aprovado

Artigo de atualização contínua. Última atualização: 29 de junho de 2026. Este artigo é republicado a cada parecer do relator, votação em comissão ou plenário, sanção presidencial ou retorno ao Senado — mantendo a URL original. Próxima verificação: após próxima movimentação legislativa. Histórico de versões em rodapé.

17 de março de 2025, 19 de dezembro de 2025, e o que muda para sua empresa em 2026

Uma proposta de ferramenta de IA chega à mesa. O fornecedor apresenta os números, o contrato está pronto, e alguém na reunião diz: “vamos aguardar a aprovação do PL 2338 para fechar. Quando a lei sair, sabemos o que precisamos documentar.”

Era uma posição defensável em janeiro de 2026. O Senado Federal tinha aprovado o texto por unanimidade em 10 de dezembro de 2024, sob relatoria do senador Eduardo Gomes. O autógrafo chegou à Câmara via Ofício SF nº 235 em 17 de março de 2025. A Comissão Especial da Câmara, presidida pela deputada Luísa Canziani e com relatoria do deputado Aguinaldo Ribeiro (PP-PB), realizou doze audiências públicas entre maio e setembro de 2025. Votação estava prevista para dezembro de 2025.

Em 19 de dezembro de 2025, a votação foi adiada para 2026. A decisão foi alinhada entre as presidências da Câmara e do Senado, com três motivos públicos: desgaste político no Congresso, ausência de consenso sobre direitos autorais em modelos de IA, e vício de iniciativa identificado pelo próprio Poder Executivo no sistema de governança proposto.

Em junho de 2026, “votação em 2026” significa: talvez abril, talvez julho, talvez novembro pós-eleição, ou retorno ao Senado com alterações se a Câmara modificar o texto. Ano eleitoral comprime o segundo semestre legislativo. O cronograma é genuinamente incerto.

O que não é incerto são as consequências para quem não se preparou. Quando o PL 2338 for sancionado, a multa prevista chega a R$ 50 milhões por infração. A classificação obrigatória por risco vai exigir inventário de todos os sistemas de IA em uso. Os direitos dos afetados por decisões automatizadas terão base legal específica. E empresa que começar a estruturar conformidade no dia da publicação no Diário Oficial vai estar seis meses atrás das que começaram agora. Para o panorama completo da IA generativa no Brasil em 2026, o Pilar IA Generativa contextualiza o PL 2338 no movimento regulatório global.

Este artigo apresenta a linha do tempo factual do PL 2338, os seis pontos com consenso amplo no Congresso, os três pontos ainda em disputa, o mapa regulatório completo que opera além do PL 2338, e as cinco decisões que sua empresa pode tomar hoje, sem esperar a sanção.

A linha do tempo do PL 2338: Senado, Câmara e onde estamos agora

Mai 2023 Apresentacao PL 2338/2023 no Senado 2023-2024 Tramitacao CTIA, relator senador Eduardo Gomes 10 dez 2024 Aprovacao unanime no Senado (votacao simbolica) 17 mar 2025 Remessa a Camara via Oficio SF no 235 Mai-Set 2025 12 audiencias publicas, Comissao Especial da Camara 19 dez 2025 — ADIAMENTO Votacao adiada para 2026 por impasses politicos Jan-Jun 2026 (hoje) Tramitacao na Camara em curso 2026 (a confirmar) Parecer do relator, votacao plenario, sancao presidencial 2027-2028 (expectativa) Vacatio legis (90-180 dias) e aplicacao efetiva Confirmado Em andamento Adiamento Expectativa
Gráfico 1 — Linha do tempo do PL 2338/2023. Verde = confirmado em tramitação oficial; amarelo = em andamento (jun/2026); vermelho = adiamento; cinza = expectativa. Fonte: Senado Federal e Câmara dos Deputados. Última atualização: jun/2026.

O PL 2338/2023 foi apresentado no Senado em maio de 2023 pelo senador Rodrigo Pacheco. Passou dois anos na Comissão Temporária de Inteligência Artificial (CTIA), com amplo ciclo de audiências e revisões técnicas, antes de chegar ao plenário. Em 10 de dezembro de 2024, o texto substitutivo do relator senador Eduardo Gomes foi aprovado por unanimidade em votação simbólica.

