Regulamentação da Inteligência Artificial no Brasil e no Mundo

13.09.2025 – As regulamentações sobre Inteligência Artificial (IA) estão se desenvolvendo rapidamente em todo o mundo, refletindo a crescente preocupação com os impactos éticos, sociais, econômicos e de segurança dessa nova tecnologia. Diferentes regiões têm adotado abordagens distintas, influenciadas por suas prioridades culturais, políticas e econômicas, buscando equilibrar inovação com proteção.

Passamos a abordar as principais regulamentações da IA no mundo e por último, entenderemos como o Brasil se encontra diante desse importante tema.

A União Europeia é pioneira na regulamentação abrangente da IA, com foco na proteção dos direitos fundamentais, segurança e valores democráticos. Sua abordagem é frequentemente vista como um modelo para outras jurisdições devido à sua abrangência e rigor.

Sua regulamentação principal sobre o tema é a AI Act, aprovada em março de 2024 e com implementação gradual nos próximos anos, com as proibições entrando em vigor em 6 meses, códigos de prática em 9 meses, regras de governança em 12 meses e obrigações para sistemas de alto risco em 24 meses.

A AI Act adota uma abordagem baseada em risco para classificar os sistemas de IA, garantindo que as obrigações regulatórias sejam proporcionais ao potencial de dano, conforme explicado no quadro abaixo:

Classificação da AI Act conforme o risco
Risco Inaceitável: Sistemas que manipulam o comportamento humano (ex: brinquedos com assistente de voz que incentivam comportamento perigoso), exploram vulnerabilidades (ex: IA que explora deficiências mentais ou físicas), realizam “social scoring” governamental ou utilizam reconhecimento de emoções em locais de trabalho/educação. São estritamente proibidos devido ao seu potencial de violação de direitos fundamentais.
Alto Risco: Sistemas que podem causar danos significativos à saúde, segurança ou direitos fundamentais. Incluem IA em infraestruturas críticas (ex: gestão de tráfego, redes elétricas), dispositivos médicos, educação (ex: avaliação de exames), emprego (ex: triagem de currículos), aplicação da lei (ex: avaliação de risco criminal), gerenciamento de migração e sistemas de identificação biométrica remota (com exceções para aplicação da lei em casos graves). Esses sistemas são sujeitos a rigorosas obrigações antes e depois de serem colocados no mercado.
Risco Limitado: Sistemas com obrigações de transparência específicas para que os usuários estejam cientes de que estão interagindo com IA. Exemplos incluem chatbots, sistemas de reconhecimento de emoções e deepfakes.
Risco Mínimo ou Nulo: A vasta maioria dos sistemas de IA, como jogos baseados em IA ou filtros de spam. Não possuem obrigações adicionais, mas são incentivados a seguir códigos de conduta voluntários.

Para sistemas de alto risco, os requisitos são detalhados e abrangentes e poderão ser encontrados em detalhes no quadro sinótico a seguir:

Requisitos para os Sistemas de Alto Risco
Sistemas de gestão de risco robustos: Implementação de um ciclo de vida contínuo de identificação, análise, avaliação e mitigação de riscos, incluindo monitoramento pós-mercado.
Alta qualidade dos dados de treinamento, validação e teste: Os dados devem ser representativos, relevantes, completos e livres de vieses que possam levar à discriminação. É exigida documentação detalhada sobre a coleta e curadoria dos dados.
Registro de atividades (logging): Capacidade de registrar eventos para garantir rastreabilidade, auditabilidade e monitoramento do desempenho do sistema ao longo do tempo.
Transparência e fornecimento de informações aos usuários: Os usuários devem ser informados sobre o propósito do sistema, suas capacidades e limitações, e como ele pode afetá-los.
Supervisão humana adequada: Garantir que humanos possam intervir, corrigir ou anular decisões automatizadas, especialmente em situações críticas.
Precisão, robustez e segurança cibernética: O sistema deve ser preciso para seu propósito, resiliente a erros e ataques e protegido contra vulnerabilidades de segurança.
Avaliação de conformidade antes da colocação no mercado: Semelhante à certificação da CE para produtos, os sistemas de alto risco devem passar por uma avaliação de conformidade, que pode envolver auditorias de terceiros.

A lei impõe deveres de transparência, explicabilidade (capacidade de entender como uma decisão foi tomada) e auditabilidade, especialmente para sistemas de alto risco. Promove o respeito aos direitos fundamentais, a não discriminação e a mitigação de vieses algorítmicos.

