Vertix
Voltar para o Blog
regulação de IAgovernança de IAcompliance

Marco Legal da IA no Brasil: o que muda na sua empresa

PL 2338 avança no Congresso. Entenda o que o marco legal da inteligência artificial significa na prática para operações, LGPD e governança de IA.

03 de junho de 20267 min de leituraEquipe Vertix
Marco Legal da IA no Brasil: o que muda na sua empresa

O marco legal da inteligência artificial no Brasil, consolidado no PL 2338, está em fase avançada de tramitação no Congresso Nacional e deve ir a plenário em 2025. Para empresas que já operam com IA — em atendimento automatizado, análise de crédito, triagem de dados ou processos industriais — a pergunta não é "se" a regulação chega, mas "quando" e com qual impacto direto na operação. Preparar-se agora reduz retrabalho, protege de passivos futuros e transforma compliance em diferencial competitivo.

O que é o PL 2338 e onde ele está agora

O PL 2338 é o principal projeto de lei brasileiro que estabelece um regime jurídico para o desenvolvimento e uso de sistemas de inteligência artificial. Aprovado em comissão no Senado Federal, o projeto ganhou tração significativa em 2025: o presidente da Câmara dos Deputados, Hugo Motta, declarou publicamente, durante evento em Lisboa, que a votação em plenário ocorreria ainda em junho. O setor produtivo — incluindo entidades como a Fiesp — tem acompanhado de perto as discussões, buscando garantir que a regulação seja eficiente sem travar a inovação.

O relator do projeto defende o conceito de "lei viva": uma norma que se adapta ao ritmo da tecnologia, com mecanismos de revisão periódica em vez de regras estáticas que envelhecem antes de entrar em vigor. Esse desenho importa para empresas porque significa que a conformidade não será um evento único, mas um processo contínuo de adequação.

O que a regulação de IA exige na prática operacional

O PL 2338 adota uma abordagem baseada em risco. Quanto maior o impacto potencial de um sistema de IA sobre pessoas, mais obrigações recaem sobre quem o desenvolve ou implanta. Na prática, isso se traduz em quatro exigências centrais:

  • Transparência: usuários e pessoas afetadas por decisões automatizadas têm direito de saber que estão interagindo com IA e de entender a lógica geral da decisão.
  • Avaliação de impacto: sistemas classificados como de alto risco precisam passar por avaliação formal antes de entrar em operação — similar ao DPIA já exigido pela LGPD para dados sensíveis.
  • Responsabilidade rastreável: a empresa que implanta o sistema responde pelos resultados, mesmo que use tecnologia de terceiros. Contratar uma plataforma de IA não transfere a responsabilidade.
  • Supervisão humana: em contextos críticos, deve haver mecanismo real de revisão humana sobre as decisões automatizadas — não apenas um botão de contestação no rodapé.

Para operações mid-market, isso significa revisar contratos com fornecedores de tecnologia, mapear quais sistemas tomam ou influenciam decisões sobre pessoas e documentar os critérios usados por esses sistemas.

LGPD e IA: onde as obrigações se sobrepõem

A LGPD e IA não são mundos separados — são camadas sobrepostas de obrigação. A LGPD já exige, no artigo 20, o direito do titular de solicitar revisão de decisões tomadas exclusivamente por meios automatizados. O marco legal da IA aprofunda essa exigência, adicionando requisitos de explicabilidade algorítmica e avaliação de risco sistemática.

Quem já tem maturidade em LGPD — mapeamento de dados, base legal definida, DPO atuante — parte na frente. Mas há lacunas que a LGPD não cobre e o marco legal cobrirá:

  • Documentação técnica dos modelos utilizados (arquitetura, dados de treino, métricas de desempenho).
  • Registro de decisões automatizadas com impacto relevante sobre pessoas.
  • Plano de resposta a falhas algorítmicas — não apenas a violações de dados.

Empresas que tratam a LGPD como burocracia cumprida uma vez e esquecida terão dificuldade maior. Compliance de IA exige processo vivo, não documento arquivado. Saiba mais sobre como a IA aplicada a negócios muda a equação de risco operacional.

Governança de IA: o que sua empresa precisa estruturar antes da lei entrar em vigor

Governança de IA é o conjunto de políticas, processos e controles que garantem que sistemas de IA operem de forma transparente, auditável e alinhada à tolerância de risco da empresa. Não é um projeto de TI — é uma decisão de gestão.

