O Projeto de Lei 2.338/2023 foi desenhado na tentativa de proteger direitos, não para equilibrar o fomento à inovação no mercado brasileiro de inteligência artificial. A distinção pode parecer técnica, mas produz efeitos concretos. Ao optar por uma regulação baseada em riscos, o texto deixa em aberto questões estratégicas para o desenvolvimento nacional, como a ampliação da infraestrutura digital instalada no Brasil, o fortalecimento da autonomia tecnológica do país e a construção de uma política industrial voltada à inteligência artificial. Aprovado pelo Senado em dezembro de 2024 e em tramitação na Câmara desde março de 2025, o projeto avança em governança sem responder quem desenvolverá IA no Brasil e em quais condições.
A proposta classifica os sistemas de IA em quatro categorias: risco excessivo (proibidos); alto risco; risco limitado; e risco mínimo. Quanto mais alto o risco, mais pesadas as obrigações de conformidade, auditoria e transparência. Esse modelo progressivo é defendido por Ana Frazão, advogada especialista em direito concorrencial e novas tecnologias que integrou a Comissão de Juristas do Senado responsável pelo anteprojeto que originou o PL.
“A lógica de escalonamento pelo risco cria obrigações mais rígidas para os chamados riscos altos e, ao mesmo tempo, exigências menos rigorosas para as categorias classificadas como de médio risco , de maneira que as novas empresas que quiserem entrar nas áreas de menor risco terão condições de fazê-lo com maior facilidade”, explica.
Este é o quinto texto de uma série de conteúdos publicados pelo JOTA com patrocínio da OpenAI para discutir a regulamentação da inteligência artificial sob diferentes ângulos. Leia mais na cobertura completa.
Apesar da avaliação positiva, Frazão pondera, no entanto, que o porte do desenvolvedor não elimina o risco do produto. “Mesmo um pequeno agente, dependendo do tipo de inteligência artificial que ele desenvolve ou disponibiliza para o mercado, pode gerar danos excessivos. Ainda que a regulação possa representar uma dificuldade adicional para agentes menores, não parece haver muitas alternativas para lidar com riscos dessa magnitude.”
A pesquisadora Natasha Nóvoa, da área de Plataformas e Mercados Digitais do Data Privacy Brasil, oferece um contraponto prático. Para ela, a proporcionalidade pelo risco não elimina a assimetria de mercado: independentemente do nível de obrigações, o processo de adequação a um novo regime regulatório envolve investimentos em estrutura jurídica, tecnologia e processos internos – valores que tendem a pesar mais sobre empresas menores. “É difícil falar que empresas menores têm condições de lidar com a regulação por causa dos investimentos e do curto prazo”, diz.
Além disso, parte do mercado que esperava que a regulação abrisse espaço para uma política industrial voltada ao setor encontrou uma regulação focada em riscos, e não em incentivos. Para Frazão, o projeto não foi pensado para atender essas necessidades. “O PL não trata disso diretamente e não me parece que deveria fazê-lo no momento”, diz. Segundo ela, o caminho exige iniciativas de outra natureza. “É necessária uma série de outras iniciativas estatais de incentivo, de pesquisa e desenvolvimento, de políticas industriais.” Essas iniciativas, até agora, não existem.
Nesse sentido, uma das iniciativas que gerou expectativa foi o Projeto de Lei 278/2026, que criaria o Regime Especial de Data Centers (Redata). A política de incentivo previa a suspensão de impostos para estimular investimentos em infraestrutura digital no país. Para o setor de tecnologia, a medida foi considerada essencial para ampliar a capacidade tecnológica e atrair investimentos em data centers.
“Tem muitos investimentos que estão parados aguardando o Redata, o próprio setor já fala. O Redata traz uma competitividade para o Brasil para além daquela que nós já temos”, afirmou o secretário de Desenvolvimento Industrial e Inovação do MDIC, Uallace Lima, em entrevista concedida anteriormente ao JOTA. Embora a Câmara dos Deputados tenha aprovado o projeto que institui o regime, a Medida Provisória que criou o Redata perdeu a validade após não ser analisada pelo Senado dentro do prazo constitucional, e a continuidade dos incentivos depende da aprovação de um projeto de lei pelo Congresso.
A discussão sobre infraestrutura, aliás, ajuda a explicar outra limitação apontada por especialistas no debate regulatório. Nóvoa avalia que o próprio processo de elaboração do PL de IA carece de uma participação mais ampla de profissionais com conhecimento técnico sobre infraestrutura digital, computação em nuvem e modelos de base.
Conheça o Estúdio JOTA e as soluções para fortalecer a presença de marcas nos debates públicos
Avaliação semelhante foi feita por Ronaldo Lemos, um dos idealizadores do Marco Civil da Internet, durante painel no Web Summit Rio, na última terça-feira (9/6). Segundo o advogado, o debate atual contrasta com o processo que resultou na aprovação do Marco Civil da Internet, em 2014 – construído a partir de consultas públicas abertas e ampla participação da sociedade. “Tenho muita saudade daquele processo. Foi a primeira vez que a gente viu, de fato, a democracia participativa em ação na internet brasileira. Foi um processo feito a olhos vistos”, lembrou.
Para Natasha Nóvoa, essa diferença reflete uma limitação comum no Brasil: projetos de lei de regulação de tecnologia tendem a não inserir de forma adequada quem trabalha diretamente com infraestrutura e sistemas. “As questões referentes à computação em nuvem e a parte mais técnica ficam mais ausentes no debate”, avalia. O resultado é uma regulação que sabe o que quer proibir, mas ainda não sabe o que quer construir.
Entre marcos regulatórios e o desafio de implementar
O PL de IA dialoga diretamente com a Lei Geral de Proteção de Dados (LGPD), já que sistemas de IA generativa são alimentados por dados pessoais, e não exclui a atuação do Conselho Administrativo de Defesa Econômica (Cade) em casos de conduta anticoncorrencial, para coibir práticas que possam distorcer a competição no mercado. Assim, eventuais problemas relacionados à livre concorrência envolvendo o uso de IA continuarão sujeitos à análise do Cade, como ocorre em qualquer outro setor da economia.
Para coordenar competências, o texto cria o Sistema Nacional de Regulação e Governança de IA, com a Autoridade Nacional de Proteção de Dados (ANPD) como autoridade central. “Será preciso diálogo entre as autoridades para não haver risco de sobreposição”, alerta Nóvoa. “É um desafio que temos no Brasil de operacionalizar.”
O que o texto pode entregar em dez anos é incerto. A experiência europeia com o AI Act, aprovado em 2024, mostra que a regulação não equivale automaticamente à segurança jurídica. Até hoje, empresas e reguladores europeus debatem quais regras se aplicam, a quem e quando. No Brasil, o caminho depende de fatores que o texto não garante: capacidade institucional para implementá-lo e políticas complementares para corrigir as assimetrias que estão em aberto. “Já existem inúmeros outros óbices ao desenvolvimento de uma indústria nacional de IA”, lembra Frazão.