Já com respeito a dados pessoais, a AI Act complementa e se alinha fortemente à GDPR (General Data Protection Regulation), que regula o tratamento de dados pessoais. Qualquer sistema de IA que utilize dados pessoais deve estar em conformidade com ambos os regulamentos, garantindo princípios como minimização de dados, finalidade específica e segurança.

Faltas graves, como a utilização de sistemas de IA proibidos ou violações de dados, podem resultar em multas de até €35 milhões ou 7% do faturamento global anual da empresa, o que for maior. Violações de requisitos de sistemas de alto risco podem render multas de até €15 milhões ou 3% do faturamento global.

A abordagem da AI nos EUA é mais fragmentada e setorial, combinando ordens executivas federais, diretrizes voluntárias e leis estaduais ou específicas de agências. O foco é equilibrar a inovação com a segurança e a proteção dos direitos civis.

Assim podemos citar as três fontes de regulamentações abaixo:

Fontes de Regulamentação da AI
Decreto Presidencial sobre IA (Executive Order on AI): Emitido em outubro de 2023, é um dos mais abrangentes do mundo. Visa garantir a segurança, proteção e confiabilidade da IA, ao mesmo tempo em que promove a inovação e a concorrência. Inclui diretrizes para desenvolvedores de IA, proteção de privacidade, promoção da equidade e combate a fraudes.
NIST AI Risk Management Framework (AI RMF): Um guia voluntário publicado pelo National Institute of Standards and Technology (NIST) para ajudar as organizações a gerenciar riscos associados ao design, desenvolvimento, implantação e uso de produtos, serviços e sistemas de IA.
Leis Estaduais e Setoriais: Diversos estados (como a Califórnia) e agências reguladoras (como a FDA para IA médica ou o FTC para IA em publicidade) têm suas próprias diretrizes ou leis relacionadas à IA em seus respectivos âmbitos.

Com respeito ao Decreto Presidencial sobre IA de outubro de 2023, ou seja, o Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, é importante entender que o mesmo visou promover o desenvolvimento e uso seguro e ético da IA em todas as agências federais e incentivar o setor privado, abrangendo a IA de base (Foundation Models) – modelos grandes treinados em vastos conjuntos de dados, capazes de se adaptar a diversas tarefas – e a IA generativa.

Vejamos abaixo os principais pontos regulamentados pelo referido decreto:

Principais Pontos Regulamentados pelo Decreto de IA
Exigiu que desenvolvedores de sistemas de IA de base mais poderosos (aqueles que representam um risco grave para a segurança nacional, segurança econômica ou saúde pública) compartilhem resultados de testes de segurança (incluindo testes de “red teaming” para identificar vulnerabilidades e capacidades que resultem em perigo em potencial) com o governo antes de sua implantação pública.
Desenvolvimento de padrões para testes de IA, incluindo avaliações de vulnerabilidade, ataques simulados e mitigação de riscos para evitar usos maliciosos (ex: armas biológicas, ciberataques).
Medidas para proteger a privacidade dos dados, incluindo o desenvolvimento de técnicas de privacidade por design e tecnologias de aprimoramento da privacidade (PETs).
Requisitos para sistemas de IA que afetam a segurança nacional, saúde pública e segurança, como a criação de um programa de segurança cibernética para IA.
Focou na promoção da equidade, proteção contra discriminação algorítmica (ex: em habitação, emprego), transparência de conteúdo gerado por IA (com marcas d’água digitais para identificar conteúdo produzido por IAs), atribuição de responsabilidades, e enfatizou a proteção dos direitos civis.
Fortaleceu a cibersegurança de sistemas de IA e impôs o uso de padrões desenvolvidos pelo NIST (National Institute of Standards and Technology) para segurança e gerenciamento de risco de IA. O NIST AI Risk Management Framework (AI RMF), embora voluntário, oferece um guia abrangente para gerenciar riscos de IA, estruturado em quatro funções: Govern, Map, Measure e Manage.

Embora o Decreto Presidencial não tenha estabelecido penalidades diretas para o setor privado, a não conformidade pode levar a limitações contratuais com o governo dos EUA, ações por parte de agências reguladoras setoriais (ex: FTC para práticas comerciais desleais ou discriminatórias, FDA para IA em dispositivos médicos) ou litígios civis, etc.).

