Regulação de IA

PL 2338/2023 (Marco Legal da IA): o que conselhos e diretorias precisam decidir agora

Compartilhar

LinkedInWhatsAppXFacebook

O PL 2338/2023 — Marco Legal da Inteligência Artificial — é a proposta brasileira mais avançada para regular sistemas de IA no país. Aprovado no Senado e em tramitação na Câmara, ele estrutura obrigações por nível de risco, direitos dos afetados e exigências de governança para fornecedores e operadores. Para conselhos e diretorias, a pergunta deixou de ser "vai passar?" e passou a ser "estamos prontos quando passar?".

Este texto resume, sem juridiquês, o que a alta direção precisa decidir agora — e como tratar a adequação como movimento preventivo, não corrida de última hora.

O que o PL 2338 propõe (em linguagem executiva)

  • Classificação por nível de risco (excessivo, alto, demais sistemas), inspirada no EU AI Act.
  • Avaliação preliminar e avaliação de impacto algorítmico para sistemas de alto risco.
  • Direitos dos afetados: informação, explicação, contestação de decisões automatizadas, revisão humana.
  • Governança interna obrigatória: políticas, papéis, gestão de risco e documentação técnica.
  • Responsabilização de fornecedores e operadores ao longo da cadeia.
  • Autoridade competente para fiscalização (modelo em discussão).

O texto exato pode mudar até a sanção, mas a direção é clara: governança documentada, gestão de risco e direitos dos afetados deixam de ser opcionais.

Por que tratar como adequação preventiva

Esperar a sanção para começar a se adequar é a estratégia mais cara. Empresas que estruturam governança de IA agora — alinhada a ISO/IEC 42001 e ao EU AI Act — colhem três benefícios:

  • Pré-conformidade: a maior parte dos controles do PL 2338 já está coberta por ISO 42001 e NIST AI RMF.
  • Vantagem comercial: clientes B2B regulados (financeiro, saúde, setor público) já cobram evidência de governança de IA em RFPs.
  • Defesa reputacional: incidente público sem programa formal vira manchete; com programa, vira nota técnica.

O que conselhos e diretorias precisam decidir nos próximos 90 dias

1. Patrocínio executivo formal

Definir um sponsor de nível C (CEO, COO, CIO ou CRO conforme o setor) e levar o tema para a pauta do conselho ao menos uma vez por trimestre. Sem patrocínio executivo, governança de IA vira projeto de TI isolado.

2. Inventário de sistemas de IA

Mapear o que a empresa já usa — IA própria, IA contratada e IA embarcada em SaaS — incluindo Shadow AI (uso não-autorizado de GenAI). Sem inventário, qualquer obrigação do PL 2338 é inaplicável na prática.

3. Critério de classificação de risco

Adotar critério único de classificação (alto risco, risco limitado, risco mínimo) compatível com EU AI Act e PL 2338. Isso evita retrabalho quando o texto final for sancionado.

4. Política corporativa de uso de IA

Documento curto, aprovado em comitê, com regras claras de uso de GenAI, dados sensíveis em prompts, contratação de fornecedores de IA, propriedade intelectual e revisão humana de decisões automatizadas.

5. Plano de adequação faseado

Roadmap de 6–12 meses ligando inventário, política, controles técnicos (AI Security), due diligence de fornecedores de IA e conscientização da força de trabalho.

Como o PL 2338 se conecta com o que já existe

O PL 2338 não é uma ilha. Ele dialoga com:

  • LGPD — base legal, AIPD e direito à revisão humana (art. 20) já são exigências vigentes.
  • Resoluções setoriais (BACEN, CVM, ANS, ANATEL) — várias já tratam de modelos analíticos e IA.
  • ISO/IEC 42001 — fornece a estrutura organizacional certificável que o PL 2338 vai presumir como diligência razoável.
  • EU AI Act — empresas com presença ou clientes na União Europeia precisam atender aos dois.

O que evitar nas comunicações sobre o PL 2338

  • Promessas de 'conformidade garantida' enquanto o texto final não é sancionado — fale em adequação preventiva.
  • Tratar como tema só do Jurídico: o PL 2338 cobra controles técnicos, não apenas pareceres.
  • Adiar inventário esperando 'consolidação regulatória' — quanto mais tempo passa, maior o passivo.

Como a VGrid atua

A VGrid estrutura programas de governança de IA com adequação preventiva ao PL 2338, integrados a ISO/IEC 42001, NIST AI RMF e EU AI Act. Atendemos conselhos, diretorias e áreas de Compliance que precisam levar o tema a fórum decisório com clareza técnica e jurídica.

E
Equipe VGridAI Governance & ISO 42001 Lead Implementer/Auditor

Conteúdo produzido pela equipe da VGrid — consultoria brasileira especializada em monitoramento corporativo, insider risk, DLP, governança operacional e conformidade.

9 min
Sobre a VGrid →

Compartilhar

LinkedInWhatsAppXFacebook

Leitura relacionada

PL 2338 / Marco Legal da IA (página-pilar) →AI Compliance & Regulação →EU AI Act vs Marco Legal →Governança de IA — guia completo →
Fale com a VGrid

Quer preparar sua empresa para o PL 2338 antes da sanção?

A VGrid estrutura adequação preventiva ao Marco Legal da IA, alinhada a ISO/IEC 42001 e ao EU AI Act. Solicite um diagnóstico inicial.

Sem compromisso
Retorno consultivo em até 24h
Conversa estratégica, não pitch agressivo

Seus dados são tratados conforme nossa política de privacidade.