A inteligência artificial no Brasil já opera em múltiplos setores, porém sua regulamentação ainda se encontra em consolidação legislativa e regulatória.
Atualmente, a inteligência artificial no Brasil não possui um marco legal específico em vigor, embora o debate esteja avançado no Congresso Nacional por meio do PL 2338/2023.
Paralelamente, normas setoriais e a LGPD já produzem efeitos concretos sobre sistemas de IA, especialmente quando envolvem dados pessoais.
Nesse cenário, a inteligência artificial no Brasil articula três eixos principais: projetos legislativos em tramitação, regulação transversal pela LGPD e diretrizes institucionais, como as editadas pelo CNJ para o Judiciário.
Dessa forma, compreender o panorama atual exige leitura integrada dessas fontes normativas.
- O que significa “regulamentação de IA” no contexto brasileiro
- Diferença entre lei geral (marco) e normas setoriais (judiciário, dados, consumo)
- Situação atual do PL 2338/2023 (marco legal de IA)
- Aprovação no Senado e envio à Câmara (linha do tempo)
- Tramitação na Câmara: Comissão Especial e status de parecer do relator
- Temas estruturantes do texto: centralidade da pessoa humana, risco, responsabilização e governança
- Proposta do Executivo para governança nacional de IA (SIA) e papel da ANPD
- O que é o SIA e como se conecta ao debate do marco legal
- Autoridade competente e coordenação com reguladores setoriais
- IA e proteção de dados: o que já vale hoje (LGPD + atuação da ANPD)
- LGPD como base transversal para treinamento, uso e compartilhamento de dados
- IA no Judiciário: normas do CNJ e deveres de governança
- Resolução CNJ 332/2020
- Resolução CNJ 615/2025
- Recomendações profissionais para a advocacia (OAB)
- Riscos jurídicos mais comuns e como o compliance mitiga
- Falta de transparência, vieses, erro material e “alucinação” em outputs
- Responsabilização civil/consumidor e deveres de informação (quando aplicável)
- Trilha de auditoria: documentação de decisões e governança (boa prática)
- Perguntas frequentes (FAQ)
- Conclusão
O que significa “regulamentação de IA” no contexto brasileiro
A expressão “regulamentação da inteligência artificial no Brasil” não se limita à criação de uma lei geral. Ela envolve a construção de um ecossistema normativo que combina princípios constitucionais, proteção de dados, normas administrativas e possíveis obrigações específicas para desenvolvedores e usuários.
Desde logo, o ordenamento brasileiro já contém fundamentos aplicáveis à IA. A Constituição Federal, no art. 5º, X, protege a intimidade e a vida privada, elementos frequentemente impactados por sistemas automatizados.
X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
No plano infraconstitucional, a LGPD estabelece regras sobre tratamento de dados pessoais, inclusive por meios automatizados.
O art. 6º da LGPD estabelece princípios que orientam todo tratamento de dados pessoais, inclusive quando realizado por sistemas de inteligência artificial no Brasil.
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
O princípio da finalidade exige que o uso dos dados ocorra para propósitos legítimos, específicos e informados ao titular.
Assim, quando um sistema de IA utiliza dados para treinamento ou geração de respostas, a organização deve demonstrar que esse uso corresponde à finalidade previamente informada.
Além disso, o princípio da necessidade, previsto no mesmo artigo, determina que o tratamento se limite ao mínimo de dados indispensáveis para atingir o objetivo declarado.
No contexto da IA, isso significa que a coleta massiva e indiscriminada de dados para treinamento pode demandar justificativa técnica e jurídica consistente.
Já o princípio da transparência, também previsto no art. 6º da LGPD, exige que o titular receba informações claras sobre o tratamento de seus dados.
Quando decisões automatizadas interferem em direitos ou interesses, a organização deve informar a lógica envolvida, sempre que possível, dentro dos limites técnicos e de segurança.
Por sua vez, o art. 20 da LGPD assegura ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. (Redação dada pela Lei nº 13.853, de 2019)
Esse dispositivo dialoga diretamente com sistemas de IA que realizam classificação, análise de perfil ou decisões automatizadas.
Com isso, se um modelo algorítmico negar crédito, classificar risco ou gerar decisão com impacto relevante, o titular pode requerer reavaliação humana.
Diferença entre lei geral (marco) e normas setoriais (judiciário, dados, consumo)
Uma lei geral de IA tende a estabelecer princípios estruturantes, classificação de riscos, deveres de governança e regras de responsabilização.
Em contraste, normas setoriais regulam aplicações específicas. A LGPD disciplina o tratamento de dados. O Código de Defesa do Consumidor pode incidir quando sistemas de IA afetam relações de consumo, especialmente quanto ao dever de informação previsto no art. 6º, III, do CDC.
