LGPD, GDPR e IA: Como ficam as regras com EU AI Act e PL 2338/2023?

Por que LGPD e GDPR não são suficientes para regular Inteligência Artificial?

A LGPD (Lei Geral de Proteção de Dados) no Brasil e o GDPR (General Data Protection Regulation) na Europa estabeleceram marcos importantes para a proteção de dados pessoais. Ambas as legislações garantem direitos fundamentais aos titulares de dados, como acesso, correção, exclusão e portabilidade de informações.

Porém, quando falamos de Inteligência Artificial, os desafios vão além da proteção de dados pessoais. Sistemas de IA podem tomar decisões automatizadas, criar vieses discriminatórios, gerar riscos à segurança pública e até ameaçar direitos fundamentais — mesmo quando não processam dados pessoais diretamente. Por isso, surgem novas regulações específicas para IA: a EU AI Act na Europa e o Projeto de Lei 2338/2023 no Brasil.

O que é a EU AI Act e como ela regula a Inteligência Artificial?

A EU AI Act (Lei de Inteligência Artificial da União Europeia) entrou em vigor em agosto de 2024 e representa a primeira regulação abrangente de IA no mundo. Diferente da GDPR, que foca em dados pessoais, a EU AI Act classifica sistemas de IA conforme o nível de risco que representam para direitos fundamentais e segurança.

Qual é a classificação de risco da EU AI Act?

A legislação europeia divide sistemas de IA em quatro categorias de risco:

• Risco Inaceitável: Sistemas proibidos, como pontuação social governamental (estilo "crédito social") ou manipulação subliminar que cause danos físicos ou psicológicos
• Alto Risco: IA usada em infraestrutura crítica, educação, emprego, serviços essenciais, aplicação da lei e migração — exigem conformidade rigorosa antes do lançamento
• Risco Limitado: Sistemas que interagem com humanos (chatbots, deepfakes) — devem informar claramente que são IAs
• Risco Mínimo: Maioria das aplicações (filtros de spam, videogames) — sem obrigações específicas

Quais são as principais obrigações da EU AI Act?

Para sistemas de alto risco, empresas precisam:

• Implementar sistemas robustos de gestão de risco
• Garantir governança e qualidade de dados de treinamento
• Manter documentação técnica detalhada
• Assegurar transparência e capacidade de supervisão humana
• Garantir precisão, robustez e cibersegurança
• Registrar sistemas em base de dados europeia

A EU AI Act também cria obrigações específicas para provedores de IA de uso geral (como grandes modelos de linguagem), incluindo documentação técnica, políticas de direitos autorais e testes de segurança.

Como funciona o PL 2338/2023, a regulação brasileira de IA?

O Projeto de Lei 2338/2023 está em discussão no Congresso Nacional e tem expectativa de aprovação para vigência a partir de 2026. Inspirado na EU AI Act, o texto brasileiro também adota uma abordagem baseada em risco, mas adaptada à realidade nacional.

Quais são os princípios do PL 2338/2023?

O projeto brasileiro estabelece princípios fundamentais para o desenvolvimento e uso de IA:

• Respeito aos direitos humanos e valores democráticos
• Finalidade legítima e compatível com direitos fundamentais
• Não discriminação e combate a vieses injustos
• Transparência e explicabilidade das decisões automatizadas
• Segurança e prevenção de danos
• Responsabilização e prestação de contas

Como o PL 2338/2023 classifica sistemas de IA?

Similar à EU AI Act, o projeto brasileiro categoriza sistemas por risco:

Sistemas de Risco Excessivo (proibidos):

• Reconhecimento de emoções em ambientes educacionais ou trabalhistas
• Categorização biométrica para inferir dados sensíveis
• Pontuação social por autoridades públicas
• Exploração de vulnerabilidades de grupos específicos

Sistemas de Alto Risco:

• IA em infraestrutura crítica (energia, transporte, água)
• Sistemas educacionais para avaliação ou admissão
• Recrutamento, seleção e avaliação de trabalhadores
• Acesso a serviços essenciais (crédito, seguros, benefícios públicos)
• Aplicação da lei e justiça criminal
• Gestão de fronteiras e migração
• Administração da justiça

Sistemas de Risco Moderado:

• Chatbots e assistentes virtuais
• Sistemas de recomendação de conteúdo
• IA que interage diretamente com usuários

Sistemas de Risco Baixo:

• Aplicações sem impacto significativo em direitos fundamentais

Quais são as obrigações por função na cadeia de IA?

Tanto a EU AI Act quanto o PL 2338/2023 distribuem responsabilidades entre diferentes atores na cadeia de valor da IA:

Quem é o "fornecedor" ou "desenvolvedor" de IA?

É quem desenvolve ou treina sistemas de IA. Suas obrigações incluem:

• Realizar avaliação de conformidade antes do lançamento
• Implementar sistema de gestão de risco
• Garantir qualidade e representatividade dos dados de treinamento
• Elaborar documentação técnica completa
• Manter registros automáticos (logs) das operações
• Garantir transparência adequada para operadores e usuários
• Implementar supervisão humana apropriada
• Garantir robustez, segurança e precisão

Quem é o "operador" ou "deployer" de IA?

