O crescente e, por vezes, desordenado avanço das tecnologias baseadas em inteligência artificial tem impulsionado a formulação de marcos regulatórios em diversas partes do mundo. Nesse contexto, a União Europeia assumiu protagonismo ao aprovar o EU Artificial Intelligence Act[1] (“AI Act”), considerada a primeira legislação abrangente sobre o tema em âmbito global[2].

Apresentada em abril de 2021 pela Comissão Europeia e com a entrada em vigor em 1º de agosto de 2024[1], a norma estabelece um modelo regulatório baseado em riscos dos sistemas de IA definindo obrigações proporcionais à criticidade de cada aplicação. Este artigo visa apresentar os principais aspectos da regulação europeia e discutir os possíveis desdobramentos e reflexos na construção de uma legislação brasileira de inteligência artificial e as suas particularidades.

Para compreender sua magnitude, é importante notar que o AI Act está inserido em um contexto da chamada Década Digital da Europa, com metas digitais estabelecidas para 2030, visando capacitar empresas e pessoas num futuro digital centrado no ser humano, sustentável e mais próspero[1]. Não por acaso, o AI Act está disposto em um universo regulatório muito mais amplo, não podendo ser analisado de forma isolada[2] do cenário legal e regulatório.

O AI Act, assim, surge com o objetivo de melhorar o “funcionamento do mercado interno mediante a previsão de um regime jurídico uniforme, em particular para o desenvolvimento, a colocação no mercado, a colocação em serviço e a utilização de sistemas de inteligência artificial (sistemas de IA) na União, em conformidade com os valores da União, a fim de promover a adoção de uma inteligência artificial (IA) centrada no ser humano e de confiança, assegurando simultaneamente um elevado nível de proteção da saúde, da segurança, dos direitos fundamentais consagrados na Carta dos Direitos Fundamentais da União Europeia, nomeadamente a democracia, o Estado de direito e a proteção do ambiente, a proteção contra os efeitos nocivos dos sistemas de IA na União, e de apoiar a inovação.[1]”.

Antes de adentrar na classificação dos riscos estabelecida pela legislação, é primordial entender a quem o regulamento se aplica. De acordo com o artigo 2, será aplicável a:

• Provedores que coloquem no mercado ou coloquem em serviço sistemas de IA, ou que coloquem no mercado modelos de IA de finalidade geral no território da União, independentemente de estarem estabelecidos ou localizados na União ou num país terceiro;
• Responsáveis pela implantação de sistemas de IA que tenham o seu local de estabelecimento ou que estejam localizados na União;
• Provedores e responsáveis pela implantação de sistemas de IA que tenham o seu local de estabelecimento ou estejam localizados num país terceiro, se o resultado produzido pelo sistema de IA for utilizado na União;
• Importadores e distribuidores de sistemas de IA;
• Fabricantes de produtos que coloquem no mercado ou coloquem em serviço um sistema de IA juntamente com o seu produto e sob o seu próprio nome ou a sua própria marca;
• Representantes autorizados de provedores que não estejam estabelecidos na União;
• Pessoas afetadas localizadas na União.

Entendida a sua aplicabilidade, os responsáveis devem se atentar aos quatro níveis de risco estabelecidos: (i) inaceitável; (ii) alto risco; (iii) limitado e (iv) mínimo. Sistemas de IA inaceitáveis são todos aqueles proibidos, por violarem direitos e valores fundamentais da União. Exemplos disso são determinadas avaliações e classificações de pessoas com base em seu comportamento social[1], ou até mesmo tecnologias que, de alguma forma, possam inferir emoções de pessoas nas áreas de trabalho[2].

Já os sistemas de alto risco são aqueles que negativamente afetem a segurança, a saúde ou os direitos fundamentais das pessoas, exigindo, portanto, medidas para garantir que não viole direitos. Podem ser considerados de alto risco, por exemplo, sistemas de identificação biométrica remota, sistemas de IA destinados a serem utilizados como componentes de segurança na gestão e operação de infraestrutura digital crítica e determinados sistemas utilizados na educação e formação profissional[1].

