Regulamentação da Inteligência Artificial no Brasil: estado atual e perspectivas

A regulamentação da inteligência artificial no Brasil encontra-se em um momento decisivo. Após mais de cinco anos de debate legislativo, audiências públicas e sucessivos adiamentos, o Projeto de Lei n.º 2.338/2023 — o chamado marco legal da IA — foi aprovado pelo Senado Federal em 10 de dezembro de 2024 e remetido à Câmara dos Deputados em março de 2025, onde aguarda parecer do relator na Comissão Especial. A tramitação, contudo, não é linear: impasses políticos, disputas setoriais, um vício de inconstitucionalidade identificado pelo próprio Poder Executivo e a sombra do calendário eleitoral de 2026 tornam o cenário regulatório brasileiro simultaneamente urgente e incerto. Para empresas, advogados e gestores que já utilizam sistemas de inteligência artificial em suas operações, compreender o estado atual dessa regulamentação não é exercício acadêmico — é condição de compliance.

O que propõe o marco legal da inteligência artificial no Brasil

O PL 2.338/2023 é de autoria do presidente do Senado Federal, Rodrigo Pacheco, e tem como objeto central o desenvolvimento, o fomento e o uso ético e responsável da inteligência artificial no Brasil. O projeto consolida, em texto único, iniciativas legislativas anteriores que tramitavam em separado — entre elas o PL n.º 21/2020 e o PL n.º 5.051/2019 —, adotando uma estrutura normativa que combina princípios gerais, classificação de sistemas por nível de risco e obrigações específicas para desenvolvedores, operadores e usuários de IA.

Em sua arquitetura fundamental, o projeto estabelece que todo sistema de inteligência artificial deve ser desenvolvido e utilizado de acordo com princípios como transparência, explicabilidade, não discriminação, privacidade e proteção de dados, participação humana e responsabilização. Esses princípios não são meramente programáticos: o texto prevê mecanismos de fiscalização, sanções administrativas e responsabilidade civil para casos de descumprimento, criando um regime jurídico com densidade normativa comparável ao da Lei Geral de Proteção de Dados.

A espinha dorsal do projeto é a classificação dos sistemas de IA conforme o risco que representam para direitos fundamentais. Sistemas de risco inaceitável — como aqueles que manipulam comportamentos de forma subliminar ou que implementam pontuação social de cidadãos — são expressamente proibidos. Sistemas de alto risco, que operam em setores como saúde, educação, justiça criminal, emprego e infraestrutura crítica, estão sujeitos a obrigações reforçadas de documentação técnica, supervisão humana, avaliação de impacto e auditabilidade. Demais sistemas respondem a uma regulação mais leve, centrada na transparência perante o usuário.

Um aspecto que distingue o modelo brasileiro da sua principal referência internacional — o AI Act europeu — é a ênfase nos direitos das pessoas afetadas por sistemas de IA. O PL 2.338/2023 dedica capítulo específico ao tema, prevendo o direito à informação prévia sobre a interação com sistemas de IA, o direito à determinação humana em decisões relevantes, o direito à não discriminação e correção de vieses algorítmicos e o direito à privacidade e à proteção de dados pessoais. Essa abordagem centrada na pessoa humana reflete a influência dos debates constitucionais brasileiros e da experiência consolidada com a LGPD.

A tramitação na Câmara dos Deputados: impasses e controvérsias

Aprovado pelo Senado em votação simbólica em 10 de dezembro de 2024, o PL 2.338/2023 foi remetido à Câmara dos Deputados em março de 2025. A Câmara criou uma Comissão Especial para analisar o texto, sob presidência da deputada Luísa Canziani e relatoria do deputado Aguinaldo Ribeiro (PP-PB). Entre maio e setembro de 2025, a Comissão realizou doze audiências públicas com participação de especialistas, representantes do setor produtivo, sociedade civil e organismos internacionais. A votação, inicialmente prevista para o final de 2025, foi adiada para 2026 em decisão alinhada entre as presidências da Câmara e do Senado, em razão de impasses políticos e da ausência de consenso sobre pontos considerados sensíveis.

Os principais pontos de controvérsia na tramitação revelam a complexidade do equilíbrio que o legislador precisa alcançar. De um lado, representantes do setor de tecnologia e entidades empresariais criticam o texto por sua excessiva rigidez regulatória — especialmente o modelo de compliance ex ante, que impõe obrigações antes mesmo do uso do sistema, criando barreiras consideradas desproporcionais para startups e pequenas empresas. De outro, organizações de defesa de direitos civis apontam que o texto aprovado pelo Senado já havia sido esvaziado em pontos críticos, como a retirada de salvaguardas trabalhistas relacionadas à automação e a ausência de regras substantivas sobre direitos autorais no treinamento de sistemas de IA generativa.

