A formação do marco regulatório digital e o momento estratégico para o setor produtivo
Em menos de dois anos, o Brasil aprovou no Senado Federal um marco legal de inteligência artificial, deixou expirar uma medida provisória que desonera data centers e lançou um programa de sandbox regulatório. O Estado brasileiro avança, mas sem uma agenda regulatória unificada. Para o setor corporativo, essa movimentação descoordenada configura tanto uma oportunidade real quanto um risco concreto.
O CHIPS and Science Act americano (Creating Helpful Incentives to Produce Semiconductors and Science Act), o AI Act europeu e os regimes asiáticos de incentivo a semicondutores e data centers ilustram como a competição internacional pela liderança tecnológica transformou a regulação em instrumento de política industrial.
O país não lidera esse processo, mas ainda dispõe de margem para definir um marco regulatório que atraia investimento sem comprometer salvaguardas mínimas. O que está em disputa não é apenas a forma como a tecnologia será regulada, mas quem liderará esse processo normativo.
A AGENDA NORMATIVA FEDERAL EM IA E INFRAESTRUTURA DIGITAL
O governo federal orienta-se pelos padrões globais de governança digital, mas com resultados desiguais. O Projeto de Lei (PL) 2338/2023, Marco Legal da Inteligência Artificial aprovado pelo Senado e agora em análise na Câmara dos Deputados, é o principal instrumento normativo desse processo.
O projeto adota uma abordagem baseada em risco, similar à do AI Act europeu, aprovado pela União Europeia em 2024, classificando sistemas de inteligência artificial (IA) em categorias que vão do risco mínimo ao risco excessivo, com obrigações crescentes de transparência, auditoria e responsabilização. Para sistemas de alto risco com impacto direto em direitos fundamentais, como decisões automatizadas em crédito, saúde ou segurança pública, o texto aprovado no Senado exige avaliação de impacto algorítmico e registro da avaliação preliminar de risco.
Dois pontos concentram o debate na Câmara. O primeiro diz respeito à definição da autoridade regulatória competente. O texto do Senado atribuiu à Autoridade Nacional de Proteção de Dados (ANPD) um papel de coordenação, mas sem exclusividade, o que gera potencial para disputas jurisdicionais entre diferentes órgãos federais.
O segundo envolve o equilíbrio entre inovação e proteção. Parlamentares ligados ao setor produtivo demandam regimes diferenciados para startups e pequenas empresas, enquanto organizações da sociedade civil alertam para os riscos de sistemas de IA em áreas sensíveis como saúde e educação.
No campo das políticas públicas, a Estratégia Brasileira de Inteligência Artificial (EBIA) estabelece as prioridades do governo federal para o setor, mas sua articulação com o marco regulatório em construção ainda carece de mecanismos formais de coordenação, o que antecipa o problema estrutural da fragmentação examinado a seguir.
No campo da infraestrutura digital, a trajetória do Regime Especial de Incentivo ao Desenvolvimento da Infraestrutura Digital (Redata) evidencia a instabilidade normativa que o país ainda não superou. A Medida Provisória (MP) 1.318/2025, que instituiu o regime de incentivos tributários para data centers, perdeu validade sem ser convertida em lei dentro do prazo constitucional.
O PL 278/2026, já aprovado pela Câmara dos Deputados e que aguarda inclusão na pauta do Plenário do Senado após requerimento de urgência apresentado por líderes, tem por objetivo preservar o mesmo regime, com desoneração de equipamentos importados, condicionantes de geração de empregos qualificados e requisitos de uso de energia renovável, necessários para que data centers de hiperescala justifiquem investimentos de bilhões de reais.
A descontinuidade entre a MP e o PL gerou percepção negativa sobre a estabilidade normativa do país, fator que os gestores de Brasília tendem a subestimar.
A FRAGMENTAÇÃO REGULATÓRIA COMO RISCO ESTRUTURAL
Além das lacunas de execução, o Brasil enfrenta um problema estrutural de mais difícil resolução. Múltiplas autoridades reivindicam competência sobre o ambiente digital sem hierarquia clara entre elas.
A ANPD monitora o uso de dados pessoais e avança para cobrir o uso de IA no tratamento dessas informações. O Conselho Administrativo de Defesa Econômica (Cade) analisa práticas anticoncorrenciais em plataformas digitais e mercados algorítmicos. A Agência Nacional de Telecomunicações (Anatel) regula as redes de telecomunicações que sustentam os serviços.
A Secretaria Nacional do Consumidor (Senacon) fiscaliza relações de consumo no espaço digital. O Comitê Gestor da Internet no Brasil (CGI.br) coordena o uso da internet no país, com influência sobre a governança digital que ultrapassa seus poderes formais de fiscalização. A Secretaria de Governo Digital, por fim, conduz sua própria agenda de IA para o setor público.
