IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
Regulação

PL 2338 Parado na Câmara: O que as Empresas Brasileiras Devem Fazer Agora

Com o Marco Legal da IA travado na Câmara dos Deputados e o EU AI Act entrando em vigor pleno em agosto de 2026...

Por Equipe IBGIA06 de março de 202610 min de leitura

O Brasil está na contramão do mundo. Enquanto a União Europeia aplica progressivamente o EU AI Act com prazo pleno em agosto de 2026 e a ANPD lança seu sandbox regulatório, o PL 2338/2023 — o Marco Legal da IA brasileiro — continua preso na Câmara dos Deputados. Para as empresas que desenvolvem ou utilizam sistemas de inteligência artificial, esse impasse cria uma armadilha silenciosa: a sensação de que, sem lei, não há urgência. Essa percepção é equivocada e potencialmente cara.

O cenário atual: dois relógios rodando em velocidades diferentes

Existem dois cronômetros regulatórios ativos hoje para qualquer empresa brasileira que opere com IA:

O primeiro relógio é europeu. O EU AI Act, aprovado em março de 2024 e em vigor desde agosto daquele ano, segue seu calendário implacável. Em fevereiro de 2025, entraram em vigor as proibições de práticas de risco inaceitável. Em agosto de 2025, começaram as obrigações para modelos de propósito geral (GPAI). Em 2 de agosto de 2026 — faltam pouco mais de cinco meses — entram em vigor as obrigações de transparência do Artigo 50, os requisitos completos para sistemas de alto risco e os poderes plenos de enforcement da Comissão Europeia, com multas de até 35 milhões de euros ou 7% do faturamento global.

O segundo relógio é brasileiro e está parado. O PL 2338/2023, aprovado pelo Senado Federal, chegou à Câmara dos Deputados e encontrou resistência. Impasses sobre direitos autorais, debate sobre o papel da ANPD versus órgãos setoriais, preocupações do setor de tecnologia com a abordagem de conformidade ex ante — todos esses pontos têm atrasado a votação. Em um ano pré-eleitoral, a pauta legislativa se torna ainda mais disputada.

O resultado: empresas brasileiras vivem em uma zona cinzenta regulatória que pode ser perigosa para quem não age proativamente.

Por que a inação tem custo

A ausência de lei brasileira específica sobre IA não significa ausência de obrigações. Há pelo menos quatro fontes de risco imediato que muitas organizações subestimam:

1. A LGPD já se aplica à IA

A Lei Geral de Proteção de Dados Pessoais (LGPD) é clara: qualquer processamento automatizado de dados pessoais — incluindo o realizado por sistemas de IA — está sujeito às suas disposições. Isso inclui:

  • O direito do titular de não ser submetido a decisões automatizadas que afetem seus interesses, previsto no Artigo 20, com direito a revisão humana
  • A obrigação de informar quando uma decisão é tomada exclusivamente por meios automatizados
  • A necessidade de base legal adequada para o treinamento de modelos de IA com dados pessoais
  • As exigências de minimização de dados e limitação de finalidade, que se chocam com práticas comuns de uso de grandes datasets para treinamento

A ANPD já sinalizou que a governança de IA é uma prioridade. O sandbox regulatório lançado em fevereiro de 2026 indica que a agência está ativamente desenvolvendo entendimentos que serão aplicados às organizações — com ou sem lei de IA aprovada.

2. O EU AI Act tem alcance extraterritorial

Empresas brasileiras que exportam serviços de IA, que têm usuários na União Europeia ou cujos sistemas produzem outputs utilizados por clientes europeus já estão, hoje, no escopo do EU AI Act. O princípio é similar ao GDPR: o critério não é a localização da empresa, mas a localização dos afetados.

Isso significa que uma startup brasileira de reconhecimento facial que vende para uma rede varejista portuguesa, ou um banco nacional que usa IA generativa para atender clientes europeus, já devem estar em conformidade com as obrigações aplicáveis do EU AI Act — independentemente do que o Congresso brasileiro decida.

3. Contratos e relações B2B estão sendo renegociados

Multinacionais que operam no Brasil já estão incluindo cláusulas de conformidade com IA em seus contratos com fornecedores e prestadores de serviços. Se sua empresa fornece qualquer produto ou serviço que utilize IA para um cliente europeu, norte-americano ou australiano, é crescente a probabilidade de receber requisitos de due diligence de IA: quais modelos utiliza? Como gerencia riscos? Há processo de avaliação de impacto algorítmico? Quem é o responsável por IA na organização?

Empresas sem respostas para essas perguntas perdem contratos. Não é regulação que impõe esse custo — é o mercado.

