Este artigo é baseado em uma simulação analítica com agentes de IA que modelam perspectivas de diferentes atores (Sebrae, Câmara dos Deputados, investidores, fundadores de startups). Os diálogos e estimativas citados são projeções de um exercício de simulação, não declarações oficiais dessas instituições. O status legislativo do PL 2338/2023 descrito é factual e verificado em fontes públicas.
A lei que ainda não chegou — e já preocupa
Bianca, fundadora de uma healthtech em Recife com 12 pessoas, ainda não sabe ao certo o que o PL 2338/2023 vai exigir da sua empresa. Sabe que vai custar. Não sabe quanto. E é exatamente essa incerteza que está travando decisões de contratação, de investimento em produto e de expansão em todo o ecossistema de startups brasileiras que desenvolvem ou usam IA.
O projeto de lei de regulação da inteligência artificial no Brasil passou pelo Senado Federal em dezembro de 2024 e chegou à Câmara dos Deputados em março de 2025. A votação estava prevista para o final de 2025 — mas foi adiada por impasses políticos e pela pressão de grupos econômicos que querem ajustes no texto. A expectativa agora é de votação em 2026, em meio ao aquecimento do calendário eleitoral.
Para PMEs de tecnologia — especialmente aquelas que desenvolvem sistemas de IA ou os integram em seus produtos — o texto aprovado pelo Senado representa uma mudança estrutural. Não se trata apenas de burocracia: envolve obrigações de transparência, avaliação de risco, designação de responsável por conformidade e, nos casos de alto risco, auditorias e documentação técnica detalhada.
Onde está o PL 2338/2023 agora
O texto aprovado pelo Senado estabelece uma regulação baseada em risco — modelo similar ao AI Act da União Europeia. Quanto maior o potencial de dano do sistema de IA, mais obrigações a empresa precisa cumprir. Sistemas de IA de alto risco — como os usados em crédito, saúde, educação e recursos humanos — terão exigências mais pesadas: documentação técnica, testes de conformidade, designação de encarregado (DPIA) e registro junto à autoridade competente.
A ANPD (Autoridade Nacional de Proteção de Dados) foi designada como reguladora para os setores sem autoridade setorial própria. Para áreas reguladas — como financeiro (Banco Central), saúde (Anvisa) e telecomunicações (Anatel) — a fiscalização fica com as agências já existentes.
O texto que a Câmara recebeu do Senado pode sofrer alterações significativas. Grupos do setor de tecnologia pressionam por flexibilização das obrigações de alto risco e por prazos mais longos de adaptação para PMEs. Se a Câmara alterar o texto, ele retorna ao Senado para nova análise — o que pode estender o processo para 2027. Acompanhar a tramitação no site da Câmara e nos comunicados da ANPD é fundamental.
Custos de compliance — o que muda por porte de empresa
A análise de simulação que embasa este artigo modelou o impacto para empresas de três portes distintos: 5, 10 e 50 funcionários. A conclusão consistente: quanto menor a empresa, maior o peso relativo dos custos de conformidade.
| Porte | Principais desafios | Custo estimado | Risco principal |
|---|---|---|---|
| MEI / Micro (até 5 pessoas) | Falta de equipe jurídica, sem processo de compliance | R$ 10–30 mil/ano estimado | Não conformidade por desconhecimento |
| Pequena (5–10 pessoas) | Custo de consultoria vs. investimento em produto | R$ 30–80 mil/ano estimado | Redução de P&D para cobrir compliance |
| Média (10–50 pessoas) | Necessidade de equipe interna ou terceirizada | R$ 80–200 mil/ano estimado | Pressão sobre margem, turnover de talentos |
⚠️ Valores são estimativas de projeção analítica — não dados oficiais. A regulamentação final definirá as obrigações específicas por categoria de risco.
Os principais custos de compliance esperados incluem: contratação ou terceirização de profissional de DPO/encarregado de IA, desenvolvimento de documentação técnica dos sistemas, implementação de processos de avaliação de impacto e eventual adequação dos sistemas para cumprir obrigações de transparência e explicabilidade.
Além dos custos diretos de consultoria e adequação, empresas que desenvolvem sistemas de IA de médio e alto risco terão que manter registros, atualizar documentação a cada mudança de modelo, responder a solicitações da autoridade competente e notificar incidentes. Esse trabalho administrativo contínuo pode consumir 10–20% do tempo de uma equipe pequena — horas que hoje vão para desenvolvimento de produto.
