A regulamentação de IA no Brasil entrou em um novo patamar em 2026. O Projeto de Lei 2338/2023 (Lei de IA) estabelece obrigações obrigatórias para empresas que usam ou desenvolvem sistemas de inteligência artificial, especialmente em casos de “IA de alto risco” (crédito, emprego, justiça, segurança). A ANPD (Autoridade Nacional de Proteção de Dados) começou as fiscalizações e as penalidades podem chegar a 2% do faturamento anual para violações graves. Se sua empresa usa ChatGPT, Mautic com IA, chatbots, ou qualquer automação inteligente, você precisa estar em conformidade.
Este artigo detalha quais são as obrigações legais, como implementar compliance de IA, qual é o risco de não conformidade e como adequar sua stack (WordPress, n8n, Mautic) às regulamentações brasileiras em 2026.
- Lei aplicável: Lei de IA (PL 2338/2023), vigente desde 2026.
- Classificação: IA é dividida em 3 níveis de risco: baixo, médio, alto.
- IA alto risco: Crédito, emprego, decisões judiciais, segurança pública — exige documentação, transparência, direito explicação.
- Penalidades: Até 2% do faturamento anual ou R$ 50 milhões, o que for maior.
- Responsável: Empresa que implementa a IA é responsável por conformidade, mesmo se usar API de terceiros.
O Que É o PL 2338/2023? A Lei de IA Brasileira
O Projeto de Lei 2338/2023, convertido em Lei em dezembro de 2024 e vigente desde 2026, é a primeira legislação específica sobre IA no Brasil. É baseada na regulamentação europeia (EU AI Act) mas adaptada para contexto brasileiro. Seus objetivos principais são:
- Proteger direitos fundamentais (privacidade, liberdade, dignidade)
- Garantir transparência no uso de IA
- Responsabilizar empresas por danos causados por IA
- Promover inovação responsável
A Lei se aplica a qualquer empresa que:
- Desenvolve ou vende sistemas de IA
- Implementa IA em seus processos (mesmo comprando de terceiros)
- Processa dados de brasileiros (ainda que sediada no exterior)
Os 3 Níveis de Risco de IA: Qual é Seu?
IA de Baixo Risco
Aplicações onde falha da IA não causa dano significativo. Exemplos:
- Chatbots de atendimento (Typebot, Botpress)
- Recomendação de produtos (não é obrigatório, é adicional)
- Análise de sentimentos em redes sociais
- Geração de conteúdo (copywriting, imagens)
- Sugestões de email marketing no Mautic
Requisitos: Baixos — transparência básica (avisar que usou IA).
IA de Risco Médio
Sistemas que impactam direitos mas com possibilidade de revisão humana. Exemplos:
- Classificação de leads por probabilidade de compra (CRM com ML)
- Detecção de fraude em transações (valida depois com humano)
- Análise de conformidade de documentos
- Priorização de atendimentos no suporte
Requisitos: Documentação de funcionamento, treinamento de usuários, possibilidade de revisão/contestação, avisar ao usuário que IA foi usada.
IA de Alto Risco
Sistemas que impactam direitos fundamentais ou decisões críticas. Lei lista 5 categorias:
- Crédito e finanças: Decisão de aprovação de empréstimo, limite de crédito
- Emprego: Seleção de candidatos, avaliação de desempenho automática
- Justiça: Previsão de reincidência, sentença
- Segurança: Reconhecimento facial, vigilância
- Direitos: Qualquer IA que afete direitos não listados acima
Requisitos: Muito rigorosos — avaliação de impacto, documentação detalhada, auditoria externa, direito a explicação, direito a contestação, registro junto à ANPD.
