O PL 2338/23 estabelecerá novas obrigações legais para empresas brasileiras que desenvolvem ou utilizam sistemas de inteligência artificial, criando um framework de compliance que entrará em vigor entre 2025-2026. Empresas que usam IA para tomada de decisão, automação de processos ou interação com clientes precisarão implementar controles de governança, documentação e transparência algorítmica.
A tramitação do projeto no Congresso Nacional acompanha o movimento global de regulação da IA, especialmente após a aprovação do AI Act pela União Europeia em 2024. Para gestores brasileiros, isso significa que decisões sobre investimento em compliance devem ser tomadas agora, antes da vigência da lei, para evitar custos emergenciais e possíveis sanções.
O que é o PL 2338/23 e por que sua empresa precisa conhecê-lo
O Projeto de Lei 2338/23, apresentado ao Senado Federal em 2023, estabelece o marco legal brasileiro para inteligência artificial. O projeto cria regras específicas para desenvolvimento, comercialização e uso de sistemas de IA, indo além da proteção de dados da LGPD para regular algoritmos e processos decisórios automatizados.
A proposta divide sistemas de IA em categorias de risco e estabelece obrigações proporcionais. Empresas que utilizam IA para recrutamento, concessão de crédito, diagnósticos médicos ou segurança pública enfrentarão requisitos mais rígidos que aquelas usando chatbots básicos ou ferramentas de produtividade interna.
O projeto se baseia no modelo de regulação por risco adotado pelo AI Act europeu, mas incorpora especificidades do cenário brasileiro. A expectativa é que a versão final seja aprovada em 2025, com período de adequação de 12 a 24 meses para diferentes categorias de empresa.
Diferentemente da LGPD, que foca na proteção de dados pessoais, o PL 2338/23 regula o funcionamento dos algoritmos em si. Isso inclui transparência sobre como decisões são tomadas, auditabilidade dos sistemas e direitos específicos dos usuários afetados por decisões automatizadas.
Quem está sujeito à regulação: sua empresa se enquadra?
O PL 2338/23 aplica-se a empresas que desenvolvem, comercializam ou operam sistemas de IA que afetem pessoas físicas ou jurídicas no território brasileiro. Isso inclui desde startups de tecnologia até bancos, e-commerces, empresas de recursos humanos e prestadores de serviços públicos.
O critério determinante não é o tamanho da empresa, mas o tipo de sistema de IA utilizado e seu potencial impacto. Uma pequena fintech que usa IA para análise de crédito estará sujeita às mesmas obrigações básicas que um grande banco, embora os requisitos específicos variem conforme a classificação de risco.
Empresas que apenas consomem ferramentas de IA como usuárias finais (exemplo: usar ChatGPT para redação interna) geralmente não se enquadram na regulação. A lei foca em quem desenvolve sistemas próprios ou oferece soluções de IA como serviço para terceiros.
Critérios de classificação de risco
O projeto estabelece uma taxonomia de risco baseada no potencial de dano dos sistemas de IA. Sistemas de alto risco incluem aqueles usados em infraestrutura crítica, educação, emprego, serviços públicos essenciais, aplicação da lei e administração da justiça.
Sistemas de risco limitado abrangem ferramentas que interagem diretamente com pessoas (chatbots, assistentes virtuais) mas não tomam decisões críticas. Estes sistemas devem apenas informar aos usuários que estão interagindo com IA.
Sistemas de risco mínimo são ferramentas de produtividade interna, jogos ou aplicações que não afetam direitos fundamentais. Para estes, as obrigações são mínimas, focando apenas em práticas básicas de transparência.
Sistemas de alto risco vs baixo risco
| Categoria | Exemplos | Obrigações principais |
|---|---|---|
| Alto risco | Sistemas de crédito, recrutamento, diagnóstico médico, segurança | Avaliação de impacto, auditoria externa, registro na autoridade competente |
| Risco limitado | Chatbots de atendimento, assistentes virtuais | Informar ao usuário sobre uso de IA, transparência básica |
| Risco mínimo | Ferramentas internas, jogos, filtros de spam | Documentação básica, boas práticas de desenvolvimento |
A classificação determina não apenas as obrigações, mas também os custos de compliance. Sistemas de alto risco podem demandar investimentos significativos em auditoria e documentação, enquanto sistemas de risco mínimo requerem apenas ajustes pontuais nos processos internos.
Principais obrigações para empresas que usam IA
As obrigações do PL 2338/23 variam conforme a classificação de risco, mas algumas são transversais. Empresas precisarão designar um responsável interno pela governança de IA, manter registros detalhados dos sistemas utilizados e estabelecer canais para reclamações de usuários.
Para sistemas de IA agentes autônomos e ferramentas de alto risco, as obrigações incluem testes rigorosos antes da implementação, monitoramento contínuo de performance e capacidade de explicar decisões automatizadas quando solicitado pelos usuários.
