A sua organização está preparada para demonstrar que conhece as ferramentas de IA que utiliza, compreende os riscos envolvidos e mantém controle sobre os resultados produzidos por elas?
Essa pergunta tende a se tornar cada vez mais relevante para empresas que desenvolvem, comercializam ou simplesmente utilizam sistemas de IA em suas atividades.
O projeto de lei 2.338/23, do senador Rodrigo Pacheco, foi aprovado pelo Senado em dezembro de 2024 e hoje tramita na Câmara dos Deputados, sob relatoria do deputado Aguinaldo Ribeiro, sem data definida para votação.
Embora a discussão sobre quando o texto será definitivamente aprovado seja importante, ela não deve adiar a atenção de quem já utiliza, distribui ou desenvolve sistemas de IA. O projeto já apresenta diretrizes suficientemente consolidadas para orientar decisões empresariais, e ignorá-las até a sanção da futura lei pode custar mais caro do que começar a se preparar agora.
Este texto apresenta o que já está previsto no projeto, as principais mudanças para as empresas e as medidas que podem ser adotadas desde já.
Mais do que estabelecer novas obrigações legais, o projeto reforça uma tendência já observada internacionalmente: a governança da IA passa a integrar a agenda estratégica das organizações. Assim como ocorreu com a LGPD, espera-se que empresas adotem processos capazes de demonstrar transparência, gestão de riscos e supervisão adequada sobre tecnologias que influenciam decisões de negócio.
A gestão de riscos como eixo central da futura regulação
O PL 2338/23 adota uma lógica de regulação proporcional ao risco, inspirada no AI Act europeu, trabalhando essencialmente três categorias:
- Risco excessivo. São práticas simplesmente vedadas. Incluem, por exemplo, sistemas de armas autônomas, técnicas que exploram vulnerabilidades de grupos específicos (crianças, idosos, pessoas com deficiência) para induzir comportamentos prejudiciais, e sistemas de pontuação social feitos pelo poder público. Nessa categoria, não existe adequação possível, o uso é proibido.
- Alto risco. É a categoria que mais interessa ao setor empresarial, porque nela residem os sistemas de IA mais comuns no mercado. O art. 17 do projeto lista diversas finalidades que colocam um sistema nessa categoria, entre elas: seleção e gestão de trabalhadores (recrutamento, avaliação de desempenho, promoção e demissão), concessão de crédito e definição de score, admissão e avaliação em instituições de ensino, diagnóstico e recomendação de tratamentos em saúde, sistemas usados em segurança pública e na administração da justiça, gestão de infraestrutura crítica e controle de fronteiras. Sistemas de alto risco recebem o conjunto mais rígido de obrigações de governança.
- Risco moderado ou baixo (residual). Aplica-se à maior parte das ferramentas de IA de uso comercial comum, chatbots de atendimento, sistemas de recomendação de conteúdo ou produtos, assistentes de escrita. Transparência básica, como informar que o usuário está interagindo com um sistema automatizado, continua sendo obrigatória.
O art. 18 prevê que a autoridade competente poderá atualizá-la, incluindo novas hipóteses. Isso significa que a classificação de um sistema pode mudar ao longo do tempo, o que reforça a necessidade de revisão periódica.
Para as organizações, essa classificação representa uma mudança relevante de perspectiva. O foco regulatório deixa de estar apenas na tecnologia empregada e passa a considerar o contexto em que ela é utilizada. Um mesmo sistema poderá exigir diferentes níveis de governança conforme sua finalidade, o potencial impacto sobre pessoas e o risco associado às decisões que apoia.
Os direitos que a lei garante a quem é afetado por uma decisão de IA
O Capítulo II do projeto cria um conjunto de direitos para qualquer pessoa impactada por um sistema de IA, ainda que não seja titular de dados pessoais no sentido da LGPD. Os principais são:
- Direito à informação prévia, sobre estar interagindo com um sistema de IA, sua finalidade e quem são o desenvolvedor e o operador responsáveis.
