"Ainda não temos uma lei de IA no Brasil, então dá pra deixar isso pra depois." Essa frase é confortável, e é errada. A ANPD não esperou a lei. Em 2026 ela já fiscaliza o uso de inteligência artificial, e o instrumento que usa pra isso você já conhece: a LGPD.

Quem está adiando a governança de IA até o PL 2338 virar lei está fazendo uma aposta ruim. A conta já pode chegar antes, e por um caminho que a empresa costuma ignorar.

O que mudou na ANPD em 2026

A ANPD deixou de ser o órgão tímido que só publicava orientação. Em 2026 ela se consolidou como agência reguladora de fato, com autonomia financeira e técnica e quadro próprio de especialistas, e passou a fiscalizar de forma agressiva.

O ponto que mais assusta quem opera IA: a ANPD montou uma força-tarefa dedicada ao uso de dados pessoais no treinamento de modelos, e tem usado com frequência as chamadas medidas preventivas. Na prática, ela pode ordenar que a empresa suspenda imediatamente uma ferramenta de IA ou o uso de uma base de dados antes mesmo de o processo terminar. Some a isso multas que chegam à casa dos milhões e você tem um cenário novo: não é mais advertência, é interrupção de operação.

Os alvos prioritários da fiscalização em 2026 são claros: IA generativa, dados biométricos e qualquer sistema que envolva menores de idade. Se a sua empresa usa uma dessas, a atenção é redobrada.

Você não precisa de uma "lei de IA" pra ser multado

Aqui está o mal-entendido que custa caro. A empresa acha que, sem uma lei específica de IA, não há regra a cumprir. Mas todo sistema de IA que trata dado pessoal já está dentro da LGPD, e a LGPD já tem dente.

O artigo 20, por exemplo, garante ao titular o direito de pedir revisão de decisões tomadas apenas por sistema automatizado que afetem seus interesses. Se a sua IA reprova um crédito, tria um currículo ou classifica um paciente, você precisa conseguir explicar e revisar aquela decisão. Não é sobre ter uma lei de IA. É sobre transparência, mitigação de viés, segurança da informação e respeito aos direitos do titular, tudo isso que a LGPD já exige e a ANPD já cobra.

Traduzindo: se você usa IA generativa sobre dados de clientes ou de funcionários, você já está no escopo da fiscalização de hoje. Não do ano que vem.

E o PL 2338, a "lei de IA"?

Ele está vindo. O PL 2338/2023 foi aprovado pelo Senado em dezembro de 2024 e tramita na Câmara desde março de 2025, com uma abordagem baseada em risco: classifica os sistemas por nível de perigo e exige governança proporcional, além de listar direitos do usuário.

Repare no que isso significa. O PL 2338 não vai criar uma obrigação do nada. Ele vai endurecer e organizar o que a LGPD já pune de forma difusa. Ou seja, quem espera a lei fica exposto pela LGPD nesse meio-tempo e ainda vai ter que correr pra montar governança quando o texto entrar em vigor. Quem monta agora só vai ajustar depois.

O que montar agora: governança proporcional ao risco

A boa notícia é que a estrutura já existe e tem nome. A ISO/IEC 42001, a norma internacional de sistema de gestão de IA, organiza exatamente o que a ANPD hoje quer ver: ciclo de vida do dado documentado e auditável, responsabilidades definidas, avaliação de risco, transparência, monitoramento e melhoria contínua.

Use este checklist como ponto de partida:

  1. Inventário de IA. Mapeie onde a empresa usa inteligência artificial, incluindo as IAs escondidas dentro de ferramentas de SaaS que ninguém registrou como "projeto de IA".
  2. Classificação por risco. Nem todo uso é igual. IA que decide sobre pessoas (crédito, contratação, saúde, benefício) é alto risco e pede controle mais forte.
  3. Ciclo de vida do dado. De onde vem o dado que alimenta o modelo, com que base legal, por quanto tempo fica e como é descartado. Documentado, não na cabeça de alguém.
  4. Dono nomeado. Cada sistema de IA precisa de um responsável, não de uma responsabilidade difusa entre TI e jurídico.
  5. Transparência e explicabilidade. Você precisa conseguir explicar por que a IA decidiu o que decidiu, e ter um caminho de revisão. É o artigo 20 na prática.
  6. Viés e supervisão humana. Teste o modelo contra viés e mantenha um humano no circuito nas decisões que afetam direitos.
  7. Segurança da informação. Os dados que treinam e alimentam a IA são um alvo. Proteja-os como protegeria qualquer base sensível.
  8. Due diligence de fornecedor. Se a IA é de terceiro, o risco continua sendo seu. Cobre do fornecedor a mesma governança que a ANPD cobraria de você.
  9. Monitoramento contínuo. Governança de IA não é um projeto que termina. É um ciclo que roda enquanto o sistema estiver no ar.

Se você reparar, isso é o esqueleto do ISO 42001. Adotar a norma agora te deixa pronto pra fiscalização de hoje (LGPD) e pra lei de amanhã (PL 2338) de uma vez só. Já escrevi em detalhe sobre como o ISO 42001 estrutura a governança de IA, se quiser aprofundar.

Onde o facilita.ia entra

Governança de IA parece um tema técnico, mas no fundo é compliance: transformar uma norma em requisitos, requisitos em evidência, e evidência em algo que sobrevive a uma auditoria. É exatamente isso que o facilita.ia faz.

Ele mapeia o ISO 42001 (risco, transparência, viés algorítmico e supervisão humana) num sistema só, e o Benjamin, a IA de compliance, ajuda a ligar cada exigência da norma à prova que a comprova. Em vez de montar planilha de controle de IA na mão, você opera a governança dentro da mesma plataforma que já cuida das suas outras normas.

É a diferença entre dizer "a gente usa IA com responsabilidade" e abrir um relatório que mostra, item por item, que usa.

A lei vai chegar. A ANPD já chegou

Esse é o resumo. A lei de IA é questão de tempo, e vai deixar tudo mais rígido. Mas a fiscalização não está esperando por ela: a ANPD já fiscaliza, já multa e já suspende, usando a LGPD que existe há anos.

Quem montar a governança agora vai receber a nova lei como um ajuste de parafuso. Quem esperar vai montar tudo do zero com a ANPD já na porta, e possivelmente com a ferramenta suspensa enquanto corre atrás. Comece pelo inventário. É o passo que ninguém se arrepende de ter dado cedo.


Conteúdo informativo, não é consultoria jurídica. A regulação de IA no Brasil está em construção e pode mudar. Confirme as regras aplicáveis ao seu caso com o seu jurídico e o seu encarregado de dados (DPO).

Governança de IA é compliance. É isso que o facilita.ia faz.

O facilita.ia mapeia o ISO 42001 (risco, transparência, viés e supervisão humana) e conecta cada requisito à evidência que a ANPD vai pedir, com o Benjamin cuidando da norma. Você chega auditável antes da lei chegar.

  Comece grátis no facilita.ia   Ver a solução ISO 42001
Klaus Fuchs
Klaus Fuchs · founder facilita.etc Bacharel em Administração (FAE) e Engenharia da Computação (PUC-PR). MBA em Controladoria e Finanças (UNINTER, 2018) e MBA em Gestão, Inovação e Serviços em Saúde (PUCRS, 2026). Pesquisa uso de IA aplicada à gestão estratégica desde 2015.