A China tem sido proativa na regulamentação da IA, com foco na segurança cibernética, controle de conteúdo, estabilidade social e promoção da inovação. Suas regulamentações são caracterizadas por um forte controle estatal e responsabilidade do provedor de serviços.

Eis as principais regulamentações na China a respeito de IA:

Principais Regulamentações de IA na China
Provisions on the Administration of Deep Synthesis Internet Information Services (2023) (Regulamentações de Deepfake).
Interim Measures for the Management of Generative Artificial Intelligence Services (2023) (Regulamentações de IA Generativa).
Internet Information Service Algorithmic Recommendation Management Provisions (2022)

Vejamos abaixo os principais pontos regulamentados pelas referidas normas:

Principais Pontos Regulamentados pelas Normas na China
Abrangeu desde o uso de algoritmos para recomendação de conteúdo (ex: feeds de notícias, plataformas de vídeo) até a geração de conteúdo sintético (ex: deepfakes, áudio sintético) e serviços de IA generativa, tendo um amplo escopo sobre provedores de serviços de IA que operam na China ou servem usuários chineses.
O conteúdo gerado por IA deve estar alinhado com os “valores socialistas centrais” e não deve infringir direitos, difamar, espalhar informações falsas ou gerar conteúdo ilegal (ex: subversão do poder estatal).
Exigência de identificação clara de conteúdo gerado por AI (marcas d’água visíveis ou metadados) para prevenir desinformação.
Garantia da autenticidade e legalidade dos dados utilizados para treinamento dos modelos de IA.
Auditorias de segurança e avaliações de algoritmos para serviços de IA generativa antes de sua implantação pública.
Os provedores de serviços de IA foram responsabilizados pelo conteúdo gerado por suas IAs e devem garantir a segurança dos dados e do conteúdo. Os usuários devem ter a opção de desativar algoritmos de recomendação e ter direito a explicações sobre decisões automatizadas.
Requisitos rigorosos para o tratamento de dados pessoais e para a segurança da informação, alinhados com a Lei de Segurança Cibernética (CSL) e a Lei de Proteção de Informações Pessoais (PIPL) da China, incluindo requisitos de localização de dados e avaliações de segurança para transferências internacionais.

As respectivas normas criaram sanções administrativas (ex: advertências, suspensão de serviços, etc.), multas substanciais e, em casos graves, responsabilidade criminal para indivíduos e empresas.

O Reino Unido adotou uma abordagem mais pragmática e inovadora, buscando não sufocar o desenvolvimento tecnológico com uma legislação abrangente e centralizada, preferindo alavancar estruturas regulatórias existentes.

Dessa forma, o governo propôs princípios que as agências reguladoras existentes devem aplicar à IA em seus respectivos setores, em vez de criar uma nova lei ou regulação. Os princípios incluem segurança, transparência, explicabilidade (é o conceito de que um modelo de aprendizado de máquina e sua saída podem ser explicados de uma forma que “faça sentido” para um ser humano em um nível aceitável), justiça e responsabilidade.

Tais princípios fazem parte do AI White Paper, documento criado em 2023, que detalhou a estratégia do Reino Unido para a IA, focando em como os reguladores existentes podem aplicar seus mandatos à IA.

Vejamos abaixo os principais pontos regulamentados pelas referidas normas:

Principais Pontos trazidos pelo AI White Paper
Delegou a regulamentação da IA a reguladores setoriais existentes (ex: saúde, finanças, concorrência, direitos humanos, etc.) em vez de criar uma nova agência ou lei abrangente. O objetivo é que esses reguladores aplicassem princípios gerais de IA em seus respectivos domínios.
Estabeleceu cinco princípios básicos não estatutários que os reguladores devem aplicar ao uso de IA em seus setores: – Segurança, proteção e robustez: IA deve ser segura, confiável e resistente a falhas e manipulações. – Transparência e explicabilidade: As decisões da IA devem ser compreensíveis e auditáveis. – Justiça: A IA deve ser usada de forma justa, sem discriminação e com mitigação de vieses. – Responsabilidade governança: Deve haver clareza sobre quem é responsável pelas decisões e resultados da IA. – Contestabilidade e reparação: Os indivíduos devem ter meios para contestar decisões de IA e buscar reparação por danos.
Deixou a questão de proteção de dados para a UK GDPR (versão britânica da lei de proteção de dados na UE, adaptada após o Brexit, separação do Reino Unido da União Europeia).

