O Marco Legal da IA (PL 2338/2023) foi aprovado pelo Senado em dezembro de 2024 e tramita hoje numa Comissão Especial da Câmara, com votação em plenário adiada para 2026. O texto prevê responsabilidade objetiva para sistemas de alto risco, multas de até R$ 50 milhões e não isenta empresas pequenas.
Se a sua empresa usa um chatbot, um agente de IA no WhatsApp ou qualquer automação que toma decisão por conta própria — aprovar um pedido, negar um desconto, filtrar um currículo —, essa lei vai te afetar mesmo sendo uma PME. E, ao contrário do que muita gente pensa, o projeto não abre exceção automática para negócios pequenos: as regras de responsabilidade dos artigos 27 a 29, que tratam de responsabilidade objetiva em sistemas de alto risco, valem para qualquer empresa que opere um sistema de IA, independentemente do porte.
Neste artigo você entende o que já está definido no texto, como funciona a classificação de risco, quem responde se a IA da sua empresa causar um dano e o que fazer agora para não ser pego de surpresa quando a lei entrar em vigor.
O que é o Marco Legal da IA e quando ele entra em vigor?
É o projeto de lei que cria, pela primeira vez no Brasil, um arcabouço específico de direitos, deveres e responsabilidades para o desenvolvimento e uso de sistemas de inteligência artificial. O Senado aprovou o texto por unanimidade em 10 de dezembro de 2024 e o remeteu à Câmara dos Deputados em março de 2025, onde uma Comissão Especial — presidida pela deputada Luísa Canziani, com relatoria do deputado Aguinaldo Ribeiro (PP-PB) — realizou doze audiências públicas entre maio e setembro de 2025. A votação em plenário, inicialmente prevista para o fim de 2025, foi adiada para 2026 por impasses políticos e falta de consenso sobre pontos sensíveis do texto. Na prática: a lei ainda não está em vigor nem tem data certa de votação, mas o texto já avançou o suficiente para que empresas comecem a se preparar agora, em vez de esperar a sanção para agir.
Como a lei classifica o risco dos sistemas de IA?
O projeto adota um modelo baseado em risco, parecido com o da União Europeia: quanto maior o impacto potencial do sistema na vida das pessoas, mais obrigações a empresa que o opera precisa cumprir.
| Categoria de risco | O que inclui | Obrigação principal |
|---|---|---|
| Risco excessivo | Manipulação comportamental prejudicial, pontuação social por parte do poder público (proibidos) | Uso vedado por lei |
| Alto risco | Decisões automatizadas com efeito relevante: crédito, contratação, saúde, segurança | Avaliação prévia de risco, transparência e responsabilidade objetiva do fornecedor/operador |
| Risco moderado ou baixo | Chatbots e agentes de atendimento que interagem diretamente com pessoas, sem decisão de alto impacto | Informar claramente que é uma IA (transparência básica) |
Um agente de IA que só responde dúvidas e agenda horários no WhatsApp tende a ficar no risco moderado ou baixo. Já uma automação que aprova ou nega crédito, currículo ou reembolso automaticamente pode ser enquadrada como alto risco — e é aí que a maioria das PMEs subestima o próprio enquadramento.
Quem responde se a IA da minha empresa causar um dano?
Pelo texto aprovado no Senado (artigos 27 a 29), sistemas de alto risco ou risco excessivo geram responsabilidade objetiva do fornecedor e do operador, proporcional à participação de cada um no dano; para os demais sistemas, há presunção de culpa, com o ônus da prova invertido a favor da vítima. Em relações de consumo — o caso típico de uma empresa vendendo para o consumidor final —, aplica-se ainda o Código de Defesa do Consumidor, que já prevê responsabilidade objetiva e solidária entre todos os fornecedores da cadeia: quem fabrica o modelo de IA, quem integra a tecnologia, quem fornece a aplicação e quem opera o sistema no dia a dia. Isso reforça a importância de revisar o contrato com o fornecedor da sua automação: quem responde por qual tipo de falha precisa estar explícito, não implícito.
Como o Marco Legal se relaciona com a LGPD?
As duas leis vão operar juntas. A LGPD já garante, pelo artigo 20, o direito de qualquer pessoa pedir revisão humana de uma decisão tomada exclusivamente por um sistema automatizado — por exemplo, quando um agente de IA nega uma compra parcelada ou recusa um pedido de troca sem intervenção humana. O Marco Legal da IA reforça essa exigência e cria o SIA (Sistema Nacional de Regulação e Governança de Inteligência Artificial), sistema que deve contar com a participação da ANPD (Autoridade Nacional de Proteção de Dados) na fiscalização. Se sua empresa já trata dados pessoais com apoio de IA — CRM, qualificação de leads, atendimento automatizado —, provavelmente já precisa cumprir a LGPD hoje, e o Marco Legal deve aprofundar essas obrigações, não substituí-las.
