PL 2338: O Brasil Avança na Regulamentação de IA e o Que Muda para Empresas de Tecnologia
Em dezembro de 2024, o Senado brasileiro aprovou o PL 2338/2023, que estabelece o marco regulatório de IA no país. Em março de 2025, o texto foi encaminhado à Câmara dos Deputados. A lei adota abordagem baseada em risco, com três categorias: risco excessivo (proibido), alto risco (com requisitos rigorosos) e demais sistemas (obrigações gerais). Para desenvolvedores e operadores, os impactos são imediatos e estruturais.
Em 10 de dezembro de 2024, o Senado Federal brasileiro aprovou o Projeto de Lei 2338/2023, que estabelece as regras para o desenvolvimento e uso de inteligência artificial no Brasil. Em 17 de março de 2025, o texto foi encaminhado à Câmara dos Deputados para revisão. Para se tornar lei, precisa da aprovação da Câmara e da sanção presidencial.
A tramitação brasileira segue, com adaptações locais, a lógica do EU AI Act europeu: uma abordagem baseada em risco que não bloqueia a inovação de forma generalizada, mas impõe obrigações proporcionais à severidade dos impactos potenciais de cada sistema.
A Estrutura de Risco
Risco excessivo: sistemas proibidos por seu potencial de violar direitos fundamentais de forma irremediável. O texto incluiu, como exemplos, sistemas de pontuação social abrangente que afetam direitos civis, manipulação comportamental subliminar e exploração de vulnerabilidades de grupos específicos para comportamentos lesivos.
Alto risco: sistemas que afetam áreas sensíveis como infraestrutura crítica, educação, emprego, crédito, saúde, serviços essenciais, processos judiciais e aplicação da lei. Nesses casos, desenvolvedores e operadores precisam manter documentação detalhada de avaliação de risco, implementar supervisão humana, garantir explicabilidade das decisões automatizadas, estabelecer mecanismos de reporte de incidentes e cooperar com autoridades em auditorias.
Sistemas não classificados como alto risco: sujeitos a obrigações gerais de transparência, incluindo a obrigação de informar ao usuário que está interagindo com um sistema de IA quando isso não for evidente pelo contexto.
O Impacto para Empresas
Para desenvolvedores de IA, os requisitos incluem documentação de arquitetura, dados de treinamento, medidas de mitigação de viés e procedimentos de teste antes de cada implantação em uso de alto risco. Para operadores, a obrigação de supervisão humana pode exigir revisão de processos que hoje são inteiramente automatizados.
O impacto para startups é desproporcionalmente maior. Enquanto grandes corporações absorvem o custo de compliance como parte de operações regulatórias existentes, startups que desenvolvem IA para saúde, crédito ou emprego precisarão alocar recursos significativos para documentação e governança antes de escalar.
A Relevância Internacional
O Brasil é o maior mercado da América Latina e tem peso diplomático na construção de padrões internacionais de governança de IA. A lei brasileira, uma vez aprovada, servirá de referência para países da região que ainda não possuem legislação específica, incluindo Colômbia, Argentina e Chile. Para empresas com operações em múltiplos países da América Latina, isso significa que a conformidade com o marco brasileiro é um ponto de partida, não um teto.
A aprovação na Câmara deve ser monitorada de perto. Emendas podem alterar significativamente o escopo e os requisitos específicos do texto atual.