Existe um padrão que se repete toda vez que uma regulação importante está prestes a ser aprovada no Brasil. A maioria das empresas descobre o que mudou depois que mudou.
Foi assim com o Marco Civil da Internet. Foi assim com a LGPD. E está sendo assim com o Marco Legal da Inteligência Artificial.
A diferença desta vez é que o impacto potencial é muito mais amplo. O PL 2338/2023 afeta qualquer empresa que use IA em decisões que impactem pessoas. E essa não é uma categoria pequena. Inclui chatbots de atendimento, sistemas de crédito, ferramentas de triagem de currículos, algoritmos de precificação, diagnóstico por imagem e qualquer automação que interfira em direitos ou oportunidades de alguém.
Se a sua empresa usa IA, este blog é sobre você.
O que é o Marco Legal da IA e onde está o processo agora?
O PL 2338/2023 é o principal projeto de lei que estabelece regras para o desenvolvimento, fornecimento e uso de sistemas de inteligência artificial no Brasil. Ele foi aprovado por unanimidade no Senado Federal em dezembro de 2024 e tramita na Câmara dos Deputados desde março de 2025, onde uma Comissão Especial analisa o texto.
A expectativa de votação final é para 2026. Como o texto deve sofrer alterações na Câmara, ele retornará ao Senado para nova análise antes da sanção presidencial. O processo pode se estender ao longo do ano, especialmente em contexto eleitoral. Mas a direção está dada: a IA será regulada no Brasil, e as empresas que começarem a se preparar agora vão chegar à entrada em vigor com vantagem operacional.
Para dimensionar o que está em jogo: a LGPD levou de 18 a 24 meses entre a aprovação e a vigência plena. Se o Marco Legal da IA seguir trajetória parecida, o prazo de adequação pode ser mais curto do que parece.
O modelo que inspirou o texto brasileiro
O PL 2338/2023 se inspira no AI Act europeu, a legislação da União Europeia aprovada em 2024 que se tornou referência global para a regulação da inteligência artificial. O modelo central de ambos é o mesmo: a intensidade da regulação varia conforme o potencial de dano do sistema de IA, não conforme o setor ou o tamanho da empresa.
Isso significa que a pergunta relevante para sua empresa não é "somos grandes o suficiente para sermos afetados?". A pergunta certa é "qual é o nível de risco dos sistemas de IA que operamos?".
As três categorias de risco que definem tudo
O PL divide os sistemas de IA em três categorias. Em qual delas a sua empresa se encaixa determina o volume de obrigações que ela terá.
Risco excessivo: sistemas proibidos. Algumas aplicações de IA simplesmente não poderão existir no Brasil após a aprovação da lei. Estão nessa categoria sistemas que usam técnicas subliminares para manipular comportamentos, que exploram vulnerabilidades de grupos específicos como crianças e idosos, e ferramentas de social scoring governamental, ou seja, a classificação de cidadãos pelo Estado com base em comportamento social. Se a sua empresa desenvolve ou planeja desenvolver algo nessa linha, o sinal é vermelho.
Risco alto: regulados com obrigações rigorosas. Essa é a categoria que deve acender o maior alerta para a maioria das empresas. São considerados de alto risco, entre outros, sistemas usados em triagem e avaliação de candidatos a emprego, análise de capacidade de endividamento e crédito, sistemas biométricos de identificação, gestão de infraestruturas críticas, diagnóstico médico e aplicações em educação e formação profissional.
Para quem opera nessas áreas, as obrigações incluem transparência sobre o funcionamento do sistema, rastreabilidade das decisões automatizadas, avaliação de impacto algorítmico, supervisão humana obrigatória sobre decisões de alto impacto e direito do usuário de solicitar revisão humana de qualquer decisão que o afete.
Risco baixo ou residual: regime mais leve. A maioria das aplicações de IA vai se enquadrar aqui. O projeto não proíbe nem regula de forma pesada esse grupo, mas ainda exige transparência mínima: o usuário precisa saber quando está interagindo com um sistema de IA, especialmente em chatbots e assistentes virtuais.
As multas que estão em jogo
As sanções previstas no PL seguem a lógica da LGPD: multas de até R$ 50 milhões por infração ou até 2% do faturamento da empresa, o que for maior, além da possibilidade de suspensão parcial ou total das atividades relacionadas a IA.
A fiscalização ficará a cargo da ANPD e de reguladores setoriais específicos. Isso significa que empresas de saúde, finanças e educação, por exemplo, terão dupla camada de fiscalização: o regulador do setor mais a autoridade nacional de IA.