A questão dos direitos autorais é particularmente sensível. O texto aprovado pelo Senado previa que empresas de tecnologia informassem quais obras protegidas foram utilizadas no treinamento de sistemas de IA e assegurava aos autores o direito de vetar esse uso. O debate na Câmara reacendeu as disputas sobre o alcance dessas disposições, com o setor cultural defendendo maior proteção e plataformas tecnológicas resistindo a obrigações que consideram tecnicamente inviáveis.

Um complicador adicional é de ordem constitucional. O Poder Executivo identificou que o texto aprovado pelo Senado apresenta vício de iniciativa: ao atribuir competências normativas à Autoridade Nacional de Proteção de Dados (ANPD), o projeto tratou de matéria de iniciativa privativa do Poder Executivo — o que, se mantido, exporia o texto a questionamento de inconstitucionalidade perante o Supremo Tribunal Federal. Para sanar o problema, o Executivo encaminhou, em dezembro de 2025, projeto de lei complementar que cria o Sistema Nacional para Desenvolvimento, Regulação e Governança de Inteligência Artificial (SIA) e formaliza o papel da ANPD como coordenadora do sistema. Esse projeto deverá ser apensado ao PL 2.338/2023, o que adiciona mais uma camada de complexidade à tramitação.

O vácuo regulatório atual e a aplicação da LGPD

Enquanto o marco legal específico não é aprovado, o Brasil não opera em vácuo normativo total. A Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados) já disciplina, de forma relevante, o uso de sistemas de inteligência artificial que envolvam o tratamento de dados pessoais — o que, na prática, abrange a esmagadora maioria das aplicações comerciais de IA. O artigo 20 da LGPD assegura ao titular de dados o direito de solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado quando essas decisões afetarem seus interesses, incluindo decisões de crédito, seleção de pessoal e triagem de perfis. O artigo 6.º impõe os princípios de transparência e finalidade a todo tratamento de dados. O artigo 37 obriga o controlador a manter o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando o tratamento representar risco elevado aos direitos dos titulares.

A Autoridade Nacional de Proteção de Dados já demonstrou disposição para atuar nesse espaço. A ANPD publicou, em dezembro de 2025, o Mapa de Temas Prioritários para o biênio 2026-2027, incluindo inteligência artificial e tecnologias emergentes como um dos quatro eixos centrais de fiscalização. O sandbox regulatório de IA da ANPD — mecanismo que permite o teste controlado de inovações tecnológicas em ambiente regulatório supervisionado — já se encontra em fase de operação com empresas selecionadas. Isso significa que, na prática, a autoridade de proteção de dados brasileira já exerce papel regulatório sobre IA mesmo na ausência de lei específica, valendo-se das competências da LGPD e construindo sua jurisprudência administrativa sobre o tema.

Empresas que operam sistemas de IA com dados pessoais devem, portanto, tratar a adequação à LGPD não como etapa preparatória para uma futura lei de IA, mas como obrigação corrente e exigível. A postura da ANPD em casos recentes — como a suspensão de funcionalidades de plataformas de tecnologia que utilizavam dados de usuários para treinamento de sistemas sem base legal adequada — demonstra que a fiscalização não aguarda a aprovação do PL 2.338/2023.

A regulamentação brasileira em perspectiva comparada: o AI Act europeu

O Regulamento (UE) 2024/1689, conhecido como AI Act, entrou em vigor na União Europeia em agosto de 2024, tornando-se o primeiro instrumento normativo abrangente sobre inteligência artificial a ter força de lei em uma jurisdição de grande porte. O AI Act adota uma estrutura de classificação por risco substancialmente semelhante à proposta no PL 2.338/2023, o que não é coincidência: a experiência regulatória europeia influenciou diretamente o modelo brasileiro, da mesma forma que o GDPR europeu precedeu e moldou a LGPD.

