PL 2338 e EU AI Act: o que muda na operação da sua empresa em 2026
Duas regulações pesadas chegam em 2026: PL 2338 (Marco Legal IA Brasil) tramitando na Câmara e EU AI Act em vigor a partir de agosto. Multa até €35M ou 7% do faturamento global.
Resumo em 60 segundos
Duas regulações pesam sobre uso corporativo de IA no Brasil em 2026. EU AI Act entra em vigor escalonado a partir de agosto, com extraterritorialidade que atinge qualquer empresa brasileira exportando pra UE ou tratando dados europeus. PL 2338 (Marco Legal da IA), aprovado no Senado, tramita na Câmara. Multa máxima EU: €35 milhões ou 7% do faturamento global anual. Apenas 22% das empresas brasileiras se declaram preparadas. O essencial pra entrar em conformidade não é comprar suite de compliance. É inventariar o que já está em produção e atribuir responsável nominal.
Se a sua empresa adotou IA generativa nos últimos 18 meses sem revisar a política de governança, você está prestes a entrar num cenário regulatório novo. PL 2338 (Marco Legal da Inteligência Artificial) caminha na Câmara dos Deputados desde março de 2025 depois de aprovado no Senado em dezembro de 2024. O EU AI Act entra em vigor escalonado a partir de agosto de 2026 e atinge empresas brasileiras com qualquer extraterritorialidade europeia.
As duas normas usam a mesma lógica: classificar sistemas de IA por nível de risco e impor obrigações proporcionais. Sanções não são triviais. O EU AI Act prevê multas de até €35 milhões ou 7% do faturamento global anual em caso de desconformidade grave. PL 2338 atribui à ANPD o poder sancionatório, com aparato parecido com LGPD.
Pesquisa TEC.Institute + Peers Consulting indica que apenas 22% das empresas brasileiras se declaram totalmente preparadas em governança de IA. Os outros 78% precisam mover, e rápido. O que entra na agenda do conselho a partir de agora.
EU AI Act em 60 segundos: 4 níveis de risco
O EU AI Act adota classificação por risco. Cada nível carrega obrigações distintas. Os dois níveis mais altos concentram o esforço operacional pra adequação.
| Nível | Exemplos | Obrigações principais | Sanção em caso de falha |
|---|---|---|---|
| Risco inaceitável | Social scoring estatal, manipulação subliminar, biometria em tempo real em espaço público (com exceções) | Proibido | Até €35M ou 7% global revenue |
| Alto risco | IA em recrutamento, score de crédito, educação, infraestrutura crítica, justiça | Sistema de gestão de risco, governança de dados, documentação técnica, supervisão humana, transparência, registro em base europeia, conformity assessment | Até €15M ou 3% global revenue |
| Risco limitado | Chatbots, sistemas que geram conteúdo sintético, deepfakes | Transparência obrigatória: usuário precisa saber que está interagindo com IA | Sanções administrativas escalonadas |
| Risco mínimo | Filtros de spam, recomendações genéricas, IA em videogames | Códigos de conduta voluntários | Sem sanção específica |
A extraterritorialidade é o ponto que pega empresa brasileira de surpresa. Não é necessário ter sede na UE. Basta que o output do sistema de IA seja usado dentro da União Europeia, ou que cidadão europeu seja afetado por decisão automatizada. SaaS B2B exportando, fintech com operação EU, plataforma com usuários europeus: tudo entra na régua.
PL 2338 no Brasil: alinhado ao europeu, com nuances locais
O Marco Legal da Inteligência Artificial brasileiro adota arquitetura similar ao EU AI Act. Mesma classificação por risco. Mesmas obrigações proporcionais. Quatro nuances práticas distinguem os dois textos pra quem está implementando.
| Dimensão | EU AI Act | PL 2338 (Brasil) |
|---|---|---|
| Status | Em vigor escalonado desde 1º agosto 2024; obrigações principais ago/2026 | Aprovado Senado dez/2024; tramitando Câmara desde mar/2025 |
| Classificação | 4 níveis: inaceitável, alto, limitado, mínimo | Classificação por risco com lista de sistemas excessivos (vedados) + alto risco regulados |
| Transparência | Sobre funcionamento do sistema em abstrato | Vai além: transparência sobre decisão específica tomada sobre um indivíduo |
| Regulador | AI Office (UE) + autoridades nacionais designadas | ANPD + órgãos setoriais (Banco Central, ANATEL, ANEEL, conforme aplicação) |
| Sanção | Até €35M ou 7% global revenue (inaceitável); até €15M ou 3% (alto risco) | ANPD aplica parâmetros LGPD; sanções específicas em regulamentação subsequente |
A nuance brasileira mais importante é a transparência sobre decisões específicas. O PL 2338 exige que sua empresa consiga explicar não apenas como o sistema funciona em abstrato, mas o porquê de uma decisão concreta sobre uma pessoa específica. Isso muda o requisito de logging e auditoria de forma substantiva.
Onde sua operação cai na régua hoje
A maioria das empresas brasileiras subestima o quanto já tem IA em produção. Cinco áreas concentram o uso e, com ele, a exposição regulatória.
| Área | Uso comum de IA | Classificação típica |
|---|---|---|
| Recursos Humanos | Triagem de currículos, score de candidatos, análise de entrevista | Alto risco |
| Crédito e Finanças | Score de crédito, detecção de fraude, análise de risco | Alto risco |
| Atendimento ao Cliente | Chatbot, classificação de tickets, automação de resposta | Risco limitado |
| Marketing e Vendas | Segmentação, lead scoring, personalização de oferta | Risco limitado a mínimo |
| Engenharia e Produto | Copilot de código, geração de testes, análise de bugs | Risco mínimo |
Se a sua operação usa IA em recrutamento ou score de crédito, você já está na faixa de alto risco. Não é decisão de marketing ou de inovação. É obrigação operacional com prazo.
