O PL 2338/2023 já passou pelo Senado e tramita na Câmara. A ANPD já fiscaliza IA via LGPD. Empresas que usam GenAI sem governança estruturada não estão esperando a lei — estão correndo um risco que já existe. Este artigo explica o que muda, o que está em vigor agora e o que sua empresa precisa fazer nos próximos 90 dias.
Enquanto você lê este artigo, analistas de TI em todo o Brasil estão respondendo ao mesmo tipo de ticket pela terceira vez hoje. Reset de senha. Lentidão no sistema. Acesso negado. Problemas que poderiam ser resolvidos automaticamente, mas que continuam consumindo horas de profissionais altamente qualificados. O resultado? 42,5% dos profissionais de TI brasileiros já apresentam burnout completo, segundo pesquisa da Telavita com 4.440 profissionais em 2025. Outros 38,1% relatam sintomas claros de esgotamento. Isso não é coincidência — é consequência de um modelo operacional que atingiu seu limite.
A regulação chegou antes que você percebesse
Muitos CTOs ainda tratam o compliance de IA como ‘coisa do futuro’ — uma regulação que virá um dia, quando a lei for aprovada, e que então exigirá adaptações. Essa percepção está errada em dois aspectos fundamentais.
Primeiro: o PL 2338/2023 já foi aprovado pelo Senado Federal em dezembro de 2024 e tramita na Câmara dos Deputados desde então, aguardando votação final. A previsão vigente é de aprovação ainda em 2026. Segundo: mesmo sem o marco legal sancionado, a ANPD já incluiu inteligência artificial entre seus quatro eixos prioritários de fiscalização para 2026-2027 — e usa a LGPD, especificamente o artigo 20, para responsabilizar empresas que tomam decisões automatizadas sobre pessoas sem transparência ou mecanismo de contestação.
Em outras palavras: se sua empresa usa IA hoje — para análise de crédito, triagem de currículos, atendimento automatizado, monitoramento de fraudes ou qualquer outra aplicação que afete pessoas — o risco regulatório já existe. A lei formal é apenas o próximo capítulo.
Dado
50% dos governos globais terão regulamentação de IA responsável até 2026 (Gartner). O Brasil está na vanguarda desse movimento — não na retaguarda.
O que muda com o PL 2338/2023: o que CTOs precisam entender
O PL 2338/2023 é frequentemente chamado de ‘AI Act brasileiro’ pela influência direta da regulação europeia — mas tem diferenças relevantes que moldam sua aplicação no contexto nacional.
1. Classificação por níveis de risco
O coração da lei é uma abordagem baseada em risco. Cada sistema de IA deve ser classificado em um de quatro níveis, e cada nível determina o conjunto de obrigações da empresa:
| Nível de Risco | O que se enquadra | Obrigações principais |
|---|---|---|
|
🔴 Risco Excessivo (Proibido) |
Vigilância biométrica em massa sem base legal; pontuação social; manipulação subliminar de comportamento. |
USO PROIBIDO — sujeito a sanção imediata. |
|
🟠 Alto Risco |
IA em saúde, infraestrutura crítica, decisões judiciais, crédito, recrutamento, transporte. |
Avaliação de impacto algorítmico obrigatória, auditoria periódica, supervisão humana, transparência total. |
|
🟡 Risco Limitado |
Chatbots, sistemas de recomendação, geração de conteúdo. |
Obrigação de identificar que o usuário está interagindo com IA
|
|
🟢 Baixo Risco |
Filtros de spam, sistemas de busca, automação administrativa simples. |
Boas práticas e autorregulação; sem obrigações pesadas. |
A implicação prática é imediata: antes de qualquer outra ação, sua empresa precisa saber exatamente quais sistemas de IA opera e em qual categoria cada um se encaixa. Sem esse inventário, é impossível dimensionar o esforço de compliance.
2. Proibições específicas que já devem orientar sua estratégia
O PL define como ‘risco excessivo’ — e portanto proibida — qualquer aplicação de IA que realize vigilância biométrica em massa sem base legal, classifique pessoas com base em comportamento social (score social), ou manipule comportamento de forma subliminar. Reconhecimento facial em espaços públicos para fins de segurança está em zona cinza — o texto atual prevê exceções que seguem sendo debatidas.
