Close Menu
    Regulamentação

    O Ecossistema Regulatório da Inteligência Artificial no Brasil

    Luís Nuno PerdigãoPor Updated:Sem comentários10 Mins Read

    Do Projeto de Lei 2.338/2023 à Governança Coordenada: Enquadramento Jurídico, Responsabilidade Civil, Legislação Setorial e Desafios de Implementação

    Um Modelo Híbrido e Multicamadas

    O Brasil está a construir, de forma acelerada, um dos ecossistemas regulatórios de inteligência artificial mais ambiciosos da América Latina — e, em diversos aspetos, do Sul Global. Ao contrário do que uma leitura apressada poderia sugerir, não se trata de uma mera replicação do AI Act europeu, mas de um modelo híbrido e multicamadas que combina um marco legislativo geral em formação (o PL 2.338/2023), políticas públicas estruturantes (EBIA e PBIA), legislação setorial específica e uma governança federal coordenada através do Sistema Nacional de Regulação e Governança de IA (SIA).

    Observação para o leitor português: o Brasil ainda não tem uma Lei Geral de IA em vigor. O PL 2.338/2023 foi aprovado no Senado em dezembro de 2024, mas encontra-se em tramitação na Câmara dos Deputados, aguardando parecer na Comissão Especial. Toda análise do marco legal deve, portanto, ser tratada como legislação futura / direito a constituir (de lege ferenda), com alta relevância para o compliance preparatório, mas sujeito a alterações em face do futuro texto final da Lei.

    Regulação em Camadas: Três Níveis Estruturantes

    Antes de mergulharmos no PL 2.338/2023, é fundamental compreender um ponto que frequentemente escapa às análises mais superficiais: a IA no Brasil já é juridicamente disciplinada por regimes transversais pré-existentes. O ecossistema regulatório brasileiro funciona como um “sistema por camadas”, estruturado em três níveis:

    Camada Constitucional e Legislação Geral

    Constituição Federal de 1988 (dignidade humana, igualdade, não discriminação, devido processo, privacidade, proteção do consumidor), LGPD (Lei 13.709/2018), Código de Defesa do Consumidor (CDC — Lei 8.078/1990), Código Civil (Lei 10.406/2002), Marco Civil da Internet (Lei 12.965/2014), Lei de Defesa da Concorrência (Lei 12.529/2011) e legislação penal aplicável.

    Camada do Marco Específico de IA

    O PL 2.338/2023, que pretende organizar princípios, direitos, deveres, classificação de risco e fiscalização específicos para sistemas de IA.

    Camada de Governança Pública Coordenada

    Estratégia (EBIA), planos de investimento (PBIA), órgãos colegiados (CITDigital) e o futuro SIA, que orientam implementação e interoperabilidade regulatória.

    Esta arquitetura é particularmente relevante porque significa que o PL 2.338/2023 não se situa num vazio jurídico: ele sobrepõe-se, como norma geral de IA, a um tecido legislativo denso, sem substituir os regimes existentes. A LGPD, por exemplo, já fornece instrumentos centrais para a governança de IA — base legal para tratamento de dados, transparência, segurança e, especialmente, o direito de contestação de decisões automatizadas, que tende a articular-se com o “direito à explicação” previsto no marco de IA.

    PL 2.338/2023: Fundamentos e Agentes da Cadeia de Valor

    Fundamentos e Princípios

    O texto aprovado no Senado estabelece normas nacionais para o desenvolvimento, implementação e uso responsável de sistemas de IA, visando sistemas “seguros e confiáveis” e a proteção de direitos fundamentais.

    Entre os princípios explícitos, destacam-se a supervisão humana, a não discriminação, a transparência, explicabilidade e auditabilidade, o devido processo e contestabilidade, a rastreabilidade e a prestação de contas (accountability).

    Agentes de IA: Tipologia Tripartida

    O PL define uma tipologia de agentes na cadeia de valor da IA, mais granular do que a divisão binária “fornecedor/operador” que marca o AI Act europeu:

    Esta tripartição permite uma distribuição mais precisa de responsabilidades ao longo da cadeia, reconhecendo que os riscos associados a um sistema de IA não são uniformes e que diferentes intervenientes têm diferentes capacidades de controlo e mitigação.

    Regulação por Risco: Modelo de Gestão Escalonada

    O PL adota uma abordagem baseada em risco que, embora inspirada no modelo europeu, apresenta configuração própria. A classificação opera em três níveis principais:

    Práticas Vedadas (Núcleo Duro)

    O texto traz um artigo de proibições absolutas, incluindo hipóteses envolvendo manipulação e exploração de vulnerabilidades, “pontuação social” (social scoring) e restrições fortes a certos usos de identificação biométrica remota em tempo real em espaços públicos, com exceções taxativas.

