PL 2338/23: 3 pontos de atenção sobre o marco regulatório da IA
A tramitação do PL 2338/23, que trata da regulação da inteligência artificial (IA) no Brasil, já ocupa um lugar central na agenda regulatória do país. Após um período intenso de debates técnicos, institucionais e setoriais, o projeto caminha para uma fase decisória, com impactos relevantes sobre modelos de negócio, estruturas de governança e estratégias de inovação.
Mais do que estabelecer novas obrigações legais, o PL 2338/23 inaugura uma mudança de paradigma regulatório no Brasil: a inteligência artificial deixa de ser tratada apenas como uma ferramenta tecnológica e passa a ser regulada a partir de uma lógica de risco, impacto e responsabilidade organizacional.
Insta pontuar que esse paradigma dialoga diretamente com a experiência europeia, em especial com o AI Act, que influenciou o debate brasileiro ao consolidar uma abordagem baseada em risco como eixo central da regulação da IA.
Para empresas, isso significa que o uso de IA passa a exigir decisões estruturadas de governança, integração entre áreas jurídicas, técnicas e de negócio, e mecanismos formais de controle ao longo de todo o ciclo de vida dos sistemas.
LEIA MAIS: Lei Complementar nº 224/2025 e os impactos no lucro presumido
Recentemente, o debate legislativo tem avançado também sobre a estrutura institucional de governança da IA, incluindo o papel da ANPD e a articulação com reguladores setoriais, o que reforça que a implementação do marco regulatório envolverá não apenas regras de conduta, mas um modelo coordenado de supervisão e fiscalização.
Separamos três tópicos jurídicos levantados pelo PL 2338/23, para apoiar empresas que buscam se preparar para um ambiente regulatório mais seguro, ético e transparente.
O que é o PL 2338/23?
O Projeto de Lei 2338/23 busca estabelecer regras para desenvolvimento, fornecimento e uso de sistemas de Inteligência Artificial no Brasil. A proposta foi construída a partir de debates públicos, audiências e contribuições de especialistas, e deve ser votada ainda em 2026. O texto parte do reconhecimento de que sistemas de IA podem gerar benefícios relevantes, mas também riscos significativos a direitos fundamentais, à segurança e à tomada de decisão, especialmente quando utilizados em contextos sensíveis ou de alto impacto, resultado da influência direta do AI Act europeu na proposta.
Seu objetivo central é equilibrar:
- inovação tecnológica
- direitos fundamentais
- ética e segurança
- responsabilidade organizacional
- fomento à competitividade
Esse equilíbrio se reflete na adoção de uma abordagem regulatória baseada em risco, alinhada a tendências internacionais e a modelos como o europeu, mas adaptada à realidade institucional brasileira. No entanto, vale observar que esse alinhamento ocorre em um momento em que a própria União Europeia já revisita sua estratégia regulatória, com propostas recentes de simplificação das regras de IA e de proteção de dados, no contexto do chamado Omnibus Digital, com foco explícito em inovação e competitividade.
Em termos práticos, o PL cria uma estrutura de classificação de risco para sistemas de IA e define obrigações diferentes dependendo do impacto dessas tecnologias nas pessoas e nas organizações.
Esse movimento evidencia um ponto de atenção para o debate nacional: enquanto o Brasil consolida um modelo inspirado na fase mais densa da regulação europeia, o cenário internacional já aponta para ajustes voltados à redução de complexidade regulatória e à atração de empresas de tecnologia.
Tópico 1: Responsabilidade e transparência
O PL impõe um conjunto de obrigações aos desenvolvedores, fornecedores e usuários de IA. Para o ambiente empresarial, isso significa revisitar fluxos operacionais e padrões de governança digital.
Na prática, essas exigências reforçam que a responsabilidade pelo uso de IA não é apenas técnica, mas também organizacional e institucional, exigindo definição clara de papéis, tomada de decisão documentada e supervisão contínua.
Principais obrigações:
- informar quando uma pessoa está interagindo com uma IA;
- disponibilizar explicações claras sobre o funcionamento de sistemas que influenciam decisões;
- garantir que dados usados para treinar algoritmos sejam confiáveis e livres de vieses;
- registrar logs e evidências sobre o uso da tecnologia.
Mais do que cumprir requisitos formais, essas obrigações exigem que as empresas adotem estruturas de governança de IA, com políticas internas, processos de validação, critérios de uso aceitável e mecanismos de revisão humana, especialmente em decisões automatizadas com impacto relevante.
Essa exigência reforça a necessidade de processos transparentes, governança de dados e supervisão contínua.
Tópico 2: Classificação de risco dos sistemas de IA
O PL 2338/23 estabelece categorias de risco para definir o nível de exigência sobre cada sistema. Isso significa que as empresas precisarão identificar em qual categoria suas soluções se encaixam.
