IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
PB-2026-004

Checklist de Conformidade com o PL 2338/2023: Guia Prático para Organizações

André NakamuraMarço 2026IBGIA Working Paper Series

Checklist de Conformidade com o PL 2338/2023: Guia Prático para Organizações

Série: IBGIA Policy Briefs Número: PB-2026-004 ISSN: Em processo de registro Data: Março de 2026

Autor: André Nakamura — Coordenador Técnico e de Avaliação, IBGIA Contato: [email protected] | ibgia.org

Sumário Executivo

O PL 2338/2023 — Marco Legal da Inteligência Artificial — impõe obrigações concretas a organizações que desenvolvem, implementam ou operam sistemas de IA no Brasil. Com a tramitação em curso na Câmara dos Deputados e aprovação esperada ainda em 2026, organizações de todos os portes precisam iniciar hoje a avaliação de seu nível de conformidade.

Este policy brief apresenta um checklist estruturado para que organizações identifiquem rapidamente suas lacunas de conformidade com o PL 2338/2023, organize as ações necessárias por prioridade e defina responsáveis. O documento está organizado em seis domínios: (1) classificação de sistemas, (2) avaliação de impacto algorítmico, (3) transparência e explicabilidade, (4) direitos dos titulares, (5) governança interna e (6) requisitos setoriais específicos.

Como usar este checklist:

  • Aplique o questionário a cada sistema de IA em operação ou em desenvolvimento
  • Classifique cada item como: ✅ Conforme | ⚠️ Em andamento | ❌ Não conforme | N/A Não aplicável
  • Priorize ações sobre os itens ❌ em sistemas de alto risco
  • Documente as evidências de conformidade

1. Contexto Regulatório

1.1 O que é o PL 2338/2023

O Projeto de Lei 2338/2023, aprovado pelo Senado Federal em dezembro de 2024 e em tramitação na Câmara dos Deputados, institui o Marco Legal da Inteligência Artificial no Brasil. O PL segue a abordagem baseada em risco do EU AI Act, classificando sistemas de IA em quatro categorias e impondo obrigações proporcionais ao nível de risco identificado.

Os principais agentes regulados são:

  • Fornecedores: organizações que desenvolvem ou colocam no mercado sistemas de IA
  • Operadores: organizações que implantam ou usam sistemas de IA desenvolvidos por terceiros em contextos profissionais
  • Importadores e distribuidores: quando aplicável

1.2 Calendário de Conformidade

O PL prevê período de transição após a sanção presidencial:

  • 6 meses: regulamentação pelos órgãos competentes
  • 12 meses: conformidade obrigatória para sistemas de alto risco em setores críticos
  • 24 meses: conformidade plena para todos os sistemas cobertos

2. Domínio 1: Classificação dos Sistemas de IA

A classificação correta de cada sistema de IA é o ponto de partida para qualquer programa de conformidade. O PL 2338/2023 adota quatro categorias de risco.

2.1 Inventário de Sistemas

Checklist — Inventário

  • [ ] A organização possui um inventário atualizado de todos os sistemas de IA em uso ou desenvolvimento
  • [ ] O inventário inclui sistemas adquiridos de terceiros (SaaS, APIs, modelos pré-treinados)
  • [ ] Cada sistema está documentado com: finalidade, dados de entrada, dados de saída, população afetada, responsável interno
  • [ ] O inventário é revisado periodicamente (recomendado: trimestral)

2.2 Sistemas de Risco Inaceitável

São proibidos no Brasil pelo PL 2338/2023:

Checklist — Verificação de Proibições

  • [ ] A organização não opera sistemas de pontuação social de cidadãos por autoridades públicas
  • [ ] A organização não utiliza identificação biométrica em tempo real em espaços públicos (exceto exceções legais)
  • [ ] A organização não explora vulnerabilidades de grupos específicos (crianças, idosos, pessoas com deficiência) para manipular comportamentos
  • [ ] A organização não utiliza técnicas subliminares que prejudiquem a tomada de decisão autônoma

2.3 Sistemas de Alto Risco

Sistemas que afetam direitos fundamentais, segurança ou acesso a serviços essenciais. Exemplos cobertos pelo PL:

  • Sistemas de crédito e scoring financeiro
  • Seleção e avaliação em processos de emprego
  • Triagem e diagnóstico na área de saúde
  • Decisões em educação (acesso, avaliação, acompanhamento)
  • Sistemas em infraestrutura crítica (energia, água, transporte)
  • Sistemas usados na administração da justiça
  • Gestão de migração, asilo e controle de fronteiras
  • Sistemas de aplicação da lei

Checklist — Alto Risco

  • [ ] Todos os sistemas de alto risco foram identificados e documentados
  • [ ] Existe um responsável designado para cada sistema de alto risco
  • [ ] Cada sistema de alto risco passou por uma Avaliação de Impacto Algorítmico (AIA)
  • [ ] Os sistemas de alto risco estão sujeitos a supervisão humana efetiva
  • [ ] Existe processo de monitoramento pós-implantação para sistemas de alto risco

