Voltar ao site SAFIE →
Regulação de IA no Brasil

Regulação de IA no Brasil: o que muda em 2026

Por · · 4 min de leitura
Regulação de IA no Brasil: o que muda em 2026

A regulação de inteligência artificial no Brasil deixou de ser pauta futura e se tornou realidade operacional. O PL 2.338/2023, proposto pelo Senado Federal e relatado pelo senador Eduardo Braga, representa a tentativa mais estruturada do país de criar um marco legal para sistemas de IA, inspirado na abordagem de risco adotada pelo AI Act europeu, publicado em junho de 2024 no Diário Oficial da União Europeia.

Ao mesmo tempo, a Autoridade Nacional de Proteção de Dados (ANPD) intensificou sua fiscalização sobre decisões automatizadas, com base no artigo 20 da Lei Geral de Proteção de Dados (Lei 13.709/2018). Empresas que usam IA para tomar decisões que afetam pessoas físicas já estão sujeitas a obrigações de explicabilidade e revisão humana, independentemente de qualquer nova lei.

Para founders, CTOs e gestores de startups de IA, o cenário de 2026 exige ação imediata. Aguardar a aprovação formal da legislação para estruturar a governança interna é um erro estratégico e jurídico.

Contexto jurídico e regulatório

O PL 2.338/2023 e a abordagem por risco

O projeto de lei brasileiro classifica sistemas de IA em categorias de risco, da mesma forma que o AI Act europeu. Sistemas de risco excessivo, como os que manipulam comportamento humano de forma subliminar, seriam proibidos. Sistemas de alto risco, como os usados em crédito, saúde, segurança pública e educação, estariam sujeitos a requisitos severos de transparência, auditabilidade e avaliação de impacto.

O texto aprovado no Senado em 2024 estabelece que fornecedores de sistemas de IA de alto risco devem elaborar documentação técnica detalhada, manter registros de funcionamento (logs), garantir supervisão humana e comunicar incidentes relevantes a uma autoridade competente. A definição de qual órgão exercerá essa função ainda é objeto de disputa: cogita-se a ANPD, o Cade ou um novo ente regulador específico.

Do ponto de vista do direito civil, o projeto adota responsabilidade objetiva para fornecedores de sistemas de alto risco, ou seja, o dano gerado pelo sistema gera obrigação de indenizar independentemente de culpa. Isso representa uma mudança relevante em relação ao regime geral do Código Civil (art. 927), que exige prova de culpa na maioria dos casos.

LGPD e decisões automatizadas: obrigação já vigente

O artigo 20 da LGPD garante ao titular de dados o direito de solicitar revisão humana de qualquer decisão tomada exclusivamente por meios automatizados que afetem seus interesses. Isso inclui concessão de crédito, contratação, promoção, demissão e até triagem médica. A ANPD publicou, em 2023, nota técnica orientando empresas sobre como cumprir esse dispositivo, e iniciou processos administrativos contra organizações que não conseguiram demonstrar mecanismos de revisão humana.

Para startups que vendem soluções B2B, o risco não é apenas direto. Se o cliente usar o sistema de IA contratado para tomar decisões sobre pessoas físicas, a startup pode ser enquadrada como operadora de dados e coresponsável pelos efeitos jurídicos dessas decisões.

Impacto prático

Para CTOs e times de produto, o impacto mais imediato é a necessidade de documentação técnica dos modelos implantados. Isso inclui registros de treinamento, fontes de dados, métricas de desempenho e testes de viés. Não se trata apenas de boa prática: em um eventual processo administrativo ou judicial, a ausência dessa documentação pode ser interpretada como negligência e agravar a responsabilidade da empresa.

Do ponto de vista contábil, os custos de conformidade com regulação de IA começam a aparecer como linha específica nos orçamentos de tecnologia. Consultorias especializadas em AI governance estimam que empresas de médio porte (50 a 200 funcionários) precisam alocar entre R$ 150 mil e R$ 400 mil anuais para estruturar adequadamente documentação, treinamento de equipes e auditorias de algoritmos, segundo levantamento da ABFintechs divulgado em 2025.

Para investidores, a due diligence em startups de IA passou a incluir avaliação da maturidade regulatória. Fundos de venture capital com exposição a deep tech no Brasil já incorporam questionários específicos sobre governança de IA em seus processos de avaliação. Startups sem política documentada de uso responsável de IA enfrentam desconto de valuation ou condicionantes contratuais para fechamento de rodadas.

Considerações finais

O marco regulatório de IA no Brasil está sendo construído de forma incremental, com camadas que já existem (LGPD, Código de Defesa do Consumidor, regulações setoriais do Banco Central e da ANS) e uma lei específica em tramitação. Esperar a aprovação definitiva para agir é o caminho mais arriscado. As empresas que estruturarem agora sua documentação técnica, suas políticas de governança e seus contratos de prestação de serviços terão vantagem competitiva e jurídica real.

O SAFIE continuará acompanhando os avanços legislativos e as decisões da ANPD para traduzir, em linguagem prática, o que cada mudança significa para quem constrói e vende inteligência artificial no Brasil.

Perguntas frequentes

O PL 2.338/2023 já está em vigor no Brasil?

Não. O projeto foi aprovado no Senado em 2024 e seguiu para a Câmara dos Deputados, onde ainda tramita em comissões. Não há lei específica de IA em vigor no Brasil até maio de 2026, mas obrigações derivadas da LGPD, do Código de Defesa do Consumidor e de regulações setoriais já se aplicam a sistemas de IA.

Minha startup de IA precisa se preocupar com a LGPD mesmo sem coletar dados pessoais diretamente?

Sim. Se o seu sistema processa dados pessoais de terceiros em nome de um cliente (modelo B2B), sua empresa é enquadrada como operadora de dados pela LGPD e está sujeita às obrigações do artigo 20, incluindo suporte a mecanismos de revisão humana das decisões automatizadas geradas pela sua solução.

O que é responsabilidade objetiva para fornecedores de IA e como ela afeta contratos?

Responsabilidade objetiva significa que, se o sistema causar dano, o fornecedor responde independentemente de ter agido com culpa ou não. Para contratos de fornecimento de IA, isso exige cláusulas claras de limitação de responsabilidade, definição de uso permitido e obrigações do cliente quanto à supervisão humana, especialmente em sistemas classificados como alto risco pelo PL 2.338/2023.

Como classificar meu sistema de IA dentro da abordagem de risco do projeto de lei brasileiro?

O PL 2.338/2023 lista setores de alto risco, como infraestrutura crítica, crédito, saúde, educação, emprego e segurança pública. Se seu produto toma ou influencia decisões nesses domínios, provavelmente se enquadra como alto risco. A recomendação é fazer uma avaliação formal com apoio jurídico antes da aprovação da lei, para antecipar ajustes de produto e documentação.

Existe algum órgão regulador de IA no Brasil hoje?

Não há um regulador exclusivo de IA. A ANPD tem competência sobre decisões automatizadas com dados pessoais (LGPD, art. 20). O Cade atua em casos de concentração de mercado envolvendo big tech e IA. O Banco Central e a CVM regulam IA no setor financeiro. O PL 2.338/2023 ainda não definiu qual órgão será o regulador central, e esse ponto é um dos mais disputados na tramitação na Câmara.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.