Voltar ao Journal

PL 2338 e EU AI Act: o que muda na operação da sua empresa em 2026

Duas leis chegam pesadas em 2026: o PL 2338 (Marco Legal da IA) tramitando na Câmara e o EU AI Act entrando em vigor a partir de agosto, com multa que chega a €35M ou 7% do faturamento global. Elas cobram conformidade. Não olham um centavo do que a coordenação entre humano e máquina já queima na sua folha. O inventário é o trabalho fácil; somar a frente que a lei não vê é o difícil.

Resumo em 60 segundos

Duas leis pesam sobre o uso corporativo de IA no Brasil em 2026. O EU AI Act entra em vigor escalonado a partir de agosto, com alcance extraterritorial que pega qualquer empresa brasileira exportando pra UE ou tratando dado europeu. O PL 2338 (Marco Legal da IA), já aprovado no Senado, caminha na Câmara. A multa máxima europeia chega a €35 milhões ou 7% do faturamento global anual. E só 22% das empresas brasileiras se dizem preparadas, segundo levantamento da MIT Technology Review com a Peers Consulting + Technology. Aqui vem a parte que ninguém grita: o caminho pra conformidade não passa por comprar uma suíte. Passa por listar o que já está em produção e botar nome em cada responsável. O trabalho fácil é esse. O difícil é a conta que a lei nem pede, quanto a coordenação entre humano e máquina já drena da sua folha sênior, toda semana, sem fazer barulho.

Sua empresa colocou IA generativa pra rodar nos últimos dezoito meses e não revisou a política de governança desde então. Você não está sozinho nisso, e está prestes a esbarrar num cenário regulatório que não existia quando a primeira licença de copiloto foi assinada. O PL 2338, o Marco Legal da Inteligência Artificial, caminha na Câmara dos Deputados desde março de 2025, depois de aprovado no Senado em dezembro de 2024. O EU AI Act entra em vigor de forma escalonada a partir de agosto de 2026 e alcança empresa brasileira com qualquer ponta na Europa.

As duas leis partem do mesmo lugar: classificar sistema de IA por nível de risco e cobrar obrigação proporcional. E a sanção não é decorativa. O EU AI Act prevê multa de até €35 milhões ou 7% do faturamento global anual para desconformidade grave, número grande o bastante pra tirar o tema do rodapé e botar na primeira página da pauta de board. O PL 2338 entrega à ANPD o poder de sancionar, com aparato no espírito da LGPD.

Segundo levantamento da MIT Technology Review com a Peers Consulting + Technology, apenas 22% das empresas brasileiras se dizem preparadas pra integrar IA em sistemas críticos. Os outros 78% têm pouco tempo e muito chão. A boa notícia é que a primeira metade do trabalho é barata. A má é que a metade cara nem aparece no texto da lei. Vamos pelas duas.

EU AI Act em 60 segundos: 4 níveis de risco

O EU AI Act classifica por risco, e cada nível carrega um peso diferente de obrigação. O esforço real de adequação se concentra nos dois andares de cima; o resto exige pouco ou nada. Vale ler a tabela sabendo onde a sua operação cai antes de se assustar com o todo.

EU AI Act: 4 níveis de risco e obrigações principais. Sistemas de risco inaceitável são proibidos; alto risco exige conformidade documentada antes de operar.
NívelExemplosObrigações principaisSanção em caso de falha
Risco inaceitávelSocial scoring estatal, manipulação subliminar, biometria em tempo real em espaço público (com exceções)ProibidoAté €35M ou 7% global revenue
Alto riscoIA em recrutamento, score de crédito, educação, infraestrutura crítica, justiçaSistema de gestão de risco, governança de dados, documentação técnica, supervisão humana, transparência, registro em base europeia, conformity assessmentAté €15M ou 3% global revenue
Risco limitadoChatbots, sistemas que geram conteúdo sintético, deepfakesTransparência obrigatória: usuário precisa saber que está interagindo com IASanções administrativas escalonadas
Risco mínimoFiltros de spam, recomendações genéricas, IA em videogamesCódigos de conduta voluntáriosSem sanção específica

O alcance extraterritorial é o que pega empresa brasileira no contrapé. Não precisa ter sede na UE. Basta o output do sistema ser usado dentro da União Europeia, ou um cidadão europeu ser afetado por uma decisão automatizada. SaaS B2B exportando, fintech com operação na Europa, plataforma com usuário europeu: todas entram na régua, e em geral só percebem quando o jurídico do cliente lá fora pede o documento.

PL 2338 no Brasil: alinhado ao europeu, com nuances locais

O Marco Legal brasileiro espelha a arquitetura europeia: mesma classificação por risco, mesma obrigação proporcional. Quem está implementando não pode tratar os dois como cópia, porém. Algumas diferenças práticas mudam o que você precisa registrar e a quem responde, e a tabela abaixo coloca os dois lado a lado.

