PL 2338/2023: O Marco Legal da Inteligência Artificial no Brasil — O Que Muda, Quem é Afetado e Quais as Penalidades
O Brasil Está Prestes a Ter uma Lei para a Inteligência Artificial — e Ela Vai Mudar as Regras do Jogo
O PL 2338/2023 passou pelo Senado, chegou à Câmara e enfrenta resistências. Mas quando for sancionado, nenhuma empresa que usa IA no Brasil poderá dizer que não sabia o que estava por vir.
Há uma certa ironia no fato de o Brasil estar debatendo a regulação da inteligência artificial enquanto o mundo já colhe os primeiros frutos — e os primeiros estragos — dessa tecnologia. O PL 2338/2023, batizado informalmente de Marco Legal da Inteligência Artificial, foi aprovado pelo Senado Federal em dezembro de 2024 e chegou à Câmara dos Deputados em março de 2025. Desde então, o projeto enfrenta o que todo texto regulatório ambicioso enfrenta no Congresso: pressão de empresas, divergências internas no governo e um calendário político que raramente favorece temas técnicos. Em março de 2026, a votação final ainda não tem data definida — mas o debate está mais vivo do que nunca.
A proposta é de autoria do senador Rodrigo Pacheco e tem como espinha dorsal uma lógica simples de enunciar, mas complexa de implementar: quanto maior o risco que um sistema de inteligência artificial representa para as pessoas, mais rigorosas serão as obrigações de quem o desenvolve ou opera. É a mesma abordagem adotada pelo AI Act europeu, o regulamento mais abrangente sobre IA em vigor no mundo, e que o Brasil claramente tomou como referência. A diferença é que o texto brasileiro precisou ser negociado num ambiente político muito mais fragmentado — e o resultado é um projeto que tenta equilibrar proteção de direitos fundamentais com estímulo à inovação, sem sufocar startups nem dar carta branca para grandes corporações.
O que a lei efetivamente muda
O coração do PL é a classificação dos sistemas de IA por nível de risco, e entender essa taxonomia é o primeiro passo para qualquer empresa que queira se preparar. No topo da hierarquia estão as práticas de risco excessivo, que o texto simplesmente proíbe. Entram nessa categoria sistemas que utilizam técnicas subliminares para manipular o comportamento humano, ferramentas que exploram vulnerabilidades de grupos específicos como crianças, idosos e pessoas com deficiência, e — talvez o ponto mais politicamente sensível — sistemas de pontuação social operados pelo poder público, o chamado social scoring. A vigilância biométrica em massa em espaços públicos também é vedada, com exceções restritas para situações de segurança nacional.
Abaixo das práticas proibidas está a categoria que vai gerar mais trabalho jurídico e tecnológico para as empresas: os sistemas de alto risco. O projeto enquadra nessa classe aplicações que operam em áreas onde uma decisão errada pode mudar a vida de alguém — triagem de currículos e avaliação de performance em RH, concessão de crédito e definição de score financeiro, diagnósticos médicos e recomendação de tratamentos, sistemas que determinam acesso ou avaliação de estudantes, ferramentas de reconhecimento facial e análise preditiva usadas por autoridades de segurança pública, e veículos autônomos em espaços públicos. Para todos esses casos, o projeto impõe um conjunto robusto de obrigações que vai muito além de uma política de privacidade bem redigida.
A principal delas é a Avaliação de Impacto Algorítmico, a AIA. Trata-se de um documento de governança que as empresas precisarão elaborar e manter atualizado antes de colocar qualquer sistema de alto risco em operação. A AIA precisa descrever o sistema em detalhes, mapear os riscos que ele representa para direitos fundamentais, identificar e tratar vieses discriminatórios, documentar os mecanismos de supervisão humana e demonstrar que testes de segurança foram realizados. Para quem já passou pela experiência de implementar o RIPD da LGPD, a analogia é direta — mas o escopo é mais amplo, porque o objeto não é o dado em si, mas o algoritmo que toma decisões com base nele.
O projeto também dedica atenção específica aos modelos de IA de propósito geral — os grandes modelos de linguagem como GPT, Claude e Gemini, disponibilizados via API para desenvolvedores. Quem cria esses modelos precisará documentar os riscos não mitigáveis, publicar um resumo dos conjuntos de dados usados no treinamento e garantir que os dados foram coletados em conformidade com a LGPD. É uma tentativa de responsabilizar a cadeia inteira, não apenas quem usa o modelo no produto final.
Para o setor público, as regras são igualmente exigentes. Órgãos governamentais que utilizem sistemas de alto risco precisarão realizar a avaliação de impacto antes da implementação e publicar os resultados em base de dados eletrônica pública. Sistemas cujos riscos não possam ser mitigados deverão ser descontinuados. A mesma lógica se aplica a empresas privadas que gerenciam serviços públicos.