A lei também estabelece requisitos de qualidade de dados, obrigando empresas a usar conjuntos de dados representativos e livres de viés discriminatório. Isso impacta especialmente empresas que desenvolvem modelos próprios ou fazem fine-tuning de modelos existentes.
Documentação e governança de dados
Empresas sujeitas ao PL 2338/23 devem manter documentação técnica detalhada de seus sistemas de IA, incluindo finalidade, funcionamento, dados utilizados e métricas de performance. Esta documentação deve estar disponível para auditoria pela autoridade regulatória.
A governança de dados exige processos formais para coleta, tratamento e validação de dados de treinamento. Empresas precisarão demonstrar que seus datasets são representativos da população-alvo e não perpetuam discriminação baseada em raça, gênero, idade ou outras características protegidas.
Para sistemas de alto risco, será obrigatório manter logs detalhados de todas as decisões automatizadas, permitindo rastreabilidade e auditoria posterior. Estes registros devem ser preservados por período mínimo de 5 anos.
Transparência e direitos dos usuários
O projeto estabelece o direito dos usuários de saber quando interagem com sistemas de IA e compreender como decisões automatizadas os afetam. Empresas devem fornecer informações claras sobre o funcionamento de seus algoritmos em linguagem acessível ao público leigo.
Usuários terão direito de contestar decisões automatizadas e solicitar revisão humana em casos específicos. Isso é especialmente relevante para sistemas de crédito, contratação e outras aplicações que impactem direitos fundamentais.
A transparência algorítmica não significa revelação de código-fonte ou segredos comerciais, mas sim explicação sobre critérios decisórios, variáveis consideradas e lógica geral do sistema. Empresas devem balancear transparência com proteção de propriedade intelectual.
Avaliação de impacto algorítmico
Sistemas de alto risco devem passar por avaliação de impacto algorítmico antes da implementação, processo similar à avaliação de impacto de proteção de dados da LGPD, mas focado em riscos específicos da IA como discriminação, precisão e transparência.
A avaliação deve identificar riscos potenciais, medidas de mitigação e métricas de monitoramento contínuo. Para sistemas críticos, pode ser necessária validação por auditoria externa independente, aumentando custos e tempo de implementação.
Empresas devem revisar estas avaliações periodicamente, especialmente quando houver mudanças significativas no sistema ou nos dados utilizados. A não realização ou atualização da avaliação pode resultar em multas significativas.
Prazos de adequação e entrada em vigor
O PL 2338/23 ainda está em tramitação no Congresso Nacional, com expectativa de aprovação em 2025. Após a sanção presidencial, haverá período de vacatio legis de 12 a 24 meses, dependendo da categoria do sistema de IA.
Sistemas de alto risco terão prazo de adequação mais longo (24 meses), reconhecendo a complexidade das mudanças necessárias. Sistemas de risco limitado e mínimo devem se adequar em 12 meses, prazo considerado suficiente para implementar controles básicos.
A estratégia recomendada é iniciar a adequação ainda em 2024, antecipando a aprovação da lei. Isso permite implementação gradual dos controles e reduz o risco de não conformidade quando a lei entrar em vigor.
Na minha experiência com compliance digital, empresas que antecipam regulações enfrentam menos custos e estresse operacional. O mercado também tende a valorizar empresas que demonstram maturidade em governança de IA antes mesmo da obrigação legal.
Multas e penalidades previstas no PL 2338/23
O projeto estabelece regime sancionatório progressivo, começando com advertências e orientações para infrações menores. Para violações graves ou reincidentes, as multas podem chegar a 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração (dados de mercado sobre projetos similares).
As penalidades mais severas aplicam-se a casos de discriminação algorítmica comprovada, uso de dados inadequados para treinamento ou operação de sistemas de alto risco sem as devidas autorizações. Em casos extremos, pode haver suspensão temporária das atividades.
O modelo sancionatório segue a lógica da LGPD, com foco na adequação voluntária e aplicação de multas apenas para casos de má-fé ou negligência grave. Empresas que demonstrarem esforços genuínos de compliance terão tratamento mais brando.
A autoridade regulatória ainda não foi definida no projeto, mas a tendência é que seja a ANPD (Autoridade Nacional de Proteção de Dados) ou uma nova agência específica para IA, seguindo o modelo europeu.
Checklist prático: 7 passos para adequar seu negócio digital
-
Mapeamento de sistemas: Identifique todos os sistemas de IA utilizados na empresa, incluindo ferramentas de terceiros e algoritmos próprios. Classifique cada sistema conforme critérios de risco do projeto.
-
Designação de responsável: Nomeie um Data Protection Officer ou responsável pela governança de IA, com conhecimento técnico e jurídico adequado para supervisionar compliance.
-
Auditoria de dados: Revise conjuntos de dados utilizados para treinamento e operação de modelos, identificando possíveis vieses ou inadequações. Implemente controles de qualidade de dados.
