ISO 42001
ISO 42001 ISO 42001 e PL 2338
PL 2338 ISO 42001 Marco Legal Brasileiro

ISO 42001 e PL 2338: o Marco Legal da IA no Brasil

O PL 2338 é o projeto de lei que cria o Marco Legal da Inteligência Artificial no Brasil. Aprovado pelo Senado em dezembro de 2024, está em tramitação na Câmara dos Deputados. A ISO 42001 é projetada para preparar organizações para marcos regulatórios exatamente desse tipo. Esta página mapeia o alinhamento entre os dois.

ISO 42001 e PL 2338: marco legal da IA no Brasil e conformidade técnica
Status legislativo (maio/2026)

O PL 2338 foi aprovado pelo Senado Federal em 10 de dezembro de 2024 e enviado para análise da Câmara dos Deputados. O texto pode ser modificado antes da sanção presidencial. Esta análise usa o texto aprovado pelo Senado como referência.

Estrutura do PL 2338

O Marco Legal da IA adota uma abordagem baseada em risco — similar ao EU AI Act europeu — classificando sistemas de IA em diferentes níveis de risco com obrigações proporcionais. As principais categorias são:

Sistemas de alto risco

Sistemas que afetam direitos fundamentais, tomam decisões com impacto significativo sobre pessoas ou atuam em setores críticos (saúde, infraestrutura, crédito, emprego, educação, segurança pública). Sujeitos às obrigações mais severas.

Sistemas de risco limitado

Sistemas que interagem com pessoas ou geram conteúdo sintético — como chatbots e deepfakes. Obrigações principais de transparência: o usuário deve saber que está interagindo com IA.

Sistemas de risco mínimo

A grande maioria dos sistemas de IA — filtros de spam, recomendações de conteúdo, automação de tarefas. Sem obrigações específicas adicionais além das leis gerais já aplicáveis.

Sistemas de alto risco: exemplos práticos

O PL 2338 prevê que a classificação de alto risco será definida por regulamento. O texto aprovado pelo Senado lista áreas presumidamente de alto risco. Confira se sua organização está nessa lista:

SetorNível de riscoExemplos típicos
SaúdeAltoDiagnóstico por imagem, triagem clínica, gestão de medicamentos
Crédito e finançasAltoScoring de crédito automatizado, avaliação de solvência, seguros
Emprego e RHAltoTriagem de currículos, avaliação de desempenho, demissões automatizadas
EducaçãoAltoAvaliação de alunos, classificação de desempenho, acesso a cursos
Segurança públicaAltoReconhecimento facial em espaços públicos, vigilância em massa
Infraestrutura críticaAltoGestão de energia, água, transporte, telecomunicações
Sistemas jurídicosAltoIA em decisões judiciais, análise de risco de reincidência
Recomendação de conteúdoLimitadoRedes sociais, plataformas de streaming, news feed
Chatbots e assistentesLimitadoAtendimento ao cliente, assistentes virtuais — obrigação de disclosure
Automação de processosMínimoRPA, automação de documentos, classificação de e-mails

Obrigações para sistemas de alto risco

Para sistemas classificados como de alto risco, o PL 2338 prevê obrigações substanciais que a ISO 42001 foi desenhada para suportar:

Avaliação de conformidade prévia

Antes de colocar em operação, sistemas de alto risco devem passar por avaliação de conformidade. A ISO 42001 é explicitamente citada como marco de referência para essa avaliação. A certificação ISO 42001 pode funcionar como evidência de conformidade.

Avaliação de impacto algorítmico

Equivalente à AIIA da Cláusula 6.1.2 da ISO 42001 — avaliação sistemática dos impactos potenciais do sistema sobre pessoas e grupos antes da implantação. O PL prevê que o formato e conteúdo serão regulamentados posteriormente.

Documentação técnica

Documentação completa do sistema de IA — arquitetura, dados de treino, métricas de desempenho, limitações — disponível para autoridade reguladora. O Controle A.5.4 da ISO 42001 cobre exatamente esse requisito.

Transparência e explicabilidade

Usuários afetados por decisões de alto risco devem ser informados e capazes de solicitar explicação. Alinha com a LGPD Art. 20 e com o Controle A.9.3 (Explicabilidade) da ISO 42001.

Supervisão humana

Sistemas de alto risco devem ter mecanismo de supervisão humana — especialmente quando o resultado afeta direitos individuais significativamente. O Controle A.6.2 (Operação responsável) exige isso na ISO 42001.

