Como a ANPD Vai Regular a IA no Brasil — O Que Esperar em 2026-2027
A regulação de inteligência artificial no Brasil deixou de ser uma discussão acadêmica. Em dezembro de 2025, a ANPD publicou o Mapa de Temas Prioritários para o biênio 2026-2027 e incluiu inteligência artificial e tecnologias emergentes como um dos quatro eixos de fiscalização — ao lado de direitos dos titulares, proteção de crianças no ambiente digital e tratamento de dados pelo poder público. Ao mesmo tempo, o PL 2338/2023 (Marco Legal da IA) aguarda votação na Câmara dos Deputados, e o sandbox regulatório de IA da ANPD já está em fase de testes com três empresas selecionadas.
Este guia consolida o cenário regulatório de IA no Brasil em 2026 — o que já está em vigor, o que está em tramitação e o que sua organização precisa começar a fazer agora.
Qual é o papel da ANPD na regulação de IA?
A ANPD não é apenas o órgão de proteção de dados — ela foi formalmente posicionada como coordenadora do Sistema Nacional de Inteligência Artificial (SIA), conforme o projeto de lei complementar enviado pelo Executivo em dezembro de 2025.
Na prática, isso significa que a ANPD assume o papel de autoridade reguladora residual: nos setores onde não houver regulador específico para IA (como ANATEL para telecomunicações ou ANS para saúde suplementar), é a ANPD que normatiza, fiscaliza e aplica sanções.
Competências atribuídas à ANPD em IA
As competências incluem:
- Impor sanções e aplicar multas por uso inadequado de IA envolvendo dados pessoais
- Expedir normas sobre certificação de sistemas de IA
- Definir procedimentos para avaliação de impacto algorítmico
- Regulamentar a comunicação de graves incidentes envolvendo IA
- Manifestar-se sobre processos normativos de outros órgãos reguladores que envolvam IA
- Representar o Brasil perante organismos internacionais na área de IA
O SIA funciona como um ecossistema regulatório coordenado, sem vínculo de subordinação hierárquica entre os participantes — a ANPD coordena, mas não comanda setorialmente.
O que é o PL 2338/2023 — Marco Legal da IA?
O PL 2338/2023 é o projeto de lei que pretende estabelecer o marco regulatório da inteligência artificial no Brasil. Aprovado pelo Senado Federal em 10 de dezembro de 2024, foi enviado à Câmara dos Deputados, onde uma Comissão Especial foi criada para analisar o texto.
Classificação baseada em risco
Similar ao AI Act da União Europeia, o PL adota uma classificação de sistemas de IA baseada em risco:
Risco excessivo (proibido):
- Armas autônomas sem controle humano significativo
- Sistemas que manipulem o comportamento humano de forma subliminar causando danos
- Exploração de vulnerabilidades de grupos específicos
- Produção de material de abuso sexual infantil
Alto risco:
- IA em educação e avaliação de estudantes
- Seleção e avaliação de candidatos em processos seletivos
- Avaliação de critérios para acesso a serviços públicos e privados
- Sistemas de diagnóstico médico
- Auxílio a decisões judiciais
Demais sistemas: regulação mais leve, com foco em transparência.
Direitos dos afetados por IA
O PL 2338/2023 se diferencia do modelo europeu ao incluir um capítulo específico de direitos para pessoas afetadas por sistemas de IA:
- Direito à informação prévia sobre interação com IA
- Direito à privacidade e proteção de dados pessoais
- Direito à determinação humana e participação em decisões
- Direito à não discriminação e correção de vieses algorítmicos
Situação atual (março de 2026)
O projeto aguarda parecer do relator na Comissão Especial da Câmara. A votação foi adiada do final de 2025 para 2026 devido a impasses políticos. Após votação na Câmara, o texto retorna ao Senado para nova análise, já que houve modificações no substitutivo. Não há data definida para votação.
Agenda regulatória da ANPD 2026-2027: IA como prioridade
A ANPD não esperou o Congresso. Em 24 de dezembro de 2025, publicou o Mapa de Temas Prioritários para fiscalização no biênio 2026-2027, com quatro eixos:
- Direitos dos titulares de dados
- Proteção de crianças e adolescentes no ambiente digital
- Tratamento de dados pessoais pelo poder público
- Inteligência artificial e tecnologias emergentes
No eixo de IA, a ANPD deixa claro que sistemas de inteligência artificial que envolvam dados pessoais estarão sujeitos a avaliação rigorosa quanto a:
- Transparência — o titular sabe que está interagindo com IA?
