O avanço da regulação da Inteligência Artificial no Brasil entrou em nova fase com o envio, no último dia 8, ao Congresso do projeto que cria o Sistema Nacional de IA, responsável por orientar políticas, fiscalizar riscos e harmonizar a atuação de órgãos como Anatel, ANS e Banco Central.
No centro do debate está o desafio de equilibrar inovação tecnológica, competitividade econômica e proteção de direitos fundamentais.
Para falar sobre o assunto, o BC TV, do portal Brasil Confidencial, convidou o advogado Rony Vainzof, para debater o tema em entrevista nesta quinta-feira (11).
Vainzof é conselheiro titular do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), do Comitê Nacional de Cibersegurança (CNCiber), representando o setor empresarial, e secretário-executivo do Fórum Empresarial da LGPD (Lei Geral de Proteção de Dados).
O advogado disse que o país vive “um momento decisivo” e que a criação de uma estrutura coordenada é essencial para “dar segurança jurídica ao uso de modelos avançados de Inteligência Artificial”. Ele destacou que, embora o Brasil já tenha legislações que tratam de temas pontuais, “falta um marco geral que organize responsabilidades, riscos e obrigações técnicas”.
Segundo Vainzof, um dos maiores desafios será fortalecer a Autoridade Nacional de Proteção de Dados (ANPD), que deve assumir a regulação dos setores ainda não cobertos por agências específicas. Ele alerta que o país precisa garantir investigações mais eficazes, respostas tecnológicas e normas claras para enfrentar riscos como deepfakes, discriminação algorítmica e abusos em ambientes digitais.
A seguir, alguns dos principais trechos da entrevista:
Camila Srougi – Você faz parte do Conselho Nacional de Proteção de Dados e do Comitê Nacional de Cibersegurança. Como é que você vê a implementação desse projeto de criação do Sistema Nacional de IA e o desafio de coordenar tantas agências diferentes?
Rony Vainzof – Acho que é importante dizer, inicialmente, que essa não é uma discussão nova. Isso é decorrente já de um amplo debate sobre a necessidade ou não de nós termos um marco legal de inteligência artificial. A gente teve um projeto de lei aprovado na Câmara dos Deputados, lá em 2021, principiológico. Isso chegou no Senado, no Senado foi feita uma comissão de juristas que trabalhou num novo projeto de lei.
E esse novo projeto de lei, que é o Projeto de Lei 2338, ele foi aprovado no final do ano passado, que é um projeto um pouco mais robusto, que trata toda a dinâmica sobre medidas, de acordo com o risco da inteligência artificial, a serem adotadas para prevenir eventuais riscos oriundos da inteligência artificial.
Esse projeto aprovado no Senado foi para a Câmara dos Deputados e, na Câmara, foi feita uma comissão especial que está trabalhando em cima desse PL. E, paralelamente a isso, o que se discute — e é o objeto desse PL que você comentou, Camila — é justamente sobre a necessidade da criação de um órgão coordenador em relação a quem vai ser responsável por regulamentar, fiscalizar e sancionar atos decorrentes, eventualmente, do descumprimento do PL 2338.
Porque não poderia ter um vício de iniciativa, e é por isso que foi decorrente do PL do governo apresentando isso. Então, a grande discussão é que, primeiro, a gente precisa ter um marco legal de inteligência artificial, sim ou não. E por que isso? Porque hoje em dia, de acordo com o uso da inteligência artificial, a gente já tem legislações que são aplicáveis.
Se você usa IA numa relação de consumo — por exemplo, num chatbot de atendimento ao consumidor — tem o Código de Defesa do Consumidor. Se você usa uma IA que consome dados pessoais, por exemplo, numa IA utilizada para fazer avaliação de score de crédito, temos a Lei Geral de Proteção de Dados Pessoais.
Se a gente tem uma IA que faz reconhecimento facial, por exemplo, para prevenção de fraude, isso é dado pessoal sensível, já tem LGPD e já tem ANPD. Se não tem relação de consumo, se não tem dado pessoal, pode-se aplicar o Código Civil.
Fora isso, quando há um perigo de dano muito iminente — por exemplo, o uso de deepfakes para fazer vingança pornográfica — tivemos legislação penal com novo tipo penal para punir isso de forma mais contundente, especialmente contra mulheres. No contexto eleitoral, o TSE nas últimas eleições vedou o uso de deepfake.