    Sistemas de Alto Risco

    Existe uma secção específica dedicada a sistemas de alto risco, com exigências de avaliação reforçada, governança robusta e controlos mais intensos, incluindo o impacto sobre direitos fundamentais e grupos vulneráveis. Sistemas utilizados em saúde, crédito, justiça ou segurança pública tendem a cair nesta categoria, implicando avaliações de impacto algorítmico, testes de viés e documentação técnica aprofundada.

    Avaliações e Instrumentos de Governança

    O PL estrutura instrumentos como a avaliação preliminar e a avaliação de impacto algorítmico, além de mecanismos de governança e boas práticas. A lógica é equilibrar inovação (evitando burocratizar usos de baixo risco) com tutela reforçada onde o potencial de dano é mais elevado.

    Uma das componentes mais sensíveis — e potencialmente mais disruptivas — do PL é o tratamento da IA de propósito geral e da IA generativa, incluindo cenários de risco sistémico. O texto prevê obrigações específicas para estes modelos, designadamente em matéria de documentação, governança de dados, medidas de segurança e transparência proporcional. Este ponto é crítico porque desloca o foco regulatório do “caso de uso” para a capacidade e escala do modelo.

    Responsabilidade Civil: Compatibilização com Regimes Existentes

    O capítulo de responsabilidade civil (arts. 35–39 do PL) constitui uma das áreas de maior relevância prática e teórica. O legislador brasileiro optou por não reinventar o regime de responsabilidade civil: o PL remete para os regimes já existentes e ajusta critérios específicos para o contexto de IA.

    Dupla Responsabilidade na Cadeia de Valor

    Tanto o fornecedor (desenvolvedor/distribuidor) como o aplicador (operador) podem ser responsabilizados, conforme a sua participação causal e violação de deveres de segurança, informação ou governança. Em relações de consumo, aplica-se o regime protetivo do CDC; fora do consumo, prevalece o Código Civil e legislação especial.

    Inversão do Ónus da Prova e Facilitação Probatória

    O PL prevê a possibilidade de inversão do ónus da prova quando a vítima for hipossuficiente ou quando as características do sistema de IA tornem excessivamente oneroso demonstrar o dano. Este mecanismo tem um efeito prático transformador: aumenta significativamente o valor jurídico da documentação, rastreabilidade e auditoria, que passam a funcionar como “moeda probatória” em litígios.

    Implicação estratégica: num cenário de inversão do ónus, “quem não documenta, perde” com muito mais frequência. Isto pressiona fortemente as estratégias de litigância e eleva a documentação técnica ao patamar de instrumento de defesa processual.

    Excludentes de Responsabilidade

    O fornecedor pode afastar a sua responsabilidade provando que não colocou o sistema em circulação, que o dano decorre de culpa exclusiva da vítima, de facto de terceiro ou de caso fortuito externo. O modelo brasileiro tende, assim, a construir um regime de responsabilidade “em camadas”, com regras gerais no marco de IA acopladas a regimes já existentes e a tipos penais ou administrativos específicos.

    Multa Máxima

    Por infração ou 2% da faturação do grupo económico no Brasil

    O SIA: Governança Coordenada e Arquitetura Institucional

    O desenho institucional brasileiro caminha para um sistema de governança coordenada que constitui, possivelmente, a opção mais original do modelo brasileiro face ao europeu. O SIA (Sistema Nacional de Regulação e Governança de Inteligência Artificial) articula a ANPD e os reguladores setoriais sem subordinação hierárquica, num modelo de federalismo regulatório coordenado.

    A ANPD como Autoridade Competente Central

    Uma das decisões estruturantes do PL é a consolidação da ANPD (Autoridade Nacional de Proteção de Dados) como autoridade reguladora central de IA. A ANPD coordena o SIA e exerce poderes de emissão de normas gerais, coordenação, apoio e fiscalização, com reforço de estrutura e orçamento previsto para até dois anos. Esta opção resolve um debate recorrente (“criar uma agência nova?”) com uma solução institucional pragmática: aproveitar a capacidade existente em matéria de dados, tecnologia e regulação.