Os setores mais afetados
O PL 2338/2023 classifica sistemas de IA por nível de risco. Setores que processam dados sensíveis ou tomam decisões que afetam diretamente direitos individuais entram automaticamente nas categorias de maior exigência.
| Setor | Nível de exposição | Principal obrigação esperada |
|---|---|---|
| Healthtech (diagnóstico, triagem) | Alto | DPIA obrigatória, documentação clínica, auditoria |
| Fintech (crédito, scoring) | Alto | Explicabilidade de decisões, supervisão humana obrigatória |
| Edtech (avaliação de alunos) | Alto | Transparência de critérios, contestabilidade de notas |
| Marketing AI (segmentação, ads) | Médio | Transparência de perfilamento, opt-out de personalização |
| SaaS de produtividade (sem decisão crítica) | Baixo | Informação ao usuário sobre uso de IA |
| Ferramentas de código / desenvolvimento | Baixo | Transparência sobre capacidades e limitações |
O que muda para investidores de PMEs
A análise de simulação aponta um efeito duplo na postura de investidores diante do PL 2338/2023 — e os dois lados coexistem no mercado, dependendo do perfil do investidor e do estágio da empresa.
Investidores mais cautelosos em PMEs early-stage: empresas sem sistemas de compliance estabelecidos representam risco regulatório maior. Fundos que já priorizam ESG e governança tendem a exigir plano de conformidade como parte do due diligence — o que aumenta a barreira de entrada para startups que ainda não têm estrutura jurídica.
Investidores mais favoráveis a empresas compliance-ready: por outro lado, empresas que demonstrem adaptação proativa à regulação podem se tornar mais atraentes. O argumento: empresas conformes têm menor risco de sanção, maior previsibilidade operacional e vantagem de reputação com clientes corporativos que já exigem garantias regulatórias de seus fornecedores de IA.
Empresas que construírem uma reputação sólida de conformidade enquanto a regulação ainda está sendo definida vão criar um diferencial de mercado difícil de replicar rapidamente. Grandes clientes corporativos — bancos, hospitais, redes de varejo — já estão exigindo garantias de compliance de IA de seus fornecedores de tecnologia. PMEs que chegarem com documentação pronta e processos estabelecidos fecham contratos que os concorrentes não conseguem.
Mobilidade de talentos — fuga ou atração?
O impacto do PL 2338/2023 na mobilidade de talentos é bidirecional — e a direção depende de como cada empresa gerencia a transição.
O risco de perda de talentos técnicos
PMEs que não conseguirem se adaptar com agilidade podem ver profissionais técnicos migrarem para empresas maiores, com mais recursos para absorver os custos de conformidade sem comprometer salários ou projetos. O risco é maior em empresas de 5 a 20 pessoas, onde cada desligamento tem impacto desproporcional na produção.
A demanda por novos perfis profissionais
Por outro lado, a regulação cria demanda por perfis que ainda são escassos no Brasil: profissionais com conhecimento em conformidade de IA, avaliação de impacto algorítmico, explicabilidade de modelos e gestão de risco regulatório. Empresas que investirem cedo no desenvolvimento ou contratação desses perfis terão vantagem competitiva — tanto para atrair clientes quanto para reter talentos que buscam trabalhar em ambientes com segurança jurídica.
Três cenários para 2026–2028
A simulação projetou três cenários para o período de implementação do PL 2338/2023, com base nas variáveis de texto final aprovado, prazo de adaptação e suporte governamental às PMEs.
O que fazer agora — recomendações para PMEs
Independente de qual cenário se concretize, duas ações têm retorno garantido independente do texto final:
1. Mapeie seus sistemas de IA e classifique-os por risco
Antes de qualquer investimento em compliance, entenda o que você tem. Liste todos os sistemas de IA que sua empresa desenvolve ou usa em produtos. Para cada um, responda: ele toma ou influencia decisões que afetam pessoas (crédito, saúde, emprego, educação)? Se sim, é candidato à categoria de alto risco e exigirá mais atenção. Esse mapeamento leva menos de um dia e é a base de tudo que vem depois.