Então, temos legislações contextuais. A grande discussão é se precisamos de uma nova lei geral — e isso está sendo debatido no Congresso. E esse PL encaminhado pelo governo neste momento visa justamente definir algo que estava sendo endereçado no PL 2338: as autoridades setoriais já existentes, como Bacen, Anatel etc., também seriam competentes para regulamentar, fiscalizar e sancionar o uso de IA em seus setores.
Para setores não regulados, haveria uma autoridade competente nova: a Agência Nacional de Proteção de Dados. Esse PL vem para endereçar esse tema e tirar a preocupação de vício de iniciativa, porque agora é proposta do governo.
Camila Srougi – Um dos pontos que mais chamaram atenção é a previsão de mecanismos para combater deepfakes eleitorais e atos de violência digital contra mulheres. Nesses temas mais sensíveis, o Brasil precisa de penas mais duras ou mecanismos mais claros de responsabilização?
Rony Vainzof – Eu acho que a gente teve um endereçamento muito pertinente da legislação penal nesse sentido. Atualmente, felizmente, existem condutas tipificadas penalmente e penas maiores, inclusive para o uso de deepfakes nesses contextos.
Agora, obviamente, falta mais investigação e mais punição. Esse ponto do uso das deepfakes está muito robusto, criminalmente falando. Mas a resposta não é apenas criminal para a discussão sobre integridade da informação.
O mundo inteiro está discutindo os riscos relacionados ao uso de deepfake. Um professor da PUC, o Diogo Cortes, fala muito isso: a era do “ver para crer” terminou. Hoje, a máxima “ver para crer” não existe mais — porque os olhos humanos não sabem mais se o que está vendo é verdadeiro ou falso.
Muitas respostas são tecnológicas. Por exemplo, marca-d’água em conteúdos sintéticos para que os sistemas, e não nós, consigam identificar.
Cito o caso de Hong Kong: Houve uma fraude em que um executivo participou de uma reunião online com pessoas que pareciam seus colegas — mas todas eram deepfakes. Ele acabou realizando transações milionárias.
Por isso, precisamos repensar protocolos básicos, como: senha para entrar em reuniões, alertas de “possível conteúdo sintético”, assim como já existe “possível fraude” em chamadas.
Não existe bala de prata. São várias ações paralelas que precisam caminhar juntas.
Germano Oliveira – O que muda nessa regulação da inteligência artificial? O que muda na relação atual? E qual é o papel do Conselho Brasileiro de Inteligência Artificial nessa nova legislação?
Rony Vainzof – Ela traz IAs que são de um risco tão grande que elas são até proibitivas. Ou seja, você não pode fazer o uso de determinada inteligência artificial seguindo o modelo da União Europeia, do EU-AI Act. E aí vale lembrar, por exemplo, aquele seriado da Netflix, o Black Mirror. O Black Mirror traz aquela questão de vigilantismo em massa, de score social. Ou seja, aquelas práticas estão ali vedadas como sendo proibitivas.
Por exemplo, na União Europeia, você tem o score social, e isso é um risco tão alto que é um risco proibitivo. Você ter uma IA em ambientes públicos com vigilância em massa só é permitido em determinadas exceções, como, por exemplo, para achar um réu que está evadido da prisão. Aí você pode, mas, caso contrário, não poderia. Ou seja, o risco é tão alto que é proibitivo.
Depois, ela traz outra categoria de risco, que seriam as IAs de alto risco. Por exemplo, IAs utilizadas em infraestruturas críticas. Essa IA seria de alto risco. Uma IA utilizada em diagnósticos médicos na área da saúde também seria de alto risco. E o que muda na prática? Que essas IAs classificadas como de alto risco terão obrigações de maior governança, diligência e responsabilidade, para que não tragam determinadas lesões a direitos fundamentais.
Então, por exemplo, você precisa fazer uma avaliação muito precisa e contundente dos tipos de dados utilizados para treinar essa IA, para ter certeza de que ela terá uma precisão tão grande que não vai falhar se for usada em infraestrutura crítica. Você precisa ter uma variedade de dados tão grande para treinar a IA que ela não trará um viés discriminatório ilícito, como deixar de reconhecer determinada pessoa por causa da cor da pele, por exemplo. Ou seja, ela traz uma abordagem de risco e obrigações mais rígidas para IAs que trazem maior risco.
Então, uma avaliação de impacto algorítmico normalmente precisa ser feita para esse tipo de IA. Essa é a diferença que se tem. E ela traz também obrigações para aqueles modelos de propósito geral.