Obrigações Específicas para Empresas: O Checklist de Conformidade
Para IA de Baixo Risco (Implementação Simples)
| Obrigação | O Que Fazer | Prazo |
|---|---|---|
| Transparência básica | Avisar usuários que usou IA (ex: “Resposta gerada por IA” no chatbot) | Imediato |
| Política de privacidade | Descrever como IA processa dados (deve estar em sua política de privacidade/LGPD) | Imediato |
| Documentação mínima | Registro interno: qual IA usa, para quê, qual dado processa | 90 dias |
Exemplo prático: Você usa ChatGPT para escrever respostas de email. Você precisa:
- Adicionar na política de privacidade: “Utilizamos IA generativa (ChatGPT) para auxílio na redação de comunicações”
- No chatbot/email, avisar: “Esta resposta foi gerada com auxílio de IA”
- Manter registro: data, qual modelo IA, qual dado foi processado
Para IA de Risco Médio (Implementação Moderada)
| Obrigação | O Que Fazer | Prazo |
|---|---|---|
| Avaliação de Impacto | Documento descrevendo: qual IA, qual impacto em usuários, qual mitigação de risco | 90 dias |
| Documentação Técnica | Como funciona o modelo, quais dados treina, acurácia/performance | 90 dias |
| Revisão Humana | Garantir que humano pode revisar/contestar decisão da IA | Implementar antes de usar |
| Transparência aprimorada | Informar usuário que IA foi usada, qual critério foi considerado | Imediato |
| Treinamento de pessoal | Time que usa IA precisa treinar em boas práticas, limitações | 60 dias |
Exemplo prático: Você usa ML no n8n para classificar leads por probabilidade de conversão. Você precisa:
- Documento técnico: qual modelo ML, qual dados treina (comportamento anterior, site visits), acurácia no histórico
- Avaliação de Impacto: como isso impacta leads (podem ser priorizados ou ignorados) — mitigação: sempre human review
- Documentação processamento de dados: quais dados usou (nome, email, histórico compras) — deve cumprir LGPD
- Garantir em n8n: filtro sempre revisa antes de agir (não é automático 100%)
- Lead pode contestar: “Por que sou considerado baixa prioridade?” — você deve ter resposta via IA explainability
Para IA de Alto Risco (Implementação Rigorosa)
| Obrigação | O Que Fazer |
|---|---|
| Avaliação de Impacto Detalhada | Documento de 20+ páginas: contexto, impacto em direitos, mitigações, contingências |
| Auditoria Externa | Auditoria independente (firma especializada) que valida conformidade — custo: R$ 30-100k |
| Registro na ANPD | Reportar ao órgão regulador: qual IA alto risco usa, para quê, como protege dados |
| Direito a Explicação | Quando IA nega algo (crédito, emprego), pessoa tem direito legal a explicação por escrito em 30 dias |
| Direito a Contestação | Pessoa pode contestar decisão, exigir revisão humana — você obrigado a fazer em 60 dias |
| Documentação Massiva | Manutenção de registros por 3-5 anos: decisões, explicações, contestações, auditorias |
| Seguro de Responsabilidade Civil | Recomendado ter seguro que cubra danos causados por IA (ainda não obrigatório, será em 2027) |
Exemplo prático: Você usa IA para análise de concessão de crédito em fintech. Você precisa:
- Avaliação de Impacto: documento detalhado sobre impacto em direitos do mutuário (acesso a crédito, efeito em SCORE)
- Auditoria externa: firma contratada analisa código, dados, performance do modelo — gera relatório
- Registro ANPD: formulário reportando qual IA usa, modelo, acurácia, vieses conhecidos
- Direito a Explicação: quando cliente é negado, você envia carta explicando: “Pontuação de risco 7.5/10 por: histórico de atrasos (peso 40%), score de crédito (35%), outros (25%)” — é obrigatório
- Direito a Contestação: cliente pode pedir revisão humana. Você reassocia, faz análise manual, responde em 60 dias
- Compliance de Dados: todos os acessos, decisões, explicações armazenados por 5 anos (auditoria)
Direitos Autorais e IA Generativa: Cumprimento da Lei em 2026
Uma questão crítica em 2026 é: “Se eu gero conteúdo com ChatGPT ou Claude, quem é o dono dos direitos autorais?” A Lei de IA brasileira estabelece:
- Conteúdo gerado por IA: Não tem proteção automática de copyright. É de “domínio público” a menos que você adicione valor criativo significativo.
- Dados de treino: Se a IA foi treinada com dados de terceiros (artigos, imagens, código) sem permissão, há responsabilidade. OpenAI, Google, Meta enfrentam processos sobre isso.
- Sua responsabilidade: Se você usa ChatGPT para gerar um artigo e publica, você é responsável por qualquer violação de copyright do conteúdo gerado.
Boas práticas para conformidade de copyright:
- Não treine IA com dados propriedade de terceiros sem permissão
- Adicione sua criatividade: edite, reformule, adicione dados próprios (mínimo 30% do conteúdo final)
- Cite quem inspirou (se baseou em artigos/estudos de terceiros)
- Use modelos open source (Llama 3) com licenças transparentes se privacidade é crítica
- Sempre revise saídas: IA pode inventar fontes (“alucinações”)
LGPD + IA: Como Processar Dados em Conformidade
Se sua IA processa dados pessoais (emails, nomes, comportamento), você precisa estar em conformidade com LGPD E Lei de IA. Checklist:
- Base legal: Você tem consentimento ou fundamento legal para processar dados? (LGPD art. 7)
- Finalidade clara: Está usando dados apenas para a finalidade informada?