Os direitos que a lei garante — e o que isso significa na prática
Do lado dos cidadãos, o PL cria um conjunto de direitos que, se efetivamente aplicados, vão mudar a relação entre pessoas e sistemas automatizados de forma bastante concreta. Qualquer pessoa afetada por uma decisão de IA terá direito de saber que está interagindo com um sistema automatizado, de entender a lógica por trás da decisão tomada sobre ela, de contestar essa decisão e solicitar revisão humana, e de exigir correção quando os dados ou parâmetros usados forem incorretos. O direito à não discriminação algorítmica também está explicitamente previsto — o que cria uma base legal para questionar, por exemplo, um sistema de crédito que sistematicamente penaliza moradores de determinados CEPs.
Na prática, isso significa que uma empresa que usa IA para triagem de candidatos em processos seletivos precisará ser capaz de explicar, de forma compreensível, por que um candidato foi rejeitado. Uma fintech que usa modelos preditivos para negar crédito precisará ter um mecanismo de contestação funcional. Um hospital que usa IA para priorizar atendimentos precisará garantir supervisão humana sobre as decisões do sistema. São mudanças operacionais significativas, não apenas ajustes de documentação.
O peso das penalidades
O regime sancionatório do PL foi desenhado para ter dentes. A multa máxima por infração chega a R$ 50 milhões ou 2% do faturamento bruto do grupo econômico no Brasil no último exercício — prevalecendo o maior valor. É um número que coloca o Marco Legal da IA no mesmo patamar de seriedade da LGPD, e que certamente vai aparecer nos relatórios de risco das empresas assim que o texto for sancionado.
Mas a multa é apenas uma das sanções possíveis. O projeto prevê advertência com prazo para correção, publicização da infração — o que no mundo corporativo pode ser mais danoso do que a multa em si —, proibição de participar do regime experimental de sandbox regulatório por até cinco anos, e suspensão parcial ou total do desenvolvimento, fornecimento ou operação do sistema de IA. Para sistemas classificados como de risco excessivo, a lei é mais severa: a multa e a suspensão de atividades são aplicadas no mínimo, sem margem para negociação.
Antes mesmo de concluir o processo administrativo, a autoridade competente poderá adotar medidas cautelares quando houver indício de lesão irreparável — o que dá ao regulador poder de agir rápido em situações de emergência. E um ponto que muitos gestores jurídicos ainda não internalizaram: as sanções do Marco Legal da IA não substituem as penalidades da LGPD nem as do Código de Defesa do Consumidor. Uma empresa pode ser punida pelas três legislações simultaneamente, além de ter a obrigação de reparar integralmente os danos causados às pessoas afetadas.
O que está travando a votação
Em março de 2026, o projeto aguarda parecer do relator na Comissão Especial da Câmara. O que está travando a votação é uma combinação de fatores que qualquer observador do Congresso reconhece: pressão de empresas de tecnologia que consideram o texto excessivamente restritivo para startups e PMEs, divergências entre ministérios do governo Lula sobre quem deve ser a autoridade reguladora — a ANPD ou um novo órgão —, e a ausência de consenso sobre como tratar a IA generativa, especialmente no que diz respeito a direitos autorais e ao uso de conteúdo protegido para treinamento de modelos.
O risco real não é que a lei seja aprovada com falhas — toda lei regulatória de tecnologia nasce imperfeita e é aperfeiçoada ao longo do tempo. O risco é que a demora crie um vácuo regulatório que estados e municípios comecem a preencher com legislações próprias. Já existem 27 projetos de lei estaduais sobre IA tramitando no Brasil, e a fragmentação regulatória é exatamente o cenário que o setor produtivo mais teme.
Por que toda empresa deveria estar se preparando agora
A sanção presidencial ainda não aconteceu, mas o texto aprovado pelo Senado já é público e detalhado o suficiente para que qualquer empresa comece a mapear sua exposição. O primeiro passo é simples: identificar quais sistemas de IA a empresa desenvolve ou utiliza e classificá-los segundo a taxonomia de risco do projeto. Esse mapeamento vai revelar onde estão as obrigações mais pesadas — e onde há tempo para ajustes antes que a lei entre em vigor.
O Marco Legal da IA não é apenas mais uma camada de compliance. É uma mudança estrutural na forma como empresas precisarão pensar sobre os sistemas automatizados que afetam vidas humanas. As que entenderem isso cedo vão transformar conformidade em diferencial competitivo. As que esperarem a multa para agir vão pagar um preço muito mais alto — e não apenas em reais.
O PL 2338/2023 está disponível na íntegra no portal da Câmara dos Deputados. A tramitação pode ser acompanhada em tempo real pelo sistema de proposições legislativas da Casa.