A relevância do AI Act para empresas brasileiras vai além da comparação acadêmica. O regulamento europeu tem aplicação extraterritorial: aplica-se a qualquer fornecedor de sistemas de IA cujos produtos sejam colocados no mercado europeu ou cujos efeitos se produzam em território da União Europeia, independentemente do local de estabelecimento do fornecedor. Empresas brasileiras que exportem tecnologia, produtos ou serviços para a Europa, que possuam subsidiárias em países membros da UE ou que utilizem sistemas de IA desenvolvidos por fornecedores europeus precisam mapear suas obrigações sob o AI Act agora. O regime sancionatório é severo: infrações relacionadas a sistemas de IA proibidos podem ensejar multas de até 35 milhões de euros ou 7% do faturamento global anual, o que for maior.

A perspectiva comparada é, nesse contexto, de valor prático imediato. Escritórios e departamentos jurídicos que assessoram clientes com operações transnacionais precisam dominar tanto o modelo brasileiro em construção quanto o modelo europeu já vigente, avaliando as convergências, as divergências e as obrigações que se acumulam em ambas as jurisdições. A experiência com o direito alemão e com a prática regulatória europeia torna essa análise bicultural especialmente relevante para clientes que operam simultaneamente no Brasil e na União Europeia.

Responsabilidade civil e criminal no uso de inteligência artificial

Independentemente da aprovação do marco legal, as questões de responsabilidade pelo uso de sistemas de IA já se apresentam ao Judiciário brasileiro. O problema mais imediato, e que tem gerado decisões em tribunais superiores, é o da responsabilidade do profissional que utiliza IA generativa para produzir documentos sem a devida supervisão técnica. Advogados que subscrevem petições com citações jurisprudenciais geradas por sistemas de IA sem verificar sua autenticidade respondem pela irregularidade perante seus clientes e perante o juízo — independentemente de qualquer lei específica de IA. O dever de diligência profissional, previsto no Estatuto da OAB e no Código de Ética, não é afastado pelo uso de ferramentas tecnológicas.

No campo empresarial, o PL 2.338/2023 propõe um regime de responsabilidade civil que distingue entre agentes da cadeia de IA. Desenvolvedores respondem pelos danos causados por defeitos nos sistemas que colocarem no mercado. Operadores — empresas que implementam e utilizam sistemas de IA em seus produtos e serviços — respondem pelos danos decorrentes do uso inadequado ou que exceda os parâmetros estabelecidos pelo desenvolvedor. A discussão sobre a natureza dessa responsabilidade — se objetiva ou subjetiva para determinadas categorias de agentes — é um dos pontos ainda em aberto na tramitação legislativa e que pode sofrer alterações significativas na Câmara.

No âmbito penal, a utilização de sistemas de IA para a prática de crimes — fraudes digitais, falsidade ideológica digital, extorsão por deepfake, manipulação de processos eleitorais — já encontra tipificação parcial no ordenamento vigente, com aplicação adaptada das normas existentes. O PL 2.338/2023 não cria novos tipos penais, mas sua aprovação deve ser acompanhada de atualização do Código Penal para abarcar as especificidades das condutas mediadas por IA, discussão que já tramita em projetos paralelos no Congresso.

Perspectivas para 2026: ano eleitoral e incerteza regulatória

O fato de a votação do PL 2.338/2023 na Câmara estar prevista para 2026 — ano de eleições municipais em vários países e de eleições presidenciais no Brasil — não é elemento neutro. A regulação de inteligência artificial tem implicações diretas sobre campanhas eleitorais, uso de deepfakes políticos, micro-targeting eleitoral e disseminação de desinformação. O Tribunal Superior Eleitoral já editou resoluções sobre o uso de IA nas eleições de 2024, e a aprovação de um marco legal geral durante o período eleitoral terá inevitável conotação política.

Para o setor privado, a incerteza regulatória prolongada tem um custo concreto. Empresas que precisam decidir sobre investimentos em sistemas de IA, estruturas de governança e conformidade regulatória operam sem clareza sobre as obrigações que serão impostas, o prazo de adequação e a autoridade responsável pela fiscalização. A tendência de empresas com operações globais é antecipar os padrões mais elevados — o que, na prática, significa implementar requisitos próximos ao AI Act europeu mesmo antes de qualquer obrigação legal brasileira, reduzindo o risco regulatório em todas as jurisdições relevantes.

A aprovação do marco legal brasileiro, quando ocorrer, representará apenas o início de um processo regulatório mais longo. A lei precisará ser regulamentada em detalhe, os critérios de classificação de risco precisarão ser operacionalizados, e a autoridade competente — seja a ANPD, seja um novo órgão setorial — precisará construir sua capacidade técnica de fiscalização. A experiência da LGPD, que levou anos para produzir regulamentações secundárias e precedentes administrativos relevantes, sugere que a maturidade regulatória do marco de IA brasileiro será construída ao longo de uma década, não de um ciclo legislativo.

