O PL 2338 atravessou o Senado, dividiu o mercado e fez de Brasília o campo de batalha da IA no Brasil

O PL 2338/2023 nasceu no gabinete do senador Rodrigo Pacheco com 43 artigos. Saiu da Comissão Temporária Interna sobre Inteligência Artificial com 147 emendas, três substitutivos e uma pergunta que ninguém conseguiu responder em audiência pública: como regular uma tecnologia que muda mais rápido do que o processo legislativo?

Brasília é o único lugar do Brasil onde essa pergunta pode ser respondida — e o único onde a resposta vira lei. O Ministério da Ciência, Tecnologia e Inovação fica na Esplanada. O Tribunal de Contas da União, a cinco quadras. A Controladoria-Geral da União, a oito. O Congresso Nacional, no centro geométrico de tudo. A Autoridade Nacional de Proteção de Dados já opera no Setor de Autarquias Sul.

Num raio de três quilômetros, concentram-se todos os órgãos que vão decidir se o Brasil abraça a inteligência artificial como motor econômico ou a engessa com burocracia antes que ela gere o primeiro emprego.

A anatomia do PL 2338

O projeto adota o sistema de classificação por risco — inspirado no Regulamento Europeu de Inteligência Artificial, mas com adaptações para a realidade brasileira. Divide os sistemas de IA em quatro categorias.

Risco inaceitável: sistemas proibidos. Pontuação social tipo China. Manipulação subliminar que cause dano físico ou psicológico. Exploração de vulnerabilidades de grupos específicos. Identificação biométrica em tempo real em espaços públicos — com exceções para segurança pública, mediante autorização judicial.

Risco alto: sistemas permitidos, mas sob vigilância. Recrutamento e seleção de pessoal. Avaliação de crédito. Diagnóstico médico assistido. Veículos autônomos. Decisões judiciais assistidas por IA. Para operar nessa faixa, a empresa precisa de avaliação de impacto algorítmico, registro de operações, supervisão humana e mecanismo de contestação.

Risco limitado: chatbots, sistemas de recomendação, deepfakes. Obrigação principal: transparência. O usuário precisa saber que está interagindo com uma máquina.

Risco mínimo: filtros de spam, assistentes de digitação, autocompletar. Sem obrigação regulatória adicional.

| Categoria | Exemplos | Obrigações | |-----------|----------|------------| | Inaceitável | Pontuação social, manipulação subliminar | Proibido | | Alto | Crédito, RH, saúde, Judiciário | Impacto algorítmico + registro + supervisão | | Limitado | Chatbots, deepfakes, recomendação | Transparência ao usuário | | Mínimo | Spam filter, autocomplete | Nenhuma adicional |

As 147 emendas que revelam o campo de batalha

O volume de emendas conta uma história. Cada uma representa um lobby, um medo, uma ambição. Analisar as mais relevantes revela quem disputa o quê.

O setor financeiro pressionou para que modelos de crédito baseados em IA ficassem em "risco limitado", não em "risco alto". Perdeu. A versão final mantém crédito como alto risco — e exige explicabilidade das decisões. Um banco que nega empréstimo com base em algoritmo terá que explicar ao cliente, em linguagem acessível, quais variáveis pesaram.

O agronegócio conseguiu isenção parcial para IA embarcada em máquinas agrícolas. Tratores autônomos, drones de pulverização e sistemas de irrigação inteligente ficaram em "risco mínimo" se operarem em área rural delimitada sem interação com pessoas. Faz sentido: o risco de um drone pulverizando soja no Mato Grosso é diferente do risco de um carro autônomo no trânsito de São Paulo.

A indústria de tecnologia brigou pela autorregulação. Queria que as próprias empresas definissem seus sistemas de compliance, com auditoria externa apenas em caso de denúncia. Perdeu. O texto aprovado no Senado criou uma estrutura de fiscalização com auditorias obrigatórias para sistemas de alto risco.

Organizações da sociedade civil — do Instituto de Defesa do Consumidor ao InternetLab — pressionaram por direitos individuais. Conseguiram três inserções: direito à explicação de decisões automatizadas, direito à revisão humana e direito à não-discriminação algorítmica.

O fantasma europeu

O Regulamento Europeu de Inteligência Artificial entrou em vigor em agosto de 2024. Serviu de modelo para o PL 2338 — e de aviso.

As empresas americanas reclamaram. A Meta restringiu o lançamento de modelos na Europa. A OpenAI ameaçou sair. O Google adaptou produtos às pressas. O custo de compliance estimado pela Comissão Europeia para uma empresa de médio porte ficou entre 300 mil e 500 mil euros por sistema de alto risco.

