O que está acontecendo
O PL 2338 segue o modelo do EU AI Act: sistemas de alto risco com obrigações específicas, avaliação de conformidade obrigatória, responsabilidade do operador claramente estabelecida.
Em tramitação no Senado Federal. Passou por comissão especial com substitutivo significativo. A aprovação é questão de quando, não de se.
Setores identificados como alto risco no PL: infraestrutura crítica, crédito e seguro, saúde, educação, emprego, serviços públicos essenciais, justiça criminal.
Por que isso é problema do CFO
O prazo de adequação começa a contar na data de publicação. Empresas que esperarem para começar a se adequar só depois da aprovação não vão conseguir cumprir o prazo.
O EU AI Act deu 24 meses para adequação de sistemas de alto risco já em operação. O PL 2338 pode dar menos — o texto atual não define prazos superiores a 18 meses para sistemas existentes.
O custo de adequação emergencial é 3x a 5x maior do que o custo de adequação planejada. A diferença é documentação prévia versus documentação retrospectiva.
O que acontece quando isso vai para auditoria
Após aprovação, o PL cria estrutura regulatória com autoridade para autuação. O modelo é similar ao da ANPD para LGPD: notificação, prazo para adequação, multa em caso de descumprimento.
Empresas sem documentação prévia vão precisar de projetos emergenciais com risco real de não conseguir cumprir o prazo regulatório.
A aprovação do PL não vai criar uma "janela de graça" para quem não se preparou. O histórico da LGPD mostra que empresas que esperaram a lei para começar chegaram tarde.
Impacto financeiro estimado
Multas previstas no texto atual: até 2% do faturamento bruto, com teto ainda em definição. O modelo LGPD tem teto de R$ 50 milhões por infração.
Custo de adequação antecipada: significativamente menor do que adequação emergencial pós-aprovação. A diferença está no prazo de execução e na necessidade de documentação retrospectiva.
O que fazer agora — antes da aprovação
- Não esperar a aprovação: mapear sistemas de alto risco agora — crédito, saúde, RH, educação, infraestrutura
- Documentar o que já existe: ciclo de vida, dados usados, responsável, frequência de revisão
- ISO 42001 como caminho de adequação antecipada — constrói evidência aproveitável tanto para o PL quanto para o EU AI Act
- Acompanhar a tramitação: o substitutivo pode mudar categorias de alto risco e prazos de adequação
- Fazer inventário de sistemas por categoria de risco: o que já seria alto risco no texto atual?
"O problema não aparece no uso. Aparece na auditoria. E quando o PL for aprovado, a auditoria já vai existir antes que você esteja pronto."