- Mitigação de vieses — o sistema discrimina grupos protegidos?
- Segurança da informação — os dados usados para treinar ou alimentar a IA estão protegidos?
- Impactos sobre direitos dos titulares — decisões automatizadas respeitam o Art. 20 da LGPD?
O Mapa amplia a abordagem para cobrir especificamente reconhecimento facial e sistemas de recomendação, particularmente quando envolvem dados de crianças.
Sandbox regulatório de IA da ANPD — o que é e como funciona
O sandbox regulatório é um ambiente experimental supervisionado onde empresas podem testar soluções de IA sob acompanhamento direto da ANPD — um "laboratório regulatório" que permite inovar sem o risco de sanções durante o período experimental.
Como foi implementado
- Junho de 2025: ANPD publicou edital do Projeto Piloto de Sandbox Regulatório em Inteligência Artificial e Proteção de Dados
- Tema central: transparência algorítmica
- Inscrições: 27/06/2025 a 25/08/2025 (prazo prorrogado)
- Outubro de 2025: resultado final — três projetos selecionados:
- Metatext Inteligência Artificial Ltda. (pontuação 17,24)
- Synapse Inteligência Artificial Ltda. (pontuação 16,33)
- IA Greenworld Ltda. (pontuação 14,10)
- Fevereiro de 2026: ANPD concluiu a fase de nivelamento (treinamento em regulação e ambiente experimental) e as empresas entraram na fase de testes práticos
- Prazo: o sandbox funciona até dezembro de 2026
O que o sandbox pode ensinar ao mercado
As lições aprendidas durante o sandbox servirão de base para a regulamentação definitiva de IA pela ANPD. Empresas que não participaram do sandbox podem acompanhar os resultados — a ANPD deve publicar relatórios com as conclusões ao final do período.
Consultas públicas em andamento e concluídas
A ANPD tem sido ativa na coleta de subsídios do mercado:
Tomada de Subsídios sobre IA e Decisões Automatizadas (2024)
- Período: 6 de novembro a 5 de dezembro de 2024
- Plataforma: Participa+Brasil
- Foco: regulamentação do Art. 20 da LGPD (revisão de decisões automatizadas)
- Resultado: 124 contribuições de empresas de tecnologia, órgãos governamentais, sociedade civil e acadêmicos
- Maio de 2025: ANPD divulgou os resultados da Tomada de Subsídios
Essas contribuições alimentam a regulamentação que a ANPD está elaborando sobre decisões automatizadas — um tema que afeta diretamente qualquer empresa que use IA para tomar decisões sobre pessoas.
Art. 20 da LGPD — revisão de decisões automatizadas na prática
Independentemente do PL 2338/2023, a LGPD já regula um aspecto central da IA: decisões automatizadas que afetam pessoas. O Art. 20 da Lei 13.709/2018 estabelece:
"O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."
O que isso significa na prática
§1º: O controlador deve fornecer, sempre que solicitado, informações claras e adequadas sobre os critérios e procedimentos utilizados para a decisão automatizada — respeitados os segredos comercial e industrial.
§2º: Quando o controlador não fornecer as informações invocando segredo comercial ou industrial, a ANPD poderá realizar auditoria para verificar aspectos discriminatórios no tratamento automatizado.
A controvérsia: revisão por humano ou por máquina?
O texto original do Art. 20 previa revisão "por pessoa natural" (humana). Essa expressão foi vetada pela Lei 13.853/2019, restando apenas "revisão" sem exigência explícita de que seja feita por um humano. Isso gera um debate jurídico relevante: uma IA pode revisar a decisão de outra IA? A Tomada de Subsídios de 2024 aborda justamente esse ponto, mas a regulamentação final ainda não foi publicada.
Exemplos de decisões automatizadas cobertas pelo Art. 20
- Score de crédito calculado por algoritmo
- Triagem automatizada de currículos em processos seletivos
- Precificação dinâmica personalizada (preços diferentes por perfil)
- Decisões de concessão ou negação de seguros
- Sistemas de recomendação que afetam oportunidades (emprego, crédito, moradia)
Para todas essas situações, o titular já tem direito de pedir explicação e revisão — e a empresa deve ter processos internos para atender essa solicitação.