Comparação operacional entre EU AI Act e PL 2338/2023 (Marco Legal IA Brasil) em cinco dimensões. Ambos usam classificação por risco mas variam em transparência, arranjo institucional e sanção.
DimensãoEU AI ActPL 2338 (Brasil)
StatusEm vigor escalonado desde 1º agosto 2024; obrigações principais ago/2026Aprovado Senado dez/2024; tramitando Câmara desde mar/2025
Classificação4 níveis: inaceitável, alto, limitado, mínimoClassificação por risco com lista de sistemas excessivos (vedados) + alto risco regulados
TransparênciaSobre funcionamento do sistema em abstratoVai além: transparência sobre decisão específica tomada sobre um indivíduo
ReguladorAI Office (UE) + autoridades nacionais designadasANPD + órgãos setoriais (Banco Central, ANATEL, ANEEL, conforme aplicação)
SançãoAté €35M ou 7% global revenue (inaceitável); até €15M ou 3% (alto risco)ANPD aplica parâmetros LGPD; sanções específicas em regulamentação subsequente

A diferença brasileira que mais dói no operacional é a transparência sobre decisão específica. O PL 2338 não se contenta com você explicando como o sistema funciona em tese. Ele cobra o porquê de uma decisão concreta tomada sobre uma pessoa concreta. Quem já viveu uma auditoria sabe o tamanho disso: muda o requisito de log e de trilha de auditoria de enfeite pra obrigação, porque agora cada decisão de alto risco precisa ser reconstruível depois, uma a uma.

Onde sua operação cai na régua hoje

Pergunte a um diretor quantos sistemas de IA a empresa tem rodando, e o número que ele chuta costuma ser metade do real. A IA entrou pela borda, área por área, sem passar pela mesa central. Cinco frentes concentram o uso e, junto com ele, a exposição à lei.

Cinco áreas operacionais com uso comum de IA em empresa B2B brasileira mid-market e classificação típica EU AI Act.
ÁreaUso comum de IAClassificação típica
Recursos HumanosTriagem de currículos, score de candidatos, análise de entrevistaAlto risco
Crédito e FinançasScore de crédito, detecção de fraude, análise de riscoAlto risco
Atendimento ao ClienteChatbot, classificação de tickets, automação de respostaRisco limitado
Marketing e VendasSegmentação, lead scoring, personalização de ofertaRisco limitado a mínimo
Engenharia e ProdutoCopilot de código, geração de testes, análise de bugsRisco mínimo

Se a sua operação usa IA pra triar currículo ou pra dar score de crédito, você já está na faixa de alto risco, queira ou não. Isso saiu da alçada de quem fala em inovação e caiu na de quem responde por prazo. É obrigação, e obrigação tem data.

5 obrigações práticas pra começar agora

A primeira onda de adequação não pede ferramenta nova nem cheque assinado. Pede inventário, classificação e documentação do que já roda. Cinco movimentos cobrem o essencial, e nenhum deles depende de um fornecedor.

  1. Inventário de sistemas de IA em produção. Liste todo sistema, modelo e pipeline em uso ou em piloto. Copilot, ChatGPT Enterprise, Claude, modelo próprio, tudo. É chato e demorado, e é o que desenha o universo regulado. Sem essa lista, os outros quatro passos flutuam no ar.
  2. Classificação por risco. Encaixe cada sistema na régua de 4 níveis do EU AI Act. Recrutamento e crédito quase sempre caem em alto risco; chatbot externo cai em risco limitado. Anote o critério, porque na auditoria vão te perguntar não só onde você classificou, mas por quê.
  3. Avaliação de impacto algorítmico (AIA). Sistema de alto risco precisa de avaliação de impacto antes de entrar em operação. É primo do RIPD que a sua empresa já faz pra LGPD, com escopo recortado pra IA. Quem já tem a prática de LGPD parte de meio caminho andado.
  4. Trilha de auditoria por decisão. O PL 2338 cobra explicação sobre a decisão automatizada tomada sobre uma pessoa. Na prática, isso quer dizer log estruturado que deixe você reconstruir a base de cada decisão de alto risco meses depois, sem garimpar a memória de quem estava na sala.
  5. Responsável nominal por sistema de alto risco. Não vale apontar pro time de IA em geral. É um cargo com nome, crachá e poder de pausar o sistema, revisar a saída e olhar a autoridade reguladora no olho. Sistema de alto risco sem dono nomeado já é, por si só, falha documentada.

Cinco movimentos, nenhum deles custando licença, todos custando decisão executiva e horas dos seus times de Jurídico, Compliance, Engenharia e Produto. É exatamente o tipo de custo que a próxima seção vai cobrar a você de novo, por outro motivo.

