PL 2338/2023: a encruzilhada da regulação de IA no Brasil

O Brasil tem hoje pelo menos três projetos de lei concorrentes para regular inteligência artificial, um projeto do governo federal sobre governança no setor público, uma portaria ministerial e resoluções do TSE. Se a profusão de normas sinaliza que o tema ganhou urgência, também revela algo menos confortável: não há consenso sobre o rumo.

O PL 2338/2023, de autoria do senador Rodrigo Pacheco (PSD/MG), é o projeto mais maduro. Aprovado no Senado em dezembro de 2024 depois de 14 audiências públicas e mais de 200 emendas debatidas, chegou à Câmara em março de 2025 e aguarda votação na comissão especial. Inspirado no EU AI Act, classifica sistemas de IA em três faixas de risco — inaceitável, alto e baixo ou moderado —, com obrigações proporcionais. É o que mais se aproxima de um marco legal abrangente.

Só que ele não está sozinho. O deputado Romero Rodrigues (PODE/PB) apresentou em setembro de 2025 o PL 4358/2025, apensado ao projeto de Pacheco, que também propõe princípios, direitos e instrumentos de governança, mas com ênfase em fomento, sandboxes regulatórios e priorização de software livre em contratações públicas. Já o deputado João Daniel (PT/SE) protocolou em junho de 2025 o PL 2688/2025, que institui um Marco Regulatório próprio, aprovado na Comissão de Comunicação da Câmara em março de 2026. Três projetos, três abordagens, uma pergunta que insiste: afinal, que tipo de regulação o Brasil quer?

Para tornar o cenário ainda mais denso, o governo federal encaminhou ao Congresso, em dezembro de 2025, o projeto de Lei de Governança de IA no Setor Público. A proposta cria o Sistema Nacional para Desenvolvimento, Regulação e Governança de Inteligência Artificial (SIA) e estabelece a ANPD como autoridade competente para setores sem regulação própria. Exige, ainda, Relatório de Impacto Algorítmico para sistemas de alto risco usados pela administração pública. Em abril de 2026, o Ministério da Gestão publicou a Portaria MGI 3.485/2026, instituindo política interna de governança de IA — sinal de que o Executivo não espera o Legislativo para começar a se organizar.

A abordagem baseada em risco, comum aos três projetos, parece fazer sentido: sistemas de pontuação social, vigilância biométrica em massa e armas autônomas entrariam na faixa de risco inaceitável, simplesmente proibidos. Já sistemas usados em crédito, saúde, educação e justiça seriam considerados de alto risco, sujeitos a avaliação de impacto algorítmico, supervisão humana e documentação técnica. Chatbots e conteúdo gerado por IA teriam obrigações mais leves, basicamente de transparência.

Os direitos previstos são ambiciosos: informação prévia sobre interação com IA, explicação sobre decisões automatizadas, revisão humana, não-discriminação algorítmica e contestação. Um cidadão que tiver um pedido de crédito negado por algoritmo poderia exigir que um humano revise a decisão. Bonito no papel, mas a realidade é mais complexa.

O TSE, por exemplo, não esperou o Congresso. Em março de 2026, publicou resoluções que proíbem o uso de IA para criar conteúdo novo 72 horas antes das eleições, vedam recomendações de candidaturas por algoritmo e exigem identificação clara de materiais sintéticos. Foi uma resposta à constatação de que o processo eleitoral de 2026 já ocorreria sem um marco legal geral — e que deepfakes e desinformação algorítmica não tiram férias.

A ANPD aparece como a grande protagonista institucional da regulação. O PL 2338 a designa como autoridade competente, e o projeto do governo federal reforça esse papel. Mas a agência tem hoje cerca de 200 servidores para fiscalizar não apenas a LGPD em todo o país, mas também, potencialmente, todos os sistemas de IA em operação no Brasil. Para comparação, a autoridade irlandesa de proteção de dados, que fiscaliza as big techs na Europa, tem mais de 200 funcionários só para esse fim. A MP 1.317/2025 elevou a ANPD a agência independente e autorizou concurso para 200 novos servidores, mas a transição leva tempo.

Há questões que o texto legal, sozinho, não resolverá. Como exigir explicabilidade de modelos de caixa-preta que nem seus próprios desenvolvedores compreendem plenamente? As multas previstas — até R$ 50 milhões no PL 2338 — são suficientemente dissuasórias para big techs cujo faturamento global ultrapassa o PIB de muitos países? E como conciliar a proteção de segredos industriais com o direito à informação e à contestação?

O Brasil está na encruzilhada não porque falta projeto, mas porque sobram. Cada um carrega uma visão diferente sobre o equilíbrio entre inovação e proteção, entre regulação centralizada e autorregulação setorial, entre o modelo europeu e adaptações locais. A tramitação na Câmara pode fundir esses textos, pode escolher um como base ou pode produzir algo novo. O risco não é apenas de paralisia legislativa, mas de uma lei que chegue tarde, mal costurada ou incapaz de ser implementada.

Talvez a pergunta mais incômoda não seja qual projeto vai vencer, mas se o Brasil terá capacidade de fazer cumprir a regulação que escolher. De que adianta um catálogo de direitos se o cidadão não souber que eles existem — ou não tiver a quem recorrer?