Esse exercício de classificação pressupõe que as organizações conheçam seus próprios sistemas de IA, mapeando finalidades, dados utilizados, grau de autonomia decisória e impactos potenciais, o que demanda inventários atualizados e avaliações estruturadas de risco.
Categorias existentes:
- Risco excessivo (proibidos)
Sistemas considerados incompatíveis com direitos fundamentais. Exemplos: vigilância biométrica em tempo real sem base legal, manipulação subliminar de comportamento, pontuação social.
- Alto risco
Tecnologias que podem afetar direitos, segurança ou bem-estar das pessoas. Exemplo práticos para empresas: IA usada em áreas críticas como saúde, transporte e infraestrutura;
- Risco médio
Sistemas que interagem com o público, mas não tomam decisões sensíveis. Exemplo: chatbots corporativos.
- Baixo risco
Ferramentas cotidianas com uso básico de IA. Exemplo: filtros de e-mail ou sugestões automáticas de texto.
Na prática, a classificação de risco funciona como um gatilho regulatório: quanto maior o risco, maior o nível de documentação, testes, monitoramento e governança exigidos, inclusive com avaliações de impacto e envolvimento de instâncias internas multidisciplinares.
Tópico 3: Convergência com a LGPD
Por último, mas não menos importante, temos a intersecção do PL com a Lei Geral de Proteção de Dados (LGPD). Na prática, a conformidade com a LGPD será um pré-requisito para qualquer uso seguro e regular de IA.
No entanto, a LGPD, por si só, não esgota os riscos associados à inteligência artificial. O PL amplia o foco regulatório ao incorporar aspectos como decisões automatizadas, vieses algorítmicos, explicabilidade e impactos sociais, exigindo uma abordagem integrada entre proteção de dados, governança tecnológica e gestão de riscos.
Os principais impactos para empresas incluem:
- Base legal para treinamento de modelos
Dados pessoais só podem ser usados em IA com base legal válida e finalidade determinada.
- Minimização e finalidade
Coletar apenas o necessário e deixar claro como as informações serão utilizadas.
- Direitos dos titulares
O usuário poderá solicitar revisão humana de decisões automatizadas, pedir explicações e questionar resultados.
- Segurança da informação
O PL exige medidas robustas contra vazamentos, manipulação indevida ou ataques a modelos de IA.
- Gestão de vieses e discriminação
Empresas precisarão demonstrar que seus algoritmos são auditáveis, testados e monitorados.
Esse conjunto de exigências reforça a necessidade de que sistemas de IA sejam auditáveis, monitorados continuamente e passíveis de revisão, especialmente quando utilizados em contextos que envolvem dados pessoais sensíveis ou decisões com efeitos relevantes sobre indivíduos.
A união entre o PL e a LGPD reforça a proteção do consumidor e aumenta a responsabilidade das organizações que utilizam dados sensíveis em larga escala.
VEJA TAMBÉM: Temporalidades extremas, judicialização e equilíbrio: Atrasos climáticos exigem nova lente
Conclusão
Em um cenário em que empresas de todos os setores adotam soluções baseadas em dados, algoritmos e automação, entender o que a futura legislação estabelece tornou-se essencial.
A regulamentação da IA não deve ser compreendida apenas como um conjunto de restrições, mas como um instrumento de maturidade institucional, capaz de aumentar a confiança, reduzir riscos jurídicos e orientar o uso responsável da tecnologia.
Ainda assim, o debate brasileiro acerca da regulamentação deve considerar o atual cenário internacional, que evoluiu significativamente desde 2023. O legislador deve ter o cuidado de não apenas considerar o nível de maturidade e os desafios locais ao se inspirar no modelo regulatório europeu, mas também de acompanhar as iniciativas mais recentes de simplificação normativa, que buscam conciliar a proteção de direitos com a promoção da inovação e da competitividade.
A previsão de votação do PL 2338/23 ainda em 2026 sinaliza que o país está se aproximando de um marco regulatório que irá moldar o futuro da inteligência artificial no Brasil.
Essa regulamentação da IA não é uma barreira à inovação. Pelo contrário: é um passo essencial para construir confiança, reduzir riscos e permitir que o país avance com segurança em direção a um futuro tecnológico mais justo, inclusivo e responsável.
O desafio estará em assegurar que esse marco regulatório seja suficientemente flexível para acompanhar a dinâmica tecnológica e não se distancie das tendências globais de atração e desenvolvimento de soluções de IA.
Na LBCA, acompanhamos de perto a evolução do PL 2338/23 e atuamos na implementação prática de estruturas de governança de inteligência artificial, integrando privacidade, proteção de dados, compliance, segurança da informação e estratégia de negócio.