O autógrafo chegou à Câmara dos Deputados em 17 de março de 2025, via Ofício SF nº 235, conforme o art. 65 da Constituição Federal para projetos que passam pelas duas casas legislativas. A Câmara funciona como casa revisora plena: pode aprovar o texto do Senado, alterá-lo parcialmente, ou rejeitar pontos específicos. Qualquer alteração de mérito obriga o retorno ao Senado antes da sanção presidencial.

A Comissão Especial realizou doze audiências públicas entre maio e setembro de 2025, com especialistas técnicos, representantes do setor produtivo, organizações da sociedade civil — entre elas o InternetLab, o IP.rec (Instituto de Pesquisa em Direito e Tecnologia do Recife) e o IRIS-BH (Instituto de Referência em Internet e Sociedade), que apresentaram análises sobre viés algorítmico, direitos dos afetados e impacto sobre grupos vulneráveis — e organismos internacionais. As audiências de 9 e 10 de setembro de 2025 focaram especificamente no tratamento de direitos autorais e IA generativa, um dos três pontos que travaram a votação de dezembro.

DataFatoStatus
Maio de 2023Apresentação do PL 2338/2023 no Senado pelo senador Rodrigo PachecoConfirmado
2023-2024Tramitação na CTIA do Senado, relatoria do senador Eduardo GomesConfirmado
10 de dezembro de 2024Aprovação por unanimidade no plenário do SenadoConfirmado
17 de março de 2025Remessa à Câmara via Ofício SF nº 235Confirmado
Abril e maio de 2025Criação da Comissão Especial na CâmaraConfirmado
Maio a setembro de 202512 audiências públicas com especialistas, setor produtivo e sociedade civilConfirmado
9 e 10 de setembro de 2025Audiências específicas sobre direitos autorais e IA generativaConfirmado
19 de dezembro de 2025Votação adiada para 2026, decisão alinhada entre as presidênciasConfirmado
Janeiro a junho de 2026Tramitação na Câmara em curso, audiências adicionaisEm andamento
A confirmar em 2026Parecer do relator, votação em comissão, votação em plenárioExpectativa
A confirmar (se houver alteração)Retorno ao Senado, sanção presidencial, vacatio legisExpectativa

Aprovação por unanimidade no Senado não equivale a consenso na Câmara. As duas casas têm composições políticas distintas, e a Câmara tem prerrogativa plena de revisão. Mesmo no cenário mais otimista, votação em plenário, sanção presidencial e vacatio legis (o período entre a publicação no Diário Oficial e a entrada em vigor, tipicamente 90 a 180 dias para legislação desta complexidade) colocam a aplicação efetiva em 2027 ou 2028.

Empresa que planeja agir “quando a lei sair” está trabalhando com o horizonte errado. O prazo real para estar pronta é antes da sanção, não depois.

Os seis pontos consensuais do texto substitutivo

Apesar dos impasses que adiaram a votação, há um núcleo do PL 2338 com aceitação ampla de governo, oposição, setor produtivo, academia e sociedade civil. Esses pontos definem o piso regulatório que qualquer versão aprovada do texto vai conter. Empresa séria já estrutura conformidade considerando-os como cenário-base.

1. Abordagem baseada em risco, alinhada ao EU AI Act europeu

Sistemas de IA são classificados em quatro níveis: risco excessivo (proibido, como manipulação psicológica em escala), alto risco (regulado com requisitos específicos de documentação, segurança e governança), risco limitado (obrigações de transparência menores — ex.: chatbots devem informar ao usuário que interagem com IA, deep fakes devem ser sinalizados) e risco mínimo ou inexistente (autorregulação com boas práticas). O modelo do EU AI Act (Regulamento UE 2024/1689) é a referência estrutural — e também usa quatro níveis. A distinção entre risco limitado e risco mínimo importa: chatbots de atendimento ao cliente com coleta de dados pessoais provavelmente caem em risco limitado, não risco mínimo, com obrigações específicas de divulgação ao usuário. Para saber como aplicar essa classificação ao inventário da sua empresa, veja o guia de como classificar risco de sistema de IA.

