O Marco Legal da IA Tem Data Para Chegar. Prepare-se Agora.
Em 10 de dezembro de 2024, o Senado Federal aprovou o PL 2338/2023, o Marco Legal da Inteligência Artificial. O texto agora está na Câmara dos Deputados, declarado prioridade legislativa para 2026, sem data definida para a votação final. Essa combinação é o que merece ação. A substância já está madura o suficiente para planejar, e o calendário deixa uma janela para se preparar antes que as obrigações virem lei.
O projeto organiza suas exigências em torno do risco. Quanto maior o impacto potencial de um sistema sobre direitos, segurança e oportunidades das pessoas, mais pesada a carga regulatória que ele carrega. Uma ferramenta que organiza documentos internos não é tratada como uma que aprova um empréstimo. Esse único princípio de desenho determina quase tudo o que uma empresa vai dever quando o texto passar.
As Faixas de Risco Definem Suas Obrigações
Conforme o texto do projeto resumido pela Exame, o PL 2338 classifica sistemas de IA por nível de risco, numa estrutura que espelha o EU AI Act europeu. Sistemas com maior potencial de afetar direitos, segurança ou acesso a oportunidades caem numa categoria de alto risco que aciona os controles mais rígidos. Sistemas de menor impacto carregam exigências mais leves.
Isso importa porque muda a primeira pergunta que uma empresa precisa responder. Antes de debater qual modelo usar ou como integrá-lo, a pergunta relevante é o que o sistema decide e quem ele afeta. O peso regulatório segue a decisão, não a tecnologia.
O projeto nomeia seus exemplos de alto risco de forma explícita. Dois deles são comuns em quase toda empresa de médio porte: aprovar crédito e selecionar candidatos a vagas. Se você já roda IA em qualquer uma dessas funções, não está especulando sobre exposição futura. Já opera um sistema que o projeto classificaria como de alto risco. O caso da contratação é especialmente exposto, já que a triagem automatizada tende à monocultura algorítmica que as preocupações com discriminação do projeto foram escritas para capturar.
O Que Sistemas de Alto Risco Vão Dever
Segundo o texto aprovado no Senado, conforme resumido pela Exame, sistemas de alto risco carregam três obrigações que as empresas devem ler com atenção.
A primeira é transparência sobre decisões automatizadas. Dependendo da classificação, uma empresa pode ter de demonstrar como uma decisão foi tomada, quais dados a alimentaram e quais critérios moldaram o resultado. Um cliente com crédito negado ou um candidato eliminado na triagem pode ter direito a essa explicação. Um modelo que não consegue reconstruir o próprio raciocínio vira um passivo no momento em que alguém pergunta.
A segunda é uma avaliação de impacto antes do uso. Sistemas de alto risco exigem uma avaliação de impacto algorítmico antes de entrar em operação, identificando riscos de discriminação, falhas de segurança e violações de privacidade. Funciona como um portão pelo qual o sistema passa antes de tocar uma decisão real, e não como uma auditoria feita depois do incidente.
A terceira é responsabilidade compartilhada. O projeto distribui a responsabilidade entre o desenvolvedor que construiu o modelo, o fornecedor que o entrega e a empresa que o coloca em uso. “Só compramos a ferramenta” deixa de ser defesa. Quem implanta carrega obrigações independentemente de quem escreveu o código.
Os setores apontados como mais expostos são previsíveis quando se enxerga o padrão: RH, finanças, saúde, seguros e atendimento ao consumidor. São as funções onde decisões automatizadas caem diretamente sobre o acesso de uma pessoa a dinheiro, trabalho, cuidado ou cobertura. A saúde é um alerta à parte, dado o vácuo de governança já visível na IA da área.
Por Que Isso Lembra o EU AI Act, e Por Que Isso Ajuda
A estrutura de faixas de risco vem de um lugar conhecido. Ela toma emprestado diretamente do EU AI Act, que já classifica sistemas de risco mínimo a inaceitável e concentra obrigações na faixa de alto risco. Para empresas brasileiras, essa linhagem é uma vantagem prática.
Ela significa que o trabalho de preparação não é teórico. Empresas europeias passaram dois anos construindo exatamente os artefatos que o PL 2338 vai exigir: registros de decisão, avaliações de impacto, documentação de dados de treino e critérios, e linhas claras de responsabilidade entre fornecedor e operador. O roteiro existe. Uma empresa brasileira pode estudar o que funcionou naquela implementação em vez de inventar uma resposta do zero.
Significa também que operadores multinacionais talvez já tenham a maior parte do que precisam. Se o seu grupo montou conformidade com o AI Act para a operação europeia, a exigência brasileira parece menos um projeto novo e mais a extensão de um existente.
O Que Montar Agora
O projeto ainda está em tramitação, e é justamente por isso que este é o momento de agir. Construir governança sob pressão de prazo produz documentação frágil. Construí-la agora, com o texto na Câmara, produz controles que de fato funcionam. Comece por quatro passos.
Inventarie suas decisões de IA por impacto. Liste todo sistema que toca uma decisão sobre uma pessoa: crédito, contratação, sinistros, precificação, roteamento de atendimento. Ordene-os por quão diretamente afetam direitos ou oportunidades de alguém. Os de alto impacto são sua prioridade.
Torne explicáveis os sistemas de alto impacto. Para cada um, confirme que você consegue reconstruir como uma decisão foi tomada, quais dados foram usados e quais critérios se aplicaram. Se não consegue, essa é a primeira coisa a corrigir, porque transparência é a obrigação mais difícil de instalar depois.
Rode uma avaliação de impacto nos de alto risco. Documente os riscos de discriminação, falha de segurança e violação de privacidade antes de a lei exigir. A própria avaliação revela problemas enquanto ainda são baratos de corrigir.
Mapeie a responsabilidade entre seus fornecedores. Saiba quem construiu cada modelo, quem o fornece e o que seus contratos dizem sobre responsabilidade. Responsabilidade compartilhada significa que a exposição de quem implanta é real mesmo quando o código é de outro.
Uma empresa que faz esse trabalho agora não vai estar correndo atrás quando o PL 2338 passar. Já vai ter em mãos os registros de decisão, as avaliações e o mapa de responsabilidade que a lei pede. É a mesma trajetória que traçamos quando a governança começou a virar feature de produto: os controles que os reguladores acabam exigindo são os que os pioneiros já tratam como infraestrutura. O custo de construir governança antes do prazo é uma fração do custo de construí-la sob ele.
Fontes
- Exame. “Marco Legal da Inteligência Artificial (PL 2338): o que muda para empresas.” Junho de 2026.
- Câmara dos Deputados. “PL 2338/2023 - ficha de tramitação.” 2026.
- Senado Federal. “PL 2338/2023.” Dezembro de 2024.
A Victorino ajuda empresas a construir governança de IA pronta antes de a regulação chegar: contato@victorino.com.br | www.victorino.com.br
Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →
Se isso faz sentido, vamos conversar
Ajudamos empresas a implementar IA sem perder o controle.
Agendar uma Conversa