PL 2.338/2023: regulação de IA prioriza riscos, deixa política industrial em aberto

O Projeto de Lei 2.338/2023, aprovado pelo Senado em dezembro de 2024 e em tramitação na Câmara desde março de 2025, estabelece um marco regulatório para sistemas de inteligência artificial centrado na gestão de riscos, mas não contempla mecanismos explícitos de fomento à inovação tecnológica nacional, infraestrutura digital ou autonomia tecnológica do país.

Contexto

A regulação de inteligência artificial constitui questão estratégica contemporânea: equilibrar proteção de direitos fundamentais com estímulo ao desenvolvimento tecnológico. A escolha regulatória entre modelo repressivo (proibições) e modelo incentivador (políticas industriais) produz efeitos estruturais no mercado. Diversos países estruturaram suas regulamentações em abordagens dual — simultaneamente protetor e indutor. O PL 2.338/2023 optou, expressamente, por desenho protecionista, deixando às iniciativas separadas a responsabilidade pelo fomento.

A controvérsia não é meramente técnica: define quem pode desenvolver IA no Brasil, sob que condições, com qual infraestrutura. Trabalha-se sobre pano de fundo de debate no Congresso Nacional acerca do Projeto de Lei 278/2026, que criaria o Regime Especial de Data Centers (REDATA), com suspensão de tributos para atração de investimento em infraestrutura digital.

O que foi decidido

O texto aprovado estabelece classificação quadripartida de sistemas de inteligência artificial:

1. Risco Excessivo — proibição absoluta
2. Alto Risco — conformidade, auditoria e transparência intensas
3. Risco Limitado — conformidade moderada
4. Risco Mínimo — conformidade leve

A lógica do escalonamento por risco funciona progressivamente: quanto maior o risco identificado, mais rigorosas as obrigações de documentação, testes, auditoria, monitoramento e transparência. Esse desenho permite, em tese, que agentes menores operem em segmentos de menor risco com menor custo de conformidade. A turma legislativa responsável pelo anteprojeto — que integrou a Comissão de Juristas do Senado — fundamentou a escolha em que a progressividade facilita entrada de novos competidores em mercados de menor risco.

No entanto, o projeto não dedica capítulos, artigos ou instrumentos normativos ao fomento de pesquisa, desenvolvimento, infraestrutura computacional, centros de dados ou competitividade industrial. Essa omissão não é acidental: debatedores da proposta afirmaram que a Lei não foi pensada para finalidades econômicas, mas para proteção de direitos.

Base normativa e precedentes

• Lei 13.709/2018 (Lei Geral de Proteção de Dados — LGPD) — precedente normativo que criou marco de proteção a dados pessoais no Brasil; modelo de regulação risco-baseada que o PL 2.338/2023 retoma e expande para sistemas algorítmicos
• Constituição Federal, artigo 219 — estabelece responsabilidade estatal em fortalecer autonomia tecnológica e capacidade produtiva nacional; questão interpretativa central sobre se regulação protetora, isolada, atende o mandato constitucional
• Lei 13.243/2016 (Novo Marco Legal de Ciência, Tecnologia e Inovação) — institui incentivos, subvenções e contratações públicas diferenciadas para P&D; funciona em paralelo, não integrado ao PL de IA
• Projeto de Lei 278/2026 (REDATA) — proposta separada de política industrial com suspensão tributária para data centers; aguarda votação na Câmara

Precedentes internacionais — EU AI Act (regulação europeia de IA) — combinam risco com mecanismos de incentivo a pequenas empresas e startups, reduzindo taxas de conformidade e criando fundo de inovação. O Brasil não replicou modelo similar.

Impacto prático

Para desenvolvedoras de IA:

• Empresas menores sofrem desproporcional impacto de custo regulatório, independentemente do nível de risco da solução: investimento em estrutura jurídica, auditoria tecnológica e processos de conformidade representa percentual maior do orçamento de startups versus grandes grupos
• Empresas em segmentos de alto risco enfrentarão obrigações substanciais de documentação, testes de bias, auditoria independente, monitoramento contínuo — o que pode inviabilizar projetos com ROI limitado
• Empresas que esperavam incentivos fiscais, subsídios de P&D ou crédito diferenciado para infraestrutura não encontram resposta na Lei

Para órgãos governamentais:

• Necessidade de estruturar órgão regulador competente (ainda não definido explicitamente) com capacidade de avaliação técnica de risco, auditoria e fiscalização — impacto orçamentário não quantificado
• Risco de fragmentação regulatória se diferentes ministérios (MTIC, MDIC, AGU) interpretarem critérios de risco de forma divergente

Para política tecnológica nacional:

• Vácuo estratégico: regulação restringe mas não desenvolve; ausência de financiamento estatal, incentivos tributários ou infraestrutura centralizada deixa Brasil dependente de investimento estrangeiro e, portanto, de decisões corporativas sobre localização de data centers e pesquisa

O que observar

1. Tramitação na Câmara — será que legisladores oferecerão emendas integrando REDATA ao PL 2.338/2023 ou buscando mecanismos de incentivo? Risco de tentativas de flexibilizar obrigações de conformidade que descaracterizem a proteção

2. Lacuna institucional — o projeto não nomeia qual órgão regulador supervisionará; se ANPD (Autoridade Nacional de Proteção de Dados) acumular competência, estenderá sua estrutura significativamente

3. Regulamentação posterior — normas técnicas sobre critérios de classificação de risco, padrões de auditoria e testes de conformidade determinarão exequibilidade prática; cada ponto indefinido hoje gerará debate futuro

4. Recursos para pequenas empresas — expectativa de que regulador crie guia simplificado, mecanismos de conformidade progressiva ou períodos de transição; legislação silencia sobre isso

5. Próximos passos legislativos — paralela tramitação do REDATA (PL 278/2026) pode resgatar questão de infraestrutura; possível retorno à pauta com proposta integradora ou complementar acerca de política industrial de IA

A escolha por regulação risco-centrada é legítima, mas faz hipótese política explícita: que mercado, sem direcionamento estatal, desenvolveria IA no Brasil. Contexto macroeconômico (custo de capital, tributação, infraestrutura cara) e concentração global de capacidade computacional (poucos players internacionais) sugerem que essa hipótese carece de fundamento empírico.