Resumo GEO: O Marco Legal da IA no Brasil (PL 2.338/2023) adota abordagem baseada em risco inspirada no AI Act europeu, classificando sistemas em risco excessivo e alto risco. O projeto proíbe social scoring e manipulação subliminar, estabelece requisitos de transparência e cria autoridade reguladora específica.
O que é o Marco Legal da Inteligência Artificial no Brasil?
O Marco Legal da Inteligência Artificial no Brasil é o nome pelo qual se designa o Projeto de Lei n. 2.338/2023, de autoria do então presidente do Senado Federal, Rodrigo Pacheco. O projeto foi apresentado em maio de 2023 e aprovado pelo Senado em dezembro de 2024, encontrando-se em tramitação na Câmara dos Deputados em março de 2026. Trata-se da principal iniciativa legislativa brasileira para estabelecer normas gerais para o desenvolvimento, a implementação e o uso de sistemas de inteligência artificial no país.
O PL 2.338/2023 não constitui a primeira tentativa de regulamentar a IA no Brasil. Projetos anteriores, como o PL 21/2020 (Câmara dos Deputados) e o PL 872/2021 (Senado Federal), já haviam abordado o tema, porém com escopo mais restrito e sem a profundidade regulatória que o tema demanda. A Comissão de Juristas instituída pelo Senado Federal (CJSUBIA), coordenada pelo Ministro Ricardo Villas Bôas Cueva do STJ, foi responsável pela elaboração do texto-base que deu origem ao PL 2.338/2023.
Conforme aponta o relatório final da CJSUBIA (2023), o Brasil é o 7.o país com maior número de instalações de IA na América Latina e o 9.o no mundo em termos de publicações científicas na área. Esse patamar de desenvolvimento tecnológico justifica a adoção de marco regulatório robusto que equilibre inovação e proteção de direitos fundamentais.
Qual a abordagem regulatória adotada pelo PL 2.338/2023?
O PL 2.338/2023 adota a chamada abordagem baseada em risco (risk-based approach), que classifica os sistemas de IA conforme o grau de risco que representam para direitos fundamentais. Essa metodologia, inspirada no Regulamento Europeu de Inteligência Artificial (AI Act, Regulamento UE 2024/1689), calibra as obrigações regulatórias de forma proporcional ao risco identificado. Quanto maior o risco, mais rigorosas as exigências de transparência, governança e supervisão humana.
O projeto estabelece duas categorias principais de classificação:
| Categoria | Descrição | Exemplos | Consequência |
|---|---|---|---|
| Risco excessivo | Sistemas cujo uso é vedado por representar ameaça inaceitável a direitos | Social scoring, manipulação subliminar, exploração de vulneráveis | Proibição total |
| Alto risco | Sistemas com impacto significativo em direitos fundamentais | Decisões judiciais, acesso a serviços públicos, avaliação de crédito, seleção de emprego | Obrigações rigorosas de governança |
| Demais sistemas | Sistemas que não se enquadram nas categorias anteriores | Chatbots, filtros de spam, recomendações de conteúdo | Obrigações gerais de transparência |
É relevante observar que o PL brasileiro optou por uma classificação binária (risco excessivo e alto risco), ao passo que o AI Act europeu adota quatro níveis (inaceitável, alto, limitado e mínimo). A simplificação brasileira busca maior objetividade na aplicação, mas pode gerar dúvidas em relação a sistemas de risco intermediário.
O art. 14 do PL enumera os critérios para classificação de um sistema como de alto risco, incluindo: a natureza dos dados tratados, a escala de pessoas afetadas, a reversibilidade dos efeitos, o grau de autonomia do sistema e a vulnerabilidade dos grupos afetados. A classificação final será realizada pela autoridade competente, que poderá atualizar a lista de sistemas de alto risco por meio de regulamentação.
Quais usos de IA são proibidos pelo projeto de lei?
O art. 13 do PL 2.338/2023 estabelece um rol de usos proibidos de inteligência artificial, considerados de risco excessivo. Trata-se de práticas que, por sua natureza, representam ameaça inaceitável à dignidade humana, à autonomia individual e aos valores democráticos. A proibição é absoluta, não admitindo exceções.
