O PL 2338/2023, principal marco regulatório de inteligência artificial em tramitação no Congresso Nacional, não se limita a classificar riscos ou impor obrigações a desenvolvedores. Ele propõe uma arquitetura institucional inédita no Brasil: dois órgãos colegiados — o CRIA e o CECIA — que, junto com a ANPD, formarão o tripé de governança de IA do país. Neste artigo, explicamos o que são essas estruturas, como funcionam e o que sua organização precisa saber desde já.
O contexto do PL 2338
O Projeto de Lei 2338/2023 é o resultado de anos de debate sobre como o Brasil deve regular a inteligência artificial. Apresentado originalmente no Senado e agora sob relatoria do deputado Aguinaldo Ribeiro na Câmara dos Deputados, o texto adota uma abordagem baseada em risco — inspirada no EU AI Act europeu, mas adaptada à realidade brasileira.
Diferente da lei europeia, que concentra a fiscalização em agências já existentes, o PL brasileiro cria novas instâncias de governança. A lógica é clara: a regulação de IA não pode depender de um único órgão. É necessário combinar visão estratégica, capacidade técnica e poder regulatório. É exatamente isso que o projeto busca ao instituir o CRIA, o CECIA e ao reafirmar o papel da ANPD.
A votação, inicialmente prevista para o segundo semestre de 2025, foi adiada para 2026. O texto ainda pode sofrer alterações, mas a arquitetura de governança proposta já está consolidada e merece atenção de qualquer organização que desenvolve, implementa ou é impactada por sistemas de IA.
CRIA — o comitê estratégico e multissetorial
O Comitê de Inteligência Artificial (CRIA) é o órgão de alto nível responsável pela coordenação estratégica da política de IA no Brasil. Sua composição é deliberadamente multissetorial: reúne representantes do governo federal, da academia, do setor privado, da sociedade civil e de comunidades técnicas.
O CRIA tem como principais atribuições:
- Definir diretrizes para a Política Nacional de IA, orientando prioridades de investimento, pesquisa e desenvolvimento;
- Propor atualizações regulatórias, garantindo que o marco legal acompanhe a evolução tecnológica;
- Articular a cooperação entre órgãos públicos, setor privado, academia e organismos internacionais;
- Promover a participação social no debate sobre IA, incluindo consultas públicas e mecanismos de transparência;
- Monitorar impactos socioeconômicos e éticos da adoção de IA no país.
Na prática, o CRIA funciona como o “conselho de administração” da governança de IA brasileira: ele não regula diretamente, mas define a visão, os princípios e as prioridades que orientam todo o ecossistema. Sua natureza multissetorial é um diferencial importante — garante que nenhum grupo de interesse domine a agenda.
CECIA — o braço técnico e científico
Enquanto o CRIA pensa a estratégia, o Centro de Competência em Inteligência Artificial (CECIA) é o órgão técnico que transforma essas diretrizes em conhecimento aplicável. Trata-se de um centro de pesquisa, orientação e capacitação ligado ao ecossistema de ciência e tecnologia do governo.
As principais funções do CECIA incluem:
- Produzir estudos técnicos e análises de impacto sobre sistemas de IA, servindo de base para decisões regulatórias;
- Desenvolver padrões e guias de boas práticas para desenvolvimento e uso responsável de IA;
- Oferecer capacitação para agentes públicos, empresas e sociedade civil sobre governança de IA;
- Apoiar a ANPD com subsídios técnicos para fiscalização e regulamentação;
- Fomentar pesquisa aplicada em segurança, transparência e explicabilidade de sistemas de IA.
O CECIA é, em essência, o “laboratório” da governança de IA: é onde o conhecimento técnico é gerado, sistematizado e disponibilizado para que reguladores, empresas e a sociedade tomem decisões informadas.
CRIA vs. CECIA — comparativo
Está gostando deste conteúdo?
Inscreva-se na newsletter do IBGIA e receba análises como esta direto no seu email — além de um checklist gratuito com 20 itens de governança de IA.
| CRIA | CECIA | |
|---|---|---|
| Missão | Coordenação estratégica da política de IA | Pesquisa técnica e orientação prática |
| Composição | Multissetorial (governo, academia, empresas, sociedade civil) | Técnicos, pesquisadores, especialistas em IA |
| Escopo | Diretrizes, prioridades e articulação institucional | Estudos, padrões, capacitação e suporte técnico |
| Natureza | Deliberativa e consultiva | Técnica e executiva |
| Relação com ANPD | Orienta a política que a ANPD implementa | Fornece subsídios técnicos à ANPD |
ANPD como regulador residual
O PL 2338 confirma a Autoridade Nacional de Proteção de Dados (ANPD) como o regulador residual para IA no Brasil. Isso significa que, para sistemas de IA que envolvem tratamento de dados pessoais — a grande maioria —, a ANPD terá competência fiscalizatória e sancionatória.
A escolha da ANPD não é casual. O órgão já acumula experiência com a LGPD, possui estrutura de fiscalização e mantém canais de diálogo com o setor privado. Com o apoio do CECIA para questões técnicas e as diretrizes do CRIA para orientação estratégica, a ANPD ganha um ecossistema institucional que fortalece sua atuação.
Na prática, a ANPD será responsável por:
- Fiscalizar o cumprimento das obrigações previstas no PL 2338;
- Aplicar sanções administrativas em caso de descumprimento;
- Regulamentar aspectos específicos da lei por meio de resoluções;
- Manter o registro de sistemas de IA de alto risco.
O que isso muda para empresas e organizações
A criação do CRIA e do CECIA sinaliza que a governança de IA no Brasil será institucionalizada, técnica e participativa. Para empresas e organizações, isso tem implicações práticas importantes:
- Previsibilidade regulatória: com três instâncias complementares (estratégia, técnica e fiscalização), as regras tendem a ser mais estáveis e fundamentadas;
- Padrões técnicos: o CECIA deve publicar guias e frameworks que servirão de referência para conformidade — acompanhar essas publicações será essencial;
- Participação social: o formato multissetorial do CRIA abre espaço para que empresas, associações e institutos contribuam diretamente na formulação de políticas;
- Preparação antecipada: mesmo antes da aprovação final, organizações que já estruturam sua governança de IA estarão em vantagem competitiva.
A mensagem é clara: governança de IA não é mais opcional. Com o PL 2338, o Brasil caminha para um modelo em que a regulação é informada por evidências técnicas (CECIA), orientada por múltiplas vozes (CRIA) e aplicada com rigor (ANPD).
Quer acompanhar de perto a tramitação do PL 2338 e se preparar para o novo marco regulatório? Inscreva-se na newsletter do IBGIA — publicamos análises aprofundadas sobre cada etapa do processo legislativo. E se sua organização quer estruturar governança de IA com apoio especializado, associe-se ao IBGIA e participe da nossa comunidade de profissionais.
Não perca as próximas análises
Assine a newsletter do IBGIA e receba artigos exclusivos, alertas regulatórios e análises sobre governança de IA. Ao se inscrever, você também recebe nosso Checklist de Governança de IA — um guia prático com 20 itens para avaliar a maturidade da sua organização.
Pesquisa Nacional · 3 minutos
Contribua com o primeiro mapeamento independente de IA no Brasil
Respostas anônimas. Resultado público. Seu ponto de vista conta para moldar a regulação de IA no Brasil.
Responder pesquisa