Em tese, cada órgão tem escopo delimitado. Na prática, uma mesma operação de IA, como um sistema de concessão de crédito baseado em scoring algorítmico, pode ser avaliada simultaneamente por três ou quatro desses atores, com critérios que nem sempre convergem.
Essa fragmentação não é exclusividade brasileira, mas o Brasil não desenvolveu os mecanismos de coordenação que países comparáveis adotaram. O Reino Unido criou o Digital Regulation Cooperation Forum, fórum de articulação ativa entre o regulador de concorrência (Competition and Markets Authority, CMA), o de proteção de dados (Information Commissioner’s Office, ICO), o financeiro (Financial Conduct Authority, FCA) e o de telecomunicações (Office of Communications, Ofcom).
A União Europeia instituiu o European AI Office como instância central para a aplicação do AI Act, com foco na supervisão de modelos de IA de uso geral e na coordenação com as autoridades nacionais de fiscalização.
No Brasil, não há equivalente funcional, o que faz de cada nova norma uma potencial fonte de conflito de competências.
O setor privado arca com um custo duplo. Há incerteza sobre qual autoridade seguir e o risco de que atender a um regulador gere exigências conflitantes com as de outro. Esse ambiente penaliza de forma desproporcional as empresas menores e, por outro lado, beneficia grandes plataformas globais, que chegam ao Brasil com equipes jurídicas treinadas para operar em ambientes de sobreposição regulatória em múltiplas jurisdições.
PROMESSA E LIMITE DO SANDBOX REGULATÓRIO
A iniciativa mais promissora do período foi a adoção de ambientes regulatórios experimentais. A ANPD estruturou um piloto voltado à interseção entre inteligência artificial e proteção de dados e publicou em julho de 2026 o primeiro relatório parcial de monitoramento do programa, que acompanha três empresas de tecnologia em ambiente regulatório controlado e supervisionado. Esse mecanismo parte do reconhecimento de que o Estado não dispõe de capacidade técnica suficiente para regular o que ainda não compreende plenamente.
O sandbox regulatório da FCA britânica, lançado em 2016, consolidou-se como referência internacional porque os resultados de cada ciclo experimental eram sistematicamente incorporados à atualização das normas do regulador. O êxito não estava na abertura do experimento, mas na disciplina aplicada à fase seguinte.
Contudo, o sandbox enfrenta uma limitação estrutural. Ele termina. A questão decisiva não é o que se aprende durante o experimento, mas o que o regulador faz com esse conhecimento quando precisa convertê-lo em norma permanente. Até o momento, o programa brasileiro não apresentou um protocolo claro de transição entre o piloto e a regulação definitiva. Sem esse elo, o sandbox se converte em instrumento simbólico, uma abertura formal sem consequências normativas práticas.
A regulação de ativos virtuais atravessou situação análoga. Durante anos, a indefinição sobre a competência do Banco Central ou da Comissão de Valores Mobiliários (CVM) gerou zonas de incerteza jurídica. O impasse persistiu até a aprovação da Lei 14.478/2022, restringindo o potencial de crescimento de empresas brasileiras em comparação com concorrentes estabelecidos em mercados com maior estabilidade normativa.
DAS DEMANDAS REATIVAS À INTELIGÊNCIA REGULATÓRIA
É nessa lacuna de capacidade técnica do Estado que o setor privado precisa se reposicionar. O modelo baseado em pedidos pontuais de isenção fiscal perdeu eficácia e, sobretudo, perdeu legitimidade perante os formuladores de política pública.
Em um ambiente de maior rigor regulatório sobre plataformas digitais e IA, a empresa que se limita a demandas de desoneração tributária tende a ser tratada como obstáculo à agenda regulatória, não como interlocutora qualificada.
A tramitação do PL 2338/2023 na Câmara oferece uma oportunidade concreta de participação estruturada. O processo no Senado foi relativamente fechado: o texto foi construído por um grupo limitado de parlamentares e técnicos, com pouca abertura à participação organizada do setor privado.
A Câmara opera com uma dinâmica diferente, marcada por comissões temáticas mais permeáveis, frentes parlamentares com maior capilaridade setorial e uma cultura de negociação que tende a incorporar contribuições técnicas quando bem apresentadas.
O projeto, relatado pelo deputado Aguinaldo Ribeiro (PP-PB) e em regime de prioridade, aguarda parecer na Mesa. O setor de tecnologia tem representação crescente no Congresso, mas ainda carece de uma estratégia coordenada de interlocução, o que significa que o espaço existe, mas não está sendo ocupado com a eficácia necessária.
A Comissão de Ciência, Tecnologia, Inovação e Informática (CCT) emitiu parecer favorável ao Projeto de Resolução do Senado (PRS) 38/2025, que institui a Frente Parlamentar Mista de Inteligência Artificial, Proteção de Dados e Segurança Digital, e aprovou requerimento de urgência para sua votação no Plenário. Essa movimentação indica que o processo de abertura institucional não se restringe à Câmara.