Art. 6º São direitos básicos do consumidor:
III – a informação adequada e clara sobre os diferentes produtos e serviços, com especificação correta de quantidade, características, composição, qualidade, tributos incidentes e preço, bem como sobre os riscos que apresentem; (Redação dada pela Lei nº 12.741, de 2012) Vigência
No Judiciário, o CNJ editou a Resolução 332/2020, que dispõe sobre ética, transparência e governança na produção e uso de IA no Poder Judiciário.
Dessa forma, a regulamentação da inteligência artificial no Brasil já opera de forma fragmentada e transversal, enquanto o Congresso debate um marco legal unificado.
Situação atual do PL 2338/2023 (marco legal de IA)
O PL 2338/2023 configura, até o momento, a principal proposta legislativa voltada à consolidação de um marco regulatório específico para a inteligência artificial no Brasil.
O projeto busca estruturar um regime jurídico próprio para sistemas de IA, com definição de princípios, classificação de riscos e imposição de deveres proporcionais ao impacto potencial da tecnologia.
A proposta não surge em vazio normativo. Ela dialoga com fundamentos constitucionais, especialmente com a dignidade da pessoa humana, e com a igualdade e proteção contra discriminações.
Assim, o texto procura estabelecer parâmetros que harmonizem inovação tecnológica e proteção de direitos fundamentais.
Ademais, o projeto incorpora lógica regulatória baseada em risco, semelhante à adotada em modelos internacionais.
Em vez de proibir ou liberar indiscriminadamente a tecnologia, o texto propõe gradação de obrigações conforme o potencial de impacto do sistema.
Aprovação no Senado e envio à Câmara (linha do tempo)
O PL 2338/2023 foi aprovado no Senado Federal após debates envolvendo governança, responsabilização e desenvolvimento tecnológico responsável.
Durante a tramitação, o texto recebeu substitutivos e ajustes voltados à consolidação de um modelo regulatório equilibrado entre incentivo à inovação e mitigação de riscos.
Após a aprovação no Senado, o projeto foi encaminhado à Câmara dos Deputados, conforme procedimento legislativo.
Esse encaminhamento indica que o marco legal ainda não se encontra em vigor, pois depende de deliberação da Câmara e posterior sanção presidencial.
Portanto, a inteligência artificial no Brasil permanece, até o momento, regulada principalmente por normas setoriais e pela LGPD, enquanto o projeto de lei segue em debate legislativo.
Tramitação na Câmara: Comissão Especial e status de parecer do relator
Na Câmara dos Deputados, o projeto passou a tramitar sob análise técnica em comissões competentes ou em comissão especial dedicada ao tema, conforme a organização interna da Casa.
O relator apresentou parecer com ajustes pontuais, especialmente quanto à definição de sistemas de alto risco, critérios de avaliação de impacto e parâmetros de responsabilização civil.
Essas alterações demonstram que o texto ainda se encontra em fase de maturação legislativa. A tramitação pode resultar em modificações substanciais, inclusive na arquitetura institucional proposta para governança nacional de IA.
Sendo assim, o conteúdo final do marco legal poderá divergir da versão aprovada no Senado, dependendo das deliberações parlamentares.
Temas estruturantes do texto: centralidade da pessoa humana, risco, responsabilização e governança
O PL 2338/2023 adota abordagem estruturada em quatro eixos centrais: proteção da pessoa humana, classificação de risco, governança e responsabilização.
A centralidade da pessoa humana aparece como fundamento normativo do projeto. Esse princípio orienta a interpretação das obrigações impostas a desenvolvedores e usuários de sistemas de IA.
A classificação de risco constitui elemento organizador do regime jurídico. Sistemas considerados de alto risco estariam sujeitos a deveres mais rigorosos, como:
- avaliação prévia de impacto algorítmico;
- documentação técnica detalhada;
- mecanismos de supervisão humana;
- registro e monitoramento contínuo.
Essa lógica aproxima-se da ideia de proporcionalidade regulatória, segundo a qual maior potencial de dano pode justificar maior exigência de controle.
Em matéria de responsabilização, o projeto discute critérios para imputação de responsabilidade considerando o grau de controle exercido sobre o sistema, a previsibilidade do dano e a participação na cadeia de desenvolvimento ou uso.
Portanto, o PL 2338/2023 não apenas propõe regras isoladas. Ele tenta estruturar um ecossistema regulatório para a inteligência artificial no Brasil, articulando proteção de direitos fundamentais, incentivo à inovação e mecanismos de mitigação de risco.
Proposta do Executivo para governança nacional de IA (SIA) e papel da ANPD
Paralelamente ao debate legislativo, o Executivo apresentou propostas relacionadas ao Sistema Nacional de Regulação e Governança de Inteligência Artificial, frequentemente referido como SIA.