O Brasil copiou a estrutura de risco, mas tentou aliviar o peso. O PL 2338 prevê tratamento diferenciado para micro e pequenas empresas: prazo estendido de adaptação, obrigações simplificadas e acesso a sandbox regulatório. A ideia é não sufocar startups brasileiras que estão começando a produzir IA.

A diferença crucial: a Europa regula um mercado que já produz IA de ponta. A DeepMind é britânica. A Mistral é francesa. A Aleph Alpha é alemã. O Brasil regula um mercado onde 90% da IA consumida é importada. O risco de regular antes de produzir é que a regulação se torne barreira de entrada para quem quer produzir — e barreira de saída para quem já consome.

| Aspecto | Regulamento Europeu (AI Act) | PL 2338/2023 (Brasil) | |---------|------------------------------|----------------------| | Categorias de risco | 4 níveis | 4 níveis (similar) | | Autoridade reguladora | AI Office (centralizada) | Estrutura distribuída (ANPD + setoriais) | | Multa máxima | 35 milhões de euros ou 7% receita | R$ 50 milhões ou 2% receita | | Sandbox regulatório | Previsto | Previsto, com foco em PMEs | | Prazo de adaptação | 6-36 meses por categoria | 12-24 meses (proposta) | | Biometria em tempo real | Proibida (exceções) | Proibida (exceções judiciais) |

Quem ganha e quem perde

O texto beneficia três grupos. Consumidores de serviços de IA ganham direitos que não existiam: explicação, revisão, não-discriminação. Grandes empresas com departamento jurídico robusto ganham previsibilidade — sabem exatamente o que cumprir. O governo ganha poder de fiscalização sobre um setor que operava em vácuo regulatório.

Perde quem é pequeno e ambicioso. Uma startup de Brasília que desenvolve IA para análise de crédito — classificada como alto risco — terá que bancar avaliação de impacto algorítmico, registrar operações, manter supervisão humana e oferecer canal de contestação. É compliance de banco aplicada a uma empresa com dez funcionários.

O argumento da indústria não é que a regulação é errada. É que o timing é ruim. Regular com mão pesada enquanto o ecossistema de IA nacional engatinha pode significar que só as Big Techs americanas terão capacidade de cumprir as exigências. A startup morre de burocracia. A Amazon adapta o formulário.

Brasília como arena física

A concentração geográfica importa. O PL 2338 não será regulamentado por um único órgão. A estrutura prevê atuação coordenada entre a Autoridade Nacional de Proteção de Dados (no papel de regulador principal), o MCTI (definição de padrões técnicos), o TCU (fiscalização de IA no setor público), o Conselho Nacional de Justiça (IA no Judiciário) e agências reguladoras setoriais (Anvisa para saúde, Banco Central para finanças, ANTT para transporte).

Todos em Brasília. Todos acessíveis a pé, de carro oficial ou de metrô. As reuniões interministeriais acontecem na Esplanada. Os lobbies operam no Setor Hoteleiro Norte. As audiências públicas enchem os auditórios do Senado.

Nenhuma outra capital do mundo concentra tantas instâncias decisórias de regulação de IA numa área tão compacta. É vantagem logística — e risco de captura. Quando todos os reguladores almoçam nos mesmos restaurantes que os lobistas, a fronteira entre consulta técnica e pressão política dissolve.

O que o mercado brasileiro pensa

A reação dividiu-se em dois campos previsíveis.

De um lado, a Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação defendeu a regulação como "sinal de maturidade institucional". O argumento: sem regras claras, investidores estrangeiros hesitam em alocar capital no Brasil para projetos de IA. A regulação gera segurança jurídica.

Do outro, a Associação Brasileira de Startups alertou que o custo de compliance pode inviabilizar empresas em estágio inicial. O pedido: que o sandbox regulatório seja amplo, que os prazos de adaptação sejam longos e que a classificação de risco seja revisável.

Entre os dois, a realidade: o Brasil precisa de regulação para proteger cidadãos de IA mal utilizada. O sistema de crédito brasileiro já usa algoritmos que decidem quem recebe empréstimo. O Judiciário usa IA para classificar processos. Hospitais do SUS testam IA para triagem. Nada disso tinha regra.

Os casos concretos que motivaram o projeto

O PL 2338 não nasceu de abstração filosófica. Nasceu de casos reais que expuseram o vácuo regulatório.

Em 2023, o Tribunal de Justiça de São Paulo identificou que um sistema de IA usado para distribuição de processos estava priorizando casos de determinados escritórios de advocacia. O algoritmo aprendeu o padrão dos próprios dados — escritórios maiores tinham mais processos, logo recebiam mais atenção do sistema. O viés não era intencional. Era estatístico. Não havia obrigação legal de auditar o sistema. Não havia mecanismo para o advogado prejudicado contestar.