4. Responsabilidade civil por danos algorítmicos

Mesmo sem lei de IA, o Código de Defesa do Consumidor (CDC) e o Código Civil já oferecem bases para responsabilização por danos causados por sistemas automatizados. Casos de discriminação algorítmica em concessão de crédito, contratação ou prestação de serviços públicos têm precedentes crescentes na jurisprudência brasileira. O Superior Tribunal de Justiça (STJ) já reconheceu a responsabilidade objetiva de plataformas por danos decorrentes de algoritmos de recomendação.

A aprovação do PL 2338 tornará esses riscos mais explícitos e as penalidades mais definidas — mas a exposição jurídica já existe.

O que o PL 2338 propõe e o que permanece em debate

Para entender o que está em jogo na Câmara, vale recordar os pilares do PL 2338 aprovado pelo Senado:

  • Classificação por risco: sistemas de IA são categorizados em risco mínimo, limitado, alto e inaceitável. Sistemas de alto risco em setores como saúde, educação, emprego, crédito, justiça e infraestrutura crítica têm obrigações mais robustas
  • Avaliação de Impacto Algorítmico (AIA): obrigatória para sistemas de alto risco, documenta os potenciais impactos sobre direitos fundamentais antes da implantação
  • Direitos dos titulares: direito à explicação de decisões automatizadas, direito de contestação e direito à participação humana em decisões de alto impacto
  • Transparência: obrigação de informar quando se está interagindo com um sistema de IA, especialmente em chatbots e sistemas de atendimento
  • Responsabilidade compartilhada: fornecedores, operadores e distribuidores de sistemas de IA têm responsabilidades distintas ao longo da cadeia de valor
  • Governança institucional: criação do Sistema Nacional de Regulação e Governança de IA (SIA), coordenado pela ANPD, com criação de comitês especializados (CRIA, CECIA e CBIA)
Gratuito

Está gostando deste conteúdo?

Inscreva-se na newsletter do IBGIA e receba análises como esta direto no seu email — além de um checklist gratuito com 20 itens de governança de IA.

Os pontos mais polêmicos que ainda travam a aprovação incluem: como tratar direitos autorais de obras usadas no treinamento de modelos; a definição precisa de quais sistemas se enquadram em "alto risco"; e se a abordagem ex ante de conformidade é adequada para o estágio de maturidade do ecossistema de IA brasileiro.

Não há perspectiva clara de votação antes do recesso parlamentar de julho. Em um ano pré-eleitoral, a janela de oportunidade se fecha progressivamente.

Roteiro prático: o que fazer enquanto a lei não vem

A incerteza regulatória não é motivo de espera — é motivo de ação antecipada. Organizações que construírem capacidades de governança agora terão vantagem competitiva quando a lei for aprovada. O custo de adequação retroativa é consistentemente maior do que a implementação proativa.

Recomendamos seis ações estruturadas em dois horizontes:

Horizonte imediato (agora até julho de 2026)

1. Inventário de sistemas de IA
Mapeie todos os sistemas de IA que sua organização desenvolve, utiliza ou contrata. Inclua IA generativa usada por equipes (ChatGPT corporativo, Copilot, etc.), sistemas de decisão automatizada em processos de RH, crédito ou atendimento, e qualquer modelo preditivo que influencie decisões que afetam pessoas. Muitas organizações descobrem, nesse processo, dezenas de sistemas que não estavam no radar da área de TI.

2. Análise de exposição regulatória
Para cada sistema identificado, avalie: (a) há dados pessoais envolvidos? → obrigações LGPD imediatas; (b) há usuários ou impactados na UE? → EU AI Act pode se aplicar; (c) o sistema toma ou influencia decisões de alto impacto sobre pessoas? → prioridade de governança.

3. Designação de responsável por IA
Nomeie formalmente um AI Officer ou responsável pela governança de IA. Pode ser o DPO atual, ampliando suas funções, ou uma posição dedicada. O que importa é que exista uma pessoa com autoridade e responsabilidade claras para decisões de IA. Sem responsável definido, qualquer programa de governança se dissolve na primeira crise.

Horizonte de médio prazo (julho a dezembro de 2026)

4. Política interna de uso responsável de IA
Documente as regras de uso de IA na sua organização: quais sistemas são permitidos para quais finalidades, como dados sensíveis devem ser tratados, qual processo de aprovação é necessário antes de implantar um novo sistema de IA. Essa política é o alicerce de qualquer programa de conformidade e reduz riscos operacionais imediatamente.

