O PL 2338/2023, principal marco regulatório de inteligência artificial em tramitação no Congresso Nacional, não se limita a classificar riscos ou impor obrigações a desenvolvedores. Ele propõe uma arquitetura institucional inédita no Brasil: dois órgãos colegiados — o CRIA e o CECIA — que, junto com a ANPD, formarão o tripé de governança de IA do país. Neste artigo, explicamos o que são essas estruturas, como funcionam e o que sua organização precisa saber desde já.
O contexto do PL 2338
O Projeto de Lei 2338/2023 é o resultado de anos de debate sobre como o Brasil deve regular a inteligência artificial. Apresentado originalmente no Senado e agora sob relatoria do deputado Aguinaldo Ribeiro na Câmara dos Deputados, o texto adota uma abordagem baseada em risco — inspirada no EU AI Act europeu, mas adaptada à realidade brasileira.
Diferente da lei europeia, que concentra a fiscalização em agências já existentes, o PL brasileiro cria novas instâncias de governança. A lógica é clara: a regulação de IA não pode depender de um único órgão. É necessário combinar visão estratégica, capacidade técnica e poder regulatório. É exatamente isso que o projeto busca ao instituir o CRIA, o CECIA e ao reafirmar o papel da ANPD.
A votação, inicialmente prevista para o segundo semestre de 2025, foi adiada para 2026. O texto ainda pode sofrer alterações, mas a arquitetura de governança proposta já está consolidada e merece atenção de qualquer organização que desenvolve, implementa ou é impactada por sistemas de IA.
CRIA — o comitê estratégico e multissetorial
O Comitê de Inteligência Artificial (CRIA) é o órgão de alto nível responsável pela coordenação estratégica da política de IA no Brasil. Sua composição é deliberadamente multissetorial: reúne representantes do governo federal, da academia, do setor privado, da sociedade civil e de comunidades técnicas.
O CRIA tem como principais atribuições:
- Definir diretrizes para a Política Nacional de IA, orientando prioridades de investimento, pesquisa e desenvolvimento;
- Propor atualizações regulatórias, garantindo que o marco legal acompanhe a evolução tecnológica;
- Articular a cooperação entre órgãos públicos, setor privado, academia e organismos internacionais;
- Promover a participação social no debate sobre IA, incluindo consultas públicas e mecanismos de transparência;
- Monitorar impactos socioeconômicos e éticos da adoção de IA no país.
Na prática, o CRIA funciona como o “conselho de administração” da governança de IA brasileira: ele não regula diretamente, mas define a visão, os princípios e as prioridades que orientam todo o ecossistema. Sua natureza multissetorial é um diferencial importante — garante que nenhum grupo de interesse domine a agenda.
CECIA — o braço técnico e científico
Enquanto o CRIA pensa a estratégia, o Centro de Competência em Inteligência Artificial (CECIA) é o órgão técnico que transforma essas diretrizes em conhecimento aplicável. Trata-se de um centro de pesquisa, orientação e capacitação ligado ao ecossistema de ciência e tecnologia do governo.
As principais funções do CECIA incluem:
- Produzir estudos técnicos e análises de impacto sobre sistemas de IA, servindo de base para decisões regulatórias;
- Desenvolver padrões e guias de boas práticas para desenvolvimento e uso responsável de IA;
- Oferecer capacitação para agentes públicos, empresas e sociedade civil sobre governança de IA;
- Apoiar a ANPD com subsídios técnicos para fiscalização e regulamentação;
- Fomentar pesquisa aplicada em segurança, transparência e explicabilidade de sistemas de IA.
O CECIA é, em essência, o “laboratório” da governança de IA: é onde o conhecimento técnico é gerado, sistematizado e disponibilizado para que reguladores, empresas e a sociedade tomem decisões informadas.
CRIA vs. CECIA — comparativo
Enjoying this content?
Subscribe to the IBGIA newsletter and get analyses like this straight to your inbox — plus a free checklist with 20 AI governance items.
| CRIA | CECIA | |
|---|---|---|
| Missão | Coordenação estratégica da política de IA | Pesquisa técnica e orientação prática |
| Composição | Multissetorial (governo, academia, empresas, sociedade civil) | Técnicos, pesquisadores, especialistas em IA |
| Escopo | Diretrizes, prioridades e articulação institucional | Estudos, padrões, capacitação e suporte técnico |
| Natureza | Deliberativa e consultiva | Técnica e executiva |
| Relação com ANPD | Orienta a política que a ANPD implementa | Fornece subsídios técnicos à ANPD |
ANPD como regulador residual
O PL 2338 confirma a Autoridade Nacional de Proteção de Dados (ANPD) como o regulador residual para IA no Brasil. Isso significa que, para sistemas de IA que envolvem tratamento de dados pessoais — a grande maioria —, a ANPD terá competência fiscalizatória e sancionatória.
A escolha da ANPD não é casual. O órgão já acumula experiência com a LGPD, possui estrutura de fiscalização e mantém canais de diálogo com o setor privado. Com o apoio do CECIA para questões técnicas e as diretrizes do CRIA para orientação estratégica, a ANPD ganha um ecossistema institucional que fortalece sua atuação.
Na prática, a ANPD será responsável por:
- Fiscalizar o cumprimento das obrigações previstas no PL 2338;
- Aplicar sanções administrativas em caso de descumprimento;
- Regulamentar aspectos específicos da lei por meio de resoluções;
- Manter o registro de sistemas de IA de alto risco.
O que isso muda para empresas e organizações
A criação do CRIA e do CECIA sinaliza que a governança de IA no Brasil será institucionalizada, técnica e participativa. Para empresas e organizações, isso tem implicações práticas importantes:
- Previsibilidade regulatória: com três instâncias complementares (estratégia, técnica e fiscalização), as regras tendem a ser mais estáveis e fundamentadas;
- Padrões técnicos: o CECIA deve publicar guias e frameworks que servirão de referência para conformidade — acompanhar essas publicações será essencial;
- Participação social: o formato multissetorial do CRIA abre espaço para que empresas, associações e institutos contribuam diretamente na formulação de políticas;
- Preparação antecipada: mesmo antes da aprovação final, organizações que já estruturam sua governança de IA estarão em vantagem competitiva.
A mensagem é clara: governança de IA não é mais opcional. Com o PL 2338, o Brasil caminha para um modelo em que a regulação é informada por evidências técnicas (CECIA), orientada por múltiplas vozes (CRIA) e aplicada com rigor (ANPD).
Quer acompanhar de perto a tramitação do PL 2338 e se preparar para o novo marco regulatório? Inscreva-se na newsletter do IBGIA — publicamos análises aprofundadas sobre cada etapa do processo legislativo. E se sua organização quer estruturar governança de IA com apoio especializado, associe-se ao IBGIA e participe da nossa comunidade de profissionais.
Don't miss the next analysis
Subscribe to the IBGIA newsletter for exclusive articles, regulatory alerts and AI governance analyses. You'll also receive our free AI Governance Checklist — a practical guide with 20 items to assess your organization's maturity.
Pesquisa Nacional · 3 minutos
Contribua com o primeiro mapeamento independente de IA no Brasil
Respostas anônimas. Resultado público. Seu ponto de vista conta para moldar a regulação de IA no Brasil.
Responder pesquisa