A inteligência artificial entrou nas empresas brasileiras pela porta da produtividade. Mas ela vai sair — ou permanecer — pela porta da governança.
O Projeto de Lei 2338/2023, aprovado pelo Senado em dezembro de 2024 e em tramitação na Câmara com votação esperada ainda em 2026, não é uma atualização da LGPD nem uma lei de nicho para empresas de tecnologia. Para a liderança de negócios e equipes de governança, tratar este marco legal como um "assunto para o futuro" é o maior erro estratégico que se pode cometer.
Empresas que utilizam inteligência artificial para contratar funcionários, analisar dados, atender clientes ou automatizar processos terão novas obrigações quando o PL 2338 para empresas for sancionado. Isso inclui a maior parte das corporações brasileiras que já adotaram IA generativa, automação de processos ou sistemas de decisão automatizada em alguma área do negócio.
Este artigo explica o que o PL 2338 exige das empresas, como a classificação por risco funciona na prática, e quais estruturas precisam ser construídas antes que a lei entre em vigor.
O PL 2338/2023 é frequentemente chamado de "AI Act brasileiro" pela influência direta da regulação europeia — mas tem diferenças relevantes que moldam sua aplicação no contexto nacional. O projeto foi aprovado pelo Senado por unanimidade em dezembro de 2024 e tramita na Câmara desde março de 2025, onde uma Comissão Especial analisa o texto com votação esperada ainda em 2026. Acompanhe a tramitação completa no site do Senado Federal.
O PL impõe obrigações a desenvolvedores, fornecedores e usuários de IA. Para o ambiente empresarial, isso significa revisitar fluxos operacionais e padrões de governança digital. O paralelo mais próximo é a LGPD: quando entrou em vigor, forçou as empresas a estruturarem políticas de dados do zero. O PL 2338 faz o mesmo com os sistemas de IA — mas com complexidade maior, porque envolve não só dados, mas decisões automatizadas e seus impactos sobre pessoas.
Para CIOs, CTOs e Diretores Jurídicos brasileiros, 2026 é o ano em que IA deixa de ser tema de inovação e passa a ser tema de compliance regulatório com impacto material no balanço. Entenda também os riscos de adotar IA sem governança estruturada antes de escalar qualquer iniciativa.
O coração do PL 2338 é uma abordagem baseada em risco. Cada sistema de IA deve ser classificado em um de quatro níveis, e cada nível determina o conjunto de obrigações da empresa. A implicação prática é imediata: antes de qualquer outra ação, sua empresa precisa saber exatamente quais sistemas de IA opera e em qual categoria cada um se encaixa.
Os sistemas de risco excessivo são proibidos. Não podem ser desenvolvidos nem comercializados: armas autônomas que tomam decisão letal sem supervisão humana, social scoring governamental, técnicas subliminares que explorem vulnerabilidades, reconhecimento de emoções em ambiente de trabalho e educacional, e scraping indiscriminado de imagens faciais em ambientes públicos.
Os sistemas de alto risco são permitidos, mas com obrigações severas. Triagem curricular e recrutamento automatizados se enquadram nessa categoria — junto com sistemas de análise de crédito, monitoramento de funcionários e decisões automatizadas em saúde. Para esses, o PL 2338 prevê a obrigação de realizar uma Avaliação de Impacto Algorítmico (AIA), documento que descreve o funcionamento do sistema, os dados utilizados, os riscos identificados e as medidas de mitigação adotadas. É o equivalente ao RIPD da LGPD, mas focado em IA.
Os sistemas de risco baixo ou moderado — que incluem chatbots e assistentes virtuais — exigem transparência básica: o usuário precisa saber que está interagindo com IA.
Estruturar compliance para o PL 2338 não é tarefa de uma área só. A lei atravessa ao menos três instâncias da organização que raramente conversam entre si sobre IA:
Governança de TI. O papel do CIO precisa ser reconfigurado ao lado dos times de segurança da informação, MLOps e DPO, que passam a ter responsabilidade regulatória direta sobre os sistemas em operação. Um modelo de IA que discrimina candidatos em processos seletivos não é um problema do time de dados: é um problema simultâneo do CISO, do DPO e do jurídico.
