Oficina Martech
Tecnologia

Marco Regulatório de IA no Brasil: O Que Muda para Empresas

O marco regulatório de IA no Brasil avança na Câmara. Entenda a classificação de risco, as exigências de transparência e o checklist de adequação para empresas que já usam IA.

20 de março de 20269 min de leitura

Resumo Inteligente

O PL 2338/2023 classifica sistemas de IA por nível de risco e exige transparência em chatbots. Multas podem chegar a 2% do faturamento ou R$ 50 milhões.

Principais Insights

  • 1.PL 2338 classifica IA em 4 níveis de risco
  • 2.Chatbots devem se identificar como IA
  • 3.15 dias para explicar decisões de IA
  • 4.LGPD não substitui exigências específicas do marco
  • 5.ANPD posicionada como reguladora de IA

O marco regulatório de IA no Brasil saiu do campo da especulação. O PL 2338/2023 foi aprovado pelo Senado Federal em dezembro de 2024 e tramita na Câmara dos Deputados, onde uma Comissão Especial analisa o texto. Enquanto isso, a Autoridade Nacional de Proteção de Dados (ANPD) já atua como reguladora e publicou seu mapa de prioridades para 2026-2027.

Para empresas que usam IA em atendimento, marketing ou vendas, o sinal é claro: o ambiente regulatório mudou. Não é questão de "se" as regras vão valer — é questão de quando e com que nível de exigência.

Este artigo explica o status atual do PL 2338, como funciona a classificação de risco, quais obrigações práticas surgem para operações com chatbots e agentes de IA, e o que fazer agora para não ser surpreendido.

Status Atual: O Caminho do PL 2338

O PL 2338/2023 foi elaborado por um grupo de senadores e conta com a participação ativa da ANPD desde o processo de consulta pública. O Senado aprovou o texto em 10 de dezembro de 2024. Em seguida, a proposta foi enviada à Câmara dos Deputados, onde uma Comissão Especial foi constituída para analisar o texto e produzir um relatório.

A votação final na Câmara estava prevista para o final de 2025, mas foi adiada para 2026. Os pontos que ainda geram divergência incluem direitos autorais sobre conteúdo gerado por IA, exceções para sistemas de alto risco e responsabilidade de pequenas empresas que usam ferramentas de terceiros.

Paralelamente, o Executivo enviou ao Congresso, em dezembro de 2025, um projeto de lei complementar que corrige um problema de iniciativa constitucional do PL 2338: a designação de competências específicas à ANPD havia sido feita pelo Senado, sendo que essa é uma atribuição exclusiva do Poder Executivo. O governo concorda com o papel da ANPD, apenas formalizou o processo pelo caminho correto.

Em termos práticos: o framework regulatório está se consolidando, a ANPD já exerce fiscalização com base na LGPD, e o texto do PL 2338 deve ser aprovado com ajustes pontuais ao longo de 2026.

Classificação de Risco: Como a Lei Categoriza Sistemas de IA

O PL 2338 adota uma abordagem baseada em risco, similar ao AI Act europeu. Os sistemas de IA são divididos em quatro categorias:

Risco Inaceitável (Vedado)

Práticas proibidas sem exceção. Incluem sistemas que usam técnicas subliminares para manipular comportamento, que exploram vulnerabilidades de grupos específicos como crianças e idosos, e sistemas de pontuação social usados pelo poder público para classificar cidadãos.

Alto Risco

Sistemas com potencial de impacto significativo sobre direitos fundamentais. O PL lista doze categorias, entre elas:

  • Ferramentas de triagem e avaliação de candidatos em processos seletivos
  • Sistemas de classificação de crédito e scoring financeiro
  • Diagnósticos médicos e decisões clínicas assistidas por IA
  • Sistemas biométricos de identificação e reconhecimento de emoções
  • IA usada em educação para avaliar desempenho de alunos

Sistemas de alto risco exigem documentação técnica detalhada, avaliação de impacto algorítmico, supervisão humana obrigatória e registro junto à autoridade competente.