Hoje em dia, muitas das aplicações de IA são desenvolvidas em cima de grandes modelos de propósito geral. Como, por exemplo, o GPT da OpenAI, o Gemini do Google ou o Llama da Meta. São modelos de propósito geral. Esses modelos são pré-treinados numa grande massa de dados e depois passam por aprendizado por reforço humano.
Então, há também obrigações para esses grandes modelos de propósito geral apresentarem dados e informações para quem vai construir aplicações em cima deles. E uma das grandes discussões que se tem no PL é sobre a questão de treinamento de IA e direitos autorais. Esse é um dos grandes pontos em debate, porque, teoricamente, a última versão do PL aprovada no Senado — e da qual aguardamos um novo texto nessas últimas semanas do ano — é muito restritiva em relação à possibilidade de treinar IA sem pagar pelo conteúdo consumido.
E qual é o problema disso? Isso pode trazer um atraso no Brasil em relação à precisão e à qualidade das inteligências artificiais desenvolvidas aqui. E por quê? Porque as IAs, para aprenderem, precisam consumir uma grande quantidade de dados. E não necessariamente esses dados são conteúdos protegidos por direitos autorais, porque a IA não se importa com o conteúdo enquanto proteção autoral. Ela se importa com as relações estatísticas tokenizadas.
A maioria das outras localidades, como a União Europeia, prevê que os direitos autorais precisam ser controlados no output — naquilo que a IA gera — e não no input, que é o treinamento. Essa é outra grande discussão que está no PL.
Germano Oliveira – O projeto prevê que a Autoridade Nacional de Proteção de Dados tenha papel regulador. Você acha que a ANPD terá força para regular todo o setor?
Rony Vainzof – Então, esse que é o ponto relevante aqui, porque já existe a Agência Nacional de Proteção de Dados Pessoais atualmente existente. Essa Agência Nacional de Proteção de Dados é a agência competente pela LGPD e também é competente para o ECA digital.
O que o PL propõe é que a agência também seja competente para aqueles setores não regulados da futura legislação de inteligência artificial. O que acontece? Setores que já têm um órgão regulador: o órgão competente será esse respectivo órgão, como a Anatel, o Bacen, a Susep para seguradoras, e assim sucessivamente.
Aqueles setores que não tiverem um órgão competente, aí sim a Agência Nacional de Proteção de Dados Pessoais será competente. É um arranjo que se faz para que setores não regulados, principalmente setores relacionados à tecnologia, possam ser regulados pela Agência Nacional de Proteção de Dados Pessoais, na perspectiva do novo PL, que seria esse novo Marco Regulatório de Inteligência Artificial.
Agora, obviamente, precisa haver um robustecimento da ANPD, que é a Agência Nacional de Proteção de Dados, para que ela consiga dar conta de tantos temas, caso isso seja decidido. Porque já é difícil para a ANPD cuidar do tema LGPD e proteção de dados pessoais. Agora também tem o ECA Digital e, ainda mais, o tema de Inteligência Artificial.
Então, precisa de um fortalecimento para gerar segurança jurídica e, obviamente, proteção de direitos.
📺 A entrevista completa está disponível no canal BC TV:
Conheça o advogado Rony Vainzof
Rony Vainzof, advogado e professor, consolidou-se como um dos principais especialistas brasileiros em Direito Digital, proteção de dados e inteligência artificial.
Sócio do escritório VLK Advogados, lidera práticas voltadas para inovação jurídica, segurança cibernética e ética digital e Conselheiro Titular do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) e do Comitê Nacional de Cibersegurança (CNCiber), representando o setor empresarial.
Ele conta com mais de duas décadas de atuação e possui certificações internacionais. Sua formação acadêmica e prática profissional o colocam entre os nomes mais influentes na discussão sobre regulação e impacto das novas tecnologias na sociedade.
Além da advocacia, exerce funções institucionais relevantes. É diretor do Departamento de Defesa e Segurança da Fiesp e coordena o Grupo de Trabalho de Segurança Cibernética. Também atua como consultor em proteção de dados da Fecomercio-SP, auxiliando empresas na adequação à Lei Geral de Proteção de Dados (LGPD).
No campo acadêmico, coordena obras de referência, como Inteligência Artificial – Sociedade, Economia e Estado, Legal Innovation – O Direito do Futuro. O Futuro do Direito e Data Protection Officer (Encarregado). Os livros abordam temas centrais da transformação digital e da responsabilidade jurídica diante da inteligência artificial.
Em 2023, foi nomeado pela Chambers and Partners como Global Leader em Tecnologia e Dados e citado pelo Who’s Who Legal como líder global em Data Privacy & Protection e Data Security.