- Direito à explicação (arts. 9º e 10), ou seja, receber, de forma clara e compreensível, os critérios gerais que levaram a uma decisão automatizada relevante.
- Direito à contestação e à revisão humana (art. 11), permitindo que a pessoa questione a decisão e peça que um ser humano a reavalie.
- Direito à não discriminação, com correção de vieses identificados no sistema.
Essas garantias valem sobretudo para decisões que produzem efeitos jurídicos relevantes ou afetam a pessoa de forma significativa, o que, na prática, cobre boa parte dos usos de IA em relações de consumo, trabalho e acesso a serviços.
Sob a ótica empresarial, esses direitos exigem que os processos automatizados sejam acompanhados de mecanismos que assegurem transparência, rastreabilidade e possibilidade de revisão humana. Na prática, a preocupação deixa de ser exclusivamente tecnológica e passa a envolver governança, controles internos e gestão de riscos.
Novas responsabilidades para fornecedores e empresas usuárias
O projeto distingue dois papéis, chamados de "agentes de IA": o fornecedor, que desenvolve ou comercializa o sistema, e o operador, que o utiliza em suas atividades. Essa distinção importa porque, no dia a dia de uma empresa, é comum que ela seja apenas operadora de uma ferramenta desenvolvida por terceiros e ainda assim ter obrigações próprias.
Essa distinção merece atenção especial porque grande parte das empresas brasileiras não desenvolve sistemas próprios de IA, mas utiliza soluções fornecidas por terceiros. Ainda assim, a condição de operadora não afasta a necessidade de implementar controles internos, supervisionar a utilização dessas ferramentas e adotar medidas compatíveis com o risco envolvido.
Para sistemas de alto risco, o projeto exige que os agentes de IA realizem uma avaliação de impacto algorítmico: um documento técnico que analisa riscos de viés, segurança e transparência do sistema antes e durante seu uso.
Órgãos públicos que contratam ou desenvolvem sistemas de alto risco têm obrigações adicionais, como consulta pública prévia. Já para os sistemas em geral, a exigência central é a adoção de medidas de governança e boas práticas de gerenciamento de risco, com documentação que comprove a atuação diligente da empresa.
Sob essa perspectiva, a governança da IA deixa de representar apenas uma exigência regulatória futura e passa a constituir um elemento de maturidade organizacional. Empresas capazes de demonstrar processos estruturados de avaliação, monitoramento e controle tendem a reduzir sua exposição a riscos regulatórios, operacionais e reputacionais.
Responsabilidade civil: Um ponto que merece atenção redobrada
O tratamento da responsabilidade civil é um dos capítulos mais relevantes do projeto. O projeto estabelece que o fornecedor ou operador que causar dano patrimonial, moral, individual ou coletivo por meio de um sistema de IA é obrigado a repará-lo integralmente, independentemente do grau de autonomia do sistema.
Sob a perspectiva corporativa, o maior impacto não decorre apenas da possibilidade de responsabilização, mas da necessidade de produzir evidências capazes de demonstrar a adoção de medidas diligentes de governança. Assim como ocorreu com programas de compliance e proteção de dados, a documentação das decisões relacionadas à IA tende a assumir papel central na mitigação de riscos.
Para sistemas classificados como de alto risco, o projeto adota regime mais rigoroso de responsabilização, enquanto, para os demais sistemas, estabelece presunção de culpa, facilitando a produção da prova pela parte prejudicada.
Na prática, isso reduz significativamente a margem de defesa de empresas que não conseguirem demonstrar, documentalmente, que adotaram medidas adequadas de governança, o que transforma a documentação interna de compliance em prova de defesa, não apenas em exigência formal.
Sanções administrativas
O descumprimento das obrigações da lei sujeita os agentes de IA a sanções administrativas aplicadas pela autoridade competente, que vão de advertência a multas, podendo alcançar valores expressivos, a depender da gravidade da infração, da capacidade econômica do agente e da reincidência, hipótese em que os valores tendem a ser agravados.