De caráter misto, a frente reúne senadores e deputados federais e tem como objetivos acompanhar projetos de lei e políticas públicas sobre o tema, fomentar marcos regulatórios e estruturar o diálogo entre o Legislativo, o setor produtivo e especialistas.
A iniciativa é do senador Eduardo Gomes (PL-TO), um dos principais legisladores na agenda de IA no Congresso, o que sinaliza a percepção crescente de que o processo regulatório demanda canais mais amplos de participação. Para o setor privado, trata-se de um canal concreto de interlocução que ainda aguarda engajamento sistemático.
O modelo que se consolida é aquele em que a empresa atua como provedora de inteligência técnica para um Estado com capacidade técnica limitada nos setores que regula. Isso exige três mudanças concretas de postura.
A primeira é qualificar as contribuições em consultas públicas. Contribuições genéricas têm impacto limitado no processo legislativo; notas técnicas fundamentadas em dados de mercado e referências regulatórias internacionais exercem influência concreta sobre o resultado. No caso do PL 2338/2023, isso significa apresentar à Câmara evidências sobre como a classificação de risco proposta afeta operações reais no Brasil, não apenas declarações de princípio sobre inovação.
A segunda é antecipar-se à regulação formal mediante governança verificável. Códigos de conduta auditáveis e comitês de ética com funcionamento transparente demonstram ao regulador que a empresa já se governa antes de ser obrigada a isso. É um argumento de difícil refutação quando se discute excesso normativo, pois o ônus da prova se desloca da empresa para o regulador, que precisará justificar por que a norma adicional seria necessária.
A terceira é patrocinar pesquisas independentes em universidades federais sobre auditoria algorítmica e segurança da informação. Produzidas com autonomia acadêmica, essas pesquisas oferecem ao governo o substrato técnico que ele não produz sozinho e qualificam o debate público sem comprometer a credibilidade.
Entidades como a Associação das Empresas de Tecnologia da Informação e Comunicação e de Tecnologias Digitais (Brasscom) e a Associação Brasileira das Empresas de Software (ABES) já atuam segundo essa lógica, mas a adesão corporativa ainda é desigual. O setor privado que não se organiza coletivamente apresenta-se individualmente ao processo decisório com influência consideravelmente menor.
A DIMENSÃO GEOECONÔMICA DA REGULAÇÃO DIGITAL
A regulação de IA e infraestrutura digital não é uma questão doméstica isolada, mas um elemento da competição geoeconômica entre países pela liderança na economia digital global. Jurisdições que combinam incentivos fiscais consistentes, estabilidade normativa e infraestrutura adequada estão atraindo decisões de investimento que dificilmente serão revertidas no curto prazo.
Data centers não são ativos de fácil realocação; uma vez instalados, geram empregos, consomem energia local e criam dependências de fornecimento que favorecem o país hospedeiro por décadas.
O PL 278/2026 vai além de uma formalização tributária. Ao ser aprovado pelo Senado, sinalizará ao mercado internacional a disposição do Brasil em manter a estabilidade regulatória necessária para investimentos de longa maturação. A descontinuidade entre a MP e o PL não passou despercebida pelos investidores internacionais. Recuperar a credibilidade normativa exige a aprovação de um texto suficientemente estável para dispensar renegociações frequentes.
A ASSIMETRIA DA PARTICIPAÇÃO
O risco real para o Brasil não é excesso nem ausência de regulação: é regulação mal-informada, construída à margem do setor que ela pretende disciplinar. Governo e indústria de tecnologia têm interesses que convergem mais do que o discurso público de ambos os lados reconhece. O Estado precisa de infraestrutura digital que ele não constrói, e a indústria precisa de regras estáveis que ela não produz sozinha.
A conjuntura atual é singular. Três frentes regulatórias centrais correm em paralelo. O Marco Legal da IA está sendo negociado na Câmara. O PL 278/2026 aguarda votação no Senado. O sandbox regulatório da ANPD está em curso, sem protocolo de saída definido. Cada um representa uma oportunidade de participação que não se repetirá nas mesmas condições.
O setor que participar ativamente desse processo normativo, com dados, propostas técnicas e governança verificável, não apenas reduzirá sua exposição regulatória futura, mas terá contribuído para a formulação das normas às quais estará submetido. Essa vantagem, uma vez perdida, não se recupera.
Quem se mantiver à margem não reformará o que já foi consolidado. Passividade diante do que está sendo decidido não é neutralidade estratégica. É delegação. E o que se delega são as regras que condicionarão a atuação do setor por uma geração.
*A opinião do autor desta coluna não necessariamente reflete a posição deste editorial.
Por Daniel Duarte Lledó (Diretor de Relações Institucionais e Governamentais & Políticas Públicas da DataPolicy).
Créditos da imagem: Canva (AKodisinghe).