2.4 Sistemas de Risco Limitado

Sistemas com obrigações principalmente de transparência:

Checklist — Risco Limitado

  • [ ] Sistemas de geração de conteúdo (chatbots, geração de texto/imagem/vídeo) informam ao usuário que está interagindo com IA
  • [ ] Conteúdo gerado por IA é identificado como tal (especialmente em contextos de desinformação)
  • [ ] Sistemas de emoção/biometria informam os indivíduos sobre seu uso

3. Domínio 2: Avaliação de Impacto Algorítmico (AIA)

A AIA é o principal instrumento de gestão de riscos exigido pelo PL 2338/2023 para sistemas de alto risco.

3.1 Quando realizar uma AIA

Uma AIA deve ser realizada:

  • Antes da implantação de qualquer sistema de alto risco
  • Quando há mudança significativa no sistema (dados, algoritmo, finalidade, escala)
  • Periodicamente (recomendado: anual para sistemas críticos)

Checklist — AIA

  • [ ] Existe metodologia documentada para realização de AIA na organização
  • [ ] A AIA cobre identificação de vieses nos dados de treinamento
  • [ ] A AIA cobre análise de impactos desproporcionais sobre grupos vulneráveis
  • [ ] A AIA cobre avaliação de robustez e segurança técnica do sistema
  • [ ] A AIA cobre identificação de possíveis erros e seus impactos
  • [ ] A AIA é documentada e arquivada por no mínimo 5 anos
  • [ ] A AIA é realizada ou supervisionada por profissional independente do desenvolvimento do sistema
  • [ ] Resultados da AIA são comunicados aos tomadores de decisão relevantes

3.2 Gestão de Vieses

Checklist — Vieses

  • [ ] Os dados de treinamento foram analisados quanto a sub-representação de grupos
  • [ ] Métricas de equidade (fairness metrics) são monitoradas periodicamente
  • [ ] Existem processos para correção de vieses identificados
  • [ ] A organização tem canal para reporte de casos suspeitos de viés discriminatório

4. Domínio 3: Transparência e Explicabilidade

O PL 2338/2023 estabelece direito de explicação para decisões automatizadas que afetam significativamente os titulares.

4.1 Obrigações de Transparência

Checklist — Transparência para o Público

  • [ ] Sistemas de IA voltados ao público são identificados como tal (quando relevante)
  • [ ] A finalidade e lógica geral dos sistemas de alto risco são descritas em linguagem acessível
  • [ ] Políticas de uso de IA são publicamente disponíveis (no site da organização)
  • [ ] Termos de uso e política de privacidade refletem o uso de sistemas de IA

4.2 Explicabilidade

Checklist — Explicabilidade

  • [ ] Para sistemas de alto risco com impacto individual, existe capacidade de gerar explicações das decisões
  • [ ] As explicações são fornecidas em linguagem compreensível para o titular
  • [ ] Profissionais que operam os sistemas entendem os fatores que influenciam as decisões
  • [ ] Existe processo para revisão humana de decisões contestadas

5. Domínio 4: Direitos dos Titulares

O PL 2338/2023 garante aos cidadãos direitos específicos em relação a sistemas de IA que os afetam.

5.1 Direitos Garantidos pelo PL

  • Direito de informação: saber que está sendo afetado por um sistema de IA
  • Direito de explicação: obter explicação sobre a lógica e critérios da decisão
  • Direito de contestação: questionar decisões automatizadas
  • Direito de revisão humana: ter a decisão revista por uma pessoa humana
  • Direito à não-discriminação: não ser discriminado por vieses algorítmicos

Checklist — Direitos dos Titulares

  • [ ] Existe canal oficial para que titulares solicitem informações sobre sistemas de IA que os afetam
  • [ ] Existe processo documentado para responder a solicitações de explicação (prazo máximo recomendado: 15 dias)
  • [ ] Existe processo para revisão humana de decisões contestadas
  • [ ] Os profissionais do atendimento ao cliente estão treinados para lidar com reclamações sobre IA
  • [ ] Existe registro de solicitações e contestações recebidas
  • [ ] O prazo médio de resposta é monitorado

6. Domínio 5: Governança Interna

A conformidade com o PL 2338/2023 exige estrutura de governança adequada.