Os blocos essenciais de uma estrutura mínima de governança de IA para empresas mid-market:

  1. Inventário de sistemas de IA: liste todos os sistemas que tomam ou influenciam decisões — incluindo ferramentas SaaS com componentes de IA embutidos. Muitas empresas subestimam o número.
  2. Classificação de risco: para cada sistema, avalie o impacto potencial sobre pessoas (clientes, colaboradores, parceiros). Sistemas de alto risco exigem controles mais robustos.
  3. Responsável designado: defina quem responde internamente pela conformidade de IA. Pode ser o DPO existente, um comitê ou um papel novo — mas precisa ser alguém com autoridade real.
  4. Política de uso aceitável: regras claras sobre o que pode e o que não pode ser decidido por IA sem revisão humana.
  5. Monitoramento contínuo: modelos de IA degradam com o tempo. Um sistema que funcionava bem há seis meses pode estar produzindo resultados enviesados hoje. Monitoramento não é opcional.

Estruturar isso antes da lei entrar em vigor reduz retrabalho e evita a corrida para adequação que invariavelmente gera custo alto e solução superficial.

Setores mais impactados: saúde, e-commerce, indústria e serviços B2B

O impacto da regulação de IA no Brasil não será uniforme. Alguns setores concentram casos de uso de alto risco e precisam de atenção prioritária:

Saúde e clínicas

Sistemas de triagem, apoio diagnóstico, gestão de prontuários com IA e qualquer ferramenta que influencie decisões clínicas entram na categoria de alto risco. A combinação de dados sensíveis de saúde com decisões automatizadas cria a maior sobreposição entre LGPD e marco legal da IA. Clínicas e operadoras de saúde precisam revisar toda a cadeia de ferramentas digitais.

E-commerce

Motores de recomendação, precificação dinâmica, sistemas de detecção de fraude e chatbots de atendimento são onipresentes no varejo digital. A maioria opera de forma invisível para o consumidor. Transparência sobre o uso de IA e mecanismo de contestação de decisões automatizadas — como bloqueio de conta ou recusa de crédito — serão exigidos.

Indústria

Automação de processos, manutenção preditiva e controle de qualidade por visão computacional têm risco operacional, não necessariamente sobre pessoas. Mas sistemas de gestão de pessoas, avaliação de desempenho automatizada e seleção de fornecedores com IA entram no escopo da regulação.

Serviços B2B

Análise de crédito, scoring de clientes, automação de propostas e contratos com cláusulas geradas por IA são pontos de atenção. Em serviços B2B, o impacto recai sobre empresas, não indivíduos — mas a regulação brasileira tende a proteger também pessoas jurídicas de menor porte em relações assimétricas.

Como se preparar sem paralisar a operação

A armadilha mais comum é esperar a lei ser promulgada para começar. Quando isso acontece, a adequação vira emergência — cara, superficial e com risco de falhas. A outra armadilha é paralisar iniciativas de IA por medo regulatório antes de entender o que de fato será exigido.

O caminho equilibrado tem três movimentos:

  1. Diagnóstico agora: mapeie o que você usa, onde há risco e o que falta documentar. Sem inventário, não há governança.
  2. Adequação progressiva: comece pelos sistemas de maior risco. Não precisa resolver tudo de uma vez — precisa ter um plano com prioridades claras e responsáveis definidos.
  3. Cultura de conformidade contínua: treine as equipes que tomam decisões com apoio de IA. O problema mais frequente não é técnico — é que as pessoas não sabem que estão usando IA ou não entendem os limites do sistema.

Empresas que encararem a regulação como alavanca de maturidade operacional sairão na frente. Quem já opera com transparência, documentação e supervisão humana real não precisará mudar muito. Quem opera no improviso terá custo alto de adequação.

Perguntas frequentes

O PL 2338 já é lei?

Ainda não. O projeto tramita no Congresso e, conforme declarações públicas recentes, há expectativa de votação em plenário em 2025. Acompanhe o andamento oficial no site do Senado Federal.

Empresas pequenas e médias também serão afetadas?

Sim, especialmente as que usam IA em decisões que afetam pessoas — crédito, saúde, contratação, atendimento automatizado. O porte pode influenciar o nível de exigência, mas não isenta de responsabilidade.

Qual a relação entre o marco legal da IA e a LGPD?

As duas normas se complementam. A LGPD já regula o tratamento de dados pessoais; o marco legal da inteligência artificial adiciona obrigações sobre decisões automatizadas, transparência algorítmica e avaliação de risco. Quem já tem maturidade em LGPD leva vantagem.

O que é governança de IA e por que estruturá-la agora?

Governança de IA é o conjunto de políticas, processos e controles que garantem que sistemas de IA operem de forma transparente, auditável e alinhada a riscos. Estruturar isso antes da lei reduz retrabalho e protege a empresa de passivos futuros.

Quer saber se a sua operação está pronta para a regulação de IA? Faça o diagnóstico Vertix e saia com um mapa claro do que ajustar — sem ruído técnico, sem promessa vaga. Só o que você precisa saber para decidir.

Próximo passo

Quer aplicar isso no seu negócio?

Transformamos ideias em soluções digitais inovadoras. Seu parceiro estratégico em tecnologia e desenvolvimento.

Navegação

Recursos

© 2026 Vertix. Todos os direitos reservados.