Nesse contexto, a prática jurídica em direito digital e novas tecnologias exige uma combinação de conhecimento técnico sobre o funcionamento dos sistemas, domínio do quadro normativo em construção e capacidade de assessorar clientes na antecipação de obrigações que ainda não têm forma definitiva. O advogado que aguardar a publicação da lei para começar a compreender o tema estará, inevitavelmente, atrasado.

Perguntas frequentes sobre a regulamentação da inteligência artificial no Brasil

O Brasil já tem uma lei de inteligência artificial?

Não. O Brasil ainda não possui uma lei geral de inteligência artificial em vigor. O PL 2.338/2023, aprovado pelo Senado Federal em dezembro de 2024, tramita na Câmara dos Deputados aguardando parecer do relator na Comissão Especial. Enquanto o marco específico não é aprovado, a Lei Geral de Proteção de Dados (LGPD) já impõe obrigações relevantes ao uso de IA que envolva dados pessoais, especialmente por meio do artigo 20, que disciplina as decisões automatizadas.O que é o PL 2.338/2023 e qual sua situação atual?

O PL 2.338/2023 é o projeto de lei de autoria do senador Rodrigo Pacheco que dispõe sobre o desenvolvimento, o fomento e o uso ético e responsável da inteligência artificial no Brasil. Aprovado pelo Senado Federal em 10 de dezembro de 2024, foi remetido à Câmara dos Deputados em março de 2025, onde aguarda parecer do relator, deputado Aguinaldo Ribeiro (PP-PB), na Comissão Especial. A votação, inicialmente prevista para o final de 2025, foi adiada para 2026 em razão de impasses políticos e técnicos, incluindo a necessidade de apensamento de projeto de lei do Executivo para sanar vício de inconstitucionalidade no texto aprovado pelo Senado.Quais são os sistemas de inteligência artificial considerados de alto risco?

O PL 2.338/2023 adota uma classificação baseada em risco inspirada no modelo europeu. São considerados de alto risco os sistemas que operam em setores sensíveis como infraestrutura crítica, educação, emprego, serviços essenciais, administração da justiça e processos democráticos. Sistemas de alto risco estão sujeitos a obrigações reforçadas de transparência, documentação técnica, supervisão humana obrigatória e avaliação de impacto a direitos fundamentais antes de sua implantação.Como o AI Act europeu afeta empresas brasileiras?

O Regulamento (UE) 2024/1689 — AI Act — entrou em vigor em agosto de 2024 e aplica-se a qualquer fornecedor ou operador de sistemas de IA cujos efeitos se produzam no território da União Europeia, independentemente do local de estabelecimento. Empresas brasileiras que exportem produtos ou serviços para o mercado europeu, que possuam subsidiárias em países membros da UE ou que utilizem sistemas desenvolvidos por fornecedores europeus estão sujeitas às suas obrigações. Para assessoria especializada sobre conformidade regulatória em operações internacionais, o mapeamento das jurisdições aplicáveis é o primeiro passo.A LGPD já se aplica ao uso de inteligência artificial?

Sim. Independentemente da aprovação de um marco legal específico de IA, a LGPD já incide sobre o uso de sistemas de inteligência artificial que envolvam dados pessoais. O artigo 20 da LGPD assegura ao titular o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado. Os artigos 6.º e 37 impõem os princípios de transparência e a obrigação de manter o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando o tratamento representar risco elevado. A ANPD já fiscaliza o cumprimento dessas obrigações e incluiu IA como eixo prioritário de atuação para 2026-2027.

Maurício Lindenmeyer Barbieri é sócio-gerente da Barbieri Advogados. Mestre em Direito Processual do Trabalho pela Universidade Federal do Rio Grande do Sul (UFRGS). Inscrito na Ordem dos Advogados da Alemanha (RAK Stuttgart n.º 50.159), de Portugal (Lisboa n.º 64.443L) e do Brasil (OAB/RS n.º 36.798 · OAB/DF · OAB/SC · OAB/PR · OAB/SP). Contador — CRC-RS n.º 106.371/O. Membro da Associação de Juristas Brasil-Alemanha (DBJV). Professor universitário.

Este artigo tem caráter exclusivamente informativo e não constitui aconselhamento jurídico. Cada situação possui particularidades que exigem análise individualizada por profissional habilitado. Para assessoria especializada, entre em contato com a Barbieri Advogados.