Tokia
lgpd

Marco Legal de IA Brasil (PL 2338/2023): o que muda pra dev em 2026

Análise prática do PL 2338/2023 (Marco Legal de IA) aprovado no Senado. Sistemas de risco, obrigações de transparência, multas. Sem juridiquês — checklist dev pra ficar conforme.

⚠️ Esse post é educativo, não substitui consultoria jurídica. Pra dúvida específica sobre seu produto: advogado especializado em regulação digital.

O PL 2338/2023 ("Marco Legal de IA") foi aprovado no Senado em dezembro 2024 e tramita na Câmara. Se aprovado em 2026, vai ser a regulação que afeta todo dev BR usando IA. Esse post mostra o que importa na prática.

TL;DR — o que afeta dev

  • Classificação de risco: seu sistema cai em mínimo / moderado / alto / excessivo. Cada tier tem obrigações diferentes.
  • Transparência: deve documentar dataset + decisões automatizadas
  • Direito de revisão humana: usuário pode pedir review de decisão IA importante
  • Auditabilidade: logs precisam ser preserváveis 5 anos
  • Multas: até R$ 50M ou 2% faturamento (similar LGPD)

Os 4 tiers de risco

🟢 Risco mínimo

  • Chatbots simples (atendimento, FAQ)
  • Filtros spam
  • Recomendação de conteúdo
  • Obrigações: nenhuma específica além de LGPD

🟡 Risco moderado

  • IA generativa (texto, imagem, áudio, vídeo)
  • Modelos de fundação (GPT, Claude, Gemini)
  • Tradução automática
  • Obrigações: identificar conteúdo gerado por IA + documentar capacidades

🟠 Risco alto

  • Avaliação acadêmica/profissional (HR tech, score de candidatos)
  • Crédito/financiamento (score, decisão de empréstimo)
  • Saúde (diagnóstico assistido, triagem)
  • Justiça (análise de processos, sentença assistida)
  • Segurança pública (reconhecimento facial — quase proibido)
  • Veículos autônomos
  • Obrigações: avaliação de impacto + revisão humana + transparência total
    • registro ANPD

🔴 Risco excessivo (PROIBIDO)

  • Manipulação subliminar
  • Exploração de vulnerabilidades
  • Score social tipo China
  • Reconhecimento facial em espaço público (com exceções)

Onde Tokia e SaaS de IA caem

Tokia (gateway IA): risco mínimo — apenas proxia chamadas, não toma decisão. Como uma operadora telco.

Seu SaaS usando Tokia: depende do que faz com a IA:

  • Chatbot atendimento → mínimo
  • Geração de imagem produto → moderado
  • Análise de candidato pra vaga → ALTO
  • Score de crédito → ALTO
  • Triagem médica → ALTO

Tomada de decisão importa. IA que só sugere/auxilia humano é menos regulada que IA que decide.

Obrigações práticas por tier

Pra todos (mínimo+)

  1. Cláusula contratual: usuário sabe que IA é usada
  2. Política de privacidade: lista provedores IA + base legal
  3. Direito de opt-out: user pode pedir pra não usar IA (alternativa humana disponível)

Pra moderado+ (IA generativa)

  1. Marca d'água ou disclaimer: conteúdo gerado por IA identificado visualmente (selo "Gerado por IA" em texto/imagem)
  2. Datasheets do modelo: documentar capacidades, limitações, viés conhecido
  3. Provedor identificado: usuário deve saber quem é o modelo (OpenAI, Anthropic, etc)

Exemplo prático pra SaaS gerando descrição de produto:

<!-- Footer do produto -->
<p class="text-xs text-zinc-500">
  Descrição gerada com auxílio de IA (modelo GPT-4o-mini, OpenAI).
  Revisada pelo time editorial.
</p>

Pra alto risco (FinTech, HR tech, healthtech)

