PL 2338/2023: O Guia Definitivo da Regulamentação de IA no Brasil em 2026

O Brasil está a onze dias de uma decisão que vai impactar cada empresa que usa inteligência artificial no país — e também cada cidadão que interage com sistemas automatizados no dia a dia.

No dia 16 de junho de 2026, o Plenário da Câmara dos Deputados deve votar o PL 2338/2023, o marco legal da inteligência artificial brasileiro. O parecer do relator, deputado Aguinaldo Ribeiro (PP-PB), está marcado para 9 de junho — segunda-feira que vem.

O projeto cria um sistema de regulação baseado em grau de risco, muito parecido com o EU AI Act europeu. Mas com diferenças importantes que refletem a realidade brasileira: uma economia ainda digitalmente desigual, um mercado de startups vibrante mas vulnerável, e um governo que tenta equilibrar inovação com proteção ao consumidor.

Se você trabalha com tecnologia, dirige uma empresa que usa IA, ou simplesmente quer entender o que está prestes a mudar, este guia é para você. Vamos destrinchar artigo por artigo, comparar com o que Europa, EUA e China estão fazendo, e mostrar o que realmente importa no texto que pode virar lei ainda neste semestre.

Por que o Brasil Precisa de uma Lei de IA Agora?

Enquanto você lia este parágrafo, algum sistema de IA em solo brasileiro tomou cerca de 200 decisões autônomas — aprovou um crédito, recusou um seguro, classificou um currículo, sugeriu uma sentença. Hoje, nenhuma dessas decisões tem supervisão regulatória específica.

O Brasil é a maior economia da América Latina e um dos maiores mercados digitais do mundo. Mais de 85% dos smartphones vendidos no país usam IA embarcada (Fonte: IDC Brasil, 2026). Bancos como Nubank, Itaú e Bradesco processam milhões de decisões de crédito por dia com modelos de machine learning. O SUS já experimenta triagem de exames por IA em três estados.

E nada disso tem uma lei que diga o que pode, o que não pode, e quem paga a conta quando dá errado.

O vácuo legal não é confortável para ninguém. Empresas não sabem exatamente quais obrigações têm. Consumidores não sabem a quem recorrer quando um algoritmo toma uma decisão errada. E o judiciário — bem, o judiciário brasileiro já enfrenta ações sobre decisões algorítmicas sem ter uma lei clara para se apoiar.

"A regulação da inteligência artificial no Brasil não é mais uma questão de 'se', mas de 'como'. O PL 2338/2023 representa a maturidade de um debate que começou em 2020 e agora chega ao momento decisivo." — Deputada Luísa Canziani (União Brasil-PR), presidente da Comissão Especial de IA

O projeto não nasceu ontem. São três anos de tramitação, dezenas de audiências públicas, mais de 400 emendas propostas e um texto que já foi completamente reescrito duas vezes. O que chega ao plenário em junho de 2026 é um documento maduro, negociado e — na avaliação da maioria dos especialistas — razoável.

Como Funciona o Modelo Baseado em Risco

O coração do PL 2338/2023 é a classificação de sistemas de IA por nível de risco. A lógica é simples: quanto maior o dano potencial que um sistema pode causar, mais rigorosa é a regulação que ele enfrenta.

É o mesmo princípio do EU AI Act, mas com adaptações brasileiras. A estrutura tem quatro níveis:

Uma diferença crucial em relação ao modelo europeu: o PL brasileiro não proíbe o uso de IA para reconhecimento facial em tempo real em espaços públicos de forma absoluta. Em vez disso, estabelece salvaguardas e autorização judicial prévia para casos específicos — como buscas por pessoas desaparecidas ou prevenção de ataques terroristas iminentes.

A ANPD (Autoridade Nacional de Proteção de Dados) será a autoridade coordenadora do SIA (Sistema Nacional de Regulação e Governança de Inteligência Artificial). Isso significa que a experiência acumulada com a LGPD servirá de base para a regulação de IA — o que é bom e ruim ao mesmo tempo. Bom porque a ANPD já tem estrutura e know-how. Ruim porque a ANPD é conhecida por ser lenta em suas decisões.