Governança corporativa. A alta liderança precisa estabelecer princípios éticos para a adoção de IA e homologar a arquitetura oficial da empresa. Aprender ferramentas não resolve nada se o Conselho não definiu o que pode ou não pode ser usado no contexto do negócio. O fato de 47,4% dos profissionais brasileiros relatarem utilizar ferramentas de IA sem aprovação oficial — prática conhecida como Shadow AI — revela que a exposição regulatória já existe mesmo antes da lei entrar em vigor.
Compliance. Os times jurídicos e de responsabilidade corporativa precisarão construir ao menos oito blocos estruturados de políticas e procedimentos para proteger a organização de exposição regulatória, reputacional e de responsabilidade civil. Sistemas de IA que afetem decisões sobre emprego, crédito, acesso a serviços públicos, saúde ou segurança pública deverão ser cadastrados no SIA antes da implantação comercial.
Com base na estrutura do PL 2338 e nas boas práticas de frameworks internacionais como o NIST AI RMF e o AI Act europeu, as empresas precisarão estruturar ao menos os seguintes blocos:
Cada bloco precisa ser construído de forma coordenada entre TI, jurídico, RH e liderança executiva. Mais do que cumprir requisitos formais, essas obrigações exigem estruturas de inteligência corporativa com IA, com políticas internas, processos de validação e mecanismos de revisão humana em decisões de alto impacto.
A janela ainda está aberta — mas não por muito tempo. A ANPD já publicou seu Mapa de Temas Prioritários 2026-2027 com IA como um dos quatro eixos centrais de fiscalização, e o sandbox regulatório da autoridade já está em fase de testes com empresas selecionadas. O aparato de fiscalização está sendo construído agora, em paralelo à tramitação da lei.
O ponto de partida não é a política — é o diagnóstico. Antes de qualquer framework, é preciso entender quais sistemas de IA a empresa já usa, em quais processos, com qual nível de impacto sobre pessoas, e quem é responsável por cada um deles. O inventário básico, passo zero de qualquer estrutura de compliance, ainda não foi feito na maioria das organizações brasileiras. O processo de se tornar uma AI Ready Organization começa exatamente aqui — entendendo onde a IA já está e quem é responsável por ela.
A partir do diagnóstico, é possível priorizar: quais sistemas exigem ação imediata pelo nível de risco, quais políticas precisam existir antes da lei ser sancionada, e quem precisa ser capacitado para liderar esse processo. O cronograma esperado após a aprovação na Câmara é de sanção presidencial seguida de prazo de adequação que, historicamente no caso da LGPD, foi de 18 a 24 meses. Quem começar agora chega confortável. Quem esperar a sanção para iniciar, não.
A exposição é tripla: regulatória, reputacional e operacional.
Na dimensão regulatória, o PL 2338 para empresas prevê sanções que podem chegar a R$ 50 milhões por infração, com reincidência dobrando o valor. A fiscalização será distribuída entre órgãos setoriais via SIA — o que significa risco vindo de múltiplas frentes simultaneamente.
Na dimensão reputacional, o risco precede a lei. Os dados do AI Index Report 2026 da Stanford University mostram que os incidentes documentados de IA cresceram de 233 para 362 entre 2024 e 2025, e a parcela das organizações com 3 a 5 incidentes subiu de 30% para 50%. Um incidente com sistema de IA — viés em contratação, decisão automatizada indevida, vazamento via modelo generativo — pode comprometer a reputação da empresa antes que qualquer processo regulatório se inicie.
Na dimensão operacional, o custo é mais silencioso mas igualmente real. Modelos de IA retirados de produção por não-conformidade representam perda de investimento, retrabalho e atraso competitivo. Compliance com o PL 2338 não é custo — é proteção do capital já investido em IA.
O PL 2338 não está chegando para punir empresas que adotam inteligência artificial. Está chegando para exigir que essa adoção seja feita com responsabilidade — e isso tem implicações profundas na arquitetura de governança de qualquer organização que já usa, ou pretende usar, sistemas de IA em processos críticos.
A questão não é se sua empresa vai precisar se adequar ao PL 2338. É se vai fazer isso antes ou depois da lei entrar em vigor — e se vai fazer de forma estratégica ou às pressas.
Assine a newsletter do Distrito e receba toda semana os melhores conteúdos sobre inteligência artificial e inovação corporativa.
