O Brasil está prestes a ter sua primeira lei específica sobre Inteligência Artificial. O PL 2338/2023, conhecido como Marco Legal da IA, foi aprovado por unanimidade no Senado Federal em dezembro de 2024 e agora tramita na Câmara dos Deputados, com previsão de votação em 2026.
Para empresas que já utilizam IA — e isso inclui desde ferramentas simples como ChatGPT até modelos preditivos complexos — entender o que o projeto de lei exige é uma questão de preparação, não de espera.
O que é o PL 2338/2023
O Projeto de Lei 2338/2023 estabelece regras para o desenvolvimento, fornecimento e uso de sistemas de Inteligência Artificial no Brasil. Ele foi inspirado no modelo europeu (EU AI Act) e adota uma abordagem baseada em risco: quanto maior o risco que o sistema de IA representa para direitos fundamentais, maior o nível de exigência regulatória.
O projeto cria o Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), que envolve a ANPD (Autoridade Nacional de Proteção de Dados) como uma das peças centrais da governança de IA no país.
Classificação de risco: como funciona
O PL 2338/2023 classifica os sistemas de IA em três níveis:
Risco excessivo (proibido)
Sistemas de IA cujo uso é proibido por representar ameaça inaceitável a direitos fundamentais. Incluem sistemas de pontuação social por parte do governo, manipulação subliminar que cause danos e exploração de vulnerabilidades de grupos específicos.
Alto risco (regulado com obrigações)
Sistemas de IA utilizados em contextos sensíveis, como: decisões sobre crédito, emprego, educação, saúde, segurança pública, processos judiciais e gestão de infraestrutura crítica. Empresas que utilizam IA de alto risco terão obrigações específicas de governança, transparência e supervisão humana.
Risco não classificado como alto
Demais sistemas de IA, que ficam sujeitos a um regime mais leve, mas ainda com obrigações básicas de transparência e informação ao usuário.
Obrigações para empresas
O PL 2338/2023 traz obrigações concretas para empresas que desenvolvem ou utilizam sistemas de IA:
Avaliação de impacto algorítmico — Para sistemas de IA de alto risco, é necessário realizar uma avaliação documentada dos impactos sobre direitos fundamentais, similar ao RIPD (Relatório de Impacto) da LGPD.
Transparência — Pessoas afetadas por decisões de IA têm direito a saber que estão interagindo com um sistema automatizado e a receber explicações sobre como a decisão foi tomada.
Supervisão humana — Sistemas de IA de alto risco devem ter mecanismos de supervisão humana que permitam intervenção quando necessário.
Governança proporcional ao risco — Empresas devem implementar medidas de governança proporcionais ao risco dos sistemas de IA que utilizam, incluindo documentação, testes, monitoramento e treinamento.
Direitos dos afetados — O projeto garante direitos como contestação de decisões automatizadas, acesso a informações sobre o funcionamento do sistema e correção de erros.
Sanções previstas
O PL 2338/2023 prevê sanções administrativas que podem chegar a R$ 50 milhões por infração, com possibilidade de duplicação em caso de reincidência. As sanções incluem advertência, multa, publicização da infração, suspensão e proibição do uso do sistema de IA.
O que muda na prática para sua empresa
Se sua empresa utiliza qualquer sistema de IA — mesmo ferramentas comerciais como ChatGPT, sistemas de recomendação, chatbots de atendimento ou modelos preditivos — você precisará:
- Mapear todos os sistemas de IA em uso na organização
- Classificar cada sistema por nível de risco conforme os critérios da lei
- Documentar o funcionamento, as decisões e os dados utilizados por cada sistema
- Implementar governança proporcional ao risco identificado
- Treinar sua equipe sobre as novas obrigações e responsabilidades
- Garantir transparência aos titulares de dados e pessoas afetadas pelas decisões de IA
A relação com a LGPD
O PL 2338/2023 e a LGPD são complementares. A LGPD protege dados pessoais; o marco legal da IA regulamenta o uso de sistemas automatizados que processam esses dados. Empresas que já passaram pela adequação à LGPD têm uma base sólida para a governança de IA — mas precisam expandir o escopo para cobrir os novos requisitos específicos de IA.
A ANPD terá um papel central em ambas as regulamentações, o que reforça a importância de manter um relacionamento proativo com a autoridade.
Como se preparar agora
Não é preciso esperar a aprovação final da lei para agir. As empresas que se prepararem agora terão vantagem competitiva quando a regulamentação entrar em vigor, além de reduzirem riscos imediatos de privacidade, segurança e reputação.
A Sigma Governance oferece um programa de governança de IA que já prepara sua empresa para o PL 2338/2023, incluindo inventário de sistemas, avaliação de risco, políticas de uso e treinamentos. Fale com nossos especialistas.