2. Direitos dos afetados por decisões automatizadas

Pessoas impactadas por sistemas de IA têm direito à transparência (ser informadas de que houve decisão automatizada), à explicação (entender os critérios usados) e à contestação (acesso a revisão humana). Uma distinção crítica para compliance de RH e crédito: o direito de não ser submetido a decisão exclusivamente automatizada em contextos de alto impacto é distinto do direito de contestar após a decisão. No primeiro caso, a revisão humana é estrutural — o sistema não opera sem ela para certas categorias. No segundo, é acionada pelo titular a posteriori. O PL 2338, alinhado ao EU AI Act, tende a exigir revisão humana estrutural (não apenas reparadora) para as categorias de maior impacto sobre direitos fundamentais. Esse conjunto alinha com o art. 20 da LGPD (Lei 13.709/2018), que já exige revisão de decisão automatizada para dados pessoais. O PL 2338 torna explícito e amplia o que a LGPD implica.

3. ANPD como autoridade central do sistema de IA

A Autoridade Nacional de Proteção de Dados assume papel de autoridade coordenadora no Sistema Nacional de Regulação e Governança de IA, com competência principal sobre dados pessoais e supervisão transversal. As agências reguladoras setoriais mantêm competência própria em seus domínios: Bacen no sistema financeiro, Anvisa na saúde, Anatel nas telecomunicações, ANS nos planos de saúde. Para bancos, hospitais e operadoras de saúde, a ANPD não será o único interlocutor regulatório — o compliance de IA precisará contemplar a agência setorial competente. A opção por aproveitar estrutura existente, em vez de criar uma autoridade do zero, é ponto de consenso amplo.

4. Multa de até R$ 50 milhões por infração

A mesma base do art. 52 da LGPD é referência para as sanções do PL 2338: até 2% do faturamento do grupo econômico no exercício anterior à infração, limitado a R$ 50 milhões por infração. Empresa que estruturou compliance de LGPD tem o piso para entender o regime sancionatório. A diferença está nas infrações específicas de IA: uso de sistema de alto risco sem avaliação de impacto, violação de direitos dos afetados, uso indevido de dado pessoal para treinamento de modelo sem base legal.

5. Avaliação de Impacto Algorítmico para sistemas de alto risco

Sistemas classificados como alto risco exigem documentação formal do impacto sobre direitos fundamentais, com revisão periódica. O modelo é estruturalmente similar ao Relatório de Impacto à Proteção de Dados (RIPD) da LGPD — identificar riscos, descrever mitigações, registrar decisões — mas com dois escopos distintos: (1) a AIA abrange impactos em direitos fundamentais além da privacidade (emprego, crédito, saúde, segurança); (2) a AIA para alto risco deve também documentar requisitos técnicos de segurança do sistema — robustez contra manipulação de inputs, testes de comportamento adversarial, auditabilidade dos logs de decisão. Empresa que tratar AIA e RIPD como documentos intercambiáveis e produzir apenas um pode estar descumprindo ambas as obrigações. O processo completo está no guia de auditoria interna de sistemas de IA.

6. Comitês técnicos com participação multissetorial

O PL 2338 prevê três instâncias: CRIA (Comitê de Regulação e Inovação em IA), CECIA (Comitê de Especialistas e Cientistas de IA) e CBIA (Conselho Brasileiro de Inteligência Artificial). A estrutura é disputada quanto à constitucionalidade da iniciativa legislativa, não quanto à necessidade de instâncias técnicas com participação de academia, sociedade civil e setor produtivo.