Os sistemas de IA de risco mínimo como aqueles que envolvem filtros de spam, não enfrentam nenhuma obrigação perante a Lei, mas empresas podem voluntariamente adotar códigos de conduta adicionais. Por fim, os chamados riscos limitados ou riscos de transparência são aqueles destinados a interagir diretamente com as pessoas. Assim, sistemas como chatbots devem informar claramente os usuários que eles estão interagindo com uma máquina, enquanto certos conteúdos gerados por IA devem ser rotulados como tal[1].

Com o objetivo de ajudar a indústria a cumprir as obrigações do AI Act, a Comissão Europeia publicou recentemente um Código de Boas Práticas para sistemas de IA de uso geral. O Código tem capítulos focados em assuntos como transparência, direitos autorais e segurança[1].

No cenário brasileiro, por outro lado, está em discussão o Projeto de Lei nº 2.338, de 2023, apresentado pelo Senador Rodrigo Pacheco, que assim como o AI Act, também adota uma abordagem baseada em risco. A futura legislação visa estabelecer “normas gerais de caráter nacional para a governança responsável de sistemas de inteligência artificial (IA) no Brasil, com o objetivo de proteger os direitos fundamentais, estimular a inovação responsável e a competitividade e garantir a implementação de sistemas seguros e confiáveis, em benefício da pessoa humana, do regime democrático e do desenvolvimento social, científico, tecnológico e econômico[1].”.

O PL, já aprovado no Senado, foi debatido em uma Comissão Especial na Câmara dos Deputados ao longo de todo o ano de 2025. Audiências públicas nacionais e regionais ocorreram de junho a setembro de 2025, com a expectativa de seminários locais e a elaboração de um parecer final nos meses seguintes.

O texto atual, constituído de 12 capítulos[1], tem caráter protetivo e preocupado em afirmar direitos das pessoas e dos grupos impactados, ao mesmo tempo que prevê deveres por parte dos agentes econômicos nessa cadeia. A categorização dos riscos é similar ao AI ACT, contudo, a Europa enfrenta um desafio regulatório divergente do Brasil, já que há preocupações específicas com a fragmentação que pode acontecer devido à sua aplicação em diversos países.

Sua categorização de riscos é mais enxuta que a europeia, dividindo-se em risco excessivo e alto risco. Os riscos excessivos são aqueles proibidos e um exemplo dele é a tecnologia capaz de instigar ou induzir o comportamento da pessoa natural ou de grupos de maneira que cause danos à saúde, à segurança ou a outros direitos fundamentais próprios ou de terceiros[1]. Já o alto risco é o sistema de IA empregado para determinadas finalidades e contextos de usos, levando-se em conta a probabilidade e a gravidade dos impactos adversos sobre pessoas ou grupos afetados.

Os sistemas de identificação e autenticação biométrica para o reconhecimento de emoções são considerados alto risco, de acordo com o projeto de lei, ainda que estejam em fase exponencial de uso em suas mais diversas funcionalidades.

Há a previsão de que, antes de sua introdução e circulação no mercado, emprego ou utilização, o agente de IA poderá realizar uma avaliação preliminar para determinar o grau de risco do sistema[1]. A realização da avaliação preliminar será considerada como medida de boa prática e poderá resultar em benefícios para o agente de IA, com a possibilidade de revisão de sua avaliação pela autoridade competente.

A Agência Nacional de Proteção de Dados (ANPD), autarquia especial da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) em todo o território nacional, foi qualificada como a autoridade competente no âmbito do PL, responsável por coordenar o Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA)[1], ecossistema regulatório criado no âmbito do PL para cooperação e harmonização com as demais autoridades setoriais e entes reguladores[2].

A ANPD, ainda, terá a atribuição de atuar como autoridade reguladora residual, exercendo competência normativa, regulatória, fiscalizatória e sancionatória plena para desenvolvimento, implementação e uso de sistemas de IA para atividades econômicas em que não haja órgão ou ente regulador setorial específico[1], mas privilegiando as autoridades setoriais competentes para cada ramo de atuação do mercado, tais como a ANEEL, ANVISA, ANS, dentre outras existentes.

Neste sentido, cresce em projeção a figura das autoridades setoriais – órgãos e entidades do Poder Executivo federal responsáveis pela regulação de setores específicos da atividade econômica e governamental, conforme sua competência legal. Uma de suas funções inclui, por exemplo, a expedição de regras específicas para a aplicação de IA, com a adição de aspectos relacionados a atividades de alto risco[1].