Exemplo prático: como isso afeta uma loja com atendimento automatizado
Uma loja de material de construção de porte médio usa um agente de IA no WhatsApp para responder dúvidas, enviar orçamentos e aprovar automaticamente pedidos de parcelamento até um determinado limite de valor. Hoje, sob a LGPD, essa loja já deveria informar ao cliente que está falando com uma IA e oferecer um caminho fácil para falar com um humano. Com o Marco Legal em vigor, se a aprovação automática de parcelamento for classificada como decisão de alto risco, a loja também precisará documentar como o sistema decide, manter um canal de revisão humana e ter clareza contratual sobre quem responde se o sistema aprovar um parcelamento indevido. Nenhuma dessas medidas exige trocar de fornecedor — exige checar se elas já existem no processo atual.
O que sua empresa deve fazer agora para se preparar?
- Mapear todos os pontos em que a IA toma uma decisão sozinha (aprovar, negar, filtrar, priorizar) e não apenas responde perguntas;
- Garantir que toda interação automatizada se identifique como IA, com caminho claro para falar com um humano;
- Revisar o contrato com o fornecedor da automação para deixar explícita a divisão de responsabilidade em caso de falha;
- Manter supervisão humana ativa nas decisões de maior impacto (crédito, reembolso, contratação);
- Acompanhar a tramitação do PL 2338/2023 na Comissão Especial da Câmara para ajustar o processo antes da sanção, em vez de depois.
Quais erros as empresas mais cometem sobre o Marco Legal da IA?
O erro mais comum é achar que, por ser pequena, a empresa está automaticamente fora do alcance da lei — o texto atual não faz essa distinção de porte. O segundo erro é tratar o assunto como problema só do fornecedor de tecnologia: a responsabilidade objetiva de sistemas de alto risco (e a solidária, em relações de consumo) significa que quem opera a IA também responde, não só quem a desenvolveu. E o terceiro é esperar a sanção da lei para agir; como a classificação de risco e a exigência de transparência já ecoam obrigações que a LGPD impõe hoje, adiar a adequação só aumenta o trabalho quando a lei passar a valer.
Perguntas frequentes sobre o Marco Legal da IA
O Marco Legal da IA já está em vigor no Brasil?
Não. O Senado aprovou o texto (PL 2338/2023) em dezembro de 2024, e desde março de 2025 ele tramita numa Comissão Especial da Câmara dos Deputados. A votação em plenário, antes prevista para 2025, foi adiada para 2026 sem data definida.
Empresas pequenas estão isentas do Marco Legal da IA?
Não pelo texto atual. As regras de responsabilidade objetiva para sistemas de alto risco valem para qualquer empresa que opere esse tipo de IA, independentemente do porte — e, em relações de consumo, o Código de Defesa do Consumidor já prevê responsabilidade solidária entre toda a cadeia de fornecedores.
Quem responde se o chatbot da minha empresa cometer um erro?
Depende do enquadramento de risco: em sistemas de alto risco, fornecedor e operador respondem objetivamente pelo dano; nos demais casos, há presunção de culpa a favor da vítima. Por isso é importante que o contrato com o fornecedor da IA deixe claro quem responde por qual tipo de falha.
Meu chatbot de atendimento é considerado alto risco?
Normalmente não. Chatbots que só respondem dúvidas e agendam horários tendem a se enquadrar no risco moderado ou baixo, com a obrigação de informar que é uma IA. O risco sobe quando o sistema toma decisões automáticas com efeito relevante, como aprovar crédito.
O Marco Legal da IA substitui a LGPD?
Não. As duas leis se complementam: a LGPD já garante o direito de revisão humana de decisões automatizadas (artigo 20) e o Marco Legal da IA cria o SIA (Sistema Nacional de Regulação e Governança de IA), que deve reforçar essa fiscalização com participação da ANPD.
O que fazer agora, antes da lei ser sancionada?
Mapear onde a IA toma decisões sozinha, garantir transparência e caminho de revisão humana, e revisar com o fornecedor da automação quem responde por eventuais falhas — medidas que já ajudam a cumprir a LGPD hoje e reduzem o trabalho quando o Marco Legal entrar em vigor.
Entender a regulamentação antes que ela vire obrigação é a diferença entre ajustar o processo com calma e correr atrás depois que a lei mudar. Conheça as soluções da NexusAI ou chame a gente no WhatsApp para revisar como a IA da sua empresa está configurada hoje.