CritérioBrasil — PL 2338/2023União Europeia — AI Act (2024/1689)
AprovaçãoSenado: 10/12/2024 · Câmara: pendenteEm vigor: 1º/08/2024
Modelo regulatórioBaseado em risco (4 níveis) ✓Baseado em risco (4 níveis) ✓
Classificação de riscoExcessivo · Alto · Limitado · Mínimo ✓Inaceitável · Alto · Limitado · Mínimo ✓
Autoridade centralANPD + agências setoriaisAI Office (Comissão Europeia) + nacionais
Sanção máximaR$ 50 milhões por infração ≈€ 35 milhões ou 7% do faturamento global
Avaliação de impactoAIA obrigatória para alto risco ✓FRIA obrigatória para alto risco ✓
Direitos dos afetadosTransparência · explicação · contestação ✓Transparência · explicação · contestação ✓
TDM / direitos autoraisEm disputa (arts. 62-63) ≠Opt-out para detentores de direitos ≈
Escopo extraterritorialNão previsto explicitamente ≠Sim — vale onde o output é usado ✓
Vigência efetiva (est.)2027–2028 (após vacatio legis)Sistemas alto risco: ago/2026

Gráfico 3 — Comparação PL 2338 (Brasil) vs EU AI Act (UE). ✓ convergência · ≈ proximidade com diferença de escala · ≠ divergência. Fontes: texto substitutivo PL 2338 aprovado no Senado (Regulamento UE 2024/1689). Empresa com operação na UE precisa cumprir os dois.

Os três pontos em disputa: direitos autorais, alto risco, vício de iniciativa

Três núcleos concentram os impasses que adiaram a votação de dezembro de 2025. Cada um pode alterar substantivamente o texto final. A empresa que precisar fechar contrato com fornecedor de IA, redigir política interna ou classificar sistemas por risco precisa entender o que está em jogo em cada disputa.

Regulamentação IA Brasil

Disputa 1: o que o art. 62 exige de quem usa IA generativa?

O art. 62 do substitutivo do Senado exige que provedores de sistemas de IA apresentem detalhamento completo das obras utilizadas para treinamento dos modelos. Em audiências de 9 e 10 de setembro de 2025, representantes do setor de tecnologia chamaram a exigência de impraticável, argumentando que não existiria solução técnica escalável para identificar cada obra em datasets massivos de treinamento de linguagem — posição contestada por pesquisadores de rastreabilidade de dados de treinamento, que apontam ferramentas como data cards, model cards e auditorias de composição de dataset como caminhos parcialmente viáveis, ainda que imperfeitos.

A proposta alternativa do setor é substituir o detalhamento obra por obra por um sumário dos conjuntos de dados utilizados, combinado com mecanismo de opt-out para que titulares de direitos peçam exclusão de seus materiais. Editoras, músicos e entidades de gestão coletiva — representadas em audiência pelo presidente do SNEL, Dante Cid, em nome de Abrelivros, CBL e SNEL — defendem a obrigação como condição mínima de transparência.

O pano de fundo jurídico é a regra dos três passos do direito autoral brasileiro (LDA art. 46 e Convenção de Berna): limitações ao direito autoral só são admissíveis em casos especiais, desde que não conflitem com exploração normal da obra e não prejudiquem injustificadamente os interesses do autor. Na avaliação de representantes do setor cultural, text and data mining amplo para treinamento de IA não passa em dois dos três passos dessa regra. Como alternativa, o secretário de Direitos Autorais e Intelectuais do Ministério da Cultura, Marcos Alves de Souza, citou em audiência de 2 de setembro de 2025 o modelo de gestão coletiva usado no streaming musical como referência para remunerar criadores sem inviabilizar o treinamento de modelos.

O art. 63 prevê limitação ao direito autoral para pesquisa científica em universidades, museus e arquivos públicos, também em disputa com o setor cultural. Sem consenso até a data desta versão.

O que isso significa para sua empresa: contratos com fornecedores de IA devem incluir cláusula de conformidade com direitos autorais, qualquer que seja a redação final do art. 62. Fornecedor que não souber responder essa pergunta hoje é um risco regulatório.

Disputa 2: quais sistemas são de alto risco?

