Avanço do PL 2338 na Câmara e exigências do AI Act europeu levam companhias a estruturar governança algorítmica antes mesmo da lei entrar em vigor
Mesmo sem uma legislação específica em vigor, as empresas brasileiras já começaram a se movimentar para se adequar a um cenário regulatório que se desenha tanto dentro quanto fora do país. De um lado, o Projeto de Lei 2338/2023, o Marco Legal da Inteligência Artificial, segue em tramitação na Câmara dos Deputados depois de aprovado pelo Senado Federal em dezembro de 2024. De outro, o AI Act da União Europeia, em vigor desde 2024 com cronograma escalonado de aplicação, já impõe obrigações a companhias brasileiras que atendem clientes, fornecedores ou usuários no bloco europeu.
Esse cenário de regulação dupla tem levado diretorias jurídicas e de tecnologia a tratar a governança de inteligência artificial não como um evento futuro, mas como uma exigência imediata de gestão de risco. Dados de mercado indicam que mais de 70% das grandes empresas brasileiras já utilizam algum tipo de sistema de inteligência artificial em processos decisórios sensíveis, como análise de crédito, prevenção a fraudes e automação de atendimento, segundo levantamento citado por especialistas em compliance digital.
A pergunta que ocupa boa parte das empresas agora é prática: como se preparar para uma regulação que ainda está em construção, mas que já produz efeitos concretos sobre decisões de investimento e estruturação de processos internos? Esta matéria reúne o que se sabe sobre o avanço do marco regulatório brasileiro, o impacto do AI Act europeu sobre companhias nacionais e os passos que especialistas recomendam para reduzir riscos jurídicos e reputacionais.
Como o PL 2338 classifica os sistemas de inteligência artificial
O Marco Legal da Inteligência Artificial brasileiro adota uma lógica de regulação baseada em risco, inspirada no modelo europeu, mas com adaptações à realidade institucional do país. O texto divide os sistemas de IA em três categorias: risco excessivo, que seriam proibidos; alto risco, sujeitos a obrigações mais rígidas; e risco baixo ou moderado, com exigências mais leves de conformidade. Sistemas de alto risco incluem, por exemplo, ferramentas usadas em processos seletivos de emprego, concessão de crédito, diagnósticos médicos e outras decisões automatizadas com potencial de impacto relevante sobre direitos das pessoas.
Para esses sistemas, a proposta prevê a obrigatoriedade de avaliação de impacto algorítmico, documento que precisa detalhar os dados usados no treinamento do modelo, métricas de viés identificadas, mecanismos de robustez e os limites da supervisão humana sobre as decisões tomadas pela ferramenta. O texto também garante uma série de direitos aos usuários afetados por esses sistemas, como o direito à informação sobre o uso da IA, o direito à explicação das decisões automatizadas e a possibilidade de solicitar revisão humana em casos de decisões consideradas potencialmente prejudiciais.
A proposta ainda prevê a criação de uma estrutura institucional batizada de Sistema Nacional de Regulação e Governança de Inteligência Artificial, com a Agência Nacional de Proteção de Dados atuando como autoridade central, em articulação com reguladores setoriais de áreas como telecomunicações, saúde e mercado financeiro. Em termos de penalidades, especialistas comparam o modelo brasileiro à experiência da Lei Geral de Proteção de Dados, com multas que podem chegar a até 2% do faturamento da empresa, com teto de R$ 50 milhões por infração, valor que reforça o caráter dissuasório da proposta sobre práticas consideradas de risco para os direitos dos usuários.
O impacto do AI Act europeu sobre empresas brasileiras
Enquanto o Brasil ainda discute os detalhes finais de sua legislação, a União Europeia já avança na implementação prática do AI Act, publicado no Jornal Oficial europeu em julho de 2024 e estruturado em um cronograma de aplicação escalonado. Desde fevereiro de 2025, já estão em vigor as proibições relacionadas a práticas de inteligência artificial consideradas de risco inaceitável, como manipulação subliminar de comportamento e identificação biométrica em tempo real em espaços públicos para fins de aplicação da lei, com exceções específicas previstas em lei.
