Regulamentação da inteligência artificial no Brasil: o que muda para empresas e usuários

A inteligência artificial já decide quem recebe crédito, recomenda candidatos para vagas de emprego, sugere diagnósticos médicos, gera vídeos hiper-realistas e influencia o que cada pessoa vê nas redes sociais. 

Toda essa tecnologia opera, hoje, sem uma lei brasileira específica que defina direitos, deveres e responsabilidades. Isso está prestes a mudar. 

O PL 2338/2023, aprovado por unanimidade no Senado em dezembro de 2024, segue em análise na Câmara dos Deputados com previsão de votação ao longo de 2026. 

Este conteúdo explica, em linguagem direta, o que o projeto propõe, o que muda para empresas que usam IA e quais direitos passam a valer para os cidadãos afetados por decisões automatizadas.

Por que o Brasil precisa de uma lei específica sobre IA

regulamentação da inteligência artificial

Hoje, sistemas de inteligência artificial operam em um vácuo regulatório no Brasil. Quando algo dá errado, juízes recorrem a normas gerais — Código Civil, LGPD, Código de Defesa do Consumidor, Marco Civil da Internet — para tentar enquadrar o caso. 

Esses instrumentos resolvem parte dos problemas, mas não dão conta de questões específicas como decisões automatizadas autônomas, viés algorítmico, sistemas que afetam milhões de pessoas e a cadeia complexa de quem responde quando uma IA causa dano.

A área cresceu rápido demais para que as leis tradicionais acompanhassem. Esse é o desafio central do direito digital atual: criar regras que protejam o cidadão sem travar a inovação. O PL 2338/2023 nasce justamente dessa tentativa.

O que é o PL 2338/2023 e em que pé está a tramitação

O Projeto de Lei 2338/2023 é a proposta mais robusta já elaborada no Brasil para regular o uso, desenvolvimento e comercialização de sistemas de inteligência artificial. De autoria do senador Rodrigo Pacheco, o texto consolida discussões de mais de cinco anos e diversos projetos anteriores.

A trajetória até aqui:

  • 10 de dezembro de 2024 — aprovado por unanimidade no plenário do Senado Federal.
  • Março de 2025 — encaminhado à Câmara dos Deputados.
  • 2025/2026 — análise em Comissão Especial, aguardando parecer do relator e votação.
  • Final de 2025 — o Governo Federal enviou um PL complementar para corrigir um vício de iniciativa (a competência para criar atribuições à ANPD é privativa do Executivo). Esse texto será apensado ao PL 2338.

O projeto se inspira no AI Act europeu, mas mantém particularidades brasileiras importantes — sobretudo no tratamento de direitos autorais e no papel central da ANPD na fiscalização.

Como o PL classifica os sistemas de IA

O coração da regulamentação está na classificação por nível de risco. A lógica é simples: quanto maior o potencial de dano de um sistema, mais rígidas as exigências.

Risco excessivo — uso proibido. Sistemas que exploram vulnerabilidades de grupos específicos, fazem ranqueamento social ao estilo do crédito social chinês, ou operam como armas autônomas. Esses ficam vedados no Brasil, independentemente de qualquer governança.

Alto risco — exigências rigorosas. Sistemas usados em recursos humanos (filtragem de currículos, demissões), concessão de crédito, diagnósticos médicos, segurança pública, infraestrutura crítica, sistema judicial e biometria. 

Empresas que operam esses sistemas precisam fazer avaliação de impacto, manter supervisão humana, documentar funcionamento e garantir transparência ao usuário afetado.

Baixo ou nenhum risco. Chatbots básicos, filtros de spam, recomendadores simples de conteúdo. Submetem-se apenas a obrigações mínimas de transparência (avisar que se trata de um sistema automatizado).

Um detalhe que confunde muita gente: o critério não é o setor da empresa, e sim o impacto sobre direitos. Uma startup pode operar um sistema de alto risco; uma multinacional pode rodar dezenas de sistemas de baixo risco. Cada caso entra em uma categoria diferente.