A Arquitetura Regulatória: SIA, Cria e Cecia

O PL 2338/2023 não cria apenas regras. Cria uma arquitetura institucional completa para governar a IA no Brasil. Três órgãos principais:

SIA — Sistema Nacional de Regulação e Governança de IA

O guarda-chuva regulatório. Coordenado pela ANPD, o SIA integra diversos órgãos reguladores setoriais — Banco Central (para IA financeira), ANS (para saúde suplementar), Cade (para concorrência), entre outros. A ideia é evitar conflito de competências: em vez de cada órgão criar regras isoladas, o SIA harmoniza a atuação.

Na prática, se um banco usar IA para aprovar crédito, quem fiscaliza é o Banco Central dentro das diretrizes do SIA. Se um plano de saúde usar IA para autorizar procedimentos, a ANS fiscaliza, também dentro das mesmas diretrizes.

Cria — Conselho Permanente de IA

Um conselho com representantes do governo, setor privado, academia e sociedade civil. Funções principais:

• Propor diretrizes estratégicas para o desenvolvimento de IA no Brasil
• Opinar sobre atos normativos do SIA
• Promover a articulação entre os entes públicos e privados

O Cria não tem poder punitivo direto, mas suas recomendações têm peso político e orientam a atuação do SIA.

Cecia — Comitê de Especialistas em IA

O braço técnico do sistema. Formado por especialistas em computação, direito, economia e ética. O Cecia será responsável por:

• Elaborar padrões técnicos para avaliação de conformidade
• Propor metodologias de teste para sistemas de alto risco
• Acompanhar a evolução tecnológica e sugerir atualizações regulatórias

Este é um dos pontos mais elogiados do projeto: o reconhecimento de que regulação de IA não pode ser estática. A tecnologia muda em meses; a lei, em anos. O Cecia funciona como uma "válvula de escape" técnica.

"Não adianta criar uma lei que engesse a inovação. O Cecia é uma aposta em inteligência regulatória — um comitê que entende de tecnologia e pode adaptar as regras sem precisar de uma nova lei a cada trimestre." — Trecho do parecer do relator Aguinaldo Ribeiro

O Calendário da Votação: O Que Acontece nos Próximos Dias

O cronograma é apertado e está sendo acompanhado de perto por escritórios de advocacia, big techs e associações empresariais:

Se aprovado na Câmara, o texto segue para o Senado, onde pode sofrer alterações. A expectativa é de que a tramitação no Senado seja mais rápida — o tema já foi amplamente discutido na Comissão de Ciência e Tecnologia da casa.

O governo federal tem sinalizado apoio ao projeto. A equipe econômica vê a regulação como um sinal de maturidade institucional que pode atrair investimentos estrangeiros em IA para o país.

O Ponto Mais Polêmico: Direitos Autorais e Data Mining

Se você acompanha o debate sobre IA generativa, sabe que o elefante na sala é o uso de dados protegidos por direitos autorais para treinar modelos. O PL 2338/2023 enfrenta o tema de frente — e é aqui que a briga política está mais intensa.

O texto atual prevê que:

1. O titular de direitos autorais pode optar por excluir suas obras dos conjuntos de dados usados para treinamento de IA (opt-out)
2. Desenvolvedores de IA devem manter registro transparente das fontes de dados usadas no treinamento
3. O uso de obras para mineração de texto e dados (text and data mining) é permitido, desde que o titular não tenha feito reserva expressa

Este é o modelo híbrido — nem o "vale-tudo" que algumas big techs queriam, nem a exigência de licenciamento prévio que a indústria criativa defendia inicialmente.

A posição dos artistas e criadores de conteúdo brasileiros é forte. A União Brasileira de Compositores e a Associação Brasileira de Música e Artes pressionam por um modelo de opt-in (em que o uso só é permitido com autorização prévia). Já as empresas de tecnologia argumentam que o opt-in inviabilizaria o desenvolvimento de modelos fundacionais no país.

O relator Aguinaldo Ribeiro sinalizou que o texto final deve manter o opt-out, mas com mecanismos mais claros para que titulares de direitos possam exercer essa exclusão — incluindo um registro nacional centralizado de obras protegidas para treinamento de IA.