Para CTOs de empresas que utilizam sistemas biométricos, motores de scoring ou soluções de monitoramento comportamental, essa é uma área de atenção imediata, independentemente da aprovação final da lei.
3. A ANPD como coordenadora do sistema nacional de IA
Um ponto frequentemente subestimado: o Poder Executivo enviou ao Congresso, em dezembro de 2025, um projeto complementar que cria o Sistema Nacional de Inteligência Artificial (SIA) e posiciona formalmente a ANPD como sua coordenadora. Isso tem uma consequência prática direta: a autoridade que hoje já pode multar empresas por tratamento inadequado de dados pessoais passa a ter mandato explícito sobre IA.
A ANPD já atua. Em dezembro de 2025, publicou seu Mapa de Temas Prioritários 2026-2027 com quatro eixos — e IA ocupa um deles ao lado de direitos dos titulares, proteção de crianças no ambiente digital e tratamento de dados pelo poder público. O sandbox regulatório de IA da autoridade já está em fase de testes com empresas selecionadas.
Impacto prático: o que sua empresa precisa fazer
Avaliação de impacto algorítmico: a nova fronteira do compliance
Para sistemas classificados como alto risco, o PL 2338/2023 prevê a obrigação de realizar uma Avaliação de Impacto Algorítmico (AIA) — um documento que descreve o funcionamento do sistema, os dados utilizados, os riscos identificados e as medidas de mitigação adotadas. É o equivalente ao Relatório de Impacto à Proteção de Dados (RIPD) da LGPD, mas focado em IA.
Empresas que já têm maturidade em LGPD têm uma vantagem real aqui: os processos de mapeamento de dados, gestão de riscos e governança de privacidade são a base sobre a qual a governança de IA se constrói. Quem ainda não tem esses fundamentos em ordem enfrenta um esforço duplo.
Transparência algorítmica: o direito de saber por quê
O PL vai além do EU AI Act em pelo menos um ponto: exige transparência não apenas sobre como o sistema funciona em abstrato, mas sobre decisões específicas tomadas sobre um indivíduo. Um usuário que tenha crédito negado, currículo descartado ou benefício suspenso por sistema de IA tem o direito de saber por quê — e de contestar a decisão.
Para CTOs de fintechs, seguradoras, plataformas de e-commerce e qualquer empresa que tome decisões automatizadas sobre clientes, isso não é uma questão técnica futura. É uma questão de arquitetura que precisa ser desenhada agora.
Direitos autorais: a IA generativa tem uma conta a pagar
Um dos pontos mais inovadores do texto brasileiro — e um dos mais polêmicos — é o capítulo sobre direitos autorais. Empresas de tecnologia que treinam sistemas de IA com obras protegidas são obrigadas a informar quais conteúdos foram utilizados e, em casos de uso comercial, a remunerar os autores. Artistas, músicos, jornalistas e escritores têm o direito de vetar o uso de suas obras no treinamento de modelos.
Para empresas que desenvolvem ou utilizam modelos de linguagem de grande escala (LLMs) com dados proprietários ou abertos, esse ponto exige revisão do pipeline de treinamento e dos contratos com fornecedores de dados.
ATENÇÃO
Se você usa um LLM de terceiro (OpenAI, Google, Anthropic) para aplicações internas, a responsabilidade do compliance também recai sobre você como operador — não apenas sobre o fornecedor.
O caminho da conformidade: por que agir antes da lei ser sancionada
A LGPD já cria obrigações sobre IA hoje
Muitas empresas ignoram que o artigo 20 da LGPD — em vigor desde 2020 — já garante ao titular o direito de revisar decisões tomadas unicamente por meios automatizados que afetem seus interesses. A ANPD pode e já investiga casos de violação desse direito. Esperar o Marco Legal para começar a se adequar significa ignorar um risco que já está ativo.
50% dos governos globais já regulam ou estão prestes a regular IA
Dados do Gartner indicam que metade dos governos do mundo terá regulamentação de IA responsável em vigor até 2026. O Brasil faz parte desse movimento — e empresas que operam em múltiplas jurisdições precisam harmonizar suas práticas com um conjunto crescente de exigências locais. Construir governança de IA robusta agora significa construir uma vantagem competitiva, não apenas evitar multas.
Empresas que chegarem ao momento da sanção da lei com governança estruturada, inventário de sistemas de IA atualizado e processos de avaliação de risco em funcionamento terão meses de vantagem sobre concorrentes que decidiram esperar.