Direitos dos usuários afetados por IA

Aqui está a parte que conversa diretamente com o cidadão comum — e que pouca gente sabe que existe. O PL 2338 garante uma série de direitos digitais inteligência artificial que valem para qualquer pessoa impactada por uma decisão automatizada:

  • Direito à informação prévia. Saber, antes de interagir, quando há um sistema de IA envolvido na operação.
  • Direito à explicação. Receber uma explicação clara sobre como uma decisão automatizada foi tomada — por que o crédito foi negado, por que o currículo foi descartado, por que aquele preço foi aplicado a você.
  • Direito à contestação. Pedir revisão da decisão.
  • Direito à revisão humana. Em sistemas de alto risco, exigir que uma pessoa avalie o caso, e não apenas o algoritmo.
  • Direito à não discriminação. Não ser tratado de forma enviesada por raça, gênero, orientação sexual, condição econômica ou qualquer outra característica protegida.
  • Direito à privacidade e proteção de dados. Em diálogo direto com a LGPD, que continua valendo.

Na prática, milhões de brasileiros já são afetados por decisões automatizadas sem perceber.

Score de crédito calculado por IA, currículo eliminado por filtro automático, preço dinâmico aplicado a uma passagem aérea, conteúdo bloqueado por algoritmo de moderação. Quando a lei entrar em vigor, todas essas situações ganham um nível novo de proteção.

Responsabilidade civil por danos causados pela IA

Esse é o ponto que mais preocupa empresas e mais interessa às vítimas. Quem responde quando uma inteligência artificial erra e causa prejuízo?

A responsabilidade civil IA se distribui ao longo de uma cadeia: desenvolvedor do sistema, fornecedor, operador (quem aplica o sistema no negócio) e contratante final podem ser responsabilizados, isolada ou solidariamente.

Para sistemas de alto risco, o PL adota responsabilidade objetiva. Isso significa que a vítima não precisa provar culpa de ninguém. Basta demonstrar o dano e o nexo causal com o sistema. 

A justificativa: empresas que operam sistemas de alto risco assumem o ônus de garantir que eles funcionem corretamente. Para sistemas de baixo risco, a responsabilidade é subjetiva. 

Aplica-se quando há culpa, dolo ou descumprimento de dever específico. A jurisprudência brasileira já vem caminhando nessa direção mesmo antes da lei.

O STJ e tribunais estaduais têm responsabilizado empresas por decisões automatizadas que prejudicaram consumidores, aplicando o Código de Defesa do Consumidor com inversão do ônus da prova. 

A Súmula 479 do STJ, sobre responsabilidade objetiva de instituições financeiras por fraudes, serve como referência para a discussão mais ampla.

Casos práticos onde a regulamentação muda o jogo

Sair do conceito e cair na realidade ajuda a entender o tamanho da mudança. Veja como o PL afeta situações concretas.

Decisão automatizada de crédito. Um banco nega financiamento usando algoritmo que ninguém entende. Pela nova lei, o consumidor pode exigir explicação, contestar a decisão e pedir revisão humana — direitos que hoje dependem de batalha judicial caso a caso.

Filtragem de currículos por IA em RH. Sistemas que eliminam candidatos automaticamente vão precisar comprovar critérios transparentes e ausência de viés discriminatório. 

Vetar candidatos por raça, gênero ou idade, ainda que indiretamente, gera responsabilização.

Deepfake e manipulação de imagem. Vídeos hiper-realistas usados em fraudes financeiras, extorsão e desinformação política entram no foco da regulamentação. 

O TSE já endureceu regras para as eleições de 2026, e o PL 2338 complementa esse cerco. Aprofunde-se no nosso conteúdo sobre deepfake e os caminhos jurídicos para vítimas.

Erro em diagnóstico médico assistido por IA. Quando um sistema sugere diagnóstico equivocado e o médico segue a recomendação, surge uma cadeia de responsabilidades. 

O fornecedor da IA, o hospital e o profissional respondem em proporções distintas — algo que o PL passa a regulamentar com mais clareza.