"Não podemos repetir o erro da regulação da internet nos anos 2000, onde o Brasil demorou a se posicionar e perdeu o bonde da inovação. Mas também não podemos simplesmente ignorar os direitos de quem cria." — Deputado Aguinaldo Ribeiro (PP-PB), relator do PL 2338/2023

Comparativo Internacional: Onde o Brasil se Encaixa?

O PL 2338/2023 não foi escrito no vácuo. Ele é fruto de um estudo cuidadoso dos modelos regulatórios existentes e de conversas com reguladores de outros países. O Brasil busca uma terceira via — nem o rigor europeu, nem o laissez-faire americano.

O que salta aos olhos na comparação: o Brasil escolheu um caminho intermediário e pragmático. A multa de R$ 50 milhões é alta para o padrão brasileiro (é o dobro da multa máxima da LGPD), mas baixa comparada à europeia. O prazo de 5 anos para adequação de sistemas existentes é generoso — talvez até demais, na visão de defensores do consumidor.

Lições da Europa

O EU AI Act entrou em vigor em agosto de 2024 e já acumula experiência prática. As primeiras regras de transparência começaram a valer em fevereiro de 2025. O que se aprendeu até aqui:

1. Classificação de risco é difícil na prática. Muitas empresas superestimam ou subestimam o risco de seus sistemas. A Comissão Europeia já publicou guias complementares duas vezes.
2. Pequenas empresas sofrem mais. O custo de conformidade é proporcionalmente maior para startups e PMEs. O Brasil aprendeu isso e incluiu tratamento diferenciado para pequenos negócios no PL.
3. Fiscalização é o gargalo. Cada país da UE designou sua própria autoridade, e a coordenação tem sido desafiadora. O modelo brasileiro com SIA tenta resolver isso centralizando a coordenação na ANPD.

Lições da China

A China trata IA como questão de segurança nacional. Seu modelo é centralizado, com o governo exercendo controle direto sobre o desenvolvimento e implantação de sistemas de IA. As regras de conteúdo são particularmente rígidas — modelos devem estar alinhados com os "valores socialistas fundamentais".

O Brasil claramente não segue esse caminho. Mas há uma lição chinesa que o PL incorpora: a importância de ter uma estratégia nacional de IA que vá além da regulação. O Cria tem esse papel de pensar o desenvolvimento estratégico do setor.

Lições dos EUA

Os Estados Unidos seguem, até agora, sem uma lei federal abrangente de IA. O AI Bill of Rights da administração Biden foi um documento de soft law — diretrizes, não obrigações. Cada estado tem legislado por conta própria: o Texas aprovou sua lei em 2025, a Califórnia tem projetos em tramitação.

O resultado é um mosaico regulatório que empresas consideram confuso. Grandes players como Google e OpenAI preferem uma regulação federal uniforme a ter que cumprir 50 leis estaduais diferentes. O Brasil, ao centralizar a regulação no SIA, evita esse problema.

O Que Muda na Prática para Empresas Brasileiras

Vamos ao que realmente importa: o que sua empresa precisa fazer se o PL for aprovado.

Sistemas de Alto Risco

Se sua empresa desenvolve ou usa IA para:

• Seleção de pessoal (triagem de currículos, entrevistas automatizadas)
• Avaliação de crédito (score, aprovação de financiamento)
• Diagnóstico médico (triagem de exames, sugestão de tratamento)
• Decisões judiciais (sistemas de apoio a juízes, cálculo de penas)
• Concessão de benefícios públicos (Bolsa Família, BPC)

Você precisará:

1. Registrar o sistema no SIA (prazo: 12 meses após sanção para sistemas novos)
2. Realizar avaliação de conformidade (metodologia a ser definida pelo Cecia)
3. Garantir supervisão humana — uma pessoa física deve ser capaz de revisar e anular decisões automatizadas
4. Manter documentação técnica detalhada (arquitetura, dados de treinamento, métricas de desempenho)
5. Implementar medidas de transparência — os afetados pelo sistema devem saber que estão interagindo com IA e entender a lógica das decisões

Sistemas Existentes

Aqui está uma das novidades mais importantes do texto: 5 anos para adequação. Sistemas de IA que já estão em operação quando a lei entrar em vigor têm um prazo generoso para se adaptar.

