TL;DR: O PL 2338/2023, o Marco Legal da IA no Brasil, foi aprovado pelo Senado em 2024 e está em votação final na Câmara, com aprovação esperada ainda em 2026, mas incerta por causa do calendário eleitoral e disputas políticas. O texto adota uma lógica de risco parecida com a europeia: sistemas de alto risco (saúde, crédito, recrutamento) terão obrigações sérias de auditoria e documentação. Se você já usa IA para tomar decisões sobre clientes ou funcionários, precisa começar a se preparar agora, não depois da aprovação.
Você tem um sistema de IA que avalia crédito de clientes, filtra currículos ou monitora funcionários? Se a resposta for sim, você pode estar usando um sistema de "alto risco" conforme a legislação que está prestes a entrar em vigor no Brasil. E a maioria dos founders ainda não sabe disso.
O Marco Legal da Inteligência Artificial não é mais um projeto de lei distante. O PL 2338/2023, aprovado pelo Senado em dezembro de 2024, está em tramitação na Câmara dos Deputados, com o presidente da Casa, lideranças da Casa sinalizaram interesse em avançar com o texto no primeiro semestre de 2026, embora sem compromisso formal público verificável até a data desta publicação. A janela para aprovação é curta: o calendário eleitoral de outubro reduz o espaço legislativo disponível, e o que não for aprovado antes das eleições provavelmente vai esperar mais um ano.
O problema é que a maioria das empresas está esperando a lei ser aprovada para pensar no assunto. Esse é exatamente o tipo de decisão que custa caro depois.
O que está em jogo com o PL 2338/2023
O projeto institui um sistema nacional de regulação e governança de IA, com a ANPD (Autoridade Nacional de Proteção de Dados) no centro das operações de fiscalização.
A lógica central é baseada em risco, muito parecida com o AI Act europeu: quanto maior o potencial de dano de um sistema de IA, maiores as obrigações de quem o desenvolve ou opera. Isso tem uma implicação prática imediata para qualquer empresa que usa IA: você precisa saber em qual categoria sua ferramenta se enquadra.
O texto define três grandes faixas:
Usos proibidos (risco excessivo): sistemas de pontuação social ao estilo do modelo chinês, ferramentas de manipulação subliminar que exploram vulnerabilidades cognitivas, e reconhecimento de emoções em espaços públicos sem base legal específica. Essas práticas serão vedadas por violar direitos fundamentais. Se sua empresa usa algo próximo a isso, o sinal é vermelho.
Alto risco: aqui está a maior parte das discussões práticas. Entram nessa categoria sistemas usados em saúde, segurança pública, concessão de crédito, seleção e demissão de funcionários, e serviços públicos essenciais. Quem opera nessa faixa vai precisar de auditorias periódicas, documentação detalhada sobre como o sistema funciona, monitoramento contínuo e mecanismos para que pessoas afetadas possam contestar decisões.
Baixo risco ou irrelevante: chatbots de entretenimento, filtros de spam, sistemas de recomendação de conteúdo sem impacto crítico. As obrigações aqui são mínimas, basicamente de transparência, ou seja, informar que o usuário está interagindo com uma IA.
Para um founder, a pergunta central não é "a lei vai passar?". É: "o que eu já estou usando se enquadra em qual categoria?"
Quem será mais impactado no ecossistema de startups
Nem toda startup vai sentir o mesmo peso. O impacto depende, antes de tudo, do setor e de como a IA está integrada nas decisões que a empresa toma.
Fintechs que usam modelos para scoring de crédito estão claramente no território de alto risco. Uma startup que usa um modelo para decidir automaticamente se aprova ou recusa um empréstimo está tomando uma decisão que afeta diretamente a vida financeira de uma pessoa. O PL exige que essa decisão seja explicável e contestável.
