LGPD 24 de junho de 2026 por Gabrielle Ramos

A regulação da inteligência artificial no Brasil já começou, com ou sem o Marco Legal

As sanções da ANPD a grandes empresas e o lançamento do sandbox regulatório mostram que o ambiente de fiscalização sobre IA está operacional, independentemente da votação do PL 2338 na Câmara.

Muitos gestores e executivos ainda tratam a regulação de inteligência artificial no Brasil como um evento futuro, algo a ser enfrentado depois que o projeto de lei tramitar, ser aprovado e entrar em vigor. Essa percepção está desatualizada.

A Agência Nacional de Proteção de Dados já age. Já sanciona. E já monitora o uso de IA por empresas privadas, com base na Lei Geral de Proteção de Dados, cujo alcance é amplo o suficiente para atingir qualquer tratamento automatizado que envolva dados pessoais.

A Meta foi alvo da ANPD quando a agência suspendeu o uso de dados de brasileiros para treinamento de sistemas de inteligência artificial. O Worldcoin, projeto de coleta de dados biométricos por escaneamento de íris, foi suspenso pela mesma autoridade. Em ambos os casos, o fundamento jurídico foi a LGPD, não o futuro Marco Legal da IA.

O padrão já é claro

O instrumento regulatório já existe. O que o PL 2338 acrescenta é especificidade, classificação de risco e obrigações setoriais. Mas o poder sancionador da ANPD sobre IA está ativo há mais tempo do que a maioria das empresas percebe.

Em 2026, a agência estruturou quatro eixos prioritários de fiscalização: direitos dos titulares, proteção de crianças no ambiente digital, tratamento de dados pelo poder público e, pela primeira vez de forma explícita, inteligência artificial e tecnologias emergentes. O quarto eixo é novo e sinaliza uma mudança de postura institucional.

Paralelamente, a ANPD lançou um sandbox regulatório experimental voltado para IA, com três empresas selecionadas para testar soluções sob supervisão direta da agência até o final deste ano. O foco declarado é a transparência algorítmica, a capacidade de explicar, de forma inteligível, como um sistema automatizado chegou a determinada decisão que afeta pessoas.

O que isso significa para franqueadoras e redes estruturadas

Esse ponto exige atenção especial de gestores, franqueadores e redes estruturadas. O uso de ferramentas de IA para avaliar desempenho de unidades, projetar expansão, traçar perfis de clientes e apoiar decisões de seleção de franqueados tornou-se prática comum. Quando essas ferramentas processam dados pessoais, a exposição jurídica não é hipotética.

A LGPD já impõe ao controlador a obrigação de documentar, informar e, em determinadas hipóteses, justificar decisões tomadas com base em tratamento automatizado. As multas previstas chegam a 2% do faturamento anual no Brasil, limitadas a R$ 50 milhões por infração.

O PL 2338, aprovado no Senado em dezembro de 2024 e em tramitação na Câmara com relatoria do deputado Aguinaldo Ribeiro, adiciona uma camada de obrigações sobre sistemas classificados como de alto risco, incluindo, pelo modelo europeu adotado como referência, soluções voltadas a recrutamento, gestão de pessoas, crédito e serviços essenciais.

O intervalo entre a maturidade do poder sancionador da ANPD e a completude do marco regulatório não é uma janela de tolerância, é um período de risco gerenciável para quem agir com antecedência.

Três frentes de ação

A pergunta relevante para a tomada de decisão empresarial não é o que mudará quando a lei for aprovada. É o que as empresas já deveriam estar fazendo agora. A resposta passa por três frentes: mapear quais sistemas de IA tratam dados pessoais; documentar a lógica das decisões automatizadas; e revisar políticas de privacidade para refletir o uso real da tecnologia na operação.

Grupos econômicos e redes de expansão que antecipam a conformidade regulatória em IA ganham vantagem competitiva, reduzem exposição jurídica e chegam a uma posição mais sólida quando a fiscalização se tornar sistemática. Pelos sinais que a agência está emitindo, isso acontecerá antes do que a maioria das empresas estima.

Gabrielle Ramos

Gabrielle Ramos

Sócia do Vega & Ramos Sociedade de Advogados. Atua em LGPD, direito digital, contratos e prevenção de riscos jurídicos para empresas e redes em expansão. Ver perfil →

Este artigo tem caráter exclusivamente informativo e não substitui a análise jurídica individualizada do caso concreto. Para avaliar a adequação da sua empresa ou rede ao uso de inteligência artificial e à LGPD, entre em contato com o Vega & Ramos Sociedade de Advogados.

Vega & Ramos Sociedade de Advogados

O jurídico da IA já é hoje, não amanhã.

Se sua empresa usa IA para decisões que envolvem dados pessoais, fale com um sócio. A primeira conversa serve para entender a exposição real do caso.

Leia também

LGPD

LGPD para empresas e franquias: adequação jurídica e prevenção de riscos

Ler →
Marcas

Proteção de marca para redes: o ativo que sustenta a franquia

Ler →