O texto aprovado no Senado classifica como alto risco aplicações de IA em triagem de processos seletivos de RH, decisões de crédito, reconhecimento facial em espaço público e ferramentas em sistemas de saúde. A classificação como alto risco para crédito e RH tem respaldo em evidência concreta no Brasil: modelos de crédito automatizado treinados com dados históricos reproduzem e frequentemente amplificam discriminação estrutural contra população negra e periférica, conforme documentado pelo IP.rec e pelo IRIS-BH em contribuições às audiências públicas da Comissão Especial. O setor produtivo, especialmente representantes de finanças, saúde e RH, pressiona para excluir ou flexibilizar categorias específicas, argumentando que os requisitos inviabilizam usos já estabelecidos e benignos.

Sociedade civil e academia pressionam em sentido oposto: manter e ampliar o rol, incluindo ferramentas de moderação de conteúdo e sistemas de pontuação de risco de inadimplência. Audiências adicionais do relator Aguinaldo Ribeiro em 2026 devem apresentar redação alternativa para esse ponto.

O que isso significa para sua empresa: classificar internamente os sistemas pelos critérios atuais do PL 2338 já identifica quais exigirão atenção regulatória, independente da redação final. O pior cenário é descobrir que um sistema em produção cai na categoria de alto risco depois da sanção.

Disputa 3: o Congresso pode criar as instâncias de governança?

O Poder Executivo identificou vício de iniciativa no sistema de governança do PL 2338. O texto cria CRIA, CECIA e CBIA com dotação orçamentária e atribuições de autoridade. O art. 61, § 1º, inciso II da Constituição Federal reserva ao Poder Executivo a iniciativa de projetos que criem despesas e estabeleçam autoridades do Poder Executivo. Legislativo não tem competência constitucional para propô-los. Na cobertura do adiamento em dezembro de 2025, o especialista em direito digital André Fernandes declarou: “Se isso vier do Legislativo, há vício de iniciativa e o texto será declarado inconstitucional pelo Supremo.”

Os caminhos possíveis são três: o Executivo envia projeto próprio cobrindo as partes com vício, Legislativo e Executivo chegam a acordo com mensagem supletiva de iniciativa, ou o texto é aprovado assim e corre risco no Supremo Tribunal Federal. Nenhum dos três foi confirmado institucionalmente até a data desta versão do artigo.

Este é o ponto de maior incerteza institucional do PL 2338. Resolução exige colaboração entre os dois poderes em ano eleitoral. Uma consequência prática frequentemente ignorada: sem CRIA, CECIA e CBIA operando, não haverá instância técnica que publique guias sobre requisitos de segurança específicos para sistemas de IA de alto risco — papel análogo ao que a ENISA desempenha para o EU AI Act na Europa. Empresa que depender de orientação técnica oficial sobre protocolos de segurança de IA de alto risco pode estar esperando por um documento que só sairá quando o vício de iniciativa for resolvido.

Nota de escopo: o PL 2338 tem dispositivos em disputa sobre exceções para uso de IA por forças de segurança pública e sistemas de vigilância estatal — fora do escopo principal deste artigo, voltado a empresas privadas. Empresa que fornece ou contrata tecnologia de vigilância deve acompanhar esse segmento separadamente, pois o regime regulatório está em disputa ativa com posições divergentes entre setor de segurança pública e organizações de direitos humanos.

O ecossistema regulatório completo: o PL 2338 não está sozinho

Camada 5 — EU AI Act (Regulamento UE 2024/1689) Vigente para empresas com operacao na UE · enforcement alto risco: ago/2026 Camada 4 — Regulacoes Setoriais Bacen · Anvisa · Anatel · ANS · ANPD (Resolucao 18/2024) — em construcao Camada 3 — LGPD (Lei 13.709/2018) Vigente · Art. 20, 48, 52 ja se aplicam a sistemas de IA com dado pessoal Camada 2 — PLs Paralelos PL 7132/2025 + PL 762/2026 e outros setoriais — em tramitacao Camada 1 — PL 2338/2023 Marco geral de IA · aprovado Senado · Camara votacao 2026 Ecossistema regulatorio de IA no Brasil — junho/2026 Vigente Em tramitacao/construcao Fontes: Senado, Camara, ANPD, Comissao Europeia · jun/2026
Gráfico 2 — As 5 camadas do ecossistema regulatório brasileiro de IA. Verde = já vigente; amarelo = em tramitação ou construção. Empresa que cuida só do PL 2338 está vendo um terço do mapa.

