TL;DR: O PL 2338/2023 ainda não foi votado no plenário da Câmara, mas o avanço das comissões em março de 2026 e a proposta de governança do governo federal sinalizam que o marco regulatório de IA no Brasil está mais próximo do que nunca. Para founders, o cenário atual já exige atenção: transparência sobre uso de IA, proteção de dados e avaliação de impacto em sistemas de alto risco são temas que vão entrar na agenda jurídica das empresas em breve. Este artigo explica o estado atual da legislação e o que você precisa acompanhar.
Quem apostou que a regulação de IA no Brasil ia demorar mais uma década pode estar se arrependendo. Em março de 2026, as comissões legislativas aceleraram o debate de forma concreta: um projeto paralelo foi aprovado na Câmara, o governo federal formalizou uma proposta de governança com três novos órgãos, e o PL 2338/2023, aprovado pelo Senado em 2024, segue na fila prioritária para votação no plenário da Câmara.
Não é sanção. Ainda não é lei. Mas o direcionamento está claro, e ignorar o que está sendo construído agora é um risco que nenhum founder deveria correr.
O que aconteceu em março de 2026 no legislativo
Em março de 2026, o PL 2.688/2025 estaria em discussão nas comissões da Câmara dos Deputados, segundo informações em circulação no período, um projeto que cria um marco regulatório próprio para o desenvolvimento e uso de IA no Brasil. Embora seja um projeto distinto do PL 2338/2023, os dois caminham em paralelo e compartilham princípios centrais.
O PL 2.688/2025 aprovado na CCom estabelece obrigações relevantes para qualquer empresa que use sistemas de IA:
- Plataformas passam a ser obrigadas a identificar e rastrear conteúdo sintético gerado por IA.
- Usuários têm direito à revisão humana de decisões automatizadas que os afetam.
- Sistemas classificados como de alto risco precisam passar por avaliações de impacto e auditorias periódicas.
- Transparência e auditabilidade tornam-se requisitos, não diferenciais.
O caminho é longo, mas o ritmo mudou.
O PL 2338/2023: onde estamos agora
O PL 2338/2023 é o projeto mais abrangente em tramitação. Foi aprovado pelo Senado em dezembro de 2024 e enviado à Câmara, onde desde então enfrenta atrasos por conta de disputas políticas internas.
Há declarações de lideranças da Câmara sinalizando que a votação do marco regulatório de IA seria prioridade no calendário legislativo, embora o compromisso formal com prazo específico não esteja publicamente consolidado. A janela prática para isso é o primeiro semestre do ano. Se o calendário se manter, os próximos meses serão decisivos.
Um ponto crítico levantado por especialistas é que a aprovação do texto, por si só, não resolve tudo. A execução depende do orçamento destinado à ANPD para contratações e auditorias. Sem estrutura operacional, a lei corre o risco de ser simbólica nos primeiros anos.
A proposta de governança do governo federal
Segundo informações do governo federal, segundo informações do governo federal, ministros das áreas de Gestão, Justiça e Comunicação apresentaram uma proposta de governança que complementa o PL 2338/2023 e cria o Sistema Nacional para Desenvolvimento, Regulação e Governança de Inteligência Artificial, chamado de SIA.
A proposta organiza a regulação em camadas com papéis distintos:
- ANPD: define normas gerais e regula setores sem agência específica, como um órgão regulador residual de alcance amplo.
- CRIA: comitê consultivo com representantes da sociedade civil, da indústria e dos usuários afetados.
- CECIA: painel de cientistas e especialistas independentes em IA.
- CBIA: conselho mais amplo sobre IA com função deliberativa.
- Agências setoriais: cada área (saúde, financeiro, telecomunicações) tem sua própria agência complementando as normas gerais. A ANS, por exemplo, regularia o uso de IA por planos de saúde.
Para uma empresa que usa IA em produto de saúde, isso significa que ela responderá tanto à ANPD quanto à ANS. Para uma fintech, o Banco Central entra no jogo. Essa estrutura de camadas é o que torna o compliance mais complexo, mas também mais específico por setor.
Impactos práticos para founders e empresas
O que tudo isso significa na prática para quem está construindo um produto com IA no Brasil?
O primeiro ponto é classificação de risco. A distinção entre sistemas de alto risco e uso geral vai determinar o nível de exigência para cada empresa. Sistemas que tomam decisões sobre crédito, emprego, saúde ou segurança pública estão na categoria mais exigente. Se o seu produto toca qualquer uma dessas áreas, o momento de mapear isso é agora, não depois da sanção.
O segundo ponto é a transparência com usuários. Tanto o PL 2338/2023 quanto o PL 2.688/2025 convergem na obrigação de informar ao usuário quando ele está interagindo com IA em contextos sensíveis. Isso afeta desde chatbots de atendimento até ferramentas de seleção de currículos.
O terceiro ponto é a revisão humana. Qualquer sistema que tome decisões automatizadas com impacto significativo sobre pessoas precisará oferecer mecanismo de contestação com análise humana. Para startups com produto B2C ou B2B que envolva decisões sobre funcionários ou clientes, isso vai exigir uma camada adicional de processo.
Pense na situação de uma startup de RH que usa IA para triagem de candidatos. Hoje, pode operar sem nenhuma obrigação formal. Com o marco regulatório em vigor, ela precisará documentar a lógica do sistema, oferecer canal de contestação e, dependendo da escala, contratar auditoria periódica. Isso não é inviabilizante, mas exige planejamento.
Para saber mais sobre como adaptar os processos internos da sua empresa a esse cenário, veja como implementar IA na empresa de forma responsável.
O que ainda está em aberto
Apesar do avanço, há incertezas reais que nenhum founder deveria ignorar.
O texto final ainda pode mudar. Com dois projetos relevantes tramitando em paralelo (PL 2338/2023 e PL 2.688/2025), e a proposta do governo federal tentando complementar o primeiro, existe chance de consolidação ou conflito entre os textos. O resultado do processo legislativo ainda não está fechado.
O prazo de adaptação para empresas, uma vez aprovada a lei, provavelmente terá janelas diferenciadas por porte e nível de risco, mas nada está definido publicamente até agora.
E a questão do financiamento da ANPD é real. Um órgão regulador com atribuições amplas e orçamento insuficiente cria assimetria: a lei existe, mas a fiscalização é seletiva. Isso não é segurança jurídica, é incerteza com aparência de certeza.
Conclusão
O Brasil está mais perto de ter uma lei de IA do que em qualquer momento anterior. O avanço nas comissões em março de 2026, a proposta de governança do governo federal e declarações de lideranças da Câmara sinalizando o marco regulatório de IA como prioridade compõem um cenário em que a pergunta não é mais "se" vai ter regulação, mas "quando" e "com qual texto".
Para founders, o movimento certo não é esperar a sanção para agir. É mapear agora quais sistemas da empresa seriam classificados como alto risco, como você documenta decisões automatizadas hoje, e se há mecanismo de contestação para os usuários afetados por elas. Quem começar essa conversa internamente antes da lei chegar vai ter muito mais tranquilidade do que quem receber a obrigação de surpresa.
Se você quiser entender o contexto mais amplo da regulação, leia o que founders precisam saber sobre regulação de IA no Brasil, que cobre os princípios e riscos do marco regulatório em mais detalhe.