O sistema de crédito do Serasa já operava com modelos de aprendizado de máquina antes do PL 2338. Consumidores negados não sabiam quais variáveis pesaram. A resposta padrão: "análise cadastral". Qual análise? Quais dados? Qual peso? Sem resposta. O PL 2338 muda isso — exige que a decisão algorítmica seja explicável ao consumidor afetado.

Na saúde, hospitais do SUS no Paraná testaram IA para triagem de emergência. O modelo classificava pacientes por gravidade com base em sinais vitais e histórico. Funcionou para perfis demográficos bem representados nos dados de treinamento. Para populações indígenas e quilombolas — sub-representadas no dataset — a acurácia caía. Sem obrigação de teste de viés, o sistema operou com essa falha por meses.

A questão da autoridade reguladora

Um dos debates mais acirrados nas audiências públicas foi sobre quem regula. O texto atribui papel central à Autoridade Nacional de Proteção de Dados — a ANPD. A escolha é pragmática: a ANPD já existe, já tem estrutura, já lida com dados pessoais que são o combustível da IA.

A crítica: a ANPD tem orçamento de R$ 37 milhões e menos de 200 funcionários. Regular proteção de dados já consome toda a capacidade. Adicionar regulação de inteligência artificial — que envolve auditorias técnicas, classificação de risco e fiscalização de algoritmos — exige investimento que o governo não sinalizou.

A alternativa seria criar uma agência reguladora dedicada. O custo estimado: R$ 200 milhões por ano, segundo cálculos do MCTI. Tempo para operacionalizar: 24 a 36 meses. O Brasil não tem nem o dinheiro nem o tempo.

A solução intermediária do PL 2338: a ANPD coordena, mas delega competências setoriais. O Banco Central regula IA financeira. A Anvisa regula IA médica. A ANTT regula IA em transporte. Cada regulador cuida do seu setor — com diretrizes gerais da ANPD.

É elegante no papel. Na prática, gera risco de fragmentação. Uma startup que desenvolve IA para análise de crédito e triagem médica responde a dois reguladores com critérios potencialmente diferentes. A coordenação entre agências, no Brasil, tem histórico de ser lenta e cheia de conflitos de competência.

O cronômetro legislativo

O PL 2338 passou pelo Senado. Seguiu para a Câmara dos Deputados, onde recebeu novas emendas e foi distribuído para três comissões. O trânsito não é rápido.

A pressão internacional acelera. O G20, presidido pelo Brasil no ano passado, incluiu governança de IA na declaração final. A OCDE — que o Brasil quer integrar — tem princípios de IA que o país precisa demonstrar que segue. Os Estados Unidos publicaram ordem executiva sobre IA. A China regulou deepfakes e algoritmos de recomendação.

O Brasil não pode se dar ao luxo de ser o último país do G20 a ter marco regulatório de inteligência artificial. Mas também não pode se dar ao luxo de aprovar uma lei que mate o ecossistema de IA nacional antes que ele se desenvolva.

| País / Bloco | Status da regulação de IA | Ano de vigência | |---------------|--------------------------|-----------------| | União Europeia | AI Act em vigor | 2024 | | China | Regulações setoriais (deepfake, algoritmos) | 2023 | | Estados Unidos | Ordem executiva + regulação estadual | 2023-2024 | | Canadá | AIDA (Artificial Intelligence and Data Act) | Em tramitação | | Brasil | PL 2338/2023 | Em tramitação | | Índia | Sem marco legal específico | — |

O equilíbrio que Brasília precisa encontrar

A regulação de inteligência artificial não é binária. Não se resolve com "regular tudo" ou "não regular nada". O desafio é calibrar — e a calibragem precisa ser dinâmica, porque a tecnologia muda a cada trimestre.

O texto do PL 2338 tenta esse equilíbrio. O sandbox regulatório é a válvula de alívio para startups. O tratamento diferenciado para PMEs é o reconhecimento de que a regulação não pode ser one-size-fits-all. A revisão periódica da classificação de risco é a admissão de que o legislador não sabe o que a IA vai ser capaz de fazer em três anos.

O risco real não é a lei em si. É a regulamentação. O PL 2338 é um marco — uma moldura. Os decretos, portarias e resoluções que vierem depois vão determinar se a moldura acomoda inovação ou a estrangula.

O contribuinte brasileiro financia MCTI, TCU, CGU, ANPD, Congresso — todos sentados na mesma cidade, a poucos quilômetros uns dos outros. A infraestrutura institucional existe. O que falta é vontade de calibrar a regulação com precisão cirúrgica: pesada onde o risco é real, leve onde o risco é teórico.

Brasília decidirá. Como sempre.