Regulação de IA no Brasil: PL 2.338/2023 e comparação com o EU AI Act

I.               Objeto e escopo

Este artigo tem por objetivo: (I) apresentar o status e a arquitetura normativa do Projeto de Lei nº 2.338/2023, principal proposta de marco legal de Inteligência Artificial (IA) em tramitação no Brasil; (II) explicar como o Projeto de Lei (PL) estrutura a regulação a partir de classificação de riscos, com obrigações proporcionais; e (III) comparar essa lógica com o European Union (EU) AI Act (Regulamento (UE) 2024/1689).

II.              Status da regulação de IA no Brasil

Atualmente, o Brasil ainda não possui uma lei geral de IA promulgada e em vigor equivalente ao EU AI Act. O principal texto em discussão é o PL nº 2.338/2023, que já foi aprovado pelo Senado Federal e segue em tramitação na Câmara dos Deputados.

O PL nº 2.338/2023 pretende instituir um marco legal abrangente para o desenvolvimento, disponibilização e uso de sistemas de IA no Brasil, com ênfase na proteção de direitos fundamentais, transparência, responsabilização, além de prever instrumentos de governança e fiscalização aplicáveis ao ciclo de vida desses sistemas.

Em paralelo, a discussão regulatória sobre IA no Brasil se apoia em um arcabouço já existente e relevante, especialmente a LGPD, que disciplina aspectos diretamente relacionados ao tema, como o tratamento automatizado de dados pessoais e as decisões automatizadas. Nesse contexto, a ANPD também tem contribuído para o amadurecimento técnico-regulatório do debate, por meio de iniciativas e consultas voltadas a orientar a interpretação e a aplicação desses temas no país.

III.            O eixo central do PL 2.338/2023: regulação baseada em risco

O PL nº 2.338/2023 adota uma lógica de classificação e gestão de risco: quanto maior a probabilidade e a gravidade de impactos adversos (especialmente sobre direitos fundamentais, integridade, igualdade e não discriminação), maiores as obrigações de governança, transparência, documentação, monitoramento e controle.

De forma sintética, o PL nº 2.338/2023 opera com duas categorias regulatórias:

1. Risco excessivo (vedado/proibido); e

2. Alto risco (permitido, porém sujeito a obrigações reforçadas).

   
   

Sobre o risco excessivo, o PL nº 2.338/2023 tipifica hipóteses de vedação para usos considerados incompatíveis com proteção de direitos fundamentais. Entre essas hipóteses, destaca-se a vedação de identificação biométrica à distância, em tempo real, em espaços acessíveis ao público, com exceções restritas e condicionadas. Como exemplo dessas exceções, podemos mencionar os casos de investigação/inquérito com autorização judicial motivada; busca de desaparecidos; hipóteses de flagrante em crimes com pena superior a 2 anos; recaptura e cumprimento de mandados, além de exigências de proporcionalidade, necessidade e controle judicial.

Em relação ao alto risco, o PL nº 2.338/2023 define como “alto risco” sistemas de IA empregados em finalidades e contextos que podem afetar significativamente direitos e acesso a serviços essenciais. A lista inclui, por exemplo:

• infraestrutura crítica (segurança e funcionamento),

• educação (seleção/avaliações determinantes),

• emprego (recrutamento, triagem, decisões de promoção/demissão, avaliação),

• acesso a serviços essenciais (critérios de elegibilidade/concessão/revisão/revogação),

• justiça (apoio à investigação/aplicação da lei com risco a liberdades),

• saúde (diagnósticos/procedimentos com risco relevante),

• e hipóteses com biometria (o PL nº 2.338/2023 inclui como alto risco os sistemas que utilizam identificação ou autenticação biométrica para reconhecimento de emoções. Por outro lado, não se enquadram nesse item os sistemas de autenticação biométrica cujo propósito seja exclusivamente confirmar a identidade de uma pessoa específica).

  
  

Ademais, o PL nº 2.338/2023 autoriza o Poder Executivo a estabelecer o Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA) (art. 45), concebido como um arranjo institucional para coordenar a regulação e a governança de IA no país. Nos termos do §1º, o SIA é integrado por diferentes órgãos, com destaque para a ANPD, indicada como autoridade competente que coordenará o sistema, funcionando como ponto central de articulação com autoridades setoriais e de consolidação de diretrizes.