Isso significa que um algoritmo de crédito que seu banco usa desde 2022 não precisa ser desligado em 2027. Mas precisa estar em conformidade até 2031 (ou 2032, dependendo da data exata de sanção).

Críticos dizem que 5 anos é tempo demais. Defensores argumentam que é realista: muitas empresas precisam redesenhar sistemas inteiros, e isso leva tempo.

Obrigações de Transparência

Todo sistema de IA que interage com pessoas — chatbots, assistentes virtuais, sistemas de recomendação — precisará informar claramente que se trata de uma IA. Parece óbvio, mas hoje muitos sistemas não fazem isso.

A regra se aplica inclusive a conteúdo gerado por IA. Se um texto, imagem ou vídeo foi produzido por IA, isso deve ser informado. A medida é especialmente relevante para combater a desinformação.

Multas e Penalidades

As multas podem ser agravadas em caso de reincidência e atenuadas se a empresa demonstrar boas práticas de governança — um incentivo explícito à criação de programas de conformidade em IA.

O Impacto no Ecossistema de Startups e Inovação

Um dos medos mais repetidos no debate é que a regulação mate a inovação no Brasil. Startups, argumenta-se, não têm estrutura jurídica para lidar com exigências de conformidade complexas.

O PL tenta endereçar isso de duas formas:

1. Tratamento diferenciado para pequenos negócios. Empresas de pequeno porte (faturamento até R$ 4,8 milhões) têm prazos maiores e exigências simplificadas de documentação. Uma startup de 5 pessoas que usa um LLM via API para criar um chatbot não precisa passar pelo mesmo processo de avaliação que um banco usando IA para aprovar crédito.

2. Sandbox regulatório. O SIA pode autorizar ambientes controlados de teste (sandboxes) onde startups podem experimentar sistemas de IA com supervisão reduzida. É uma forma de dizer: "teste, erre, aprenda — mas com limites e supervisão."

Na prática, o impacto sobre startups depende muito do tipo de IA que elas desenvolvem. Uma startup de IA para diagnóstico médico (alto risco) vai sentir mais o peso da regulação do que uma startup de IA para edição de vídeo (risco limitado).

"O que o PL 2338/2023 faz é separar o joio do trigo. Empresas sérias que constroem IA de alto risco já deveriam ter processos de governança. As que não têm — bom, talvez seja melhor mesmo que repensem o negócio." — Fonte ouvida pela NeuralPulse em off

Direitos Autorais e o Futuro da IA Generativa no Brasil

O debate sobre direitos autorais no treinamento de IA é, de longe, o mais acirrado. E não é para menos: está em jogo o modelo de negócio de toda a indústria de IA generativa.

O PL adota o modelo de opt-out: por padrão, obras publicamente disponíveis podem ser usadas para mineração de texto e dados (TDM), a menos que o titular manifeste expressamente sua oposição.

Na prática, isso significa que:

• Um artista visual que publica seu portfólio online precisa ativamente registrar que não quer suas obras usadas para treinamento de IA
• Se não fizer isso, as obras podem ser incluídas em datasets de treinamento
• Empresas de IA precisam manter um registro público de quais obras usaram no treinamento

A indústria criativa reclama que o opt-out é um ônus injusto sobre os criadores. "É como pedir para cada fotógrafo colocar uma placa dizendo 'não tirem fotos das minhas fotos'", resumiu um representante da Associação Brasileira de Fotógrafos em audiência pública.

Já as empresas de tecnologia dizem que o opt-in (exigir autorização prévia) inviabilizaria o treinamento de modelos. "Nenhum modelo fundacional seria possível se precisássemos de licença prévia de cada obra na internet", argumentou um executivo do Google Brasil.

O texto final deve incluir um mecanismo centralizado para que titulares possam registrar suas obras como excluídas do TDM. A ANPD ficará responsável por operar esse registro, em parceria com a Biblioteca Nacional e o INPI.

E os Modelos Abertos?