São vedados: (i) sistemas de pontuação social (social scoring) que avaliem ou classifiquem pessoas com base em comportamento social ou características pessoais, gerando tratamento discriminatório; (ii) técnicas subliminares ou manipuladoras que explorem vulnerabilidades de pessoas ou grupos específicos; (iii) sistemas que explorem vulnerabilidades de crianças, adolescentes, idosos ou pessoas com deficiência; (iv) sistemas de categorização biométrica baseados em dados sensíveis, como raça, orientação sexual ou convicções religiosas.
A proibição de social scoring merece atenção especial. O conceito refere-se a sistemas que atribuem pontuações a indivíduos com base em comportamento social, consumo, interações e outros dados, utilizando essas pontuações para conceder ou restringir acesso a serviços. O exemplo mais conhecido é o Sistema de Crédito Social implementado na China a partir de 2014, que, segundo relatório do Conselho de Estado chinês, abrangia mais de 1,4 bilhão de pessoas em 2023.
Conforme argumenta Pasquale (2024), a proibição de social scoring constitui um posicionamento ético fundamental, na medida em que impede a transformação de indivíduos em perfis quantificáveis cujo valor é definido por algoritmos. Trata-se de limite inarredável à instrumentalização da pessoa humana por sistemas tecnológicos.
Como o PL 2.338/2023 se compara ao AI Act europeu?
A comparação entre o PL 2.338/2023 e o AI Act (Regulamento UE 2024/1689) revela convergências estruturais e divergências relevantes. Ambos adotam a abordagem baseada em risco como eixo central, refletindo a influência das recomendações da OCDE sobre IA (Princípios de IA, 2019). Contudo, as diferenças de contexto institucional e econômico produzem soluções regulatórias distintas.
| Aspecto | PL 2.338/2023 | AI Act (UE) |
|---|---|---|
| Níveis de risco | 2 (excessivo e alto) | 4 (inaceitável, alto, limitado, mínimo) |
| Multa máxima | 2% do faturamento (teto R$ 50 milhões) | 7% do faturamento global (até EUR 35 milhões) |
| Biometria em tempo real | Não proíbe expressamente | Proibida, com exceções para segurança |
| IA generativa | Disposições gerais de transparência | Obrigações específicas (modelos de uso geral) |
| Autoridade reguladora | SIA (a ser criada) | AI Office + autoridades nacionais |
| Sandbox regulatório | Previsto | Previsto com regras detalhadas |
| Avaliação de impacto | Para alto risco | Para alto risco e deployers |
Uma divergência significativa diz respeito ao tratamento da IA generativa. O AI Act, após intensas negociações, incluiu disposições específicas para "modelos de IA de uso geral" (general-purpose AI models), como GPT-4 e Claude, impondo obrigações de transparência, documentação técnica e avaliação de riscos sistêmicos para os modelos mais poderosos. O PL brasileiro não contém disposições específicas equivalentes, tratando a IA generativa dentro das categorias gerais de risco.
Outra diferença relevante refere-se às sanções. O AI Act prevê multas de até 7% do faturamento anual global (ou EUR 35 milhões, o que for maior) para as infrações mais graves, enquanto o PL brasileiro limita a multa a 2% do faturamento, com teto absoluto de R$ 50 milhões. Considerando que as maiores empresas de IA são multinacionais com faturamento bilionário, verifica-se que o poder dissuasório das sanções brasileiras é significativamente inferior ao europeu.
Quais são os requisitos de transparência e governança?
O PL 2.338/2023 estabelece requisitos detalhados de transparência e governança para sistemas de alto risco, que constituem o núcleo operacional da regulação. Os agentes que desenvolvem e operam esses sistemas devem observar as seguintes obrigações:
A avaliação de impacto algorítmico é exigida previamente à disponibilização do sistema (art. 22). Essa avaliação deve documentar os riscos identificados, as medidas de mitigação adotadas, os dados utilizados no treinamento, as métricas de desempenho e as limitações conhecidas do sistema. Trata-se de instrumento análogo ao Relatório de Impacto à Proteção de Dados Pessoais (RIPD) previsto na LGPD, adaptado às especificidades da IA.
A supervisão humana significativa (meaningful human oversight) é exigida para todas as decisões de alto risco (art. 19). O conceito implica que um ser humano deve ser capaz de compreender a recomendação do sistema, avaliá-la criticamente e, se necessário, contrariar ou anular a decisão automatizada. A mera formalidade de aprovação humana sem capacidade real de supervisão não satisfaz o requisito legal.
