XMACNA
Marco legal da IA para empresas (PL 2338): o que muda

Marco legal da IA para empresas (PL 2338): o que muda

O marco legal da IA (PL 2338) ainda não é lei: foi aprovado no Senado e tramita na Câmara. Mas já dá para se preparar — classificar usos por risco, registrar decisões e manter escalada humana.
Equipe XMACNA

9 min de leitura

Análise

Resposta direta: o marco legal da IA para empresas (PL 2338) ainda não é lei — foi aprovado no Senado e segue em análise na Câmara, com votação adiada em 2026. Não há nada para cumprir hoje. Mas o desenho do texto já permite se preparar agora: classificar usos por risco, registrar decisões automatizadas e manter escalada humana.

Antes de entrar na ficha do projeto, a pergunta que importa: por que isso muda uma decisão real sua, ainda este ano?

Porque a regra que vem aí não vai cobrar "use IA com responsabilidade" no abstrato. Vai cobrar prova. Prova de que você sabe quais sistemas de IA usa, prova de que registrou o que cada um decidiu sobre o seu cliente, e prova de que existe um humano responsável quando algo dá errado. Empresa que só liga uma ferramenta e esquece vai descobrir, na pior hora, que não tem como mostrar nada disso. Empresa que tratou IA como operação auditável desde o começo vai ter metade da lição de casa pronta.

Na XMACNA, operando mais de 600 Funcionários Digitais em produção atendendo cliente real todos os dias, a gente vê de perto a diferença entre os dois cenários. Quem opera IA com rastro dorme tranquilo. Quem opera no escuro tem um problema esperando para acontecer — com ou sem lei.

O que é o PL 2338 (e o que NÃO é, ainda)

O PL 2338/2023 é o projeto que pretende criar o marco legal da inteligência artificial no Brasil. Ele foi aprovado por unanimidade no plenário do Senado em 10 de dezembro de 2024 e desde então tramita na Câmara dos Deputados, onde uma Comissão Especial — relatada pelo deputado Aguinaldo Ribeiro (PP-PB) — analisa o texto e seus apensados.

Ponto crítico, sem alarmismo: ainda não é lei. O texto aprovado pelo Senado precisa passar pela Câmara e, se houver mudanças, voltar para revisão. A votação foi remarcada mais de uma vez: chegou a ser prevista para o fim de 2025, foi empurrada para 2026 e seguia sem data confirmada em meados do ano, em meio a impasses sobre direitos autorais e exceções em sistemas de alto risco. O presidente da Câmara condicionou o avanço a um alinhamento prévio com o Senado.

Ou seja: o calendário é incerto, mas a direção não é. Quem espera "virar lei" para começar a se organizar vai começar atrasado.

Como o texto está desenhado (espelho do modelo europeu)

O PL 2338 segue, em linhas gerais, a lógica do AI Act europeu. Os pontos estruturais mais relevantes para empresa:

  • Classificação por risco. Os usos de IA são separados por nível: risco excessivo (práticas proibidas), alto risco (obrigações fortes) e risco baixo ou moderado. A obrigação muda conforme o uso, não conforme a empresa.
  • Direitos de quem é afetado. Transparência (saber que está diante de uma IA), explicação (entender como uma decisão automatizada foi tomada) e contestação (poder questionar essa decisão).
  • Governança institucional. Previsão de um sistema nacional de regulação e governança de IA, com a ANPD em papel de coordenação.
  • Sanções. Penalidades que podem chegar a multas elevadas por infração, na casa das dezenas de milhões de reais.
  • Práticas proibidas. Manipulação subliminar e vigilância em massa, por exemplo.
  • Sandboxes regulatórios. Ambientes controlados para testar IA com supervisão.

Não decore os artigos. Decore a lógica: a lei vai perguntar "para que você usa IA, quem isso afeta e como você prova o que aconteceu".

Por que olhar a Europa ajuda a antecipar o Brasil

O AI Act europeu é o melhor espelho do que vem por aí, porque já está em vigor e mostra como as obrigações funcionam na prática. Vale acompanhar o marco regulatório europeu e o seu cronograma de implementação, inclusive porque os prazos têm se mostrado móveis.

Um detalhe importante e atualizado: as obrigações para sistemas de alto risco do Anexo III, previstas para 2 de agosto de 2026, devem ser adiadas para 2 de dezembro de 2027 — conforme um acordo político provisório de maio de 2026 sobre o pacote "Digital Omnibus", ainda pendente de adoção formal e publicação no Jornal Oficial da UE (a IA embarcada em produtos já regulados iria para agosto de 2028). A lição não é "relaxa, foi adiado". É o contrário: até a Europa, que largou na frente, está descobrindo que documentar, testar e auditar IA dá trabalho — e por isso precisou de mais tempo. Empresa que começa cedo não sofre com prazo.

A XMACNA já tratou disso em outro ângulo, no post sobre tirar a IA do piloto e colocar em produção de verdade: a parte difícil nunca é ligar o modelo, é operar com controle.

Compliance de IA para empresas: o checklist por design

A boa notícia para a PME: você não precisa de um departamento jurídico de IA. Precisa de cinco hábitos de operação, montados desde o início — "compliance by design". Cada um deles também melhora a operação, lei ou não lei.