5. Avaliação de impacto para sistemas de alto risco
Para sistemas identificados como de alto risco — especialmente aqueles que influenciam decisões de crédito, contratação, saúde ou acesso a serviços — conduza uma avaliação de impacto. O PL 2338 exigirá formalmente a AIA; começar agora significa ter a capacidade instalada quando a lei for aprovada, e ter evidência de diligência caso haja questionamento jurídico antes disso.

6. Mecanismo de contestação e revisão humana
Para qualquer decisão automatizada que afete significativamente um indivíduo, implante um canal pelo qual a pessoa pode solicitar revisão humana. Essa exigência já existe na LGPD (Art. 20) e será reforçada pelo PL 2338. Além de reduzir riscos legais, melhora a experiência do cliente e a confiança no sistema.

O que esperar do PL 2338 quando for aprovado

Mesmo sem prazo definido, é razoável supor que o Marco Legal da IA será aprovado pela Câmara em algum momento de 2026 ou início de 2027, possivelmente com ajustes no texto do Senado. Quando isso ocorrer, organizações podem esperar:

  • Período de transição: à semelhança da LGPD, é provável que haja um período de adequação de 12 a 24 meses após a sanção presidencial. Mas esse prazo não começa agora — começa com a aprovação. Quem começar a se preparar hoje terá mais tempo de sobra
  • Regulamentação setorial complementar: a ANPD e reguladores setoriais (BACEN, ANS, ANATEL, etc.) emitirão normas específicas para seus setores. Empresas reguladas devem monitorar esses desenvolvimentos de perto
  • Potencial sandbox regulatório ampliado: o sandbox lançado pela ANPD em fevereiro de 2026 pode se tornar o mecanismo para empresas testarem abordagens de conformidade. Participar proativamente é uma forma de influenciar as regras enquanto ainda estão sendo definidas

A janela de vantagem competitiva está aberta — por enquanto

Há uma dinâmica paradoxal no mercado atual: a incerteza regulatória que assusta muitas empresas cria uma janela de vantagem para as que agem primeiro. A experiência da LGPD é ilustrativa: organizações que investiram em conformidade antes da lei entrar em vigor tornaram-se referências de boas práticas, conquistaram clientes que exigiam parceiros conformes e evitaram custos de adequação emergencial.

O mesmo padrão se repete com o EU AI Act na Europa. Empresas que anteciparam os requisitos, documentaram seus modelos e implantaram processos de governança estão, agora, captando clientes de concorrentes menos preparados.

No Brasil, esse ciclo está prestes a se repetir. A pergunta não é se haverá regulação de IA, mas quando. E as organizações que construírem governança agora estarão, quando a lei for aprovada, em uma posição radicalmente diferente daquelas que esperaram.

O IBGIA está monitorando a tramitação do PL 2338 e os desenvolvimentos do EU AI Act, e disponibiliza análises regulatórias atualizadas para membros e parceiros. Se sua organização quer entender como iniciar um programa de governança de IA adequado ao contexto brasileiro, consulte nosso guia de governança e nosso checklist de governança de IA — um ponto de partida prático e gratuito.

Recursos relacionados:

Acompanhe o IBGIA para análises regulatórias atualizadas sobre regulação de IA no Brasil e o impacto do EU AI Act nas empresas brasileiras.

CompartilharLinkedInWhatsApp
Newsletter gratuita + checklist

Não perca as próximas análises

Assine a newsletter do IBGIA e receba artigos exclusivos, alertas regulatórios e análises sobre governança de IA. Ao se inscrever, você também recebe nosso Checklist de Governança de IA — um guia prático com 20 itens para avaliar a maturidade da sua organização.

100% gratuitoSem spam, cancele quando quiser

Pesquisa Nacional · 3 minutos

Contribua com o primeiro mapeamento independente de IA no Brasil

Respostas anônimas. Resultado público. Seu ponto de vista conta para moldar a regulação de IA no Brasil.

Responder pesquisa

Leia também

RegulaçãoColorado AI Act entra em vigor em 30 de junho: o espelho americano do que o Brasil enfrentará no PL 2338Em 60 dias, a primeira lei estadual de IA dos EUA passa a valer. Multa de US$ 20 mil por violação, obrigações para desen...Ler artigoAnáliseEngenheiros de IA como força de governança: a demissão de Caitlin Kalinowski e o surgimento de um novo atorA líder de robótica da OpenAI pediu demissão para não colaborar com armas autônomas. 30+ engenheiros assinaram carta de ...Ler artigoRegulaçãoAnthropic Processou o Pentágono para Proteger seus Guardrails — O Que Isso Muda para o Brasil?Em março de 2026, a Anthropic protocolou dois processos contra o Departamento de Defesa dos EUA...Ler artigo
Publicações acadêmicasWorking papers e policy briefs com análises aprofundadas
Voltar para o blog