Risco Limitado

Sistemas que interagem com o público, mas sem tomar decisões de alto impacto. Aqui é onde a maioria dos chatbots e agentes de atendimento se enquadra. As exigências principais são de transparência: o usuário precisa saber que está interagindo com um sistema de IA.

Risco Mínimo

Ferramentas de produção de conteúdo, filtros de spam, sistemas de recomendação de produtos sem impacto crítico. As exigências são mínimas, mas boas práticas de governança são recomendadas.

O Que Muda na Prática para Empresas

Transparência em Chatbots e Agentes de IA

Esta é a mudança mais direta para operações de atendimento e vendas. O PL 2338 exige que qualquer sistema de IA que interaja com pessoas se identifique como tal. Não há margem para ambiguidade.

Na prática: um chatbot de atendimento no WhatsApp, um agente de vendas automatizado no Instagram, um assistente de qualificação de leads — todos precisam informar ao usuário, de forma clara, que se trata de um sistema automatizado.

A identificação precisa acontecer no início da interação. Não adianta colocar uma nota de rodapé ou um aviso enterrado nas políticas de privacidade.

Isso não elimina os benefícios da automação. Significa que a automação precisa operar com honestidade sobre sua natureza. Empresas que já fazem isso por design — identificando o agente no primeiro contato — não precisam mudar nada. As que não fazem, precisam adaptar os fluxos.

Consentimento e LGPD

A interseção entre LGPD e regulamentação de IA é um dos pontos mais sensíveis do PL 2338. Sistemas de IA que processam dados pessoais já estão sujeitos à LGPD — isso não é novidade. O que muda é o nível de exigência sobre como o consentimento é documentado e como os dados são usados especificamente para treinar ou alimentar modelos.

A ANPD, em seu mapa de prioridades para 2026-2027, listou quatro critérios de avaliação para sistemas de IA que envolvem dados pessoais:

  • Transparência: o titular sabe que está interagindo com IA?
  • Vieses: há discriminação de grupos protegidos nos outputs do sistema?
  • Segurança: os dados de treinamento estão devidamente protegidos?
  • Direitos: decisões automatizadas respeitam o Art. 20 da LGPD?

O Art. 20 da LGPD já garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado. O PL 2338 reforça e especifica esse direito: a empresa tem até 15 dias para explicar, de forma compreensível, como o sistema chegou a uma determinada decisão.

Para operações de marketing com segmentação automatizada ou score de leads, isso representa uma mudança concreta no processo de governança.

Responsabilidade por Decisões Automatizadas

Uma das discussões mais acaloradas em torno do PL 2338 envolve a cadeia de responsabilidade. O texto atual distingue os agentes envolvidos:

  • Desenvolvedor: quem cria o sistema de IA
  • Distribuidor: quem disponibiliza o sistema no mercado
  • Adotante: quem usa o sistema na operação de negócio

A empresa que contrata uma ferramenta de IA e usa em seus processos é um adotante. A preocupação de associações de pequenas empresas é que o texto atual pode responsabilizar o adotante por falhas que originaram no sistema do desenvolvedor — algo que vai além do seu controle.

Esse ponto está em discussão na Câmara. Mas independente de como o texto final tratar a responsabilidade, a lógica de due diligence vale agora: quem adota uma ferramenta de IA precisa entender o que ela faz, quais dados ela processa, e como ela toma decisões que afetam seus clientes.

Checklist de Adequação: 8 Passos Práticos

A adequação ao marco regulatório de IA não é um projeto de um trimestre. Mas as bases podem ser construídas agora, antes da lei entrar em vigor. Empresas que já cumprem a LGPD têm vantagem — a estrutura de governança de dados existe e pode ser expandida.

1. Inventarie todos os sistemas de IA em uso Liste ferramentas, plataformas e automações que usam IA no seu negócio. Inclua chatbots de atendimento, ferramentas de segmentação, modelos de score de leads, assistentes de redação e qualquer sistema que tome ou recomende decisões automaticamente.