HRtechs e plataformas de recrutamento têm atenção redobrada. Usar IA para triagem de currículos, análise de entrevistas em vídeo ou predição de performance de funcionários entra na categoria de alto risco sob o texto atual. Isso significa que uma startup que vende essa tecnologia para outras empresas vai precisar se preocupar tanto com a conformidade do próprio produto quanto orientar seus clientes sobre as obrigações deles.
Healthtechs enfrentam obrigações similares, especialmente sistemas que auxiliam em diagnósticos ou sugerem tratamentos, mesmo que a decisão final fique com um médico.
Por outro lado, uma startup de SaaS que usa IA para gerar rascunhos de email de marketing ou resumir reuniões provavelmente vai operar tranquilamente na faixa de baixo risco, com poucas obrigações além de avisar o usuário que o conteúdo foi gerado por IA.
O ponto de atenção que muitos founders perdem: a classificação não é sobre o produto inteiro, mas sobre cada sistema de IA dentro do produto. Uma mesma empresa pode ter funcionalidades em faixas diferentes.
O papel da ANPD e os riscos de uma lei simbólica
Toda lei de regulação de tecnologia tem um problema crônico: o orçamento da agência reguladora. O PL 2338/2023 designa a ANPD como principal autoridade fiscalizadora, mas especialistas apontam que especialistas apontam que a ANPD historicamente opera com recursos limitados, o que levanta dúvidas sobre sua capacidade de absorver as novas atribuições de fiscalização de IA.
Pesquisadores que acompanham o projeto apontam o dilema: o Brasil está tentando se posicionar entre a rigidez regulatória europeia, o modelo fragmentado americano e o modelo estatal opaco da China. Equilibrar inovação e controle democrático é possível, mas exige que a ANPD tenha recursos reais para contratar especialistas em auditoria algorítmica, não só abrir processos administrativos.
Se a agência não receber orçamento adequado, o risco é a lei virar uma obrigação formal que ninguém cumpre de verdade e ninguém fiscaliza. Isso não é necessariamente uma boa notícia para founders sérios: empresas que investiram em conformidade ficam em desvantagem competitiva frente a quem ignorou as regras sem consequência.
Pesquisadores que acompanham o projeto descrevem o cenário atual como ambivalente. O avanço legislativo existe, mas depende de uma janela política que pode fechar com as eleições. E o lobby de grandes empresas de tecnologia, tanto nacionais quanto internacionais, está ativo para suavizar obrigações antes da votação final.
O que acontece se você não fizer nada agora
Imagine uma HR Tech de médio porte, com um produto de triagem de currículos usado por 200 empresas clientes. O sistema usa um modelo de linguagem para classificar candidatos com base em histórico profissional e formação acadêmica. Nenhuma documentação sobre como o modelo foi treinado. Nenhum mecanismo para que um candidato rejeitado entenda o motivo ou conteste a decisão.
Quando o Marco Legal entrar em vigor, essa HR Tech estará operando um sistema de alto risco sem nenhuma das obrigações cumpridas. Pior: cada um dos 200 clientes dela também estará em não conformidade, porque a lei responsabiliza tanto quem desenvolve quanto quem opera o sistema.
O risco não é só de multa. É de perder contratos com empresas que exigem conformidade dos seus fornecedores, especialmente as que operam no mercado europeu ou têm políticas internas de ESG que já olham para isso.
A pergunta certa não é "quando a lei vai passar e aí eu me preocupo". É "se a lei fosse aprovada amanhã, eu estaria pronto?"
Governança proativa: o que você pode fazer hoje
A boa notícia é que a maioria das obrigações de alto risco no PL 2338/2023 são, no fundo, boas práticas de engenharia e produto que empresas sérias já deveriam seguir.
Mapeie seus sistemas de IA. Antes de qualquer outra coisa, liste todos os sistemas de IA que sua empresa usa ou oferece. Para cada um, responda: ele toma ou influencia decisões que afetam diretamente pessoas? Quais são as consequências de uma decisão errada? Isso já te dá uma classificação preliminar de risco.