  1. Avaliação de impacto algorítmico (AIA) — documento formal pré-deploy
  2. Revisão humana obrigatória — toda decisão IA tem path pra humano
  3. Registro na ANPD — antes de lançar
  4. Auditorias periódicas — pelo menos anual
  5. Logs preserváveis 5 anos — não basta retenção 30 dias do provider

Implementação técnica — checklist dev

Log de decisões IA (toda chamada)

// Para sistemas de risco alto: log de toda decisão automatizada
await db.aiDecision.create({
  data: {
    userId: user.id,
    decisionType: "credit_score",
    inputData: encryptedInput,  // hash ou ciphertext, não plaintext
    modelUsed: "claude-sonnet-46",
    confidenceScore: 0.87,
    outputDecision: "approved",
    humanReviewer: null,  // null = automatizado; preenchido se humano reviu
    reviewedAt: null,
    expiresAt: new Date(Date.now() + 5 * 365 * 24 * 60 * 60 * 1000),  // 5 anos
  },
});

Marca d'água em texto gerado

// Append ao final de texto gerado por IA pra disclosure
function addAiWatermark(text: string, model: string): string {
  return `${text}\n\n_Conteúdo gerado com auxílio de IA (${model}). Revise antes de publicar._`;
}

Marca d'água em imagem (C2PA standard emergente)

Use biblioteca @contentauth/sdk pra adicionar metadata C2PA em imagens geradas:

import { createC2paClient } from "@contentauth/sdk";

const c2pa = createC2paClient();
await c2pa.sign(imageBuffer, {
  claim: {
    creator: "Tokia API",
    aiGenerated: true,
    model: "flux-schnell",
    generationDate: new Date().toISOString(),
  },
});

Endpoint de revisão humana

app.post("/api/decisions/:id/request-review", async (req, reply) => {
  const decision = await db.aiDecision.findUnique({
    where: { id: req.params.id, userId: req.user.id },
  });
  if (!decision) return reply.code(404).send();

  await notifyTeam(`Review request: ${decision.id}`);
  await db.aiDecision.update({
    where: { id: decision.id },
    data: { reviewRequested: true, reviewRequestedAt: new Date() },
  });
  return { status: "review_requested" };
});

Multas — escala LGPD

PL 2338/2023 alinha multas com LGPD:

| Infração | Multa | |---|---| | Leve | Advertência | | Média | 2% faturamento bruto BR (max R$ 50M) por incidente | | Grave | Suspensão da atividade | | Excessivo | Proibição definitiva |

Para PME: 2% de R$ 1M/ano faturamento = R$ 20k multa. Não é trivial.

Quem fiscaliza

Será uma Autoridade Nacional específica pra IA ou a ANPD expandida. Texto final do PL ainda em discussão. Provavelmente ANPD acumula.

Cronograma realista

  • 2025: aprovação Câmara provável (debate em curso)
  • 2026: sanção presidencial + publicação
  • 2026 H2: vigência (regulamento detalhado da ANPD virá depois)
  • 2027: enforcement real começa

Você tem ~12-18 meses pra adequar produto. Não é urgente hoje, mas começar a documentar processos agora evita corrida no fim.

O que fazer HOJE (PME usando IA)

  1. ✅ Classifica seu sistema nos 4 tiers (provavelmente mínimo/moderado)
  2. ✅ Atualiza política de privacidade citando IA + providers
  3. ✅ Adiciona cláusula contratual nos contratos B2B novos
  4. ⏳ Se risco alto: AIA + revisão humana endpoint
  5. ⏳ Se gera conteúdo: watermark/disclaimer

Conclusão

PL 2338 não é apocalipse pra dev BR. Maior parte dos SaaS cai em risco mínimo/moderado — exige documentação e disclosure, não muito mais.

Quem precisa preocupar: fintechs, healthtechs, HR techs, govtech. Avaliação de impacto + revisão humana é trabalho real lá.

Testa Tokia com R$ 10 PIX →

Posts relacionados:

#marco-legal-ia#pl-2338#regulacao#compliance-br#anpd

Quer testar Tokia com R$ 10 via PIX?

Criar conta grátis →