O Ecossistema Regulatório da Inteligência Artificial no Brasil
Do Projeto de Lei 2.338/2023 à Governança Coordenada: Enquadramento Jurídico, Responsabilidade Civil, Legislação Setorial e Desafios de Implementação
JURISTECH.PT
Análise Regulatória Internacional
Por Luís Nuno Perdigão
15/FEV/2026
Powered by
Um Modelo Híbrido e Multicamadas
O Brasil está a construir, de forma acelerada, um dos ecossistemas regulatórios de inteligência artificial mais ambiciosos da América Latina — e, em diversos aspetos, do Sul Global. Ao contrário do que uma leitura apressada poderia sugerir, não se trata de uma mera replicação do AI Act europeu, mas de um modelo híbrido e multicamadas que combina um marco legislativo geral em formação (o PL 2.338/2023), políticas públicas estruturantes (EBIA e PBIA), legislação setorial específica e uma governança federal coordenada através do Sistema Nacional de Regulação e Governança de IA (SIA).
Observação para o leitor português: o Brasil ainda não tem uma Lei Geral de IA em vigor. O PL 2.338/2023 foi aprovado no Senado em dezembro de 2024, mas encontra-se em tramitação na Câmara dos Deputados, aguardando parecer na Comissão Especial. Toda análise do marco legal deve, portanto, ser tratada como legislação futura / direito a constituir (de lege ferenda), com alta relevância para o compliance preparatório, mas sujeito a alterações em face do futuro texto final da Lei.
Regulação em Camadas: Três Níveis Estruturantes
Antes de mergulharmos no PL 2.338/2023, é fundamental compreender um ponto que frequentemente escapa às análises mais superficiais: a IA no Brasil já é juridicamente disciplinada por regimes transversais pré-existentes. O ecossistema regulatório brasileiro funciona como um "sistema por camadas", estruturado em três níveis:
Camada Constitucional e Legislação Geral
Constituição Federal de 1988 (dignidade humana, igualdade, não discriminação, devido processo, privacidade, proteção do consumidor), LGPD (Lei 13.709/2018), Código de Defesa do Consumidor (CDC — Lei 8.078/1990), Código Civil (Lei 10.406/2002), Marco Civil da Internet (Lei 12.965/2014), Lei de Defesa da Concorrência (Lei 12.529/2011) e legislação penal aplicável.
Camada do Marco Específico de IA
O PL 2.338/2023, que pretende organizar princípios, direitos, deveres, classificação de risco e fiscalização específicos para sistemas de IA.
Camada de Governança Pública Coordenada
Estratégia (EBIA), planos de investimento (PBIA), órgãos colegiados (CITDigital) e o futuro SIA, que orientam implementação e interoperabilidade regulatória.
Esta arquitetura é particularmente relevante porque significa que o PL 2.338/2023 não se situa num vazio jurídico: ele sobrepõe-se, como norma geral de IA, a um tecido legislativo denso, sem substituir os regimes existentes. A LGPD, por exemplo, já fornece instrumentos centrais para a governança de IA — base legal para tratamento de dados, transparência, segurança e, especialmente, o direito de contestação de decisões automatizadas, que tende a articular-se com o "direito à explicação" previsto no marco de IA.
PL 2.338/2023: Fundamentos e Agentes da Cadeia de Valor
Fundamentos e Princípios
O texto aprovado no Senado estabelece normas nacionais para o desenvolvimento, implementação e uso responsável de sistemas de IA, visando sistemas "seguros e confiáveis" e a proteção de direitos fundamentais.
Entre os princípios explícitos, destacam-se a supervisão humana, a não discriminação, a transparência, explicabilidade e auditabilidade, o devido processo e contestabilidade, a rastreabilidade e a prestação de contas (accountability).
Agentes de IA: Tipologia Tripartida
O PL define uma tipologia de agentes na cadeia de valor da IA, mais granular do que a divisão binária "fornecedor/operador" que marca o AI Act europeu:
- Desenvolvedor: desenha, treina e valida o sistema de IA, com deveres robustos de documentação, mitigação de riscos, segurança e testes
- Distribuidor: coloca o sistema em circulação no mercado
- Aplicador: implementa e utiliza o sistema no contexto real, com deveres fortes de governança, monitorização e adequação ao caso de uso concreto
Esta tripartição permite uma distribuição mais precisa de responsabilidades ao longo da cadeia, reconhecendo que os riscos associados a um sistema de IA não são uniformes e que diferentes intervenientes têm diferentes capacidades de controlo e mitigação.
Regulação por Risco: Modelo de Gestão Escalonada
O PL adota uma abordagem baseada em risco que, embora inspirada no modelo europeu, apresenta configuração própria. A classificação opera em três níveis principais:
01
Práticas Vedadas (Núcleo Duro)
O texto traz um artigo de proibições absolutas, incluindo hipóteses envolvendo manipulação e exploração de vulnerabilidades, "pontuação social" (social scoring) e restrições fortes a certos usos de identificação biométrica remota em tempo real em espaços públicos, com exceções taxativas.
