ALC | guardrail.ia.br
Radar Regulatório →
Em tramitação na Câmara — Abril 2026

PL 2338/2023 — Guia Completo da Lei Brasileira de Inteligência Artificial

Por Anderson Chipak · ALC Consultoria · Atualizado em abril de 2026

O PL 2338/2023 é o principal projeto de lei sobre inteligência artificial em tramitação no Brasil. Aprovado no Senado em novembro de 2024 e atualmente em análise na Câmara dos Deputados, o texto estabelece um marco regulatório baseado em risco — semelhante ao AI Act europeu, mas adaptado ao contexto jurídico e econômico brasileiro.

Este guia reúne as principais disposições do texto aprovado no Senado, com foco nas obrigações práticas para empresas que já usam IA em produtos, serviços ou processos internos.

1. Estrutura do PL: abordagem baseada em risco

O PL 2338 classifica os sistemas de IA em três categorias de risco, cada uma com obrigações distintas:

Alto Risco

Sistemas com impacto significativo em direitos fundamentais, acesso a serviços essenciais ou segurança. Exemplos: crédito, saúde, emprego, infraestrutura crítica, segurança pública. Obrigações: avaliação de impacto, documentação técnica, supervisão humana, explicabilidade e registro no MCTI.

Risco Limitado

Sistemas que interagem com humanos sem impacto em direitos (chatbots, recomendações de conteúdo). Obrigação principal: transparência — o usuário deve saber que está interagindo com IA.

Risco Mínimo

Sistemas com impacto marginal: filtros de spam, IA em jogos, automação de tarefas internas sem interação com clientes. Sem obrigações específicas além das leis gerais.

2. Sistemas de alto risco: obrigações detalhadas

Para empresas que operam sistemas classificados como alto risco, o PL 2338 exige:

  • Avaliação de Impacto Algorítmico (AIA) — documento que descreve o propósito do sistema, os dados utilizados, os riscos identificados e as medidas de mitigação. Deve ser atualizado a cada mudança significativa.
  • Supervisão humana efetiva — mecanismos que permitam que um humano revise, corrija ou interrompa o sistema. Não basta que um humano exista no processo — ele precisa ter capacidade real de intervir.
  • Explicabilidade das decisões — o usuário afetado por uma decisão automatizada tem direito a receber explicação "em linguagem clara e acessível" sobre os critérios e lógica utilizados.
  • Registro no MCTI — sistemas de alto risco devem ser registrados no cadastro nacional de sistemas de IA de alto risco, gerenciado pelo Ministério de Ciência, Tecnologia e Inovações.
  • Auditabilidade — logs de funcionamento devem ser mantidos por prazo mínimo a ser definido em regulamentação, possibilitando auditoria por autoridades competentes.

3. Responsabilidade civil

O PL adota um modelo de responsabilidade diferenciado:

  • Fornecedores (que desenvolvem ou disponibilizam o sistema) respondem de forma objetiva por danos causados por sistemas de alto risco — independentemente de culpa.
  • Operadores (que implantam e usam o sistema) respondem de forma subjetiva — o dano deve ser demonstrado junto com a culpa do operador.
  • Inversão do ônus da prova: em casos de alto risco, cabe ao fornecedor ou operador demonstrar que o sistema funcionava corretamente, não ao usuário provar a falha.

Esta distinção é crítica para empresas que usam LLMs, copilots e modelos de terceiros: mesmo que o modelo seja de outra empresa, quem o opera assume responsabilidade pelos danos causados ao usuário final.

4. Proibições absolutas

O PL proíbe, sem exceção, sistemas de IA que:

  • Manipulam psicologicamente usuários sem seu conhecimento para influenciar decisões de forma prejudicial
  • Exploram vulnerabilidades de grupos (crianças, idosos, pessoas com deficiência) para causar danos
  • Implementam scoring social generalizado por autoridades públicas
  • Realizam reconhecimento biométrico em tempo real em espaços públicos — com exceções específicas para segurança pública, mediante autorização judicial

5. Cronograma de vigência (projeção)

Marco Prazo estimado
Aprovação na Câmara dos Deputados 2026
Sanção presidencial e publicação no DOU 2026
Vigor geral da lei 180 dias após publicação
Obrigações plenas para sistemas de alto risco 12–24 meses após publicação
Regulamentação do MCTI (cadastro, AIA) A definir por decreto

Atenção: os prazos acima são estimativas com base no texto aprovado no Senado e no histórico legislativo de leis similares (LGPD levou 18 meses entre aprovação e entrada em vigor). O texto final pode ser alterado pela Câmara.

6. O que sua empresa deve fazer agora

Independentemente de quando o PL for aprovado, três ações preparam sua empresa sem risco de desperdício:

  • Mapeie os sistemas de IA em uso — produza um inventário de todos os sistemas que tomam ou auxiliam decisões sobre clientes, funcionários ou processos regulados.
  • Classifique por risco — para cada sistema, avalie se ele se enquadraria como alto, limitado ou mínimo risco com base nos critérios do PL.
  • Implante rastreabilidade — o audit log imutável das decisões da IA é o requisito mais difícil de implementar retroativamente. Quem começa agora tem vantagem.

Receba atualizações sobre o PL 2338

O Radar Regulatório cobre cada avanço do PL na Câmara, novas emendas e impactos práticos para empresas. Gratuito, mensal.

Inscrever no Radar Regulatório →

Neste guia

1. Abordagem baseada em risco 2. Sistemas de alto risco 3. Responsabilidade civil 4. Proibições absolutas 5. Cronograma 6. O que fazer agora

Outras regulações

LGPD e IA BACEN ISO 42001