Com respeito às penalidades, sanções serão as existentes nos regimes regulatórios setoriais aplicados pela IA. Dessa forma, o Information Commissioner’s Office (ICO) aplicaria multas por violações de dados, enquanto a Financial Conduct Authority (FCA) aplicaria sanções por conduta inadequada no setor financeiro, etc.

Parte do Congresso brasileiro tem acompanhado de perto as discussões globais sobre IA e tem buscado desenvolver sua própria estrutura regulatória, visando posicionar o país como um líder em IA na América Latina, equilibrando inovação e segurança.

Embora haja diversos projetos de lei sobre AI, o principal projeto de lei em tramitação é o PL 2338/2023 (originário do PL 21/2020), que propõe um marco legal para o desenvolvimento e uso da inteligência artificial no Brasil. Este projeto está em análise no Senado e visa criar um arcabouço legal abrangente, inspirando-se em modelos internacionais, especialmente o AI Act da UE.

Vejamos os principais pontos do PL 2338/2023:

Principais Pontos do PL2338/2023
Abordagem baseada em risco: Similar ao AI Act da UE, classifica sistemas de IA em níveis de risco (excessivo, alto, médio e baixo), com obrigações proporcionais ao risco. Um sistema de “risco excessivo” seria proibido, enquanto um de “alto risco” exigiria avaliações de impacto algorítmico e conformidade rigorosas.
Direitos dos Titulares: Garante direitos como o direito à explicação sobre decisões automatizadas (especialmente aquelas que afetam significativamente o indivíduo), o direito à não discriminação e o direito à revisão humana, complementando os direitos já previstos na LGPD.
Princípios Éticos: Estabelece princípios como transparência, explicabilidade, segurança, não discriminação, privacidade, governança e responsabilidade, que devem guiar todo o ciclo de vida da IA.
Governança e Responsabilidade: Propõe mecanismos para supervisão e atribuição de responsabilidade em caso de danos causados por sistemas de IA, incluindo a criação de um órgão regulador ou a atribuição de competências a agências existentes.
Avaliação de Conformidade: Para sistemas de alto risco, exige a realização de avaliação prévia de conformidade, incluindo testes de viés, auditorias de segurança e registro das atividades de IA.
Requisitos de Dados: Foca na qualidade, representatividade e legalidade dos dados utilizados para treinamento, validação e teste, com o objetivo de mitigar vieses e garantir a privacidade.
Sandbox Regulatório: Previsão de ambientes regulatórios experimentais para testar inovações em IA sob supervisão, permitindo o desenvolvimento de novas tecnologias de forma controlada e segura.

O governo federal tem demonstrado interesse em posicionar o Brasil como um líder em IA na América Latina, buscando um equilíbrio entre inovação e segurança. O Ministério da Ciência, Tecnologia e Inovação (MCTI) tem promovido discussões e desenvolvido a Estratégia Brasileira de Inteligência Artificial (EBIA), que define princípios e diretrizes para o desenvolvimento de IA, focando em pesquisa, formação de talentos e aplicação em setores estratégicos.

A Autoridade Nacional de Proteção de Dados (ANPD), responsável pela aplicação da Lei Geral de Proteção de Dados (LGPD), já atua na interseção com a IA, especialmente no que tange ao tratamento de dados pessoais por sistemas de IA, fiscalizando a conformidade com princípios como finalidade, necessidade e segurança. Outras agências setoriais (ex: Banco Central para o setor financeiro, CVM para o mercado de capitais, ANATEL para telecomunicações, etc.) também estão começando a considerar a IA em seus respectivos domínios, desenvolvendo diretrizes específicas.

A sugestão para empresas no Brasil é que já devem começar a mapear seus sistemas de IA, identificar os níveis de risco associados (ex: alto risco para sistemas de RH ou crédito, etc.), e revisar suas práticas de governança de dados e desenvolvimento de algoritmos. Realizar avaliações de risco de IAs e inventários de sistemas de IA é crucial.

As empresas precisarão implementar metodologias robustas para identificar, avaliar e mitigar riscos associados aos sistemas de IA, incluindo vieses algorítmicos que podem levar à discriminação ou decisões injustas. Testes rigorosos e monitoramento pós-implantação serão essenciais.

Por fim, será necessário estabelecer ou fortalecer estruturas de governança de IA, incluindo políticas internas, comitês de ética, treinamentos para equipes de desenvolvimento e operações, e processos para auditoria e monitoramento contínuo dos sistemas de IA.