- Dados mínimos: Está colhendo só os dados necessários?
- Segurança: Está encriptando dados em trânsito e repouso?
- Transferência internacional: Se envia dados para API (ChatGPT, Claude), está autorizado? Nota: OpenAI processa em servidores dos EUA — é permitido se há conformidade. Claude (Anthropic) oferece opção de processamento EU-only.
- Direito do titular: Pessoa pode pedir acesso, correção, exclusão de seus dados? Você consegue fazer isso?
Penalidades por Não Conformidade: O Que Você Enfrenta
As penalidades da Lei de IA brasileira são severas. ANPD pode aplicar:
| Violação | Penalidade | Exemplo |
|---|---|---|
| Não registrar IA alto risco na ANPD | Até R$ 50 milhões ou 2% faturamento anual (o que for maior) | Fintech que não reportou IA de análise crédito |
| Não respeitar direito de explicação | Até R$ 20 milhões ou 1% faturamento | Negar explicação quando cliente pede |
| Usar IA alto risco sem auditoria | Até R$ 15 milhões ou 0,5% faturamento | Usar ML para seleção de pessoal sem auditoria externa |
| Violar LGPD + IA (ex: vender dados para treinar modelo) | Até R$ 50 milhões ou 2% faturamento anual | Usar dados de clientes para treinar modelo proprietário |
| Falta de transparência (não avisar que usou IA) | Até R$ 10 milhões ou 0,3% faturamento | Chatbot não avisar que é IA |
Contexto: ANPD começou fiscalizações em janeiro de 2026. Primeiras notificações foram enviadas a fintechs, RH-tech, saúde digital e e-commerce.
Como Adequar Sua Stack (WordPress, Mautic, n8n) à Lei de IA
WordPress + IA Generativa
Cenário: Você usa ChatGPT plugin para gerar sugestões de artigos, SEO, ou resumos.
Conformidade:
- Adicione na política de privacidade: “Utilizamos IA (ChatGPT) para sugestões de conteúdo”
- Na página do blog, avisar: “Conteúdo auxiliado por IA” (se aplica)
- Confirmar: WordPress não está enviando dados de clientes para APIs (geralmente não, mas cheque plugins)
- Se usar plugin de IA no WordPress, auditar dados enviados: nome, email, etc?
Mautic + IA de Scoring
Cenário: Você usa ML em Mautic para scoring de leads (priorizar quem tem mais chance de comprar).
Conformidade:
- Classificação: risco médio (afeta prioridade, mas humano revisa)
- Obrigações: Documentação técnica, transparência ao lead, revisão humana, direito a contestação
- Implementação: Em Mautic, ative log de scoring (qual critério foi considerado), deixe opção de humano revisar/corrigir
- GDPR/LGPD: Confirme dados estão encriptados, lead pode pedir acesso ao histórico
n8n + Automação com IA
Cenário: Você usa n8n para automação: ChatGPT gera resposta → armazena em CRM → dispara ação (email, Zapier).
Conformidade:
- Dados sensíveis em trânsito: Se n8n processa emails, nomes, comportamento → está em risco médio (mínimo)
- Criptografia: Toda comunicação entre n8n e APIs (ChatGPT, CRM) deve ser TLS/HTTPS
- Logs: n8n mantem logs de execução? Você consegue rastrear qual dado foi processado quando? (essencial para auditoria)
- Open source: Se rodar n8n self-hosted (sua infra), você tem máximo controle. Se usar n8n.cloud, revisar SLA de privacidade
- Direito de explicação: Se automação nega algo (nega envio de email, por exemplo), consegue explicar por quê?
