Voltar ao site SAFIE →
Regulação de IA no Brasil

Regulação de IA no Brasil: o que muda em 2026

Por · · 4 min de leitura
Regulação de IA no Brasil: o que muda em 2026

A notícia publicada pelo MIT Technology Review Brasil sobre o comportamento aerodinâmico da bola Trionda na Copa do Mundo de 2026 pode parecer distante do universo jurídico. Mas ela ilustra um princípio que também vale para a regulação de IA: quando você muda as regras do jogo sem avisar os participantes, o desempenho esperado pode não se confirmar na prática.

O mesmo raciocínio se aplica ao ecossistema brasileiro de inteligência artificial. Empresas que desenvolvem ou utilizam sistemas de IA construíram seus modelos de negócio com base em um ambiente regulatório ainda indefinido. Com a aproximação da votação final do PL 2.338/2023 e a intensificação da fiscalização pela Autoridade Nacional de Proteção de Dados (ANPD), as regras do campo estão mudando, e quem não se preparou vai sentir o impacto.

Este artigo analisa o estágio atual da regulação de IA no Brasil, os principais pontos de atenção jurídico e contábil para empresas do setor e o que founders, CTOs e investidores precisam fazer nos próximos meses.

Contexto jurídico e regulatório

O PL 2.338/2023 e o marco legal de IA no Brasil

O Projeto de Lei 2.338/2023, de autoria do senador Rodrigo Pacheco, é o principal instrumento regulatório de IA em tramitação no Brasil. Aprovado em comissão especial do Senado em dezembro de 2024, o texto segue o modelo de governança baseado em risco, inspirado no AI Act europeu (Regulamento UE 2024/1689).

O PL classifica sistemas de IA em três categorias de risco: inaceitável, alto e limitado. Sistemas de alto risco, como os usados em crédito, saúde, seleção de pessoas e infraestrutura crítica, ficam sujeitos a avaliações de conformidade, registro obrigatório e auditorias periódicas. Sistemas de risco inaceitável, como o reconhecimento facial em massa sem autorização judicial, são simplesmente proibidos.

A responsabilidade civil no PL segue a lógica objetiva para fornecedores de sistemas de alto risco: não é necessário provar culpa, basta demonstrar o dano e o nexo causal com o sistema de IA. Isso representa uma mudança significativa em relação ao regime geral do Código Civil (art. 927, parágrafo único), que exige análise de culpa na maioria dos casos.

LGPD, ANPD e decisões automatizadas

Independentemente da aprovação do PL 2.338/2023, a Lei Geral de Proteção de Dados (Lei 13.709/2018) já impõe obrigações relevantes para sistemas de IA. O art. 20 da LGPD garante ao titular de dados o direito de solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses.

A ANPD publicou em 2024 o Guia Orientativo sobre Inteligência Artificial e Proteção de Dados, reforçando que modelos de machine learning que processam dados pessoais precisam de base legal adequada, política de retenção definida e mecanismos de explicabilidade. Empresas que não documentam essas práticas já estão em desconformidade, independentemente do PL.

O Código de Defesa do Consumidor (Lei 8.078/1990) também entra nessa equação. Decisões automatizadas que causem danos a consumidores, como negativas de crédito, precificação discriminatória ou exclusão indevida de plataformas, podem gerar responsabilidade solidária entre desenvolvedor e operador do sistema. A jurisprudência do STJ, especialmente nos julgamentos sobre responsabilidade de plataformas digitais, aponta nessa direção.

Impacto prático

Para founders e CTOs, o primeiro impacto prático é a necessidade de mapear imediatamente quais sistemas da empresa se enquadram nas categorias de risco do PL 2.338/2023. Esse mapeamento não é apenas uma exigência futura: ele é a base para decisões de arquitetura, contratação e precificação que precisam ser tomadas agora.

Do ponto de vista contábil, empresas que captam investimento ou buscam fusões e aquisições precisam incluir passivos regulatórios de IA nos seus processos de due diligence. Fundos de venture capital e private equity já começam a exigir uma espécie de "AI compliance audit" antes de fechar rodadas. Ignorar esse aspecto pode reduzir o valuation ou criar contingências não provisionadas no balanço.

Para advogados e contadores que atendem startups de IA, o momento é de oferecer um serviço estruturado de adequação regulatória. Isso inclui revisão de contratos com clientes e fornecedores (especialmente cláusulas de SLA e de limitação de responsabilidade), elaboração de políticas internas de governança de IA e orientação sobre o registro de sistemas no futuro cadastro previsto no PL. Escritórios e consultorias que desenvolveram essa competência agora têm vantagem competitiva clara.

Considerações finais

A regulação de IA no Brasil não é uma ameaça ao setor, é uma variável de negócio que precisa ser gerenciada. Empresas que tratarem conformidade regulatória como parte do produto, e não como custo de compliance, sairão à frente na disputa por contratos corporativos, licitações públicas e capital internacional.

O prazo para se adaptar está se estreitando. Com o PL 2.338/2023 em fase final de tramitação e a ANPD já fiscalizando o uso de dados em sistemas automatizados, esperar pela publicação da lei para começar a se adequar é um risco que nenhum founder ou gestor responsável deveria assumir.

Perguntas frequentes

O PL 2.338/2023 já está em vigor no Brasil?

Não. Em junho de 2026, o PL 2.338/2023 ainda aguarda votação na Câmara dos Deputados após ter sido aprovado em comissão especial no Senado. No entanto, obrigações relacionadas à IA já existem via LGPD (Lei 13.709/2018) e Código de Defesa do Consumidor, que estão plenamente em vigor.

Minha startup de IA precisa se preocupar com a LGPD mesmo sem usar dados sensíveis?

Sim. Qualquer sistema de IA que processe dados pessoais, como nome, e-mail, comportamento de navegação ou histórico de compras, está sujeito à LGPD. A ANPD já emitiu orientações específicas sobre IA e proteção de dados, exigindo base legal, explicabilidade e mecanismos de revisão humana para decisões automatizadas.

O que é responsabilidade objetiva no contexto de IA e por que isso importa para minha empresa?

Responsabilidade objetiva significa que sua empresa pode ser responsabilizada por danos causados por um sistema de IA sem que o prejudicado precise provar que você agiu com culpa. O PL 2.338/2023 prevê esse regime para sistemas de alto risco. Na prática, isso aumenta a exposição jurídica e exige seguros de responsabilidade civil adequados e contratos bem estruturados com clientes.

Como classificar se o meu sistema de IA é de alto risco segundo o PL 2.338/2023?

O PL lista setores e finalidades consideradas de alto risco, incluindo saúde, crédito e scoring financeiro, seleção e avaliação de pessoas, educação, segurança pública e infraestrutura crítica. Se o seu sistema toma ou influencia decisões nesses domínios, ele provavelmente se enquadra na categoria de alto risco e ficará sujeito a requisitos adicionais de documentação, auditoria e registro.

Investidores estrangeiros exigem conformidade com regulação de IA brasileira?

Cada vez mais sim. Fundos europeus e norte-americanos já incluem cláusulas de AI governance em seus term sheets, alinhadas ao AI Act europeu e às diretrizes da OCDE sobre IA. Para startups brasileiras que buscam capital internacional, demonstrar um programa estruturado de conformidade regulatória é um diferencial competitivo e pode evitar ajustes pós-investimento onerosos.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.