O desenho é semelhante ao que já existe na LGPD, e foi construído para dialogar diretamente com o sistema de proteção de dados já em vigor no país.
Além das consequências financeiras decorrentes de eventuais sanções, organizações também deverão considerar impactos reputacionais, riscos de continuidade operacional e potenciais reflexos sobre relações com clientes, investidores e parceiros comerciais, especialmente em setores intensivos em tecnologia.
O que fazer agora
Diante desse cenário, um plano de trabalho consistente para empresas que já utilizam IA, independentemente do estágio de tramitação do projeto, passa por cinco frentes:
- Inventário. Levantar todos os sistemas de IA em uso, internos ou contratados de terceiros, identificando finalidade, dados utilizados e grau de autonomia decisória. Sem esse mapeamento, nenhuma das etapas seguintes é possível.
- Classificação de risco. Avaliar, à luz dos critérios do art. 17 e das demais hipóteses de risco excessivo, em qual categoria cada sistema se enquadra e revisar essa classificação periodicamente, já que a lista legal não é estática.
- Revisão contratual. Rever cláusulas de responsabilidade em contratos com fornecedores de tecnologia, definindo com clareza quem responde por falhas do sistema e em que medida, tema que, à luz do regime de responsabilidade objetiva do art. 27, deixa de ser um detalhe de redação para se tornar uma questão de exposição financeira direta.
- Governança documentada. Estruturar políticas internas, avaliações de impacto e mecanismos de revisão humana, com registro formal das decisões tomadas não apenas para cumprir a lei quando ela entrar em vigor, mas porque essa documentação já funciona, desde já, como principal linha de defesa em eventuais disputas relacionadas a dados pessoais ou relações de consumo.
- Capacitação. Promover treinamentos periódicos para colaboradores, estabelecer diretrizes sobre o uso responsável da IA e definir procedimentos para validação humana de decisões automatizadas. A governança de IA depende não apenas da tecnologia utilizada, mas também da forma como as pessoas interagem com ela.
Considerações finais
Organizações que iniciarem desde já a estruturação de programas de governança em IA tendem a estar mais preparadas para responder não apenas às futuras exigências regulatórias, mas também às expectativas crescentes de clientes, investidores e parceiros de negócios. Nesse contexto, mecanismos de transparência, gestão de riscos e supervisão humana deixam de representar exclusivamente instrumentos de conformidade para se consolidarem como fatores de confiança e diferenciação competitiva.
Embora o PL 2.338/23 ainda possa sofrer alterações durante sua tramitação na Câmara dos Deputados, as bases do futuro regime jurídico da IA no Brasil já estão claramente delineadas.
Além disso, parte do que o projeto exige já pode ser cobrada das empresas com fundamento na LGPD. Decisões automatizadas que envolvem dados pessoais já estão sujeitas aos princípios da transparência, da finalidade e do direito à revisão.
A regulamentação da IA não deve ser compreendida apenas como um novo conjunto de obrigações legais. Ela sinaliza uma transformação na forma como organizações estruturam processos decisórios baseados em tecnologia, incorporando princípios de transparência, prestação de contas, supervisão humana e gestão contínua de riscos.
A IA deixou de ser uma tecnologia experimental para se tornar parte da rotina das empresas. Nesse cenário, a discussão já não se limita a saber se a organização utilizará IA, mas como fará isso de forma segura, transparente e responsável.
Empresas que estruturarem desde já mecanismos de governança estarão mais preparadas não apenas para atender às futuras exigências legais, mas também para fortalecer sua reputação, aumentar a confiança de clientes, parceiros e colaboradores e transformar a inovação em uma vantagem competitiva sustentável.
Em um ambiente de rápidas transformações tecnológicas, a conformidade deixa de ser apenas um requisito regulatório e passa a representar um diferencial estratégico. Afinal, a IA pode acelerar decisões e impulsionar negócios, mas continuará sendo a governança humana o elemento capaz de assegurar que essa inovação gere valor, confiança e responsabilidade.