No âmbito desse modelo, o PL nº 2.338/2023 admite que o SIA possa regulamentar e atualizar as listas e classificações de risco previstas no próprio projeto para acomodar a evolução tecnológica e novos casos de uso. Em termos práticos, isso significa a possibilidade de incluir, detalhar ou reclassificar aplicações como alto risco (ou em outros níveis) com base em critérios como o potencial de produzir efeitos juridicamente relevantes, a gravidade de danos materiais ou morais, o risco discriminatório, o impacto sobre grupos vulneráveis, a reversibilidade dos danos, o nível de transparência e auditabilidade, o risco sistêmico e impactos sobre saúde integral e crianças e adolescentes.

I.               O que um agente de IA de “alto risco” deve fazer diferente de um de “risco excessivo”

A distinção entre alto risco e risco excessivo no PL 2.338/2023 é estrutural e se traduz em consequências regulatórias distintas.

Nos casos classificados como risco excessivo, a regra é a vedação do desenvolvimento, disponibilização ou uso do sistema, admitindo-se apenas exceções expressas e estritas quando previstas no próprio texto legal -, por exemplo, como apontado acima, hipóteses específicas relacionadas à identificação biométrica remota em tempo real em espaços públicos.

Já nos casos de alto risco, o PL nº 2.338/2023 não estabelece uma proibição, mas condiciona a utilização do sistema ao cumprimento de um conjunto robusto de obrigações de governança e gestão de riscos. Em termos práticos, isso envolve: assegurar direitos das pessoas afetadas (como explicação, contestação e possibilidade de revisão), implementar controles e procedimentos internos (documentação, rastreabilidade, testes e monitoramento), realizar avaliação e mitigação de riscos ao longo do ciclo de vida, e manter supervisão humana e transparência compatíveis com o impacto do sistema.

Em síntese, “risco excessivo” corresponde a uma lógica de proibição e contenção (“não realizar o uso”), enquanto “alto risco” corresponde a uma lógica de autorização condicionada, na qual o uso é possível, porém apenas mediante controles, evidências e prestação de contas proporcionais ao potencial de impacto.

I.               Comparação com o EU AI Act

O EU AI Act também adota uma abordagem baseada em risco, descrita em quatro categorias: (i) práticas proibidas (“risco inaceitável”), (ii) alto risco, (iii) risco limitado e (iv) risco mínimo. Essa segmentação permite ajustar o nível de exigência regulatória conforme o impacto potencial do sistema. Em especial, sistemas classificados como alto risco ficam sujeitos a requisitos mais rigorosos de conformidade e governança, como gestão de riscos, governança de dados, documentação técnica, rastreabilidade e supervisão humana, entre outros mecanismos voltados a assegurar transparência e controle.

O PL nº 2.338/2023 também se estrutura a partir de uma lógica risk-based, ao estabelecer obrigações proporcionais ao risco e ao impacto potencial das aplicações de IA. Contudo, não reproduz a mesma arquitetura de quatro categorias do EU AI Act. Em termos gerais, o PL nº 2.338/2023 brasileiro concentra o núcleo do regime em hipóteses vedadas por “risco excessivo” e em um conjunto de exigências reforçadas para sistemas de “alto risco”, além de princípios e deveres transversais aplicáveis de forma mais ampla. Assim, embora os modelos não sejam idênticos na forma, verifica-se convergência quanto ao eixo estruturante: tanto o EU AI Act quanto o PL nº 2.338/2023 adotam uma lógica de regulação baseada em risco, na qual as obrigações e salvaguardas se tornam progressivamente mais exigentes à medida que aumenta o potencial de impacto do sistema.

II.              Conclusão

Em síntese, o PL nº 2.338/2023 constitui o principal vetor de consolidação de um marco legal de IA no Brasil, ainda em fase de deliberação legislativa. O projeto organiza o regime regulatório a partir de uma lógica baseada em risco, distinguindo entre hipóteses de “risco excessivo”, sujeitas à vedação (com exceções expressas e estritas), e hipóteses de “alto risco”, cujo uso é admitido sob um conjunto reforçado de obrigações de governança e gestão de riscos. No plano comparativo, o EU AI Act também se estrutura sobre um paradigma risk-based e adota uma segmentação mais detalhada de categorias.

Portanto, apesar dessa diferença de segmentação, há convergência no ponto central, em ambos os modelos, e as obrigações aumentam conforme cresce o potencial de risco e impacto do sistema.