É quem usa o sistema de IA sob sua autoridade. Deve:

• Usar a IA conforme instruções do fornecedor
• Garantir supervisão humana efetiva
• Monitorar funcionamento e resultados
• Reportar incidentes e mau funcionamento
• Realizar avaliação de impacto para sistemas de alto risco
• Informar pessoas afetadas sobre uso de IA em decisões que as impactem

Quem é o "importador" ou "distribuidor"?

Intermediários na cadeia devem:

• Verificar conformidade do sistema
• Manter rastreabilidade e documentação
• Cooperar com autoridades reguladoras
• Reportar não conformidades identificadas

Quando essas regulações entram em vigor? Cronograma prático

Cronograma da EU AI Act (Europa)

A EU AI Act já está em vigor desde agosto de 2024, mas com implementação gradual:

• Fevereiro de 2025: Proibição de sistemas de risco inaceitável
• Agosto de 2025: Regras para IA de uso geral (grandes modelos)
• Agosto de 2026: Obrigações completas para sistemas de alto risco
• Agosto de 2027: Obrigações para sistemas de alto risco já em uso antes da lei

Cronograma esperado do PL 2338/2023 (Brasil)

O projeto brasileiro está em discussão e tem expectativa ampla de vigência a partir de 2026:

• 2024-2025: Tramitação e aprovação no Congresso Nacional
• 2026: Entrada em vigor prevista (após sanção presidencial)
• 2026-2027: Período de adaptação para empresas (provável)
• 2027-2028: Fiscalização e aplicação de penalidades

Importante: Empresas devem começar a se preparar agora, mesmo antes da vigência formal, implementando práticas de governança de IA e mapeando sistemas existentes.

Como sua empresa deve se preparar para as novas regras de IA?

Quais são os primeiros passos práticos?

1. Mapeie todos os sistemas de IA em uso ou desenvolvimento na organização
2. Classifique cada sistema conforme nível de risco (alto, moderado, baixo)
3. Identifique papéis (sua empresa é fornecedora, operadora ou ambos?)
4. Avalie lacunas de conformidade em relação às obrigações aplicáveis
5. Priorize ações começando por sistemas de alto risco

Que documentação sua empresa precisa criar?

Para sistemas de alto risco, prepare:

• Avaliação de impacto algorítmico (impactos em direitos fundamentais)
• Documentação técnica (arquitetura, dados, treinamento, testes)
• Política de gestão de risco com análise de vieses e discriminação
• Manual de instruções para operadores
• Registros de decisões e logs de sistema
• Processos de supervisão humana e mecanismos de contestação

Como garantir qualidade dos dados de treinamento?

Dados de treinamento devem ser:

• Representativos da população ou casos de uso real
• Livres de vieses injustos ou discriminatórios
• Precisos e atualizados conforme necessário
• Documentados quanto à origem e processamento
• Protegidos conforme LGPD/GDPR quando forem dados pessoais

Qual é o papel da supervisão humana?

Sistemas de alto risco exigem "human oversight":

• Operadores humanos devem poder intervir em decisões automatizadas
• Deve haver capacidade de interromper ou reverter decisões de IA
• Pessoas afetadas devem poder contestar decisões automatizadas
• Supervisão deve ser exercida por pessoas qualificadas e treinadas

Quais são as penalidades por não conformidade?

Multas da EU AI Act

A União Europeia estabelece penalidades significativas:

• Até €35 milhões ou 7% do faturamento global (o que for maior) para uso de sistemas proibidos
• Até €15 milhões ou 3% do faturamento global para violações de obrigações de alto risco
• Até €7,5 milhões ou 1,5% do faturamento global para informações incorretas às autoridades

Penalidades esperadas no Brasil

O PL 2338/2023 prevê sanções similares à LGPD:

• Advertências e publicização da infração
• Multas de até 2% do faturamento (limitadas a R$ 50 milhões por infração)
• Suspensão parcial ou total do sistema de IA
• Proibição de atividades relacionadas ao tratamento de dados

Como a Trust This pode ajudar sua empresa com conformidade em IA?

A Trust This oferece soluções especializadas para governança e transparência de IA:

Mapeamento e Classificação: Identificamos todos os sistemas de IA em sua organização e classificamos por nível de risco conforme EU AI Act e PL 2338/2023.

Avaliação de Conformidade: Analisamos lacunas entre suas práticas atuais e obrigações regulatórias, priorizando ações corretivas.

Documentação Técnica: Auxiliamos na criação de toda documentação exigida, incluindo avaliações de impacto algorítmico e políticas de gestão de risco.

Monitoramento Contínuo: Implementamos processos de monitoramento de vieses, precisão e incidentes em sistemas de IA.

Plataforma OPTI: Nossa solução analisa a transparência e conformidade de ferramentas de IA através de 90 critérios, ajudando na seleção e governança de fornecedores.

Preparar-se para as novas regulações de IA não é apenas uma questão de conformidade legal — é uma oportunidade de construir confiança com clientes, diferenciar-se no mercado e desenvolver IA de forma ética e responsável. Comece sua jornada de conformidade hoje e posicione sua empresa à frente das exigências regulatórias de 2026\.