2. Construa o processo antes de contratar o especialista
Muitas PMEs cometem o erro de achar que compliance de IA é um problema jurídico que se resolve com um advogado. O compliance de IA começa no produto — na forma como os dados são coletados, como os modelos são documentados e como as decisões são registradas. Implementar boas práticas de documentação de modelo e de gestão de dados pessoais agora, mesmo antes da lei ser aprovada, reduz em até 60% o custo de adequação posterior.
A Redação do Algoritmo Diário avalia que o risco maior para PMEs de tecnologia não é a regulação em si — é ser pego de surpresa por ela. O PL 2338/2023 ainda pode mudar significativamente na Câmara, e o texto final pode ser mais ou menos exigente do que o aprovado pelo Senado. Mas o arcabouço geral — risco baseado em categorias, obrigações de transparência, designação de responsável — já está definido e dificilmente será revertido. Empresas que esperarem a lei ser aprovada para começar a se preparar vão enfrentar o mesmo problema de quem esperou a LGPD entrar em vigor para pensar em privacidade.
Perguntas Frequentes
-
O PL 2338/2023 já está em vigor?Não. O PL 2338/2023 foi aprovado pelo Senado Federal em dezembro de 2024 e encaminhado à Câmara dos Deputados em março de 2025. A votação estava prevista para o final de 2025, mas foi adiada. A expectativa é de votação ao longo de 2026. Se a Câmara fizer mudanças no texto — o que é provável — o projeto retorna ao Senado para nova análise antes de seguir para sanção presidencial. O marco legal ainda não tem data definitiva para entrar em vigor.
-
Toda empresa que usa IA vai precisar se adequar?Depende do tipo de sistema de IA e do uso. O texto do Senado adota uma abordagem baseada em risco: sistemas de IA de baixo risco têm obrigações mínimas (principalmente transparência com usuários). Sistemas de alto risco — usados em crédito, saúde, educação, emprego e segurança pública — terão obrigações muito mais pesadas: documentação técnica, avaliação de impacto, designação de responsável e possível registro junto à autoridade. Uma startup de SaaS de produtividade que usa IA para sugestão de texto tem exigências bem menores do que uma fintech que usa IA para análise de crédito.
-
Qual é a diferença entre o PL 2338/2023 e a LGPD?A LGPD regula o tratamento de dados pessoais — qualquer dado que identifique ou permita identificar uma pessoa. O PL 2338/2023 regula especificamente sistemas de inteligência artificial — como são desenvolvidos, documentados, auditados e responsabilizados. As duas legislações se complementam: um sistema de IA que processa dados pessoais está sujeito às duas. A LGPD já está em vigor desde 2020; o PL 2338/2023 ainda tramita. A ANPD será responsável por ambas as regulações nos setores sem autoridade setorial própria.
-
PMEs terão prazo diferenciado para se adaptar?O texto aprovado pelo Senado prevê diferenciação por porte de empresa, mas os detalhes ainda podem mudar na Câmara. A expectativa da comunidade empresarial é de um prazo de 12 a 24 meses para PMEs após a sanção presidencial, além de orientações simplificadas da ANPD. O Sebrae tem pressionado por subsídios e programas de apoio para facilitar a adaptação de micro e pequenas empresas. A versão final aprovada pela Câmara definirá os termos exatos.
-
O que é um DPIA e quando minha empresa vai precisar de um?DPIA significa Data Protection Impact Assessment — Avaliação de Impacto à Proteção de Dados. No contexto do PL 2338/2023, sistemas de IA de alto risco precisarão de um relatório de avaliação de impacto que documente os riscos do sistema, as medidas adotadas para mitigá-los e como os direitos dos usuários são protegidos. Empresas que desenvolvem IA para crédito, saúde, educação, segurança e recursos humanos são as mais prováveis candidatas a precisar de DPIA. A designação de um encarregado (DPO ou responsável de IA) para gerenciar esse processo também é prevista no texto.
📚 Veja também no Algoritmo Diário
Fontes primárias: PL 2338/2023 — Senado Federal · Tramitação na Câmara dos Deputados
Acompanhe a regulação de IA no Brasil
Atualizações do PL 2338/2023, LGPD e impactos no ecossistema de startups — sem juridiquês, todo dia útil.
Assinar gratuitamente →O que você achou deste artigo?
Sua empresa já começou a se preparar para o PL 2338/2023?