Além da classificação de riscos, outro ponto de extrema relevância é entender como se aplicaria a responsabilidade por danos envolvendo o uso dessa tecnologia. De acordo com o PL, a responsabilidade civil decorrente de danos causados por sistemas de IA permanece sujeita às regras de responsabilidade previstas no Código de Defesa do Consumidor e no Código Civil. A responsabilidade levará em consideração questões como o nível de autonomia da IA; o grau de risco do sistema e a hipossuficiência da vítima para fins de inversão do ônus da prova.

Tal responsabilidade recairia sobre os agentes de inteligência artificial, definido pelo PL como desenvolvedores, distribuidores e aplicadores que atuem na cadeia de valor e na governança interna de sistemas de IA. Cumpre ressaltar que os participantes no ambiente de testagem da regulamentação da IA continuam a ser responsáveis, nos termos da legislação aplicável, por quaisquer danos infligidos a terceiros como resultado da experimentação que ocorre no ambiente de testagem.

Para as empresas, é importante que mantenham registros e documentem os riscos, a fim de se resguardarem em eventual fiscalização, pois, inclusive, falhas no uso de inteligência artificial podem gerar condenações com condão de causar reveses significativos envolvendo a concorrência e a inovação do mercado de IA.

É importante ressaltar que o pacote regulatório europeu voltado à inteligência artificial tem sido alvo de críticas significativas, especialmente quanto à sua complexidade, ao elevado nível de exigências e aos custos associados à conformidade. Recentemente, a União Europeia promoveu também uma revisão tanto da General Data Protection Regulation (GDPR) quanto de sua própria regulamentação de IA por meio do Digital Omnibus, um conjunto de ajustes normativos destinado a atualizar e harmonizar regras existentes. O objetivo central desse pacote é revisitar e modernizar as normas para reforçar elementos como concorrência e inovação no ambiente digital europeu, respondendo às preocupações sobre eventuais entraves ao desenvolvimento tecnológico. Esse movimento regulatório, ainda em consolidação, gera reflexos diretos no cenário brasileiro, sobretudo diante da clara influência no processo legislativo nacional referente à inteligência artificial e proteção de dados.

Diante de todo o exposto, é possível compreender que a vanguarda europeia com o AI Act serve como claro referencial para o Brasil, que avança em seu próprio marco regulatório com o PL 2.338/23, em fase final de apreciação pela Câmara dos Deputados em Brasília. Embora ambas as propostas se baseiem em uma abordagem de risco, as nuances locais e o debate em andamento na Câmara moldarão as obrigações específicas do mercado nacional. Portanto, torna-se imperativo que as empresas acompanhem essa evolução legislativa, já adaptando as suas práticas de governança para garantir a conformidade legal e com as melhores práticas de mercado para mitigar futuras responsabilidades em um cenário de regulação iminente.

O artigo foi elaborado por Daniel Marinho, Marina Galdino e Caroline Muniz, advogados da área de Direito Digital e Proteção de Dados do escritório Machado Nunes Advogados.

[1] Art. 48, inciso II, PL 2338/23

[1] Art. 47, PL 2338/23

[1] Art. 4º, inciso IX, PL 2338/23

[2] Art. 4º, inciso X, PL 2338/23

[1] Art. 12, caput, PL 2338/23

[1] Art. 13, inciso I, a), PL 2338/23

[1] Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=2868197&filename=PL%202338/2023

[1] Art. 1º, PL 2338/23

[1] Disponível em: https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai

[1] Art. 60, AI Act.

[1] Annex III: High-Risk AI Systems Referred to in Article 6(2), AI Act.

[1] Art. 5, 1, c), AI Act.

[2] Art. 5, 1, f), AI Act.

[1] Considerando 1, EU AI Act.

[1] Disponível em: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_pt

[2] Para mais informações: https://itsrio.org/wp-content/uploads/2016/12/20240924_Relatorio_Arvore-Regulatoria.pdf

[1] Disponível em: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

[1] Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689

[2] Disponível em: https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence#ai-regulation-in-europe-the-first-comprehensive-framework-4