Camada 1: PL 2338/2023 como marco geral de IA. Aprovado no Senado em 10 de dezembro de 2024. Em tramitação na Câmara com votação prevista para 2026. Define a estrutura de classificação por risco, os direitos dos afetados, o sistema de governança e as sanções específicas para sistemas de IA. Acompanhe a tramitação em tempo real no portal do Senado Federal e na Câmara dos Deputados.

Camada 2: PLs paralelos em tramitação simultânea. O PL 7132/2025, com o PL 762/2026 (de autoria do deputado Rubens Pereira Júnior) apensado, propõe marco regulatório específico para sistemas de IA em setores de alta consequência, com alterações à LGPD, ao Marco Civil da Internet e ao Código de Defesa do Consumidor. Outros projetos setoriais sobre IA em saúde, educação, justiça e segurança pública tramitam em paralelo. Verificar a lista atualizada de apensados no portal da Câmara é recomendado antes de qualquer decisão, pois apensamentos mudam.

Camada 3: LGPD (Lei 13.709/2018) como infraestrutura regulatória já vigente. O art. 20 exige revisão de decisão automatizada para qualquer sistema que trate dado pessoal e produza efeitos jurídicos ou impactos relevantes sobre o titular. Toda empresa que usa IA para triagem de candidatos, aprovação de crédito, análise de risco ou personalização de oferta já está sob essa obrigação. A ANPD está em atividade de fiscalização desde 2023 e as sanções do art. 52 já se aplicam. Ponto de atenção: a regulamentação específica do art. 20 pela ANPD não havia sido publicada até junho de 2026 — a obrigação tem base legal clara, mas o procedimento aceitável de revisão humana não está padronizado pela autoridade. Empresa que implementar revisão humana agora age com precaução regulatória; empresa que aguarda regulamentação corre o risco de estar em infração sem prazo definido para regularização.

Camada 4: regulações setoriais das agências reguladoras. A ANPD publicou a Resolução CD/ANPD nº 18/2024, que regulamenta o encarregado de dados com implicações diretas para contextos de IA. Bacen tem disposições sobre uso de modelos de IA em concessão de crédito e sistemas de risco. Anatel discute IA em telecomunicações. ANS acompanha sistemas de triagem em planos de saúde. Anvisa olha IA em dispositivos médicos. Essas regulações setoriais operam em paralelo ao marco geral e já produzem efeitos.

Camada 5: EU AI Act como obrigação internacional em vigor. O Regulamento UE 2024/1689 entrou em vigor em 1º de agosto de 2024. O enforcement obrigatório para sistemas de alto risco passa a valer em agosto de 2026. Empresa brasileira com cliente, fornecedor, subsidiária ou operação na União Europeia já tem obrigação legal de conformidade com o AI Act, independente de qualquer votação no Congresso brasileiro. A convergência estrutural entre o PL 2338 e o AI Act facilita o compliance duplo, mas não o torna automático.

O que decidir agora, sem esperar a sanção

O argumento mais comum para adiar a estruturação de conformidade de IA é a incerteza sobre o texto final. É um argumento que não resiste à análise prática: os seis consensos do PL 2338 definem o piso regulatório com clareza suficiente para agir, LGPD e EU AI Act já criam obrigações vigentes, e cada mês de adiamento encurta o prazo disponível quando a lei sair.

O que vejo com frequência em empresas que começam esse processo são dois padrões: quem tem o inventário de sistemas feito avança em semanas; quem não tem passa meses só levantando o que existe. Esse levantamento inicial é onde a maioria perde tempo desnecessário.