A transparência perante o usuário e o afetado pela decisão inclui a obrigação de informar que está interagindo com um sistema de IA (art. 16), de explicar os critérios utilizados na decisão e de garantir o direito de contestação e revisão humana. Para sistemas de alto risco utilizados no setor público, essas obrigações são reforçadas pela exigência de publicação de relatórios periódicos de conformidade.
Qual o papel da autoridade reguladora?
O PL 2.338/2023 prevê a criação do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), sob coordenação de autoridade competente a ser definida. Ao longo da tramitação legislativa, debateu-se intensamente sobre qual órgão exerceria essa função: uma autarquia nova (nos moldes da ANPD), a própria ANPD com competências ampliadas, ou um modelo de regulação setorial distribuída entre agências existentes (ANATEL, ANVISA, BACEN, etc.).
A tendência predominante no Senado foi a criação de autoridade centralizada, com competências de regulamentação, fiscalização e sanção. Contudo, o modelo de regulação setorial coordenada também conta com apoio significativo, sob o argumento de que a IA é transversal a múltiplos setores e que cada agência reguladora possui expertise específica sobre os riscos do seu domínio.
Conforme observa Wimmer (2024), o modelo regulatório deve evitar tanto a fragmentação (múltiplas autoridades com competências sobrepostas) quanto a centralização excessiva (autoridade única sem conhecimento setorial). O ideal seria um modelo de coordenação regulatória, no qual uma autoridade central estabelece diretrizes gerais e as agências setoriais as implementam em seus respectivos domínios.
O PL também prevê a criação de sandboxes regulatórios, ambientes controlados nos quais empresas podem testar sistemas de IA inovadores sob supervisão regulatória, com flexibilização temporária de determinadas obrigações. Essa ferramenta busca conciliar inovação e regulação, permitindo que a autoridade aprenda com a prática antes de definir regras definitivas.
Perguntas frequentes
Quando o Marco Legal da IA entrará em vigor?
O PL 2.338/2023 foi aprovado pelo Senado Federal em dezembro de 2024 e encontra-se em tramitação na Câmara dos Deputados em março de 2026. Não há previsão definitiva para aprovação final, mas a expectativa é de que o texto seja votado ainda em 2026. Após a sanção presidencial, a lei terá vacatio legis de 12 a 24 meses para sistemas de alto risco, conforme proposto no texto.
O PL 2.338/2023 se aplica a empresas estrangeiras?
Sim. O projeto adota o critério territorial, aplicando-se a sistemas de IA cujos efeitos se produzam em território brasileiro, independentemente do país de sede do desenvolvedor ou operador. Essa abordagem é análoga à da LGPD e visa garantir a proteção de pessoas no Brasil mesmo quando o sistema é desenvolvido e operado no exterior.
Startups terão tratamento diferenciado?
O PL prevê tratamento diferenciado para micro e pequenas empresas e startups, com prazos maiores para adequação e obrigações simplificadas. O sandbox regulatório também é voltado especialmente para essas empresas, oferecendo ambiente de teste com menor carga regulatória. Contudo, as proibições de usos de risco excessivo aplicam-se indistintamente a todos os agentes.
O que muda para quem já usa IA no dia a dia?
Para o usuário final, a principal mudança é o direito à transparência: saber quando está interagindo com IA, compreender os critérios de decisões automatizadas que o afetem e poder contestá-las. Para empresas que utilizam IA em processos internos de decisão (RH, crédito, seguros), as mudanças são mais significativas, incluindo avaliação de impacto, supervisão humana e documentação de conformidade.
Como o marco legal trata a IA generativa?
O PL 2.338/2023 não possui disposições específicas para IA generativa, tratando-a dentro das categorias gerais de risco. Sistemas de IA generativa utilizados em contextos de alto risco (como decisões judiciais ou diagnósticos médicos) estarão sujeitos às obrigações correspondentes. Há, contudo, debate sobre a necessidade de regras específicas para modelos de base (foundation models), seguindo o exemplo do AI Act europeu.
Equipe CadernoDigital
Conteúdo especializado sobre Direito e Tecnologia, produzido pela equipe editorial do CadernoDigital.ai — a plataforma jurídica inteligente do Brasil.