O que é o SIA e como se conecta ao debate do marco legal
O SIA busca estruturar coordenação entre autoridades reguladoras e estabelecer padrões nacionais de governança.
Essa proposta dialoga com o PL 2338/2023, pois ambos tratam de avaliação de risco, supervisão e definição de autoridade competente.
A consolidação desse sistema dependeria de articulação entre órgãos já existentes.
Autoridade competente e coordenação com reguladores setoriais
A ANPD, criada pela LGPD e estruturada nos arts. 55-A a 55-K LGPD, pode assumir papel relevante na supervisão de sistemas que envolvam dados pessoais.
Art. 55-A. Fica criada a Agência Nacional de Proteção de Dados – ANPD, autarquia de natureza especial vinculada ao Ministério da Justiça e Segurança Pública, dotada de autonomia funcional, técnica, decisória, administrativa e financeira, com patrimônio próprio e com sede e foro no Distrito Federal, nos termos do disposto na Lei nº 13.848, de 25 de junho de 2019. (Redação dada pela Medida Provisória nº 1.317, de 2025)
O art. 55-J da LGPD atribui à ANPD competência para zelar pela proteção de dados e aplicar sanções administrativas.
Entretanto, a eventual designação da ANPD como autoridade central de IA dependerá de definição legislativa expressa.
Assim, a governança da inteligência artificial no Brasil tende a envolver coordenação entre a ANPD, reguladores setoriais e, possivelmente, órgão específico previsto no marco legal.
IA e proteção de dados: o que já vale hoje (LGPD + atuação da ANPD)
Embora o marco legal específico da inteligência artificial no Brasil ainda esteja em tramitação, a LGPD já produz efeitos concretos sobre sistemas que envolvem tratamento de dados pessoais.
Na prática, sempre que um modelo de IA coleta, treina, organiza, classifica ou compartilha dados identificáveis, aplica-se o regime jurídico da proteção de dados.
Desde logo, o art. 5º, X, da LGPD define tratamento como toda operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação e utilização.
Assim, o treinamento de modelos com dados pessoais pode se enquadrar como atividade sujeita às regras legais.
LGPD como base transversal para treinamento, uso e compartilhamento de dados
O uso de IA frequentemente envolve grande volume de dados estruturados e não estruturados. Quando esses dados permitem identificar pessoas naturais, ainda que indiretamente, a LGPD tende a incidir.
O art. 7º da LGPD exige base legal para o tratamento. Portanto, empresas que utilizam IA precisam identificar fundamento jurídico adequado, como consentimento, cumprimento de obrigação legal, execução de contrato ou legítimo interesse, conforme o caso concreto.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019)
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Ademais, o art. 20 da LGPD assegura ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.
Esse dispositivo assume relevância direta na regulação da inteligência artificial no Brasil, sobretudo quando sistemas produzem decisões com impacto jurídico ou econômico.
Outro ponto sensível envolve dados sensíveis, definidos no art. 5º, II, da LGPD. O tratamento desses dados exige hipóteses específicas previstas no art. 11 da LGPD, o que pode elevar o nível de risco regulatório.
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Portanto, mesmo na ausência de lei geral de IA, a inteligência artificial no Brasil já se submete a regime robusto quando envolve dados pessoais.
IA no Judiciário: normas do CNJ e deveres de governança
No âmbito institucional, a inteligência artificial no Brasil também recebe disciplina específica no Poder Judiciário por meio de atos normativos do Conselho Nacional de Justiça.
Resolução CNJ 332/2020
A Resolução CNJ 332/2020 dispõe sobre ética, transparência e governança na produção e uso de IA no Poder Judiciário.
O ato normativo estabelece diretrizes para desenvolvimento e utilização de sistemas automatizados, exigindo observância a princípios como transparência, explicabilidade e supervisão humana.
Além disso, a resolução determina que o uso de IA não substitui a decisão judicial, preservando a responsabilidade do magistrado.
Esse modelo reforça a ideia de que a inteligência artificial no Brasil, ao menos no Judiciário, deve operar como ferramenta de apoio, não como substituta da função jurisdicional.
Resolução CNJ 615/2025
Posteriormente, o CNJ editou a Resolução 615/2025, que atualizou diretrizes de governança e estabeleceu parâmetros mais detalhados para gestão de riscos associados a sistemas de IA.
A norma enfatiza a necessidade de avaliação prévia de impacto, documentação técnica e monitoramento contínuo do desempenho dos sistemas.
Ainda, reforça deveres de transparência e prestação de contas, alinhando-se à lógica de governança defendida no debate sobre o PL 2338/2023.
Assim, mesmo antes da aprovação de um marco geral, a inteligência artificial no Brasil já convive com regras específicas no Judiciário, especialmente quanto à ética, supervisão e gestão de risco.