As 5 decisoes — auto-diagnostico para sua empresa 1 Inventário de sistemas de IA Listar todos os sistemas proprios e de fornecedores · Prazo: 30 dias 2 Classificação interna por risco Excessivo / Alto / Limitado / Minimo — criterios PL 2338 + EU AI Act · Prazo: 60 dias 3 Avaliação de Impacto Algorítmico (AIA) Para sistemas de alto risco · Analogia ao RIPD da LGPD · Prazo: 90 dias 4 Contratos com fornecedores de IA Clausula de conformidade LGPD + EU AI Act + PL 2338 · Prazo: 120 dias 5 Governança + transparência para titulares Responsavel designado, politica interna, mecanismo de contestacao · Prazo: 120 dias Nao iniciado Em curso Concluido
Gráfico 4 — Auto-diagnóstico: identifique em qual cor está sua empresa para cada decisão. Vermelho = não iniciado; amarelo = em curso; verde = concluído. Empresa que completa as 5 está pronta para qualquer cenário regulatório razoável.

Decisão 1: inventário de sistemas de IA (prazo sugerido: 30 dias)

Listar todos os sistemas de IA em uso: próprios e de fornecedores, com finalidade de cada um, que dados tratam e quem são os afetados pelas decisões que produzem. Sem esse inventário, todas as decisões seguintes ficam sem base. Para empresas com dezenas de fornecedores de software, o inventário revela com frequência usos de IA que ninguém havia formalizado.

Decisão 2: classificação interna por risco (prazo sugerido: 60 dias)

Com o inventário em mãos, classificar cada sistema pelos quatro níveis do PL 2338 e do EU AI Act: risco excessivo, alto risco, risco limitado (com obrigações de transparência específicas) ou risco mínimo. Sistemas de alto risco vão ao topo da fila de revisão e de adequação. O guia de como classificar risco de sistema de IA apresenta os critérios e modelo de tabela para documentar o processo.

Decisão 3: Avaliação de Impacto Algorítmico para alto risco (prazo sugerido: 90 dias)

Para cada sistema classificado como alto risco, produzir documentação formal do impacto sobre direitos fundamentais dos afetados. O modelo é estruturalmente similar ao RIPD da LGPD — identificar riscos, descrever as mitigações, registrar a decisão de manter o sistema em operação com as salvaguardas — mas com dois escopos distintos: (1) a AIA abrange impactos em direitos fundamentais além da privacidade (emprego, crédito, saúde, segurança); (2) a AIA para alto risco deve também documentar requisitos técnicos de segurança do sistema — robustez contra manipulação de inputs, testes de comportamento adversarial, auditabilidade dos logs de decisão. Empresa que tratar AIA e RIPD como documentos intercambiáveis pode estar descumprindo ambas as obrigações. Participação obrigatória de DPO, área de tecnologia e jurídico. A avaliação deve incluir análise de impacto diferencial por grupos vulneráveis: o efeito de um sistema de triagem de RH ou concessão de crédito sobre populações negras, periféricas, com deficiência ou idosas pode ser substantivamente diferente do impacto sobre a população geral — AIA genérica sem esse recorte tende a invisibilizar os riscos mais graves. O processo completo está no guia de auditoria interna de sistemas de IA.

Decisão 4: atualização de contratos com fornecedores de IA (prazo sugerido: 120 dias)

Renegociar contratos com fornecedores de sistemas de IA para incluir cláusula de conformidade regulatória. O fornecedor deve declarar conformidade com LGPD, EU AI Act onde pertinente, e PL 2338 quando sancionado, e comprometer-se a entregar documentação de conformidade dentro do prazo regulatório. Atenção ao risco de cadeia de fornecimento: muitos produtos de IA incorporam modelos de base de terceiros (GPT-4, Claude, Gemini e outros) que o fornecedor imediato não controla. A cláusula contratual deve incluir obrigação de o fornecedor declarar (a) qual modelo de base usa, (b) sob qual regime de licenciamento, e (c) com que garantias de conformidade quanto a direitos autorais e tratamento de dados pessoais no treinamento — pois a empresa contratante pode ser responsabilizada solidariamente por não conformidade do produto final. Os critérios de avaliação e as oito cláusulas contratuais essenciais estão no guia de como avaliar fornecedor de IA.

Decisão 5: governança interna e mecanismos de transparência para titulares (prazo sugerido: 120 dias)

Designar responsável por governança de IA e criar comitê com representação de jurídico, TI, ética e negócios. Para a decisão sobre designar DPO interno ou contratar DPO como serviço, o guia de como decidir entre DPO interno e DPOaaS apresenta os critérios por porte de empresa. A política interna de uso de IA está no guia de governança de IA generativa na empresa.