02
Sistemas de Alto Risco
Existe uma secção específica dedicada a sistemas de alto risco, com exigências de avaliação reforçada, governança robusta e controlos mais intensos, incluindo o impacto sobre direitos fundamentais e grupos vulneráveis. Sistemas utilizados em saúde, crédito, justiça ou segurança pública tendem a cair nesta categoria, implicando avaliações de impacto algorítmico, testes de viés e documentação técnica aprofundada.
03
Avaliações e Instrumentos de Governança
O PL estrutura instrumentos como a avaliação preliminar e a avaliação de impacto algorítmico, além de mecanismos de governança e boas práticas. A lógica é equilibrar inovação (evitando burocratizar usos de baixo risco) com tutela reforçada onde o potencial de dano é mais elevado.
Uma das componentes mais sensíveis — e potencialmente mais disruptivas — do PL é o tratamento da IA de propósito geral e da IA generativa, incluindo cenários de risco sistémico. O texto prevê obrigações específicas para estes modelos, designadamente em matéria de documentação, governança de dados, medidas de segurança e transparência proporcional. Este ponto é crítico porque desloca o foco regulatório do "caso de uso" para a capacidade e escala do modelo.
Responsabilidade Civil: Compatibilização com Regimes Existentes
O capítulo de responsabilidade civil (arts. 35–39 do PL) constitui uma das áreas de maior relevância prática e teórica. O legislador brasileiro optou por não reinventar o regime de responsabilidade civil: o PL remete para os regimes já existentes e ajusta critérios específicos para o contexto de IA.
Dupla Responsabilidade na Cadeia de Valor
Tanto o fornecedor (desenvolvedor/distribuidor) como o aplicador (operador) podem ser responsabilizados, conforme a sua participação causal e violação de deveres de segurança, informação ou governança. Em relações de consumo, aplica-se o regime protetivo do CDC; fora do consumo, prevalece o Código Civil e legislação especial.
Inversão do Ónus da Prova e Facilitação Probatória
O PL prevê a possibilidade de inversão do ónus da prova quando a vítima for hipossuficiente ou quando as características do sistema de IA tornem excessivamente oneroso demonstrar o dano. Este mecanismo tem um efeito prático transformador: aumenta significativamente o valor jurídico da documentação, rastreabilidade e auditoria, que passam a funcionar como "moeda probatória" em litígios.
Implicação estratégica: num cenário de inversão do ónus, "quem não documenta, perde" com muito mais frequência. Isto pressiona fortemente as estratégias de litigância e eleva a documentação técnica ao patamar de instrumento de defesa processual.
Excludentes de Responsabilidade
O fornecedor pode afastar a sua responsabilidade provando que não colocou o sistema em circulação, que o dano decorre de culpa exclusiva da vítima, de facto de terceiro ou de caso fortuito externo. O modelo brasileiro tende, assim, a construir um regime de responsabilidade "em camadas", com regras gerais no marco de IA acopladas a regimes já existentes e a tipos penais ou administrativos específicos.
R$ 50M
Multa Máxima
Por infração ou 2% da faturação do grupo económico no Brasil
O SIA: Governança Coordenada e Arquitetura Institucional
O desenho institucional brasileiro caminha para um sistema de governança coordenada que constitui, possivelmente, a opção mais original do modelo brasileiro face ao europeu. O SIA (Sistema Nacional de Regulação e Governança de Inteligência Artificial) articula a ANPD e os reguladores setoriais sem subordinação hierárquica, num modelo de federalismo regulatório coordenado.
A ANPD como Autoridade Competente Central
Uma das decisões estruturantes do PL é a consolidação da ANPD (Autoridade Nacional de Proteção de Dados) como autoridade reguladora central de IA. A ANPD coordena o SIA e exerce poderes de emissão de normas gerais, coordenação, apoio e fiscalização, com reforço de estrutura e orçamento previsto para até dois anos. Esta opção resolve um debate recorrente ("criar uma agência nova?") com uma solução institucional pragmática: aproveitar a capacidade existente em matéria de dados, tecnologia e regulação.
Conselhos e Comités Técnicos
O PL cria instâncias de governança cooperativa, designadamente o Conselho Permanente de Cooperação Regulatória de IA (CRIA) e o Comité de Especialistas e Cientistas de IA (CECIA). A lógica subjacente é aproximar a regulação de uma "engenharia institucional" que combine coordenação, expertise e diálogo regulatório, algo que a regulação digital exige pela sua natureza dinâmica e tecnicamente complexa.
O PBIA e a Camada Programática
A governança institucional é complementada pelo Plano Brasileiro de Inteligência Artificial (PBIA 2024–2028, "IA para o Bem de Todos") e pela Estratégia Brasileira de IA (EBIA, 2021). O PBIA assume a regulação como peça central para a confiança em IA e prevê a criação de um Centro Nacional de Transparência Algorítmica, redes de governança e um Observatório Brasileiro de IA. As metas a 3–5 anos incluem o desenvolvimento de metodologias de avaliação de risco, apoio a diretrizes éticas, criação de comité multissetorial de ética em IA e a consolidação de um arcabouço regulatório robusto.