O ponto cego que regulação não cobre

A conformidade regulatória fecha o flanco regulatório. Garante direito do usuário, garante transparência algorítmica, garante que você não toma multa por operar fora da lei. E para ali. Não diz nada sobre o que a sua empresa paga, em folha sênior, pra coordenar humanos e agentes em torno de cada decisão híbrida. Esse gasto corre por fora: não aparece no audit trail do modelo, não consta no registro europeu, não cabe no laudo de impacto. A lei mira o comportamento de cada sistema isolado. O dinheiro vaza no conjunto, no atrito entre as peças, justamente onde nenhuma régua jurídica olha.

Dá pra estar cem por cento em dia com o PL 2338, o EU AI Act e a LGPD, e ainda assim queimar milhões por ano coordenando humano e máquina às cegas. As duas contas são paralelas, e uma nunca vem embutida na outra. Quem trata só a primeira fica blindado de um lado e nu do outro, e o lado nu não rende manchete nem multa, só corrói a margem no silêncio. O custo de coordenação humano-agente é o vetor invisível da governança de IA, decomposto em quatro arestas, humano com humano, máquina com máquina, humano com máquina e máquina com humano, cada uma em moeda.

Perguntas frequentes

O que é o PL 2338 e quando entra em vigor no Brasil?

O PL 2338/2023, o Marco Legal da Inteligência Artificial, passou pelo Senado em dezembro de 2024 e está na Câmara dos Deputados desde março de 2025. Segue a mesma lógica europeia, classificar sistema por nível de risco, mas com tempero local: lista de direitos do usuário, governança proporcional ao risco e a ANPD como reguladora em paralelo com órgãos setoriais. A entrada em vigor depende de aprovação na Câmara e sanção presidencial, com vigência esperada no horizonte de 2026. Traduzindo pra agenda: o relógio já está correndo, mesmo que o texto final ainda não esteja fechado.

O EU AI Act se aplica à minha empresa brasileira?

Se a sua operação encosta na Europa, sim, e não importa onde fica a sede. O EU AI Act pega qualquer empresa que (a) coloque um sistema de IA no mercado da União Europeia, (b) tenha o output desse sistema usado dentro da UE, ou (c) trate dado de cidadão europeu por meio de IA. SaaS B2B exportando, fintech com operação na Europa, plataforma com usuário europeu: todas entram na régua. A norma vigora de forma escalonada a partir de agosto de 2026. Muita empresa brasileira descobre que estava dentro do alcance só quando o cliente europeu pede o laudo.

Qual a diferença entre o EU AI Act e o PL 2338?

Os dois partem do risco, mas divergem em dois pontos que mexem com a operação. O PL 2338 aperta na transparência: não basta explicar como o sistema funciona em abstrato, ele exige justificar a decisão concreta tomada sobre uma pessoa específica. O EU AI Act aperta na punição e no prazo: aparato sancionatório mais duro, até €35M ou 7% do faturamento global, com cronograma mais definido. E o desenho institucional difere: o PL 2338 reparte a regulação entre ANPD e órgãos setoriais; o EU AI Act concentra no AI Office europeu mais as autoridades nacionais designadas.

Qual a multa máxima por desconformidade?

No EU AI Act, até €35 milhões ou 7% do faturamento global anual, o que for maior, para violação ligada a sistema proibido. As demais sanções escalam por gravidade. O PL 2338 ainda está em tramitação na Câmara; o texto vigente dá à ANPD o poder de sancionar com base nos parâmetros da LGPD, dentro de um arranjo com órgãos setoriais, e as penalidades específicas ficam pra regulamentação posterior. O número europeu já é grande o bastante pra entrar na pauta de board sem precisar de retórica.

Por onde minha empresa começa?

Três passos, nessa ordem. Primeiro, inventariar todo sistema de IA em produção ou piloto, porque ninguém governa o que não listou. Segundo, classificar cada um por nível de risco (alto, limitado, mínimo). Terceiro, dar nome ao responsável por cada sistema de alto risco. Em paralelo, documentar o critério de decisão automatizada e montar a trilha de auditoria. Framework de governança operacional vem depois; o inventário vem antes de tudo, e custa tempo, não dinheiro.

O fechamento

2026 não é o ano de discutir governança de IA com calma e café. É o ano em que duas leis começam a cobrar. EU AI Act em vigor escalonado, PL 2338 caminhando na Câmara, ANPD com competência crescente. O inventário precisa estar pronto antes de a fiscalização bater na porta. E o inventário, repito, não é o trabalho difícil. É chato, é demorado, mas qualquer empresa organizada fecha em poucas semanas.

O trabalho difícil vem depois, e ninguém te obriga a ele por lei: governar o custo invisível da coordenação que essa nova camada de IA enfiou na sua operação. Conformidade te protege da multa. Governança econômica te protege da margem que escorre sem que ninguém perceba. São defesas para flancos diferentes, e você precisa das duas, porque o regulador cobra uma e o board cobra a outra. A referência setorial mais bem testada pra camada operacional é o Model AI Governance Framework de Singapura, soft law que toca a frente que a hard law brasileira deixa em aberto.