2. Classifique cada sistema pelo nível de risco Use as categorias do PL 2338 como referência. A maioria dos chatbots de atendimento se enquadra em risco limitado. Sistemas de score de crédito ou avaliação de candidatos podem estar em alto risco.

3. Audite os fluxos de consentimento existentes Verifique se os termos de uso e políticas de privacidade cobrem o uso de IA. O usuário sabe que um sistema automatizado pode interagir com ele? Sabe que seus dados são usados por modelos de IA?

4. Adicione identificação de IA nos fluxos de atendimento Ajuste scripts e primeiras mensagens de chatbots para deixar claro que se trata de um sistema automatizado. Isso é exigência direta do PL 2338 para sistemas de risco limitado e acima.

5. Documente o funcionamento dos sistemas Para cada sistema de IA em uso, tenha documentação básica: finalidade, dados que processa, quem é o desenvolvedor, como as decisões são geradas. Isso é o mínimo para responder a uma investigação regulatória.

6. Estabeleça um processo de resposta ao titular Quando um cliente pedir explicação sobre uma decisão tomada por IA — por que foi recusado, por que recebeu determinada oferta, por que foi classificado em determinado segmento — a empresa precisa ter um processo para responder em até 15 dias.

7. Revise contratos com fornecedores de IA Inclua cláusulas que exijam do fornecedor transparência sobre o funcionamento do sistema, notificação em caso de incidentes e conformidade com a regulamentação brasileira.

8. Designe um responsável interno Em empresas com operações significativas de IA, ter um ponto focal — mesmo que acumulando essa função com outros papéis — é essencial para coordenar a adequação e responder a eventos regulatórios.

Cronograma: Quando as Regras Entram em Vigor

O PL 2338 ainda não tem data de aprovação definitiva na Câmara. Os cenários mais prováveis:

Aprovação em 2026: O texto da Câmara pode manter as linhas gerais do Senado ou incluir ajustes significativos. Se houver mudanças substanciais, o projeto retorna ao Senado para nova votação.

Vacatio legis: O PL 2338, assim como a LGPD, deve prever um período de adaptação após a publicação — provavelmente de 12 a 24 meses para as exigências mais complexas.

ANPD já atua agora: Independente do PL 2338, a ANPD já tem competência para fiscalizar o uso de IA que envolva dados pessoais, com base na LGPD. O sandbox regulatório da agência, com três empresas em fase de testes desde fevereiro de 2026, vai gerar diretrizes que antecipam o que a lei vai exigir.

A postura de esperar a lei ser aprovada para começar a agir é arriscada. O custo de adequar processos de forma proativa é significativamente menor do que remediar problemas após uma investigação.

O Que Fazer Agora

O marco regulatório de IA no Brasil está em construção, mas sua direção é clara. Transparência, responsabilidade e governança não são mais atributos opcionais de uma operação que usa IA — estão se tornando requisitos legais.

Empresas que já investiram em compliance de dados saem na frente. Quem ainda não tem governança estruturada sobre como usa IA em marketing, atendimento e vendas está construindo passivo regulatório.

A questão não é só evitar multas. É entender que os usuários e clientes passam a ter direitos formais sobre sistemas que os afetam — e que responder a esses direitos bem é uma vantagem competitiva, não só uma obrigação.

Se você quer mapear como a regulamentação de IA impacta a operação específica do seu negócio e definir um plano de adequação, fale com um especialista da Oficina Martech.

FONTES E REFERÊNCIAS

  1. 1PL 2338/2023 — Senado Federal
  2. 2ANPD e regulação de IA 2026-2027
  3. 33 Pontos de Atenção PL 2338
  4. 4Senado aprova marco regulatório IA
  5. 5Regulamentação da IA no Brasil
  6. 6LGPD e IA: Tensões e Caminhos
  7. 7Agenda direitos digitais 2026

Receba insights toda semana

Marketing, automação e IA — direto no seu email.

1 email por semana. Sem spam.

Comentários