Blog

Regulamentação de IA no Brasil: O que Empresas Precisam Saber

6 min de leitura

O Brasil está construindo seu marco regulatório para inteligência artificial. A discussão que começou como debate acadêmico passou para votações em comissões do Senado e câmara em 2025 — e algumas obrigações já começaram a ser exigidas mesmo antes da aprovação formal de uma lei específica de IA. Empresas que usam IA precisam entender o que está sendo regulamentado, o que já se aplica hoje e como se preparar sem paralisar operações.

Resumo rápido: O PL 2338/2023 classifica sistemas de IA por nível de risco — similar ao modelo europeu: O Projeto de Lei 2338/2023, de autoria do senador Rodrigo Pacheco, é o principal instrumento de regulamentação de IA no Brasil.

Importante: regulamentação de IA no Brasil é território em evolução rápida. Este artigo reflete o estado do debate em fevereiro de 2026. Consulte sempre assessoria jurídica especializada para decisões específicas da sua empresa.

O que está sendo regulamentado: o PL 2338/2023

O Projeto de Lei 2338/2023, de autoria do senador Rodrigo Pacheco, é o principal instrumento de regulamentação de IA no Brasil. Baseado no modelo europeu (EU AI Act) com adaptações para a realidade brasileira, o PL avançou significativamente em 2025 e deve ser aprovado em alguma forma até 2026.

Os pontos principais do PL que impactam empresas que usam IA:

Classificação por risco

O PL 2338/2023 classifica sistemas de IA por nível de risco — similar ao modelo europeu:

  • Risco inaceitável (proibido): sistemas de vigilância em massa, manipulação comportamental subliminar, pontuação social de cidadãos. Nenhuma empresa legítima de e-commerce opera nessa categoria.
  • Alto risco: IA usada em decisões de crédito, triagem de empregos, decisões que afetam acesso a serviços públicos, educação. Exige avaliação de conformidade, transparência e supervisão humana documentada.
  • Risco limitado: chatbots e sistemas de interação com consumidores. Exige transparência: o usuário deve saber que está interagendo com IA.
  • Risco mínimo: IA para geração de conteúdo, recomendação de produto, otimização de processos internos. Menos obrigações — mas não zero.

Obrigações de transparência

Para todos os sistemas de IA que interagem com consumidores: obrigação de informar que há IA envolvida na interação. Para chatbots de atendimento: o cliente deve poder saber que está falando com IA e ter opção de ser atendido por humano.

Responsabilidade civil

O PL estabelece que quem usa IA (empresa) é responsável pelos danos causados pelo sistema — mesmo que o sistema tenha sido desenvolvido por terceiros. Você contratou uma IA que discriminou um cliente? É responsabilidade sua.

“Regulamentação de IA não é ameaça para quem usa IA com responsabilidade — é proteção contra concorrência desleal de quem usa sem critério. Para e-commerce sério, conformidade é vantagem competitiva.”

— Babi Tonhela, CEO da Marketera e do Marketek

O que já se aplica hoje: LGPD e IA

Antes de qualquer lei específica de IA, a LGPD (Lei Geral de Proteção de Dados) já regula aspectos críticos do uso de IA que processa dados pessoais:

Decisões automatizadas

O Art. 20 da LGPD estabelece o direito do titular de dados de “não ficar sujeito a decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses”. Isso inclui decisões de crédito, preço personalizado, elegibilidade para promoções e negação de atendimento automatizadas.

O titular tem direito de solicitar revisão humana de qualquer decisão automatizada que o afete significativamente. Sua empresa precisa ter processo para atender esse pedido.

Base legal para uso de dados em IA

Para treinar modelos de IA com dados de clientes ou usar IA para análise de comportamento: é necessário base legal clara (consentimento, legítimo interesse ou cumprimento de obrigação legal). Uso de dados sem base legal é infração à LGPD independentemente de haver lei específica de IA.

Data Protection Impact Assessment (DPIA)

Para implementações de IA que processam dados pessoais em larga escala ou que podem causar impacto significativo nos titulares: ANPD (Autoridade Nacional de Proteção de Dados) recomenda realização de DPIA (Relatório de Impacto à Proteção de Dados).