Um ponto que o PL trata de forma específica: modelos de IA de código aberto (open source) têm tratamento diferenciado. Desenvolvedores de modelos abertos não precisam passar por avaliação de conformidade, desde que:

• Disponibilizem documentação clara sobre dados de treinamento
• Não ofereçam o modelo como serviço comercial
• Incluam salvaguardas contra usos de alto risco

Isso é importante para o ecossistema brasileiro de IA, que tem uma comunidade crescente de desenvolvedores de modelos abertos — como o MariTalk (Maritaca AI), Gervásio (modelo jurídico do STJ), e iniciativas acadêmicas da USP, Unicamp e UFRGS.

O Papel da ANPD e os Desafios de Implementação

A ANPD será a autoridade coordenadora do SIA. Na prática, isso significa que ela:

• Edita normas gerais sobre IA (em conjunto com outros órgãos)
• Coordena a fiscalização
• Aplica sanções (diretamente ou em articulação com órgãos setoriais)
• Opera o registro nacional de sistemas de alto risco
• Mantém o cadastro de obras excluídas de TDM

O problema é que a ANPD já enfrenta desafios estruturais. O órgão tem um quadro de pessoal reduzido — cerca de 120 servidores para fiscalizar a LGPD em todo o país. Com a IA, a demanda aumentará significativamente.

O PL prevê a criação de cargos específicos e a destinação de parte das multas arrecadadas para o financiamento do SIA. Mas críticos apontam que, sem uma reforma administrativa mais ampla, a ANPD corre o risco de ser um "leão sem dentes" na regulação de IA.

"A ANPD é competente, mas é pequena. Regular IA exige conhecimento técnico especializado — engenheiros de machine learning, especialistas em ética algorítmica, auditores de modelos. Não é o mesmo que fiscalizar privacidade de dados." — Especialista em regulação digital ouvido pela NeuralPulse

Para comparação: a UE criou o AI Office com previsão de 140 especialistas técnicos dedicados exclusivamente à regulação de IA. O Brasil precisará de estrutura equivalente.

O Que Vem Depois da Aprovação?

Se o PL 2338/2023 for aprovado no Congresso e sancionado pelo presidente, o cronograma de implementação é o seguinte:

Isso significa que as primeiras obrigações concretas para empresas que lançarem sistemas de IA após a lei começarão a valer em meados de 2027. Mas a preparação precisa começar agora.

Checklist para Empresas

Se você dirige uma empresa que desenvolve ou usa IA, aqui está o que fazer a partir de hoje:

1. Faça um inventário de todos os sistemas de IA que sua empresa usa ou desenvolve
2. Classifique o risco de cada sistema (usando a matriz do PL como referência)
3. Identifique sistemas de alto risco — são eles que exigirão mais investimento em conformidade
4. Revise contratos com fornecedores de IA — a responsabilidade pode ser solidária
5. Monte um comitê de governança de IA (ou designe um responsável)
6. Documente tudo — arquitetura, dados de treinamento, métricas, testes
7. Acompanhe a tramitação — emendas de última hora podem mudar regras importantes

Análise Crítica: O Que o PL Acerta e Onde Pode Melhorar

Nenhuma lei é perfeita. O PL 2338/2023 tem pontos fortes e vulnerabilidades que merecem discussão.

Acertos

1. Modelo baseado em risco — É o consenso internacional. Funciona na Europa e é a abordagem mais sensata.

2. Prazo de 5 anos para sistemas existentes — Realista. Empresas precisam de tempo para se adaptar sem parar operações.

3. Arquitetura institucional tripartite (SIA, Cria, Cecia) — Separa regulação, estratégia e técnica. Inteligente.

4. Tratamento diferenciado para PMEs — Reconhece a realidade brasileira, onde 99% das empresas são pequenas.

5. Inclusão de direitos autorais no texto — Enfrenta o tema mais espinhoso da IA generativa, que a Europa ainda está tentando resolver.

Pontos de Atenção

1. Multa de R$ 50 milhões pode ser baixa para grandes players — Para uma big tech com faturamento bilionário no Brasil, a multa pode ser vista como "custo de fazer negócios". O EU AI Act multa em até 7% do faturamento global.

2. ANPD subdimensionada — Sem estrutura adequada, a fiscalização será falha. Lei sem fiscalização é carta de intenções.

3. Opt-out em vez de opt-in para direitos autorais — A indústria criativa está insatisfeita, e o debate pode gerar judicialização.