Para colocar em perspectiva: a LGPD completou a transição para fiscalização efetiva e já aplicou multas reais no Brasil. O padrão que se formou lá tende a se repetir aqui, com um detalhe importante: o escopo de impacto do Marco Legal da IA é muito maior do que o da proteção de dados.
O que sua empresa precisa fazer agora, antes da aprovação
Esperar a lei ser aprovada para começar a se adequar é exatamente o erro que aconteceu com a LGPD. Muitas empresas entraram em modo de corrida quando a fiscalização já estava ativa. O resultado foi adequação cara, apressada e incompleta.
Com o Marco Legal da IA ainda em tramitação, há uma janela de tempo que pode e deve ser usada de forma estratégica.
Mapeie todos os sistemas de IA em operação. Quais ferramentas usam IA? Quais processos têm decisões automatizadas? Onde há algoritmos operando sem supervisão humana direta? Esse inventário é o ponto de partida obrigatório.
Classifique por nível de risco. Com o inventário em mãos, avalie cada sistema à luz das categorias do PL. Quais se enquadram como alto risco? Esses precisam de atenção prioritária.
Revise contratos com fornecedores de IA. O projeto prevê responsabilidade solidária entre quem desenvolve e quem opera sistemas de IA. Isso significa que contratar uma plataforma de IA via API não isenta a sua empresa de responsabilidade por decisões que ela tome. Os contratos precisam deixar claro quem responde pelo quê.
Estruture governança de IA. Documentação, registro de decisões automatizadas, processos de revisão humana e políticas internas de uso responsável de IA não são apenas exigências legais futuras. São práticas que reduzem risco operacional hoje.
Treine as equipes. A adequação ao Marco Legal da IA não é um projeto de TI nem de jurídico. É um projeto transversal que envolve todos que tomam decisões com apoio de sistemas automatizados.
O que muda especificamente para startups e PMEs
Um dos pontos mais debatidos do PL é o risco de impacto desproporcional sobre pequenas empresas. Entidades como a ABIACOM alertaram ao Congresso que a redação atual pode responsabilizar um pequeno varejista que apenas usa uma ferramenta de IA contratada pelos mesmos critérios aplicados à empresa que desenvolveu a tecnologia.
Esse debate ainda está aberto. A Câmara deve trabalhar exatamente nesses pontos antes de votar o texto final. Mas independentemente de como o texto for ajustado, startups e PMEs que usam IA em processos que afetam clientes, como crédito, atendimento automatizado, precificação dinâmica ou recrutamento, precisarão de algum nível de adequação.
O ponto positivo é que o ecossistema de inovação está se movendo para ajudar nessa transição. Hubs, aceleradoras e venture builders com expertise em tecnologia e conformidade regulatória são recursos naturais para empresas que precisam se adequar sem travar a operação.
Regulação não é o fim da inovação. É a maturidade dela
A tentação de ver o Marco Legal da IA como uma ameaça à inovação é compreensível, mas equivocada. Regulação bem estruturada cria previsibilidade jurídica, aumenta a confiança de investidores, protege consumidores e diferencia empresas que operam de forma responsável das que operam de forma irresponsável.
O histórico da LGPD no Brasil mostra esse caminho: após um período inicial de resistência, as empresas que se adequaram corretamente ganharam vantagem competitiva real em contratos, parcerias e captação de investimento.
O mesmo padrão vai se repetir com a IA. E a janela para estar à frente está aberta agora.
Se você quer entender em que estágio de maturidade tecnológica e de governança de IA a sua empresa se encontra hoje, o Diagnóstico de Maturidade em Inovação do Ideas Hub foi desenvolvido para dar exatamente essa clareza. Em poucos minutos, você sabe onde está e o que precisa construir para chegar onde precisa estar.
29/5/26
O Que É Maturidade em Inovação e Como Saber em Que Estágio a Sua Empresa Está Agora
Maturidade em inovação não é sobre ter as melhores ideias. É sobre estrutura, processo e execução. Descubra os estágios, como identificar em qual a sua empresa está e por onde avançar.
28/5/26
Low-Code, No-Code e IA Generativa: Como Pequenas e Médias Empresas Estão Desenvolvendo Tecnologia Sem Ter um Time de TI
70% das novas aplicações corporativas serão construídas com low-code ou no-code em 2026. Entenda como PMEs brasileiras estão criando tecnologia sem depender de um time de TI e por onde começar.
27/5/26
Venture Builder, Aceleradora ou Incubadora: Qual é a Diferença Real e Qual Faz Sentido Para Você em 2026
Venture builder, aceleradora e incubadora não são a mesma coisa. Entenda as diferenças reais entre os três modelos e descubra qual faz mais sentido para o estágio do seu negócio em 2026.