Registro e monitoramento

Logs de funcionamento e monitoramento contínuo — para que a autoridade reguladora possa auditar o sistema. Coberto pela Cláusula 9.1 e Controle A.6.4 da ISO 42001.

Robustez e segurança

Sistemas de alto risco devem ser testados para robustez e protegidos contra ataques — coberto pelos Controles A.10.2 a A.10.5 da ISO 42001.

Autoridade reguladora

O PL 2338 propõe a criação de um Conselho Nacional de Inteligência Artificial (CNAI) — órgão consultivo — e designa a ANPD (Autoridade Nacional de Proteção de Dados) como autoridade competente para fiscalizar IA quando há tratamento de dados pessoais.

Para setores específicos (saúde, financeiro, telecomunicações), os órgãos reguladores setoriais existentes — ANS, ANVISA, BACEN, ANATEL — mantêm competência sobre IA em seus setores, podendo criar regulamentação específica.

Implicação prática

Setores como saúde e financeiro terão dupla regulação: o Marco Legal da IA geral + regulamentação setorial de ANVISA/BACEN. A ISO 42001 provê uma base que pode ser adaptada às exigências de cada órgão sem recomeçar do zero.

ISO 42001 como evidência de conformidade

O texto do PL 2338 aprovado pelo Senado menciona explicitamente que normas técnicas reconhecidas internacionalmente — como a ISO/IEC 42001 — serão consideradas como marco de referência para avaliação de conformidade de sistemas de IA.

Na prática, isso significa:

  • Uma organização certificada ISO 42001 tem vantagem significativa em processos de avaliação de conformidade sob o Marco Legal
  • A certificação pode ser usada como elemento de defesa em investigações regulatórias
  • O auditor regulador provavelmente usará os requisitos da ISO 42001 como checklist de verificação, mesmo sem exigir formalmente a certificação
  • Em licitações públicas com IA, a ISO 42001 pode se tornar requisito de habilitação

Mapeamento: PL 2338 × ISO 42001

Obrigação PL 2338Cobre?Cláusula / Controle ISO 42001
Avaliação de impacto algorítmicoSimCláusula 6.1.2 — Avaliação de impacto de IA
Documentação técnica completaSimControle A.5.4 — Documentação técnica do sistema
Transparência ao usuárioSimControle A.8.2 — Divulgação do uso de IA
Explicabilidade das decisõesSimControle A.9.3 — Interpretabilidade e explicabilidade
Supervisão humanaSimControle A.6.2 — Operação responsável
Log e rastreabilidadeSimControle A.6.4 — Log e rastreabilidade
Robustez e segurançaSimControles A.10.2 a A.10.5 — Segurança de IA
Gestão de riscoSimCláusula 6.1.1 + Controle A.2.5
Não discriminaçãoSimControles A.11.2, A.11.3, A.11.4 — Fairness
Notificação de incidentesSimControle A.3.5 — Gestão de incidentes
Gestão de fornecedores de IASimControles A.7.2, A.7.3 — Fornecedores e contratos

Cronograma provável de vigência

Com base no progresso legislativo até maio de 2026:

Dez/2024
PL 2338 aprovado pelo Senado Federal com significativa maioria
2025-2026
Tramitação na Câmara dos Deputados — possíveis emendas e votação
Pós-sanção
Período de vacatio legis esperado: 6 a 24 meses para regulamentação específica dos setores
Vigência
Obrigações para sistemas de alto risco entram em vigor após regulamentação completa — estimativa: 2026-2027
Recomendação estratégica

Não espere a sanção para agir. Organizações que iniciam a implementação da ISO 42001 agora chegam ao momento da vigência já com o sistema maduro — enquanto as que esperam enfrentarão implementação emergencial com prazo curto. O ciclo de implementação ISO 42001 leva tipicamente 12 a 18 meses para maturidade auditável.

Penalidades previstas

O PL 2338, no texto aprovado pelo Senado, prevê sanções escalonadas para descumprimento:

  • Advertência com prazo para adequação
  • Multa de até 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração
  • Multa diária para obrigar cumprimento de ordem
  • Suspensão do uso do sistema de IA infrator
  • Proibição de uso de IA em casos de reincidência

Para sistemas de alto risco com impacto em direitos fundamentais, o PL prevê possibilidade de sanções mais severas, a serem regulamentadas.