Cláusulas e contratos gerados por IA. Empresas que usam inteligência artificial para gerar documentos legais, inclusive contratos assinados digitalmente, precisam manter revisão humana, sobretudo em transações de valor relevante. 

A lei reconhece o ganho de produtividade, mas exige supervisão.

Recomendação algorítmica em redes sociais. Plataformas podem responder quando seus sistemas amplificam conteúdo difamatório, discriminatório ou ilegal. Esse ponto dialoga com discussões paralelas no STF sobre responsabilidade de provedores.

O que muda na prática para empresas que usam IA

regulamentação da inteligência artificial

Para o gestor que está lendo, a pergunta é direta: o que minha empresa precisa fazer? A resposta varia conforme o porte e o tipo de IA usada, mas há um conjunto comum de medidas:

  • Mapear todos os sistemas de IA atualmente em uso na empresa;
  • Classificar cada sistema conforme o nível de risco previsto na lei;
  • Realizar avaliação de impacto algorítmico para sistemas de alto risco;
  • Manter documentação técnica e registros de funcionamento;
  • Sinalizar ao usuário sempre que houver IA envolvida na operação;
  • Designar um responsável pela governança de IA dentro da empresa;
  • Revisar contratos com fornecedores de tecnologia, redistribuindo responsabilidades;
  • Estruturar canais formais de contestação e revisão humana;
  • Treinar equipes em uso ético, seguro e responsável da tecnologia.

A negligência sai cara. As sanções previstas chegam a R$ 50 milhões por infração, com possibilidade de dobrar em caso de reincidência. Empresas que se anteciparem reduzem risco e ganham diferencial competitivo perante clientes que valorizam transparência.

Como o Brasil se compara ao mundo

A regulamentação brasileira não nasce isolada. Vale entender o panorama internacional para enxergar onde o Brasil se posiciona.

União Europeia (AI Act). Modelo de referência, em vigor desde agosto de 2024, com detalhamento extenso de obrigações por categoria de risco. É a inspiração direta do PL 2338.

Estados Unidos. Regulação setorial e ordens executivas, sem lei geral. O modelo americano privilegia inovação e autorregulação, com intervenção estatal em casos específicos.

China. Regulação rigorosa para conteúdo gerado por IA, ranqueamento em redes sociais e reconhecimento facial, com forte controle estatal.

O Brasil opta por um caminho mais próximo do europeu, com foco em direitos humanos e proteção do cidadão, mas com particularidades importantes — sobretudo no tratamento de direitos autorais sobre conteúdos usados em treinamento de IA, ponto em que o PL 2338 vai além do AI Act.

Raphael Cruz Advocacia: assessoria estratégica em regulamentação de IA

A votação final do PL 2338 pode acontecer ao longo de 2026, com prazos de adequação que devem chegar em 2027. 

Empresas que se antecipam evitam multas pesadas, blindam a operação contra processos por decisões automatizadas e ganham reputação perante clientes cada vez mais exigentes quanto ao uso ético de tecnologia.

O escritório Raphael Cruz Advocacia atua na fronteira entre o Direito Digital clássico e os novos desafios trazidos pela inteligência artificial. 

Atendemos empresas que querem entender o impacto da nova lei na sua operação, profissionais que precisam atualizar contratos e políticas internas, e pessoas que sofreram dano por decisão automatizada e buscam reparação.

Facebook
Twitter
LinkedIn

Contato

raphael-cruz-advocacia-contato-advogado-bh

Entre em contato conosco

Encontre-nos em

  • Av. Augusto de Lima, 1378 Sala 1603
    Barro preto Belo Horizonte - MG, 30190-003
  • (31) 98463-7470
  • raphael@raphaelcruzadvocacia.com
Logo site
Por  GDPR Cookie Compliance
Política de privacidade

Este site utiliza cookies para que possamos lhe proporcionar a melhor experiência de usuário possível. As informações dos cookies são armazenadas no seu navegador e desempenham funções como reconhecê-lo quando você retorna ao nosso site e ajudar nossa equipe a entender quais seções do site você considera mais interessantes e úteis.