Chief AI Risk Officer: o novo cargo que você provavelmente vai precisar criar
O PL 2338/2023 prevê responsabilidade pessoal para desenvolvedores e operadores de sistemas de IA. Isso significa que alguém dentro da sua organização precisa ser formalmente responsável por esse portfólio — tanto do ponto de vista de compliance quanto de gestão de risco técnico.
O conceito de Chief AI Risk Officer (CAIRO) — ainda emergente no mercado — descreve exatamente esse papel: a função que integra governança técnica, compliance regulatório e gestão de risco de IA em uma única estrutura de accountability. Em empresas menores, essa responsabilidade pode ser assumida pelo CTO, CISO ou DPO existente, com escopo ampliado.
Framework de governança: como estruturar sua resposta
AI TRiSM como base operacional
O Gartner popularizou o conceito de AI TRiSM (Trust, Risk and Security Management) como framework para governança de IA empresarial. A estrutura organiza as obrigações em quatro dimensões que se alinham diretamente com as exigências do PL 2338/2023:
- Confiança (Trust): transparência sobre como os sistemas funcionam e decidem
- Risco (Risk): identificação, classificação e mitigação de riscos por sistema
- Segurança (Security): proteção dos dados de treinamento e das saídas dos modelos
- Gerenciamento (Management): governança contínua com ownership claro e auditoria periódica
Implementar AI TRiSM não é um projeto de seis meses — é uma disciplina contínua. Mas as empresas que começam agora têm a vantagem de construir os fundamentos antes que a lei exija a adequação como requisito legal.
Auditoria de viés: o risco que ninguém quer assumir
O PL estabelece explicitamente o direito à não discriminação e correção de vieses algorítmicos. Isso significa que não basta o sistema funcionar — ele precisa funcionar de forma equitativa para diferentes grupos populacionais.
Para o Brasil, onde desigualdades estruturais de raça, gênero e renda são profundas, esse requisito tem peso específico. Um sistema de concessão de crédito que sistematicamente penaliza determinadas regiões ou perfis demográficos está exposto a sanções — mesmo que seus criadores não tenham tido intenção discriminatória. O viés algorítmico é mensurável, e a ANPD terá mandato para exigi-lo.
O roadmap de 90 dias que você pode começar hoje
| Prazo | Ação | Por que agir agora? |
|---|---|---|
|
Imediato (Mês 1) |
Inventariar todos os sistemas de IA em uso na empresa. |
A ANPD já fiscaliza uso de IA via LGPD — sem inventário, você opera às cegas. |
|
30 dias |
Classificar cada sistema nos níveis de risco do PL 2338 |
Sistemas de alto risco exigem avaliação de impacto obrigatória — comece já. |
|
60 dias |
Designar um AI Risk Officer ou equivalente interno |
A lei prevê responsabilidade pessoal para desenvolvedores e operadores
|
|
90 dias |
Implantar AI TRiSM: governança, auditoria de viés e monitoramento contínuo |
Empresas com governança prévia têm vantagem nos processos de adequação |
|
6 meses |
Treinar equipes jurídico, TI e negócios sobre obrigações do Marco Legal |
Desconhecimento da lei não isenta de sanção — multas podem chegar a 2% do faturamento |
|
Contínuo |
Monitorar publicações da ANPD e tramitação final na Câmara |
O texto final pode trazer novidades — quem acompanha adapta antes de ser multado |
Conclusão: compliance não é custo — é posicionamento
O Marco Legal da IA não vai desaparecer. Ele vai ser aprovado, vai gerar obrigações reais e vai criar um ambiente em que empresas com governança estruturada têm vantagem competitiva sobre aquelas que precisam se adaptar às pressas.
A questão não é se a regulação vai afetar sua empresa — é se você vai estar preparado quando ela chegar. E a resposta a essa pergunta depende de decisões que você pode tomar hoje: inventariar seus sistemas de IA, classificar os riscos, designar responsabilidades e implantar os primeiros controles de governança.
A Kakau Tech tem acompanhado de perto a tramitação do PL 2338/2023 e ajuda empresas a estruturar seus programas de governança de IA com base em frameworks integrados com as práticas já consolidadas em cibersegurança e ITSM.
Se sua empresa usa IA em produção e ainda não tem um plano de conformidade, o momento de começar é agora.
