Deixa eu te fazer uma pergunta direta: você sabe exatamente quais ferramentas de inteligência artificial estão sendo usadas hoje na sua empresa?
Não só as que o TI aprovou. Todas. Incluindo o ChatGPT que alguém do RH usa no celular pra filtrar currículos. O assistente que o time de vendas conectou ao e-mail corporativo. A ferramenta de análise de crédito que terceirizou as decisões que antes um analista tomava olhando nos olhos do cliente.
Se você pausou um segundo antes de responder, você não está sozinho. E é exatamente esse ponto cego que o PL 2338 vai iluminar, com ou sem a sua preparação.
O que é o PL 2338, sem enrolação
O PL 2338/2023 é o Marco Legal da Inteligência Artificial no Brasil. Foi aprovado pelo Senado em dezembro de 2024 por unanimidade, e hoje tramita na Câmara dos Deputados. O presidente da Câmara, Hugo Motta, deixou claro em maio de 2026 que isso não vai esperar: “O Parlamento não pode mais tardar neste debate.”
A votação está prevista antes do recesso de julho. Depois disso, volta ao Senado pra revisão final e segue pra sanção presidencial. Com o prazo de um ano de adaptação previsto no texto, a vigência plena chega por volta de 2028.
Dois anos parecem bastante tempo. Mas se você precisar estruturar políticas, mapear sistemas, revisar contratos com fornecedores e treinar equipe, dois anos passam rápido.
A cena que ninguém quer admitir
Tem uma situação que eu encontro com frequência nas empresas que converso. O dono ou gestor me fala “a gente usa algumas ferramentas de IA”, mas quando a gente senta pra levantar o inventário, o número real é três, quatro vezes maior do que ele imaginava.
Isso tem nome: shadow AI. Uma pesquisa recente mostrou que 63% das empresas sem política formal de uso de IA já têm colaboradores usando ferramentas sem nenhuma supervisão corporativa. Não é má fé. É conveniência. O problema é que quando esse uso informal produz uma decisão que afeta um cliente ou funcionário, quem responde é a empresa. Não o colaborador. Não a ferramenta.
E aí o PL 2338 deixa isso bem claro: o operador do sistema, ou seja, a empresa que usa a IA para tomar ou influenciar decisões, carrega a responsabilidade.
O problema não é a tecnologia. É a falta de estrutura em volta dela
Quando um gerente de RH usa IA pra fazer a triagem inicial de 200 currículos, o problema não é ele usar IA. O problema é quando ninguém sabe quais critérios o modelo usa, ninguém auditou se há viés racial ou regional nos dados de treinamento, e ninguém tem como explicar pra um candidato por que foi descartado.
O PL 2338 classifica recrutamento automatizado como sistema de alto risco. E pra sistemas de alto risco, as exigências são sérias: documentação técnica completa, avaliação dos dados usados no treinamento, análise de viés, mecanismo de supervisão humana real e direito do candidato de entender e contestar a decisão.
O mesmo vale pra análise de crédito, sistemas de saúde, atendimento automatizado com impacto em decisões relevantes e biometria.
Não é burocracia pela burocracia. É porque esses sistemas tomam decisões que afetam a vida das pessoas. E quando erram, ou quando são enviesados, o dano é real.
IA e privacidade: dois problemas no mesmo pacote
Uma coisa que muita empresa ainda não percebeu é que usar IA com dados de clientes cria duas camadas de obrigação ao mesmo tempo.
A LGPD cuida dos dados em si: você precisa de base legal pra usar aquelas informações, e o cliente tem direito de saber o que você faz com elas.
O PL 2338 cuida do que você faz com esses dados dentro do algoritmo: se o modelo foi treinado de forma justa, se a decisão pode ser explicada, se existe revisão humana quando o impacto é significativo.
Cumprir a LGPD não te livra do PL 2338. São duas perguntas diferentes. A primeira é “você tem permissão de usar esses dados?” A segunda é “o que você faz com eles é transparente e auditável?”
Se a resposta pra qualquer uma das duas for “não sei ao certo”, é aí que fica o risco.
Sobre as multas: elas existem, mas tem coisa pior
Sim, o projeto prevê multas de até R$ 50 milhões ou 2% do faturamento bruto do grupo no Brasil por infração. Reincidência dobra o valor.
Mas honestamente, o risco mais imediato não é a multa. É a suspensão do sistema. O PL permite que a autoridade competente mande parar a operação de um sistema de IA enquanto o problema não for corrigido. Pra uma empresa que usa IA na concessão de crédito ou na triagem de candidatos, isso paralisa um processo inteiro.
O segundo risco é mais silencioso: a publicização da infração. Ter o nome da empresa associado a um sistema de IA com viés documentado ou sem conformidade é o tipo de coisa que demora anos pra sair da cabeça de um cliente ou parceiro.
A comparação que todo mundo faz com a Europa
O PL 2338 foi chamado de “AI Act brasileiro” pela semelhança com a regulação europeia aprovada em 2024. E a semelhança é real: os dois adotam o modelo de risco proporcional, os dois proíbem certas práticas, os dois exigem avaliação de impacto pra sistemas de alto risco.
A diferença prática mais relevante pra empresas com operações no Brasil é que o AI Act europeu é mais rigoroso em alguns pontos, especialmente em IA de propósito geral e em sistemas de recomendação de conteúdo. Se sua empresa tem clientes ou parceiros na União Europeia, o padrão a seguir já é o europeu, e o brasileiro vem atrás.
Mas pra quem opera só no Brasil, o PL 2338 vai ser o piso mínimo. E estruturar governança agora, antes da aprovação definitiva, coloca a empresa num lugar muito mais confortável do que correr atrás depois.
O que fazer antes da lei chegar
Tem três movimentos que qualquer empresa pode começar hoje, sem precisar de consultoria, sem precisar de orçamento grande:
O primeiro é saber o que você tem. Mapear todos os sistemas de IA em uso, incluindo as ferramentas que os times usam por conta própria. Qual a finalidade? Quais dados usa? Quem toma a decisão final?
O segundo é entender qual é o risco de cada um. Esse sistema influencia uma decisão que afeta pessoas? Crédito, emprego, saúde, acesso a serviço? Se a resposta é sim, você está no território de alto risco do PL 2338.
O terceiro é criar uma política mínima de uso de IA. Não precisa ser um documento de 40 páginas. Precisa responder: quais ferramentas são aprovadas, como os dados de clientes podem ser usados, e quem revisa as decisões críticas.
Esses três passos já colocam sua empresa num patamar diferente da maioria que vai ser pega de surpresa.
Como eu posso ajudar nisso
Tenho trabalhado com empresas de diferentes segmentos nesse processo de estruturar governança de IA antes que ela se torne obrigação legal. O que percebo é que o desafio raramente é técnico. É de clareza: entender onde está o risco real, o que já existe na empresa que pode ser aproveitado e o que precisa ser construído.
Por isso desenvolvi um exame de maturidade em governança de IA. É um diagnóstico estruturado que mapeia como a empresa usa IA hoje, onde estão os gaps em relação ao PL 2338 e à LGPD, e quais são as prioridades concretas de adequação. O resultado é um plano de ação direto, sem jargão e sem lista genérica de boas práticas.
Se você quer entender onde está antes que a lei chegue, fale comigo 👉🏻 https://gustavorochaiabr.manus.space/diagnostico
Gustavo Rocha é consultor em gestão, tecnologia e marketing jurídico. Atua com escritórios de advocacia, empresas e departamentos jurídicos na adoção responsável de tecnologia.