    Conselhos e Comités Técnicos

    O PL cria instâncias de governança cooperativa, designadamente o Conselho Permanente de Cooperação Regulatória de IA (CRIA) e o Comité de Especialistas e Cientistas de IA (CECIA). A lógica subjacente é aproximar a regulação de uma “engenharia institucional” que combine coordenação, expertise e diálogo regulatório, algo que a regulação digital exige pela sua natureza dinâmica e tecnicamente complexa.

    O PBIA e a Camada Programática

    A governança institucional é complementada pelo Plano Brasileiro de Inteligência Artificial (PBIA 2024–2028, “IA para o Bem de Todos”) e pela Estratégia Brasileira de IA (EBIA, 2021). O PBIA assume a regulação como peça central para a confiança em IA e prevê a criação de um Centro Nacional de Transparência Algorítmica, redes de governança e um Observatório Brasileiro de IA. As metas a 3–5 anos incluem o desenvolvimento de metodologias de avaliação de risco, apoio a diretrizes éticas, criação de comité multissetorial de ética em IA e a consolidação de um arcabouço regulatório robusto.

    Legislação Setorial: Lei 15.123/2025 e Deepfakes como Violência de Género

    Um Exemplo Paradigmático de Capilarização Regulatória

    Um dos exemplos mais paradigmáticos da chamada “capilarização” da regulação de IA no ordenamento brasileiro é a Lei 15.123/2025, que altera o tratamento da violência psicológica contra a mulher (art. 147-B do Código Penal), prevendo uma causa de aumento de pena quando o crime é cometido com recurso a IA ou outro meio tecnológico que altere imagem ou som da vítima.

    A pena de reclusão de 6 meses a 2 anos, acrescida de multa, é aumentada de metade quando presentes estes elementos tecnológicos — designadamente a criação de deepfakes. O legislador descreve condutas como ameaça, humilhação, manipulação, chantagem, isolamento e ridicularização, reconhecendo que a mediação algorítmica e a manipulação digital agravam o impacto na saúde psicológica e autodeterminação da vítima.

    Impacto Sistémico

    Esta lei revela uma tendência de regulação “por problema”, que vai além do marco geral para ajustar tipos penais, procedimentos probatórios e políticas de proteção de grupos vulneráveis. É uma abordagem complementar que tende a proliferar noutras jurisdições à medida que os impactos concretos da IA se tornam mais visíveis.

    Análise Comparativa: Brasil vs. União Europeia

    Para o leitor do JurisTech que acompanha a regulação europeia, é útil situar o modelo brasileiro num quadro comparativo:

    O quadro revela convergências significativas na abordagem de risco e na centralidade de direitos, mas também diferenças estruturais importantes. O Brasil distingue-se pela forte integração entre regulação e política pública de desenvolvimento, pela tipologia mais granular de agentes e pelo modelo de governança federativa que reflete a complexidade institucional do país.

    Compliance Preparatório e Notas Finais

    Mesmo antes da entrada em vigor do marco legal, organizações que desenvolvem ou utilizam IA no mercado brasileiro devem considerar o alinhamento com o desenho do PL:

    Mapear o papel na cadeia de valor

    Identificar se atua como desenvolvedor, distribuidor ou aplicador e definir responsabilidades contratuais coerentes com essa classificação.

    Implementar governança e gestão de risco

    Realizar triagem inicial por caso de uso (proibido? alto risco?) e documentar as decisões tomadas.

    Preparar documentação e rastreabilidade

    Dados de treino, testes realizados, análises de viés, registos de incidentes e decisões de governança.

    Criar processos de avaliação

    Avaliação preliminar e, quando aplicável, avaliação de impacto algorítmico, alinhados com as melhores práticas internacionais.

    Planear resposta a incidentes

    Mecanismos de comunicação regulatória e gestão de crises.

    Rever estratégia de litigância

    Com a possível inversão do ónus, a documentação técnica torna-se instrumento de defesa processual.

    O JurisTech continuará a acompanhar a evolução deste ecossistema regulatório, com atualizações à medida que o PL 2.338/2023 avance na Câmara dos Deputados e que os instrumentos de governança previstos sejam implementados.

    Partilhar.
    Imagem do avatar

    Advogado português especializado em Direito das tecnologias e inteligência artificial e Direito. Comecei a explorar ferramentas de IA aplicadas ao Direito há alguns anos, primeiro por curiosidade, depois por necessidade profissional. Rapidamente percebi duas coisas: o potencial é enorme, e a informação de qualidade em português é muito escassa. O Juristech.pt é a minha contribuição para mudar isso. Junte-se a mim!

    Artigos Relacionados

    Deixe o seu comentário