PL 2338: o Marco Legal de IA do Brasil pode sair em 2026 — o que o board precisa saber

PL 2338: o Marco Legal de IA do Brasil pode sair em 2026 — o que o board precisa saber

O PL 2338/2023 — o projeto de lei que cria o Marco Legal de Inteligência Artificial no Brasil — foi aprovado pelo Senado em dezembro de 2024 e está em estágio final de análise na Câmara dos Deputados. Se aprovado em 2026, o Brasil terá um dos primeiros frameworks regulatórios de IA da América Latina, com modelo de classificação por risco inspirado no EU AI Act.

Para quem lidera empresas que já operam IA em produção, o momento de atenção é agora. Não quando a lei for sancionada. O texto em discussão define obrigações concretas — e o custo de adequação retroativa é sempre maior que o de preparação antecipada.

O que o PL 2338 estabelece

O projeto adota o modelo de regulação baseada em risco que se tornou padrão global desde o EU AI Act. Na prática, isso significa que nem toda IA será regulada da mesma forma. O peso das obrigações depende do risco que o sistema representa para direitos fundamentais.

Classificação por níveis de risco. Sistemas de IA serão classificados em categorias de risco — de mínimo a inaceitável. Sistemas de alto risco, como os usados em decisões de crédito, contratação, saúde e segurança pública, terão obrigações mais rigorosas de transparência, documentação e supervisão humana. Sistemas de risco inaceitável — como scoring social por parte do governo — serão proibidos.

Direito de contestação de decisões algorítmicas. Qualquer pessoa afetada por uma decisão tomada ou substancialmente influenciada por IA terá direito de solicitar revisão humana. Isso impacta diretamente operações que automatizam decisões de crédito, seguros, processos seletivos e atendimento ao cliente. Empresas que operam IA em decisões sobre pessoas precisarão ter mecanismo de contestação documentado e funcional.

Criação do SIA. O Sistema Nacional de Regulação e Governança de IA será o órgão central de coordenação. Uma autoridade competente — ainda em definição se será a ANPD, uma agência nova ou um modelo multisetorial — terá poder de fiscalização, aplicação de sanções e emissão de diretrizes.

Sandboxes regulatórios. O projeto prevê ambientes controlados para que empresas testem inovações de IA sob supervisão regulatória, sem incorrer em penalidades durante o período de experimentação. Isso é positivo para startups e empresas em fase de desenvolvimento, mas não dispensa compliance para sistemas já em produção.

O cenário regulatório global: três modelos em paralelo

O C-level que opera em mais de um mercado precisa entender que não existe um padrão regulatório único. Existem três abordagens em movimento simultâneo — e nenhuma delas é opcional.

EU AI Act — o mais avançado. Em vigor desde agosto de 2024, com requisitos de alto risco entrando em agosto de 2026. Multas de até 35 milhoes de euros ou 7% da receita global. Modelo prescritivo, com conformity assessments obrigatórios e registro em base de dados pública. Qualquer empresa que opera no mercado europeu precisa estar em compliance.

Estados Unidos — patchwork estadual. Na ausência de uma lei federal, estados americanos avançam com legislação própria. Colorado, Illinois, Connecticut e Califórnia já têm ou avançam leis específicas sobre IA. A administração Trump emitiu uma ordem executiva com foco em preempção federal, mas sem força de lei vinculante. O resultado é um mosaico de obrigações que varia por estado. Empresas com operação nos EUA precisam monitorar legislação estadual ativamente.

Brasil — PL 2338. Posicionado entre o modelo prescritivo europeu e a fragmentação americana, o projeto brasileiro busca equilíbrio entre regulação e inovação. A abordagem risco-baseada é moderna. A questão aberta é a execução: quem será a autoridade competente, com que orçamento, com que capacidade técnica e com que independência.

Para empresas multinacionais brasileiras, o cenário exige compliance simultâneo em múltiplas jurisdições. Para empresas que operam apenas no Brasil, o PL 2338 será o piso regulatório — mas a LGPD já impõe obrigações que se sobrepõem.

LGPD + PL 2338: a dupla regulatória

A LGPD já trata de decisões automatizadas no artigo 20. Qualquer pessoa tem direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. Isso já se aplica a sistemas de IA que processam dados pessoais para tomar decisões.

O PL 2338 amplia esse escopo. O direito de contestação não se limita a decisões baseadas em dados pessoais — abrange qualquer decisão substancialmente influenciada por IA, independentemente de envolver dados pessoais ou não. Uma IA que nega crédito com base em dados agregados e anonimizados, sem dados pessoais identificáveis, ainda estaria sujeita ao direito de contestação do PL 2338.

A implicação para o board: a organização precisa mapear dois regimes regulatórios que se sobrepõem parcialmente. Compliance com LGPD não garante compliance com PL 2338, e vice-versa. Cada sistema de IA em produção precisa ser avaliado sob ambas as lentes.

Riscos concretos para quem espera

Três cenários que boards precisam considerar:

Risco de adequação retroativa. Se o PL 2338 for aprovado com vacatio legis curta — e o texto atual prevê 12 a 24 meses — empresas terão uma janela limitada para classificar seus sistemas por risco, documentar processos, implementar mecanismos de contestação e ajustar governance. Quem começa antes tem vantagem operacional.

Risco reputacional. A simples existência do debate regulatório já cria expectativa social. Consumidores, investidores e reguladores já esperam transparência no uso de IA. Uma empresa que não consegue explicar como sua IA toma decisões terá problema de reputação antes mesmo de ter problema legal.

Risco de investimento. Fundos de investimento com critérios ESG e investidores institucionais estão incorporando governança de IA nas avaliações de due diligence. Empresas sem framework de governança de IA documentado perdem pontos em avaliações de risco — e isso afeta custo de capital.

Recomendações para o C-level

Para o General Counsel. Inicie o mapeamento de todos os sistemas de IA em produção que tomam ou influenciam decisões sobre pessoas. Classifique por risco usando os critérios do PL 2338 como referência. Cruze com obrigações existentes da LGPD. Identifique gaps.

Para o CTO/CAIO. Implemente mecanismo de explicabilidade e contestação nos sistemas de alto risco antes que a lei exija. O custo de retrofit é significativamente maior que o de design. Sistemas desenvolvidos hoje sem explicabilidade precisarão ser refeitos.

Para o CEO. Coloque o PL 2338 na pauta do próximo conselho. O board precisa entender três coisas: quais sistemas de IA a empresa opera, qual o nível de risco de cada um e qual é o gap entre o estado atual e o que a regulação vai exigir. Se as respostas não estiverem disponíveis, essa é a primeira providência.

Para o CFO. Provisione orçamento para compliance de IA em 2026-2027. A experiência com LGPD mostrou que empresas que não alocaram recursos antecipadamente pagaram mais caro na corrida de adequação. O PL 2338 seguirá o mesmo padrão.

O Marco Legal de IA do Brasil não é surpresa. Está em tramitação há três anos. A aprovação pode acontecer em 2026. Quem lidera empresas que usam IA em produção tem a obrigação fiduciária de estar preparado — não para a possibilidade de regulação, mas para a certeza dela.