Roadmap de Conformidade: 90 Dias para Estar Legal em 2026
Semanas 1-2: Inventário de IA
- Liste todas IA que usa: ChatGPT, Claude, Mautic ML, n8n, plugins WordPress
- Classifique cada uma: baixo, médio, alto risco
- Documente: qual modelo, qual dado processa, qual finalidade
Semanas 3-4: Políticas de Privacidade
- Atualize Política de Privacidade: descreva cada IA, qual dado processa, qual base legal
- Termos de Serviço: avisar que usa IA em decisões (se aplica)
- Aviso em pontos-chave: site, chatbot, email — “Resposta gerada com IA”
Semanas 5-8: Documentação e Auditoria Interna
- Para IA médio/alto risco: crie Avaliação de Impacto (template disponível na ANPD)
- Documentação técnica: qual modelo, acurácia, dados de treino, vieses conhecidos
- Teste auditoria interna: consiga explicar cada decisão da IA
Semanas 9-12: Conformidade Aprimorada
- Para IA alto risco: contrate auditoria externa
- Registre na ANPD (portal disponível)
- Implemente direito de explicação e contestação em seu sistema
- Treine time em boas práticas de IA responsável
Recursos e Ferramentas Para Conformidade
- ANPD (Autoridade Nacional de Proteção de Dados): Portal oficial com templates de conformidade
- EU AI Act: Lei europeia (base para lei brasileira)
- ISO/IEC 42001: Padrão internacional de Gestão de IA (certificação voluntária)
- Ferramentas de compliance: TrustArc, Clarip, OneTrust (softwares para gerenciar conformidade)
Perguntas Frequentes sobre Regulamentação de IA no Brasil
1. Se eu uso ChatGPT gratuito, preciso estar em conformidade?
Sim, mas de forma reduzida. Se você usa para geração de conteúdo (baixo risco), apenas avisar que usou IA é suficiente. Se coleta dados de usuários (emails, nomes) e processa em ChatGPT, aí sim precisa de conformidade LGPD + Lei de IA.
2. Rodar Llama 3 localmente me torna 100% conforme?
Não. Mesmo rodando local, você precisa cumprir Lei de IA: documentação, transparência, avaliação de impacto. O benefício de rodar local é máxima privacidade de dados (não sai de seu servidor).
3. Qual é a diferença entre LGPD e Lei de IA?
LGPD (Lei 13.709) regula processamento de dados pessoais. Lei de IA (PL 2338) regula decisões automatizadas. Uma empresa precisa cumprir AMBAS. Se usa IA que processa dados → LGPD. Se usa IA que toma decisão (crédito, emprego) → Lei de IA.
4. Se terceirizei desenvolvimento de IA, sou responsável por conformidade?
Sim. Lei de IA responsabiliza a empresa que implementa (você), não o desenvolvedor. Você precisa garantir conformidade, mesmo usando API de terceiros. Recomendação: contratar cláusulas de conformidade no contrato com fornecedor.
5. ANPD vai fiscalizar PMEs ou apenas grandes empresas?
Ambas. ANPD começou com grandes empresas (tech, fintech, saúde), mas expandirá para PMEs. Se sua PME usa IA para decisões (crédito, emprego), está na mira. Começar conformidade agora é vantagem competitiva.
6. Posso usar dados de clientes para treinar meu próprio modelo de IA?
Não sem consentimento explícito. LGPD + Lei de IA proíbem usar dados para nova finalidade sem informar. Se quer treinar modelo com dados de clientes, precisa: avisar, obter consentimento, documentar, cumprir requisitos de segurança.
7. Quanto custa estar conforme (auditoria, consultoria)?
Depende do risco: Baixo risco (documentação interna) = R$ 3.000-10.000. Médio risco (consultoria + documentação) = R$ 15.000-40.000. Alto risco (auditoria externa + compliance) = R$ 50.000-200.000. Mas custo de não conformidade é 2-50x maior (multa).
Conclusão: Conformidade é Agora em 2026
A Lei de IA brasileira está vigente e ANPD já está fiscalizando. Empresas que não estão em conformidade enfrentam risco de multa de até 2% do faturamento anual — um valor potencialmente maior que o investimento em compliance.
A boa notícia é que conformidade não é tão cara se começar cedo. Para IA de baixo/médio risco (maioria das PMEs), documentação interna + atualização de política de privacidade + transparência ao usuário é suficiente (investimento: R$ 5.000-20.000 único). Para IA alto risco, auditoria externa é obrigatória (R$ 50-100k), mas é um projeto de 90 dias.
Próximos passos: Faça inventário de qual IA usa, classifique por risco, atualize política de privacidade, e se tiver IA alto risco, comece processo de auditoria. Leia nosso guia completo de IA para empresas para entender qual stack implementar. E se precisar rodar IA localmente (máxima conformidade), confira alternativas open source como Llama 3.