5 obrigações práticas pra começar agora
A primeira onda de adequação não exige comprar ferramenta nova. Exige inventariar, classificar e documentar o que já está em produção. Cinco movimentos cobrem o essencial.
- Inventário de sistemas de IA em produção. Listar todos os sistemas, modelos e pipelines em uso ou em piloto. Inclui Copilot, ChatGPT Enterprise, Claude, modelos próprios. Define o universo regulado.
- Classificação por risco. Mapear cada sistema na régua de 4 níveis do EU AI Act. Recrutamento e crédito quase sempre caem em alto risco. Chatbot externo cai em risco limitado. Documentar o critério de classificação.
- Avaliação de impacto algorítmico (AIA). Sistemas de alto risco precisam de avaliação de impacto antes de operar. Equivalente organizacional ao RIPD que a sua empresa já faz pra LGPD, mas com escopo específico pra IA.
- Trilha de auditoria por decisão. PL 2338 exige explicação sobre decisões automatizadas tomadas sobre indivíduos. Sua empresa precisa ter logs estruturados que permitam reconstruir a base de cada decisão de alto risco.
- Responsável nominal por sistema de alto risco. Não é o time de IA genérico. É um cargo nomeado, com poder de pausar o sistema, revisar saídas, responder à autoridade regulatória. Ausência de responsável nominal é falha documentada.
Cinco movimentos. Nenhum exige ferramenta nova. Todos exigem decisão executiva e alocação de tempo dos seus times de Legal, Compliance, Engenharia e Produto.
O ponto cego que regulação não cobre
Compliance regulatório resolve risco regulatório. Resolve direitos do usuário. Resolve transparência algorítmica. Não resolve o que a sua empresa gasta, em payroll sênior, pra coordenar humanos e agentes em volta de cada decisão híbrida. Esse é um vetor paralelo que não aparece em audit trail de modelo, em registro europeu, em laudo de impacto.
Você pode estar 100% em conformidade com PL 2338, EU AI Act e LGPD 2.0, e ainda assim queimar milhões por ano em coordenação cega entre humanos e agentes. As duas frentes são paralelas. Tratar uma sem a outra te deixa protegido num flanco e exposto no outro. Custo de coordenação humano-agente é o vetor invisível da governança de IA, decomposto por as 4 arestas H2H, A2A, H2A, A2H em moeda.
Perguntas frequentes
O que é o PL 2338 e quando entra em vigor no Brasil?
PL 2338/2023, conhecido como Marco Legal da Inteligência Artificial, foi aprovado pelo Senado Federal em dezembro de 2024 e tramita na Câmara dos Deputados desde março de 2025. Adota classificação por nível de risco similar ao europeu, com nuances brasileiras: lista de direitos do usuário, governança proporcional ao risco, e atribuição de papel regulador à ANPD em paralelo com outros órgãos setoriais. Entrada em vigor depende de aprovação na Câmara e sanção presidencial; vigência prevista no horizonte de 2026.
EU AI Act se aplica à minha empresa brasileira?
Sim, se sua operação tem extraterritorialidade. O EU AI Act se aplica a qualquer empresa que (a) coloque sistema de IA no mercado da União Europeia, (b) tenha output do sistema usado dentro da UE, ou (c) trate dados de cidadãos europeus via sistemas de IA. SaaS B2B exportando, fintechs com operação EU, plataformas com usuários europeus: caem na régua independentemente de sede. A norma entra em vigor escalonadamente a partir de agosto de 2026.
Qual a diferença entre EU AI Act e PL 2338?
Os dois usam abordagem por risco, mas PL 2338 vai além em transparência: exige explicação sobre decisões automatizadas específicas tomadas sobre um indivíduo, não apenas sobre o funcionamento abstrato do sistema. EU AI Act tem aparato sancionatório mais agressivo (até €35M ou 7% global revenue) e prazos mais definidos. PL 2338 distribui regulação entre ANPD e órgãos setoriais; EU AI Act centraliza em AI Office europeu e autoridades nacionais designadas.
Qual a multa máxima por desconformidade?
EU AI Act: até €35 milhões ou 7% do faturamento global anual, o que for maior, para violações relacionadas a sistemas proibidos. Sanções menores escalam por gravidade. PL 2338 ainda em tramitação na Câmara; texto vigente atribui à ANPD o poder sancionatório com base em parâmetros da LGPD, mais um arranjo institucional com órgãos setoriais. Penalidades específicas serão definidas em regulamentação subsequente.
Por onde minha empresa deve começar?
Três movimentos pragmáticos: inventariar todos os sistemas de IA em produção ou piloto, classificar cada um por nível de risco (alto, limitado, mínimo), e atribuir responsável nominal por sistema de alto risco. Em paralelo, documentar critérios de decisão automatizada e estabelecer trilha de auditoria. Frameworks específicos de governança operacional vêm depois; o inventário precede tudo.
O fechamento
2026 não é o ano em que sua empresa vai discutir governança de IA com calma. É o ano em que duas regulações começam a cobrar. EU AI Act em vigor escalonado, PL 2338 caminhando na Câmara, ANPD com competência regulatória crescente. O inventário precisa estar pronto antes da fiscalização chegar. E o inventário não é o trabalho difícil.
O trabalho difícil é o que vem depois: governar o custo invisível da coordenação que essa nova frente de IA introduziu na sua operação. Compliance protege contra multa. Coordenação econômica protege contra margem operacional erodida. Você precisa das duas. Referência setorial mais bem testada pra camada operacional é o Model AI Governance Framework de Singapore, soft law que cobre a frente que hard law brasileira não responde.