  1. Classifique seus usos de IA por risco. Liste onde a IA aparece no seu negócio: atendimento, triagem de leads, cobrança, análise. Marque quais decisões afetam diretamente um cliente (crédito, agendamento, atendimento) — esses são os candidatos a "alto risco" e merecem mais cuidado.
  2. Documente e registre as decisões automatizadas. Para cada interação relevante, guarde o que foi decidido, quando, e com base em qual informação. Sem registro, não há explicação possível — e a lei pede explicação.
  3. Garanta o direito a explicação ao cliente. Se um cliente perguntar "por que recebi essa resposta / esse agendamento / essa negativa?", você precisa conseguir responder de forma compreensível, não só técnica.
  4. Mantenha um ponto de escalada humano. Sempre deve haver um caminho claro para um humano assumir — por decisão do cliente ou por gatilho do próprio sistema. IA que não sabe quando chamar gente é risco, não economia. A XMACNA já escreveu sobre por que a IA boa depende de julgamento humano, não o contrário.
  5. Revise fornecedores e contratos de IA. Pergunte aos seus fornecedores: vocês registram as decisões? Há rastro auditável? Quem é responsável? Se a resposta for vaga, o problema vai bater na sua porta, não na deles.

A tese da XMACNA: governança de execução já resolve metade

Aqui está o ponto que muda o jogo. A maior parte do que essa lei vai cobrar não é uma camada nova de burocracia — é consequência natural de operar IA que executa com rastro, em vez de IA que só conversa.

Quando o Funcionário Digital registra cada decisão no Painel Inteligente, você já tem o "documente as decisões automatizadas". Quando existe um ponto de escalada humano embarcado por padrão, você já tem o item 4. Quando há rastro do que o Funcionário Digital decidiu e por quê, você já tem a base do direito à explicação. Essa é a diferença entre um chatbot, que dá respostas e some, e um Funcionário Digital que executa e deixa histórico.

Na XMACNA, registro auditável e escalada humana não são "módulo premium": vêm embarcados nos Funcionários Digitais por padrão, nos mais de 600 que operam em produção hoje. Não porque uma lei mandou — porque operação séria precisa disso. A memória da operação importa pelo mesmo motivo, como a gente detalhou no post sobre CRM com memória operacional: sem histórico, não há prova nem aprendizado.

Quem montou a operação assim vai olhar para o marco legal da IA e perceber que metade do trabalho já estava feito.

FAQ

O marco legal da IA para empresas (PL 2338) já está valendo?

Não. O PL 2338 foi aprovado no Senado em dezembro de 2024 e ainda tramita na Câmara dos Deputados, com votação adiada várias vezes em 2026. Não é lei e não há obrigação a cumprir hoje. Mas o desenho do texto já permite se preparar.

O que muda no PL 2338 para a minha empresa quando virar lei?

A lei deve classificar usos de IA por risco e exigir transparência, registro de decisões automatizadas, direito a explicação ao cliente e um ponto de escalada humano. Quanto mais sensível a decisão (atender, agendar, cobrar, negar), mais cuidado e prova serão exigidos.

Quais as sanções previstas na lei de inteligência artificial no Brasil?

O texto prevê penalidades que podem chegar a multas na casa das dezenas de milhões de reais por infração, além de práticas proibidas como manipulação subliminar e vigilância em massa. Os detalhes ainda podem mudar na tramitação.

Como começar o compliance de IA para empresas sem virar um projeto gigante?

Comece pelos cinco hábitos: classificar usos por risco, registrar decisões, garantir explicação ao cliente, manter escalada humana e revisar fornecedores. Operar IA que executa com rastro auditável já entrega boa parte disso.

Preciso esperar a lei ser votada para me organizar?

Não. O calendário é incerto, mas a direção é clara e o esforço de documentar e auditar IA leva tempo — a própria Europa adiou prazos por isso. Quem começa cedo não corre atrás no fim.

Em resumo

  • O marco legal da IA para empresas (PL 2338) ainda não é lei: aprovado no Senado, em análise na Câmara, com votação adiada em 2026.
  • O texto segue o modelo europeu: classificação por risco, direitos de explicação e contestação, governança coordenada pela ANPD e sanções relevantes.
  • O AI Act europeu é o melhor espelho — e até ele adiou prazos de alto risco, prova de que documentar IA dá trabalho.
  • O caminho da PME é "compliance by design": classificar por risco, registrar decisões, garantir explicação, manter escalada humana e revisar fornecedores.
  • Governança de execução já resolve metade: registro auditável no Painel Inteligente, escalada humana embarcada e rastro do que o Funcionário Digital decidiu.
  • A XMACNA embarca registro e escalada por padrão nos mais de 600 Funcionários Digitais em operação — não é chatbot, é um Funcionário Digital que executa e deixa prova.

Quer saber se a sua operação de IA já está pronta para o que a lei vem cobrar? Faça o diagnóstico gratuito da XMACNA e descubra onde estão seus pontos cegos de registro e escalada. Para um plano de adequação sob medida, fale com a consultoria de IA da XMACNA.