Legislação Setorial: Lei 15.123/2025 e Deepfakes como Violência de Género
Um Exemplo Paradigmático de Capilarização Regulatória
Um dos exemplos mais paradigmáticos da chamada "capilarização" da regulação de IA no ordenamento brasileiro é a Lei 15.123/2025, que altera o tratamento da violência psicológica contra a mulher (art. 147-B do Código Penal), prevendo uma causa de aumento de pena quando o crime é cometido com recurso a IA ou outro meio tecnológico que altere imagem ou som da vítima.
A pena de reclusão de 6 meses a 2 anos, acrescida de multa, é aumentada de metade quando presentes estes elementos tecnológicos — designadamente a criação de deepfakes. O legislador descreve condutas como ameaça, humilhação, manipulação, chantagem, isolamento e ridicularização, reconhecendo que a mediação algorítmica e a manipulação digital agravam o impacto na saúde psicológica e autodeterminação da vítima.
Impacto Sistémico
- Reforça a leitura de que a IA pode ser "meio de execução" relevante para a tipicidade e dosimetria penal
- Pressiona práticas de investigação e prova digital (cadeia de custódia, perícia audiovisual, autenticação)
- Tende a dialogar com os deveres de governança e mitigação de risco previstos no PL para usos de alto impacto sobre direitos
Esta lei revela uma tendência de regulação "por problema", que vai além do marco geral para ajustar tipos penais, procedimentos probatórios e políticas de proteção de grupos vulneráveis. É uma abordagem complementar que tende a proliferar noutras jurisdições à medida que os impactos concretos da IA se tornam mais visíveis.
Análise Comparativa: Brasil vs. União Europeia
Para o leitor do JurisTech que acompanha a regulação europeia, é útil situar o modelo brasileiro num quadro comparativo:
O quadro revela convergências significativas na abordagem de risco e na centralidade de direitos, mas também diferenças estruturais importantes. O Brasil distingue-se pela forte integração entre regulação e política pública de desenvolvimento, pela tipologia mais granular de agentes e pelo modelo de governança federativa que reflete a complexidade institucional do país.
Compliance Preparatório e Notas Finais
Mesmo antes da entrada em vigor do marco legal, organizações que desenvolvem ou utilizam IA no mercado brasileiro devem considerar o alinhamento com o desenho do PL:
1
Mapear o papel na cadeia de valor
Identificar se atua como desenvolvedor, distribuidor ou aplicador e definir responsabilidades contratuais coerentes com essa classificação.
2
Implementar governança e gestão de risco
Realizar triagem inicial por caso de uso (proibido? alto risco?) e documentar as decisões tomadas.
3
Preparar documentação e rastreabilidade
Dados de treino, testes realizados, análises de viés, registos de incidentes e decisões de governança.
4
Criar processos de avaliação
Avaliação preliminar e, quando aplicável, avaliação de impacto algorítmico, alinhados com as melhores práticas internacionais.
5
Planear resposta a incidentes
Mecanismos de comunicação regulatória e gestão de crises.
6
Rever estratégia de litigância
Com a possível inversão do ónus, a documentação técnica torna-se instrumento de defesa processual.
O JurisTech continuará a acompanhar a evolução deste ecossistema regulatório, com atualizações à medida que o PL 2.338/2023 avance na Câmara dos Deputados e que os instrumentos de governança previstos sejam implementados.
Fontes e Referências
Nota: todas as fontes foram verificadas e estão acessíveis à data de publicação.
- Senado Federal — PL 2.338/2023: tramitação, aprovação e remessa à Câmara (senado.leg.br) e camara.leg.br
- Congresso Nacional (Matérias Bicamerais) — Situação do PL na Câmara, Comissão Especial (congressonacional.leg.br)
- Governo Federal / MCTI — EBIA, PBIA 2024–2028 e referência ao CITDigital (gov.br/mcti)
- Planalto / Câmara — Lei 15.123/2025: violência psicológica contra a mulher com uso de IA/deepfakes (planalto.gov.br)
- ANPD — Autoridade Nacional de Proteção de Dados: posições e notas técnicas sobre IA
- CGI.br — Nota Pública sobre PL 2.338/2023 e regulação de IA no Brasil; Nota Técnica sobre PL 6.237 e Governança de IA (cgi.br)
- FPA/Bramo — Análise do Sistema de Governança para IA (fpabramo.org.br)
- Migalhas — Análises sobre responsabilidade civil e alterações ao Código Penal (migalhas.com.br)
- RBIAD — Revista Brasileira de Inteligência Artificial e Direito (rbiad.com.br)
- Damásio — Análise da Lei 15.123/2025 sobre deepfakes (blog.damasio.com.br)
Juristech.pt — Onde a Tecnologia encontra o Direito
© 2026 Luís Nuno Perdigão