6.1 Estrutura Mínima de Governança

Checklist — Governança

  • [ ] Existe um responsável designado pela governança de IA (pode ser função acumulada em organizações menores)
  • [ ] A alta direção está ciente das obrigações do PL 2338/2023 e dos riscos de não-conformidade
  • [ ] Existe política interna de uso responsável de IA, aprovada pela diretoria
  • [ ] A política cobre: finalidades permitidas, proibições, processo de aprovação de novos sistemas, gestão de incidentes
  • [ ] Existe programa de treinamento para colaboradores que desenvolvem ou operam sistemas de IA
  • [ ] Existe processo de due diligence para sistemas de IA adquiridos de terceiros (fornecedores)
  • [ ] Contratos com fornecedores de IA incluem cláusulas de responsabilidade e conformidade

6.2 Gestão de Incidentes

Checklist — Incidentes

  • [ ] Existe definição documentada do que constitui um "incidente" com sistema de IA na organização
  • [ ] Existe processo de reporte e escalonamento de incidentes
  • [ ] Incidentes graves são documentados com causa raiz e ações corretivas
  • [ ] Existe avaliação sobre obrigação de notificação a autoridades competentes

6.3 Documentação e Registros

Checklist — Documentação

  • [ ] Sistemas de alto risco possuem documentação técnica atualizada
  • [ ] Logs de funcionamento dos sistemas de alto risco são mantidos pelo período exigido
  • [ ] Existe controle de versões para modelos e dados de sistemas de alto risco
  • [ ] Toda documentação relevante está organizada para eventual inspeção regulatória

7. Domínio 6: Requisitos Setoriais

Além das obrigações gerais, setores específicos têm requisitos adicionais.

7.1 Setor Financeiro

Checklist — Financeiro

  • [ ] Sistemas de credit scoring estão classificados como alto risco e têm AIA realizada
  • [ ] O Banco Central e CMN foram consultados sobre requisitos específicos aplicáveis
  • [ ] Sistemas de prevenção a fraudes têm mecanismos de contestação de falsas ocorrências
  • [ ] Uso de IA em recomendação de investimentos está em conformidade com regulação CVM

7.2 Setor de Saúde

Checklist — Saúde

  • [ ] Sistemas de apoio ao diagnóstico têm supervisão humana obrigatória por profissional de saúde
  • [ ] A ANVISA foi consultada sobre classificação de sistemas de IA como dispositivos médicos
  • [ ] Dados de saúde utilizados em sistemas de IA têm tratamento conforme LGPD (base legal específica)
  • [ ] Pacientes são informados sobre o uso de IA em seu atendimento

7.3 Setor Público

Checklist — Setor Público

  • [ ] Sistemas de IA que emitem atos administrativos têm base legal específica
  • [ ] O direito de recurso administrativo contra decisões automatizadas está garantido
  • [ ] Licitações de sistemas de IA incluem requisitos de conformidade com o PL 2338/2023
  • [ ] Existe comunicação proativa aos cidadãos sobre uso de IA em serviços públicos

8. Priorização e Próximos Passos

8.1 Matriz de Prioridade

Após aplicar o checklist, organize as ações identificadas conforme a matriz abaixo:

| Prioridade | Critério | Prazo Recomendado | |------------|----------|-------------------| | Crítica | Itens ❌ em sistemas de risco inaceitável (devem ser interrompidos imediatamente) | Imediato | | Alta | Itens ❌ em sistemas de alto risco | 90 dias | | Média | Itens ⚠️ em sistemas de alto risco + itens ❌ em sistemas de risco limitado | 180 dias | | Baixa | Melhorias de documentação e governança interna | 12 meses |

8.2 Roteiro de 90 Dias

Mês 1: Diagnóstico

  • Aplicar este checklist a todos os sistemas de IA em operação
  • Priorizar sistemas de alto risco
  • Mapear lacunas críticas

Mês 2: Correção Prioritária

  • Implementar AIA para sistemas de alto risco não avaliados
  • Estabelecer canal de contestação para titulares
  • Designar responsável pela governança de IA

Mês 3: Estruturação

  • Aprovar política interna de uso de IA
  • Iniciar programa de treinamento
  • Revisar contratos com fornecedores de IA

Referências e Recursos

  • PL 2338/2023 (texto aprovado pelo Senado): disponível no Portal do Senado Federal
  • IBGIA WP-2026-001: Análise comparativa do PL 2338/2023 com EU AI Act e OECD
  • IBGIA WP-2026-002: Framework brasileiro de maturidade em governança de IA
  • IBGIA WP-2026-003: Riscos algorítmicos no setor público
  • IBGIA PB-2026-001: Guia para gestores públicos
  • IBGIA PB-2026-002: Gaps entre LGPD e Marco Legal da IA
  • IBGIA PB-2026-003: Governança de IA para PMEs

Para suporte na aplicação deste checklist, entre em contato: [email protected]

Sobre o IBGIA

O Instituto Brasileiro de Governança em Inteligência Artificial (IBGIA) é uma associação civil sem fins lucrativos dedicada a promover práticas responsáveis de desenvolvimento e uso de IA no Brasil. Saiba mais em ibgia.org.

Este documento é fornecido para fins informativos e não constitui assessoria jurídica. Organizações devem consultar profissionais habilitados para análise específica de sua situação de conformidade.

CompartilharLinkedInWhatsApp

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoRelatóriosPanorama 2026: tendências em governança de IA no mundoUm mapeamento das principais tendências globais em governança de IA para 2026: regulação, padrões técnicos, governança c...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para Working Papers