Documente como os modelos funcionam. Para sistemas de alto risco, o PL exige documentação técnica sobre como o modelo foi treinado, quais dados foram usados, e quais métricas de performance foram usadas para validar. Se você usa um modelo de terceiros (como a API de modelos como GPT-4o ou Claude), documenta como você configurou e está usando esse modelo, não como o modelo base foi treinado.
Crie um mecanismo de contestação. Para decisões automatizadas com impacto em pessoas, o projeto exige que haja uma forma de a pessoa afetada pedir explicação e contestar. Em termos práticos, isso pode ser tão simples quanto um fluxo de suporte dedicado para esse tipo de solicitação, com um responsável humano designado para revisão.
Nomeie um responsável interno. Não precisa ser um cargo formal ainda, mas alguém precisa ser o ponto focal de conformidade de IA na empresa. Em startups pequenas, é comum o CTO acumular isso. O importante é que alguém saiba o que a lei exige e monitore o status de conformidade.
Fazer isso agora serve para dois propósitos. O primeiro é óbvio: você estará pronto quando a lei entrar em vigor. O segundo é menos óbvio, mas igualmente importante: investidores e clientes corporativos já começaram a perguntar sobre governança de IA. Ter respostas sólidas para essas perguntas hoje é uma vantagem competitiva real, como sinaliza o movimento crescente de investidores e clientes corporativos que já incluem critérios de governança de IA em suas avaliações. Para entender como colocar valor nessa preparação, veja como medir o ROI de IA na sua empresa.
O que observar nos próximos meses
O primeiro semestre de 2026 vai ser decisivo. A Comissão Especial da Câmara ainda está conduzindo audiências públicas sobre temas como impacto em PMEs e uso de IA no mercado de trabalho. O relator deve apresentar um parecer com possíveis ajustes ao texto vindo do Senado. Depois disso, votação em plenário.
Três variáveis vão determinar o resultado:
A primeira é o calendário político. Com eleições em outubro, a janela legislativa efetiva se fecha em julho. O que não for aprovado no primeiro semestre muito provavelmente espera 2027.
A segunda é o lobby de grandes techs. Empresas como Google, Meta e Microsoft têm interesses claros em suavizar obrigações, especialmente as relacionadas a transparência algorítmica. A versão final pode ter diferenças importantes em relação ao texto atual.
A terceira é o alinhamento dentro do próprio governo Lula. O projeto envolve múltiplos ministérios com visões diferentes sobre o equilíbrio entre inovação e regulação, o que historicamente tem gerado tensões na condução do texto.
Vale acompanhar também propostas legislativas que tramitam em paralelo e focam na regulação de plataformas digitais de grande porte, com possível envolvimento do CADE. Os dois projetos se cruzam em várias pontas e podem ser articulados numa agenda regulatória mais ampla.
Conclusão
O Marco Legal da IA no Brasil está chegando, com data ainda incerta, mas direção clara. O modelo baseado em risco vai exigir que empresas que usam IA para tomar decisões sobre pessoas, sejam funcionários, clientes ou beneficiários de serviços, invistam em documentação, auditoria e transparência.
Para founders, a mensagem prática é direta: não espere a lei ser sancionada para começar. Mapeie seus sistemas agora, identifique quais se enquadram em alto risco, e comece a construir a documentação mínima. Isso protege a empresa juridicamente, fortalece a credibilidade com clientes e investidores, e, se feito bem, não demanda um investimento alto.
O risco real não é a multa da ANPD. É chegar a uma rodada de investimento ou a um contrato corporativo sem conseguir responder perguntas básicas sobre como sua IA funciona e quem é responsável quando ela erra.
Se você quiser partir de uma base sólida, leia o nosso guia completo para implementar IA na empresa, que cobre tanto a parte técnica quanto as decisões de governança que qualquer empresa séria precisa tomar antes de escalar o uso de IA.