O ponto relevante para empresas brasileiras é que o AI Act tem alcance extraterritorial: qualquer companhia que tenha clientes, fornecedores ou usuários no bloco europeu pode estar sujeita às suas regras, independentemente de onde a empresa esteja sediada. Isso significa que, mesmo antes da conclusão da tramitação do PL 2338 no Congresso Nacional, empresas brasileiras com operação internacional já precisam avaliar seu nível de exposição às exigências europeias, sob risco de enfrentar sanções ou perder competitividade em mercados estratégicos.
Para especialistas em direito digital, essa sobreposição entre regulação nacional em construção e regulação internacional já em vigor torna ainda mais urgente que as empresas brasileiras estruturem programas de governança de inteligência artificial agora, em vez de esperar a sanção definitiva da lei brasileira. A lógica é semelhante à observada quando a Lei Geral de Proteção de Dados entrou em vigor, em 2020: empresas que anteciparam a adequação enfrentaram uma transição mais suave do que aquelas que esperaram o prazo final se esgotar.
Os passos recomendados para empresas se prepararem agora
Diante desse cenário de incerteza regulatória, especialistas em compliance digital recomendam que as empresas comecem pelo mapeamento completo dos sistemas de inteligência artificial já em operação ou em desenvolvimento, identificando responsável, finalidade, origem dos dados de treinamento e o tipo de decisão impactada por cada ferramenta. Sem esse inventário inicial, segundo consultores da área, qualquer programa de conformidade corre o risco de ficar apenas no discurso, sem aplicação prática.
O segundo passo recomendado é a classificação de risco de cada sistema, aplicando tanto a taxonomia prevista no PL 2338 quanto os critérios do AI Act europeu, de forma a identificar quais ferramentas exigem atenção prioritária. Sistemas que tomam decisões automatizadas em áreas como recursos humanos, concessão de crédito, seguros e atendimento ao consumidor tendem a concentrar o maior volume de exigências regulatórias, justamente por envolverem decisões com impacto direto sobre pessoas.
Outro ponto destacado por especialistas é a necessidade de avaliação de impacto algorítmico para sistemas de alto risco, processo que deve cobrir desde a qualidade dos dados de treinamento até a existência de mecanismos efetivos de supervisão humana sobre as decisões automatizadas. Empresas que já possuem programas estruturados de adequação à Lei Geral de Proteção de Dados tendem a ter vantagem nessa etapa, já que boa parte da governança de dados pessoais se sobrepõe às exigências de governança de inteligência artificial, ainda que o PL 2338 trate de uma camada adicional, voltada especificamente para os impactos do uso da tecnologia, independentemente de envolver dados pessoais.
O avanço simultâneo do Marco Legal da Inteligência Artificial no Congresso Nacional e da aplicação prática do AI Act europeu coloca as empresas brasileiras diante de um cenário pouco comum: a necessidade de se adequar a uma regulação que ainda não está totalmente definida no país, mas que já produz efeitos concretos por meio de exigências internacionais. Para diretorias jurídicas e de tecnologia, a mensagem que fica é clara: esperar a sanção definitiva da lei brasileira pode significar perder a vantagem competitiva de quem já começou a estruturar sua governança de inteligência artificial agora, antecipando-se a um cenário regulatório que, de uma forma ou de outra, deve se consolidar ainda em 2026.
Fontes consultadas:
- https://mindconsulting.com.br/2026/04/eu-ai-act-pl-2338-regulacao-ia-empresas-brasileiras-2026/
- https://exame.com/inteligencia-artificial/marco-legal-da-inteligencia-artificial-pl-2338-o-que-muda-para-empresas-com-a-nova-lei/
- https://www.barbieriadvogados.com/regulamentacao-inteligencia-artificial-brasil/
Autor: Diego Rodríguez Velázquez