Marco Legal da IA no Brasil Avança na Câmara: Checklist Prático Para Empresas Antes da Lei Entrar em Vigor
Em 18 de março de 2026, a Comissão de Comunicação da Câmara dos Deputados aprovou o PL 2338/2023 — o Marco Regulatório da Inteligência Artificial no Brasil. O projeto, já aprovado pelo Senado em dezembro de 2024, estabelece direitos, deveres, princípios, mecanismos de governança e padrões de transparência para o desenvolvimento e uso de IA. Não importa se sua empresa treina modelos ou apenas usa ChatGPT para marketing — a lei vai te afetar. Este guia explica o que muda e traz um checklist pragmático em sete passos.
Enquanto o debate acadêmico gira em torno de "ética da IA", o debate prático que importa para empresários é outro: quais obrigações concretas a lei vai criar e em quanto tempo. A boa notícia é que, ao contrário do AI Act europeu (vigente desde 2024), a versão brasileira tem abordagem pragmática e deixa espaço para inovação em sistemas de risco baixo. A má notícia é que quem usa IA para decisões sensíveis (crédito, RH, saúde, jurídico) vai ter muita lição de casa.
O Que o PL 2338/2023 Estabelece
O projeto cria um arcabouço nacional geral para desenvolvimento, implementação e uso responsável de sistemas de IA no Brasil. Os eixos principais:
- Classificação de risco em quatro níveis, com obrigações proporcionais ao risco
- Direitos fundamentais dos usuários — transparência, informação, contestação de decisões automatizadas
- Responsabilização de desenvolvedores, distribuidores e operadores de sistemas de IA
- Governança interna obrigatória para empresas que operam sistemas de alto risco
- Avaliação de impacto algorítmico para categorias específicas
- Supervisão por autoridade competente (ANPD tem papel central)
- Harmonização com LGPD e Marco Civil da Internet
Status atual (abril/2026): o PL 2338/2023 foi aprovado no Senado em 10/12/2024, distribuído na Câmara e em abril/2025 teve criação de Comissão Especial. Em 18/03/2026 a Comissão de Comunicação aprovou. Ainda precisa passar pelas Comissões de Ciência, Tecnologia e Inovação; Finanças; CCJ; antes de ir ao plenário da Câmara. Previsão realista de aprovação final: segundo semestre de 2026 ou início de 2027, com vacatio legis até 2028.
Somos especialistas em desenvolvimento de software sob medida. Primeira conversa é gratuita.
As Quatro Classes de Risco
A arquitetura do PL 2338 é similar (mas não idêntica) ao AI Act europeu. Classificação em quatro níveis:
| Classe | Exemplos | Tratamento Legal |
|---|---|---|
| Risco Excessivo | Armas autônomas letais, scoring social estatal, manipulação comportamental de vulneráveis | PROIBIDO |
| Alto Risco | Decisões jurídicas automatizadas, análise de crédito, recrutamento/RH, saúde crítica, infraestrutura crítica, biometria em espaço público | Permitido com obrigações rigorosas de governança, avaliação de impacto e supervisão humana |
| Risco Moderado | Chatbots de atendimento em serviço essencial, sistemas de recomendação com efeito comportamental relevante | Obrigações proporcionais — transparência, qualidade de dados, logs |
| Risco Baixo / Geral | IA generativa para marketing, assistentes de produtividade, traduções, resumos, geração de imagem para uso empresarial geral | Obrigações mínimas: transparência sobre interação com IA |
A maioria das empresas brasileiras opera em Risco Baixo/Geral (uso de IA para ganho de produtividade). As empresas que operam em Alto Risco já têm requisitos substanciais, comparáveis a bancos sob regulação do BC.
Obrigações Concretas Por Nível
Para todos os sistemas de IA (baseline)
- Transparência ao usuário: informar quando há interação com sistema de IA (ex.: chatbot deve deixar claro que é IA)
- Não enganosidade: vedação de indução a erro por deepfake ou persona falsa sem declaração
- Segurança e privacidade by design: integração com LGPD
- Respeito a direitos autorais no uso de conteúdo para treino
Para sistemas de Alto Risco (adicionais)
- Avaliação de Impacto Algorítmico (AIA): documento obrigatório descrevendo dados de treino, métricas de precisão, vieses identificados, medidas de mitigação
- Supervisão humana significativa: decisão final em casos críticos deve ser humana ou revisável por humano
- Direito a revisão humana e contestação: usuário afetado pode pedir revisão da decisão automatizada
- Logs de auditoria: registro de eventos para rastreabilidade e investigação
- Comunicação de incidentes graves à autoridade competente
- Governança interna: definição de responsável, comitê de revisão, política formal de IA
Atenção para RH e crédito: se sua empresa usa IA para triagem de currículos, avaliação de candidatos, análise de crédito, pricing dinâmico para clientes ou precificação de seguros — esses casos caem em Alto Risco. A lei vai exigir AIA formal, supervisão humana e direito a contestação. Começar a adequar agora é mais barato do que correr quando virar lei.
Interface com LGPD e Marco Civil: Não É Uma Lei Isolada
Um ponto frequentemente mal interpretado: o Marco Legal da IA não substitui nem LGPD nem Marco Civil. Ele acrescenta uma camada específica para sistemas de IA. Na prática:
- LGPD continua regendo todo tratamento de dados pessoais. Se seu sistema de IA usa dados pessoais (cadastro, comportamento, biometria), LGPD vale integralmente — consentimento, finalidade, bases legais, direitos do titular.