Recomendações profissionais para a advocacia (OAB)
A consolidação da inteligência artificial no Brasil também alcança a prática jurídica cotidiana. Ainda que não exista lei geral específica em vigor, a advocacia já se submete a parâmetros éticos e normativos que podem incidir sobre o uso de sistemas automatizados.
O Estatuto da Advocacia estabelece, no art. 2º, que o advogado exerce função indispensável à administração da justiça.
Art. 2º O advogado é indispensável à administração da justiça.
§ 1º No seu ministério privado, o advogado presta serviço público e exerce função social.
§ 2º No processo judicial, o advogado contribui, na postulação de decisão favorável ao seu constituinte, ao convencimento do julgador, e seus atos constituem múnus público.
§ 2º-A. No processo administrativo, o advogado contribui com a postulação de decisão favorável ao seu constituinte, e os seus atos constituem múnus público. (Incluído pela Lei nº 14.365, de 2022)
§ 3º No exercício da profissão, o advogado é inviolável por seus atos e manifestações, nos limites desta lei.
Além disso, o art. 34 do Estatuto prevê infrações disciplinares relacionadas à violação de sigilo profissional.
Nesse contexto, a utilização de ferramentas de IA pode exigir cautela redobrada quanto à confidencialidade e à proteção de dados.
Riscos jurídicos mais comuns e como o compliance mitiga
A expansão da inteligência artificial no Brasil amplia oportunidades, porém também introduz riscos regulatórios, contratuais e reputacionais.
A abordagem de compliance não elimina totalmente a exposição jurídica, mas pode reduzir a probabilidade de falhas estruturais.
Falta de transparência, vieses, erro material e “alucinação” em outputs
Sistemas de IA generativa podem produzir respostas imprecisas ou referenciar normas inexistentes. Em determinados contextos, tal situação pode gerar risco contratual ou responsabilidade civil.
O dever de informação previsto no art. 6º, III, do Código de Defesa do Consumidor pode incidir quando empresas utilizam IA em relações de consumo.
Sendo assim, a implementação de revisão humana obrigatória e auditoria interna pode mitigar riscos associados à automação decisória.
Responsabilização civil/consumidor e deveres de informação (quando aplicável)
O art. 927 do Código Civil prevê que aquele que causa dano a outrem pode responder por reparação, nos termos da lei.
Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. (Vide ADI nº 7055) (Vide ADI nº 6792)
Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.
Quando um sistema de IA gera erro material que cause prejuízo concreto, pode surgir discussão sobre responsabilidade do desenvolvedor, do fornecedor ou do usuário profissional.
A análise dependerá da natureza da relação jurídica, da previsibilidade do dano e do nível de controle exercido sobre o sistema.
Portanto, a inteligência artificial no Brasil demanda avaliação contratual cuidadosa, especialmente quanto à alocação de riscos.
Trilha de auditoria: documentação de decisões e governança (boa prática)
A documentação das decisões técnicas pode fortalecer a demonstração de diligência.
Relatórios internos, avaliação de risco, registro de versões de modelos e políticas de revisão humana tendem a evidenciar governança adequada.
Ainda que tais medidas não afastem automaticamente a responsabilidade, podem contribuir para demonstrar conformidade com princípios como o da responsabilização previsto no art. 6º, X, da LGPD.
Perguntas frequentes (FAQ)
Já existe “lei de IA” em vigor no Brasil?
Até o momento, não há lei geral específica sobre inteligência artificial no Brasil em vigor. O PL 2338/2023 encontra-se em tramitação legislativa.
Entretanto, normas como a LGPD (Lei 13.709/2018) e atos do CNJ já produzem efeitos regulatórios indiretos.
O que muda com o PL 2338/2023 se for aprovado?
Caso aprovado nos termos atualmente debatidos, o PL 2338/2023 poderá instituir classificação de risco, obrigações de governança, deveres de transparência e critérios de responsabilização proporcionais ao impacto do sistema.
O texto ainda pode sofrer alterações até sua eventual sanção.
ANPD pode fiscalizar projetos de IA?
A ANPD, com fundamento nos arts. 55-A a 55-K da LGPD, pode fiscalizar tratamentos de dados pessoais realizados por sistemas de IA.
Assim, sempre que houver uso de dados pessoais, a autoridade pode exercer competência regulatória.
Conclusão
A inteligência artificial no Brasil encontra-se em fase de consolidação regulatória, combinando projetos legislativos, aplicação transversal da LGPD, diretrizes do CNJ e possíveis estruturas de governança nacional.
Embora ainda não exista marco geral em vigor, o ordenamento jurídico já impõe deveres relevantes relacionados à proteção de dados, transparência e responsabilidade.
Dessa forma, a adoção de políticas de governança, avaliação de risco e documentação técnica tende a posicionar empresas e escritórios de forma mais segura diante do cenário regulatório em evolução.