Dentro dessa mesma decisão, implementar mecanismos de transparência e contestação para titulares: sistemas que tomam decisão sobre pessoa precisam de (1) notificação ao titular de que houve decisão automatizada, (2) descrição dos critérios em linguagem clara, e (3) canal para pedido de revisão humana. Já é exigência do art. 20 da LGPD para sistemas que tratam dado pessoal; vai virar exigência expressa do PL 2338. Condição técnica necessária para que o mecanismo funcione: registro de log auditável e imutável de cada decisão automatizada, com data, critérios aplicados e resultado — preferencialmente em infraestrutura que impossibilite alteração retroativa. Sem log com essas características, o titular não tem base factual para contestar e a empresa não tem como demonstrar conformidade perante a ANPD. Sistemas sem essa capacidade devem incluí-la como requisito técnico obrigatório da AIA.

Empresa que completa as cinco decisões está pronta para qualquer cenário regulatório razoável: sanção em julho de 2026, em janeiro de 2027, ou texto alterado com retorno ao Senado.

O piso regulatório já está em operação

O PL 2338/2023 está em tramitação na Câmara desde março de 2025, com votação adiada para 2026 em meio a impasses sobre direitos autorais e vício de iniciativa. Cinco anos de tramitação ensinam que o cronograma é imprevisível. A régua substantiva — risco, transparência, governança e contestação — não é.

LGPD já obriga revisão de decisão automatizada para sistemas de IA que tratam dado pessoal. EU AI Act já obriga conformidade para empresas com operação na União Europeia. Regulações setoriais já operam no sistema financeiro, na saúde e nas telecomunicações. O PL 2338 não inaugura o ecossistema regulatório de IA no Brasil: ele formaliza e centraliza o que já está sendo construído em camadas.

O caminho operacional é simples na estrutura, ainda que exija trabalho real na execução: inventário de sistemas em 30 dias, classificação por risco em 60 dias, Avaliação de Impacto Algorítmico para alto risco em 90 dias, contratos com fornecedores atualizados em 120 dias, política interna e mecanismos de transparência publicados em 120 dias. Para acompanhar o panorama completo da IA generativa e suas implicações para o mercado brasileiro, o Pilar IA Generativa reúne análises e guias conectados a este artigo.

Gestor que espera a sanção para começar está apostando que a velocidade institucional brasileira vai cooperar desta vez. A LGPD levou oito anos da proposta à vigência efetiva com regulamentação completa. O Marco Civil da Internet levou seis. A história do direito digital no Brasil não apoia essa aposta. Quem age em 2026 compra previsibilidade: exatamente o que falta no Congresso em ano eleitoral.


Fontes: Tramitação PL 2338/2023, Senado Federal · Comissão Especial sobre IA, Câmara dos Deputados · LGPD (Lei 13.709/2018) · EU AI Act (Regulamento UE 2024/1689) · ANPD: resoluções e atos recentes · Demarest Advogados, “Inteligência artificial reacende debates na Câmara dos Deputados”, março de 2026 · Barbieri Advogados, “Regulamentação da IA no Brasil: estado atual e perspectivas”, março de 2026 · LBCA Advogados, “PL 2338/23 — 3 pontos de atenção sobre o marco regulatório da IA”, janeiro de 2026 · Di Blasi, Parente e Associados, “IA, Direitos Autorais e o PL 2338/2023”, setembro de 2025

Os melhores artigos no seu e-mail.

Curadoria semanal. Sem barulho.

Compartilhe:
Equipe Mabex

Equipe Mabex

Quando o assunto exige mais de um olhar, o artigo sai assinado pela Equipe Mabex. Somos redatores e profissionais de tecnologia comprometidos com uma ideia simples: quem lê com critério merece ser lido com seriedade.

Site do Autor

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Utilizamos cookies para oferecer melhor experiência, aperfeiçoar o desempenho, analisar como você interage em nosso site e personalizar conteúdo.