- Marco Civil da Internet rege comunicação e responsabilidade de plataformas. Se sua IA publica conteúdo, modera, recomenda, o Marco Civil se aplica.
- Marco da IA acrescenta camada específica sobre sistemas algorítmicos — avaliação de impacto, transparência algorítmica, direito a revisão humana, governança técnica.
A ANPD (Autoridade Nacional de Proteção de Dados) ganha papel central na supervisão do Marco da IA, especialmente nas áreas de interseção com dados pessoais. Isso significa que empresas que já têm DPO e programa LGPD maduro têm vantagem relativa — o novo arcabouço se encaixa sobre o que já existe.
Checklist: 7 Passos Para Preparar Sua Empresa
Mesmo que a lei ainda não esteja em vigor, as ações abaixo são baratas, reduzem risco legal futuro e melhoram governança agora:
1. Inventariar todos os sistemas de IA em uso
Liste todos os sistemas de IA que sua empresa usa — próprios, em SaaS, incorporados em ferramentas existentes (HubSpot, Salesforce, Google Workspace, Microsoft 365 já têm IA embutida). Inclua uso por terceiros em produto entregue ao cliente.
2. Classificar por risco provável
Aplique a taxonomia das quatro classes. Seja honesto: uma IA que sugere decisão de crédito ou prioriza candidatos em RH é Alto Risco, mesmo que o "decisor" humano assine no final (a lei vai olhar a influência real).
3. Documentar dados de treino, métricas e limitações
Para sistemas próprios: datasheet do modelo, dados de treino, métricas de acurácia por subgrupo, vieses conhecidos, casos de uso válidos e inválidos. Para sistemas de terceiros: exigir essa documentação do fornecedor e armazenar internamente.
4. Definir papéis de governança interna
Nomear responsável pela governança de IA (pode ser a mesma pessoa do DPO, com escopo expandido), constituir comitê de revisão para decisões de alto impacto, documentar fluxo de aprovação de novos sistemas.
5. Implementar logs de auditoria e supervisão humana
Sistemas de IA em uso crítico precisam de logs imutáveis (quando decidiu o quê com base em quê), e supervisão humana significativa — não apenas "humano aprova no final". Indicador: quantas vezes o humano reverte a sugestão da IA? Se é sempre zero, não há supervisão real.
6. Revisar contratos com fornecedores de IA
Cláusulas contratuais que vão ficar padrão: (a) fornecedor declara compliance com o Marco da IA; (b) fornece documentação técnica e AIA quando aplicável; (c) notifica incidentes graves em X horas; (d) compartilha responsabilidade por falhas de conformidade. Revise contratos existentes — e não assine novos sem essas cláusulas.
7. Integrar avaliação de impacto algorítmico ao processo de LGPD
Empresas que já têm processo de DPIA (Data Protection Impact Assessment) sob LGPD devem integrar AIA ao mesmo fluxo. Evita processos paralelos e captura sinergias: muita da documentação já existe.
Sua empresa usa IA e precisa se preparar para o Marco Legal?
Auditamos seu uso de IA, classificamos sistemas por risco, implementamos governança técnica e documentação AIA/DPIA integradas. Saia na frente antes da lei entrar em vigor.
Falar com EspecialistaTimeline Provável
| Período | Marco |
|---|---|
| Dezembro/2024 | Aprovação no Senado (PL 2338/2023) |
| Abril/2025 | Criação da Comissão Especial na Câmara |
| 18/03/2026 | Comissão de Comunicação aprova |
| Abr-Nov/2026 | Tramitação nas Comissões CTI, Finanças, CCJ |
| Q4/2026 ou Q1/2027 | Votação em plenário da Câmara (projeção) |
| 2027 | Sanção presidencial e início da vacatio legis |
| 2028 | Entrada em vigor (estimativa) + regulamentação infralegal via ANPD |
Empresas esperam a lei entrar em vigor para começar a se adequar. É o erro clássico (mesmo padrão visto com LGPD em 2020). As que começam agora pagam consultoria e implementação a preços normais; as que esperam a lei virar obrigatória pagam preço emergencial e correm risco de autuação.
Quem Ganha e Quem Perde
Ganha:
- Empresas com programa de compliance maduro: DPIA, risk management, governança de dados — o Marco da IA encaixa sobre o que já existe
- Fornecedores de tecnologia sérios: documentação, auditoria, transparência viram diferencial vendável
- Usuários finais: direito a contestar decisões automatizadas e exigir revisão humana em decisões críticas
Perde:
- Empresas que tratam IA como caixa-preta e não sabem explicar como funciona
- Fornecedores opacos: quem vende IA em SaaS sem fornecer datasheet, métricas e contrato claro será substituído
- Operações que dependem de scoring ou ranking automatizado sem supervisão humana significativa
Conclusão: Regulação Não É Inimiga da IA
O Marco Legal da IA no Brasil não é "mais uma burocracia" — é um framework que força as empresas a tratarem IA com o rigor que o tema merece. Quem já opera com disciplina ganha vantagem. Quem usa IA "porque é moda" sem governança vai sentir a fatura.
Se sua empresa usa IA para automação de processos, chatbots no WhatsApp, recomendações ou decisões, comece a rodar o checklist desta semana. É o tipo de trabalho que rende — legalmente, operacionalmente, e também comercialmente (clientes sérios vão exigir evidência de conformidade em cada vez mais RFPs). A lei ainda está em tramitação, mas o mercado já está avaliando.