4. 5 anos é muito tempo — Sistemas problemáticos podem continuar operando por meia década sem supervisão adequada.

5. Sandbox regulatório pode virar 'vale-tudo' — Se mal regulamentado, o sandbox pode ser usado para escapar de obrigações.

Perguntas Frequentes (FAQ)

O PL 2338/2023 já é lei?

Não. O texto está em tramitação na Câmara dos Deputados. O parecer do relator sai em 9 de junho e a votação em Plenário está marcada para 16 de junho de 2026. Depois, segue para o Senado.

A lei se aplica a empresas estrangeiras?

Sim. O PL tem efeito extraterritorial: aplica-se a qualquer sistema de IA que produza efeitos no território brasileiro, independentemente de onde a empresa está sediada. Uma empresa nos EUA que usa IA para recomendar conteúdo para usuários brasileiros está sujeita à lei.

O que é considerado "sistema de IA" na lei?

O PL adota definição ampla: "sistema baseado em máquina que, com diferentes níveis de autonomia, infere outputs a partir de inputs recebidos". Isso inclui desde modelos de machine learning tradicionais até LLMs, sistemas de visão computacional e agentes autônomos.

Preciso parar de usar meu chatbot com IA?

Não, a menos que ele seja classificado como de alto risco e você não consiga se adequar. Chatbots de atendimento ao cliente (risco limitado) só precisam informar que são IA.

E se eu uso IA apenas como ferramenta, sem desenvolver modelos?

Você ainda tem responsabilidades. Se você usa uma API de IA para tomar decisões de crédito (alto risco), você precisa garantir que o sistema esteja em conformidade — mesmo que o modelo seja de terceiros.

A LGPD continua valendo?

Sim. O PL 2338/2023 é complementar à LGPD. A proteção de dados pessoais continua sendo regulada pela LGPD; a IA adiciona camadas de governança específicas para sistemas automatizados.

Quanto custa a conformidade?

Depende do nível de risco e do porte da empresa. Para sistemas de baixo risco, o custo é basicamente documental (colocar um aviso de "isso é IA"). Para sistemas de alto risco, os custos podem chegar a centenas de milhares de reais em avaliações, documentação e adequação técnica.

Posso ser processado por um erro de IA?

Sim. O PL não elimina a responsabilidade civil. Se um sistema de IA causar dano, a empresa responsável pode ser processada — e a lei cria presunção de responsabilidade para sistemas de alto risco que não cumprirem as obrigações de supervisão humana.

Conclusão: O Brasil Está Pronto?

Onze dias separam o Brasil de uma decisão que vai ecoar por décadas. O PL 2338/2023 não é perfeito — nenhuma lei é. Mas é um texto maduro, construído com base em três anos de debate e nas lições aprendidas com Europa, China e Estados Unidos.

O modelo baseado em risco é o caminho certo. A arquitetura institucional (SIA, Cria, Cecia) é inteligente. O prazo de 5 anos para adequação é realista. E o debate sobre direitos autorais, por mais espinhoso que seja, precisa acontecer — e o Brasil está enfrentando o tema de frente.

O que falta agora é vontade política para aprovar, estrutura para implementar e maturidade do setor privado para cumprir. Nenhum desses três fatores é garantido.

Mas uma coisa é certa: a era do "faroeste digital" na inteligência artificial brasileira está com os dias contados. A partir de 16 de junho, o Brasil pode finalmente entrar no mapa dos países que levam a regulação de IA a sério.

E você, sua empresa e seus sistemas de IA — estão prontos?

Este artigo será atualizado conforme novos desdobramentos da tramitação do PL 2338/2023. Acompanhe o NeuralPulse para cobertura contínua da regulamentação de IA no Brasil.

Fontes consultadas: Texto do PL 2338/2023 (Câmara dos Deputados), parecer do relator Aguinaldo Ribeiro, EU AI Act (Comissão Europeia), AI Bill of Rights (Casa Branca), Texas AI Act (Legislatura do Texas), ANPD, IDC Brasil, Associação Brasileira de Direito Digital, notas de audiências públicas da Comissão Especial de IA.