Comparação com o AI Act da União Europeia — o que o Brasil está importando
O AI Act europeu (Regulamento UE 2024/1689) entrou em vigor em agosto de 2024, com aplicação gradual. O PL 2338/2023 brasileiro se inspira no modelo europeu, mas com diferenças importantes:
| Aspecto | AI Act (UE) | PL 2338/2023 (Brasil) |
|---|---|---|
| Abordagem | Baseada em risco | Baseada em risco e direitos |
| Níveis de risco | 4 (inaceitável, alto, limitado, mínimo) | 3 (excessivo, alto, demais) |
| Direitos dos afetados | Avaliação de impacto sobre direitos fundamentais | Capítulo específico de direitos |
| Supervisão humana | Exigida para alto risco | Exigida para alto risco |
| Avaliação de impacto | Obrigatória para alto risco | Obrigatória para alto risco |
| Status | Lei vigente (aplicação gradual) | Em tramitação na Câmara |
| Autoridade | AI Office da UE + autoridades nacionais | ANPD como coordenadora do SIA |
A principal inovação brasileira é a abordagem baseada em direitos — enquanto o AI Act foca principalmente nos riscos dos sistemas, o PL 2338 dedica um capítulo inteiro aos direitos das pessoas afetadas por IA, incluindo o direito à determinação humana em decisões relevantes.
Impacto para empresas que usam IA: o que começar a fazer agora
Independentemente da aprovação do PL 2338/2023, a LGPD já impõe obrigações a quem usa IA com dados pessoais. E a ANPD já está fiscalizando — como demonstram os casos Meta (suspensão do uso de dados para treinar IA, com multa de R$ 50 mil/dia) e World/Worldcoin (suspensão da coleta de dados biométricos de íris).
8 ações que sua organização deve implementar agora
1. Mapeie todos os sistemas de IA que tratam dados pessoais. Desde o ChatGPT usado pelo marketing até o modelo de score de crédito — inventarie tudo.
2. Classifique o risco de cada sistema. Use a classificação do PL 2338/2023 como referência (mesmo antes da aprovação): o sistema toma decisões sobre pessoas? Usa dados sensíveis? Afeta direitos fundamentais?
3. Elabore RIPD para sistemas de alto risco. Relatórios de Impacto à Proteção de Dados são obrigatórios para tratamentos que possam gerar riscos às liberdades civis — e sistemas de IA com dados pessoais se enquadram nesse critério.
4. Implemente o direito do Art. 20. Tenha um processo claro para que titulares possam solicitar revisão de decisões automatizadas — e para que sua equipe possa fornecer explicações claras sobre os critérios utilizados.
5. Documente bases legais para treinamento de modelos. Se sua organização treina modelos de IA com dados pessoais, documente a base legal (consentimento, legítimo interesse, etc.) e garanta que os dados foram obtidos de forma lícita.
6. Avalie vieses algorítmicos. Teste seus modelos para discriminação por raça, gênero, idade e outros critérios protegidos. A ANPD pode auditar especificamente para isso (Art. 20, §2º).
7. Estabeleça governança de IA. Defina responsabilidades, processos de aprovação para novos sistemas de IA e mecanismos de supervisão humana.
8. Acompanhe a regulamentação. Monitore o andamento do PL 2338/2023 na Câmara, as publicações da ANPD e os resultados do sandbox regulatório.
Timeline regulatória esperada
| Período | Evento esperado |
|---|---|
| 1º semestre 2026 | Votação do PL 2338/2023 na Câmara (sem data definida) |
| 2026 | Fase de testes do sandbox regulatório de IA da ANPD |
| Dezembro 2026 | Conclusão do sandbox e publicação de resultados |
| 2026-2027 | ANPD fiscaliza ativamente IA como tema prioritário |
| 2026-2027 | Regulamentação do Art. 20 (decisões automatizadas) |
| Após aprovação do PL | Período de vacância antes da vigência plena |
Conclusão
O Brasil está construindo seu arcabouço regulatório de IA em duas frentes simultâneas: a legislativa (PL 2338/2023 no Congresso) e a regulatória (ANPD como autoridade de fiscalização). Quem esperar a lei ser aprovada para começar a se preparar estará atrasado — a LGPD já impõe obrigações via Art. 20 (decisões automatizadas), Art. 6º (princípios de transparência e não discriminação) e Art. 38 (RIPD), e a ANPD já está fiscalizando e sancionando.
A postura mais inteligente é tratar a adequação de IA como extensão natural do programa de governança em proteção de dados — não como um projeto separado a ser iniciado no futuro.
A Confidata oferece funcionalidades específicas para governança de IA e proteção de dados: inventário de atividades de tratamento com classificação de sistemas automatizados, RIPD com campos de avaliação de impacto algorítmico e gestão de solicitações de titulares — incluindo pedidos de revisão de decisões automatizadas sob o Art. 20 da LGPD.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.