Iniciativas complementares: o que mais está em andamento

  • Estratégia Brasileira de Inteligência Artificial (EBIA): publicada em 2019 e atualizada em 2021, define princípios e diretrizes para uso de IA no Brasil. Não é lei, mas orienta regulamentação e investimento público.
  • Resolução do Banco Central sobre IA em serviços financeiros: mais específica para fintechs e bancos — exige governança e documentação de sistemas de IA usados em decisões de crédito e prevenção de fraude.
  • CFM e IA médica: o Conselho Federal de Medicina emitiu resoluções sobre uso de IA no diagnóstico médico — exige supervisão médica e responsabilidade do profissional.

Como se preparar: 8 ações práticas para empresas

  1. Inventarie seus sistemas de IA: mapeie todas as ferramentas e processos que usam IA na sua empresa. Muitas empresas não sabem exatamente onde a IA está sendo usada — especialmente quando embutida em plataformas SaaS.
  2. Classifique por risco: usando o framework do PL 2338/2023, classifique cada sistema. Sistemas de alto risco exigem atenção prioritária.
  3. Implemente transparência nos chatbots: qualquer chatbot que interage com clientes deve se identificar como IA e oferecer opção de atendimento humano. Isso já é boa prática e provavelmente se tornará obrigação legal.
  4. Revise a política de privacidade: inclua informações sobre uso de IA, quais dados são processados por sistemas automatizados e quais decisões são automatizadas.
  5. Documente processos de IA: para sistemas de alto risco, mantenha documentação de como o sistema funciona, que dados usa, como é monitorado e como erros são corrigidos.
  6. Crie processo de revisão humana: especialmente para decisões automatizadas que afetam clientes — recusa de pedido, bloqueio de conta, precificação discriminatória.
  7. Avalie fornecedores de IA: fornecedores de ferramentas de IA que processam dados dos seus clientes precisam ter contratos de processamento de dados (DPA) compatíveis com LGPD.
  8. Mantenha equipe informada: a regulamentação vai evoluir. Designe alguém para acompanhar o andamento do PL 2338/2023 e adaptar processos conforme aprovação.

Impacto para PMEs: o que realmente muda

Para a maioria das PMEs de e-commerce, o impacto prático da regulamentação em andamento é menor do que a maioria teme:

  • Uso de ChatGPT para criação de conteúdo interno: baixo risco, poucas obrigações.
  • Chatbot de atendimento no WhatsApp: obrigação de transparência (usuário sabe que é IA) e opção de humano. Prática já recomendada.
  • Personalização de produto: necessidade de base legal clara e transparência na política de privacidade.
  • Antifraude automatizado: processo de revisão humana para casos de bloqueio de cliente legítimo.

O maior impacto estará em empresas que tomam decisões significativas automaticamente — crédito, precificação discriminatória, bloqueio de conta — sem mecanismo de revisão humana.

Perguntas Frequentes

Quando a lei de IA do Brasil vai ser aprovada?

O PL 2338/2023 avançou significativamente em 2025 mas ainda estava em debate legislativo em início de 2026. A expectativa do setor é aprovação em 2026 com período de implementação de 12-24 meses. Acompanhe o progresso no site do Senado Federal.

PME que usa ChatGPT precisa se adequar à regulamentação de IA?

Para uso interno de criação de conteúdo, análise e produtividade: as obrigações são mínimas. Para uso que processa dados de clientes ou que resulta em decisões automatizadas que afetam clientes: sim, há obrigações mesmo hoje via LGPD. A lei específica de IA aumentará e formalizará essas obrigações.

O que acontece se minha empresa não se adequar à lei de IA?

As penalidades do PL 2338/2023 em discussão incluem multas de até 2% do faturamento (similar ao modelo europeu) e proibição de uso de sistemas em desconformidade. Para sistemas de alto risco com dano demonstrável: responsabilidade civil pelos danos causados.

Como a regulamentação brasileira se compara ao EU AI Act?

O PL 2338/2023 é fortemente inspirado no EU AI Act mas com adaptações: flexibilidade maior para PMEs, ênfase em direitos coletivos e maior foco em impactos socioambientais. A ANPD terá papel central na fiscalização, integrado com as obrigações já existentes de LGPD.

[cta_newsletter]

Leia também

Compartilhar:

Deixe um comentário

Seu e-mail não será publicado. Campos obrigatórios marcados com *

Leia também

Artigos relacionados