-
Documentação técnica: Crie documentação detalhada de cada sistema, incluindo finalidade, funcionamento, métricas de performance e medidas de segurança implementadas.
-
Processos de transparência: Desenvolva mecanismos para informar usuários sobre uso de IA e explicar decisões automatizadas quando solicitado. Crie canais para contestação e revisão.
-
Avaliação de impacto: Para sistemas de alto risco, conduza avaliação formal de impacto algorítmico, identificando riscos e medidas de mitigação necessárias.
-
Treinamento de equipes: Capacite desenvolvedores, analistas e gestores sobre requisitos legais e melhores práticas em IA responsável. Isso é fundamental para manter compliance operacional.
Diferenças entre PL 2338/23, LGPD e regulações internacionais
A LGPD (Lei 13.709/2018), vigente desde 2020, estabelece a base de proteção de dados pessoais no Brasil, mas não regula especificamente algoritmos de IA. O PL 2338/23 complementa a LGPD, criando regras específicas para sistemas automatizados de tomada de decisão.
Enquanto a LGPD foca na proteção de dados pessoais, o novo projeto regula o funcionamento dos algoritmos independentemente de processarem dados pessoais. Isso significa que sistemas de IA que trabalham apenas com dados públicos ou anonimizados também estarão sujeitos à nova regulação.
A abordagem brasileira segue o modelo de regulação por risco do AI Act europeu, mas com adaptações ao contexto nacional. A principal diferença é o foco maior em transparência e explicabilidade, reflexo da tradição jurídica brasileira de proteção aos direitos do consumidor.
| Aspecto | LGPD | PL 2338/23 | AI Act (UE) |
|---|---|---|---|
| Foco principal | Proteção de dados pessoais | Regulação de algoritmos | Segurança e direitos fundamentais |
| Escopo | Dados pessoais | Sistemas de IA em geral | Sistemas de IA de alto risco |
| Multa máxima | 2% do faturamento | 2% do faturamento | 7% do faturamento global |
Para empresas que já possuem compliance LGPD estruturado, a adequação ao PL 2338/23 será menos complexa. Muitos controles de governança de dados podem ser aproveitados, reduzindo custos de implementação.
Custos estimados de compliance para PMEs
A implementação de IA em pequenas empresas enfrentará custos adicionais de compliance que variam conforme o tipo de sistema utilizado. Dados de mercado indicam que implementação de compliance em IA pode custar entre R$ 50 mil e R$ 500 mil para empresas médias.
Para startups e PMEs com sistemas de risco limitado, os custos são menores: ajustes em interfaces de usuário para informar sobre uso de IA, treinamento básico de equipes e documentação simplificada podem ficar entre R$ 10 mil e R$ 30 mil.
Empresas com sistemas de alto risco enfrentam custos significativamente maiores: auditoria externa, desenvolvimento de sistemas de transparência, adequação de processos internos e contratação de especialistas pode superar R$ 200 mil no primeiro ano.
O investimento em compliance deve ser visto como custo de fazer negócios em mercado regulado. Empresas que postergam adequação enfrentam riscos de multa, suspensão de atividades e perda de competitividade no mercado.
Na minha análise, PMEs devem priorizar adequação básica imediata e planejar investimentos maiores conforme crescimento do negócio. Terceirização de auditoria e consultoria especializada pode ser mais econômica que estruturação interna completa.
Perguntas frequentes
O PL 2338/23 já está em vigor no Brasil?
Não, o projeto ainda está em tramitação no Congresso Nacional com expectativa de aprovação em 2025. Após sanção presidencial, haverá período de adequação de 12 a 24 meses dependendo do tipo de sistema de IA.
Pequenas empresas também precisam se adequar ao PL 2338/23?
Sim, o critério não é o tamanho da empresa, mas o tipo de sistema de IA utilizado. PMEs com sistemas de risco limitado têm obrigações menores, focadas em transparência básica e informação aos usuários.
Qual a diferença entre LGPD e PL 2338/23?
A LGPD regula proteção de dados pessoais, enquanto o PL 2338/23 regula funcionamento de algoritmos de IA. As leis são complementares: LGPD foca nos dados, PL 2338/23 foca nos sistemas automatizados de decisão.
Quanto custa implementar compliance de IA segundo o PL 2338/23?
Os custos variam entre R$ 10 mil (sistemas simples) e R$ 500 mil (sistemas de alto risco) no primeiro ano. Empresas médias devem orçar entre R$ 50 mil e R$ 200 mil para adequação completa.
Chatbots e ferramentas de IA generativa são regulados pelo PL 2338/23?
Sim, chatbots de atendimento são classificados como sistemas de risco limitado, exigindo transparência sobre uso de IA. Ferramentas internas de IA generativa geralmente são risco mínimo, com obrigações menores.