Atualização — abril de 2026: o relator na Câmara sinalizou votação para meados de abril ou início de maio. Este não é mais um tema para "ficar de olho". É para agir agora.
Vou ser direto: a maioria das empresas que usa IA no WhatsApp hoje está operando em área cinzenta. Não por má-fé — mas porque a lei ainda não chegou, e isso criou um ambiente onde as regras pareciam distantes o suficiente para ignorar.
Esse ambiente está acabando.
Em dezembro de 2024, o Senado Federal aprovou o PL 2338/2023 — o marco regulatório de inteligência artificial no Brasil. O texto foi para a Câmara dos Deputados, onde tramita numa Comissão Especial sob relatoria do deputado Aguinaldo Ribeiro. Em março de 2026, ele afirmou publicamente que 90% do texto está pronto. A votação pode acontecer este mês.
Quando isso passar, o mercado vai se dividir entre quem estava preparado e quem não estava.
Este artigo explica o que o PL diz, o que ele significa na prática para quem usa ou vende automação de WhatsApp, e o que fazer antes que a lei chegue.
Como a lei classifica sistemas de IA
O PL usa uma lógica simples: quanto maior o impacto potencial no consumidor, mais rígidas as obrigações. São quatro níveis.
Risco inaceitável — proibido. Sistemas que manipulam comportamento de forma imperceptível, vigilância biométrica em massa sem base legal, entre outros usos que o legislador considerou incompatíveis com direitos fundamentais.
Alto risco — permitido, mas com obrigações sérias. São sistemas que tomam decisões automatizadas com impacto direto nas pessoas. Triagem de clientes, encaminhamento comercial, aprovação de propostas, qualificação de leads com base em perfil.
Risco limitado — obrigação básica de transparência. O consumidor precisa saber que está interagindo com um sistema automatizado. Chatbots informativos se encaixam aqui na maioria dos casos.
Risco mínimo — praticamente sem restrições. Filtros de spam, recomendações de conteúdo, funcionalidades auxiliares.
A pergunta que importa para quem trabalha com WhatsApp Business com IA: onde o seu fluxo se encaixa?
Se o bot classifica um lead como quente ou frio, define prioridade de atendimento, recomenda imóveis ou produtos com base em perfil do cliente, ou decide para qual humano vai encaminhar — você está operando em território de alto risco ou risco limitado. Não importa o tamanho da empresa. Não importa se é uma agência de cinco pessoas ou um e-commerce grande.
O que o alto risco exige na prática
1. O cliente sabe que é IA?
A primeira mensagem do seu bot precisa deixar claro que se trata de um sistema automatizado. Não um "assistente virtual" genérico enterrado nos termos de uso — uma informação clara, no início da conversa.
Se o cliente pode razoavelmente achar que está falando com uma pessoa, você está em violação.
2. Há um humano no circuito?
Para decisões que afetam significativamente o consumidor — agendamento de visita, envio de proposta, pré-qualificação de crédito — o PL exige supervisão humana. O sistema pode preparar, recomendar e organizar. A decisão final não pode ser 100% automatizada sem revisão humana.
Fluxos que confirmam compromissos ou avançam negociações sem aprovação humana precisam ser revisados.
3. Você consegue explicar o que o bot fez?
Se um lead foi classificado como "desinteressado" e não recebeu follow-up, e essa pessoa questionar por quê — você precisa ter a resposta. Isso significa logs de decisão: por que o sistema fez o que fez, com quais dados, em qual momento.
"Não sei, foi a IA que decidiu" não vai ser uma resposta aceita.
4. O cliente pode contestar?
O PL garante ao consumidor o direito de questionar decisões automatizadas. Se o seu fluxo toma alguma decisão que afeta o cliente — qualificação, encaminhamento, prioridade de atendimento — precisa existir um caminho para ele contestar.
5. Quem é responsável quando algo dá errado?
Ponto que causa confusão: a responsabilidade é de quem opera o sistema, não de quem desenvolveu. Se você contratar uma agência para construir o bot e o bot cometer um erro que gera dano ao cliente, você responde. Não a agência. Você.
Isso muda a conversa sobre como contratos e SLAs com fornecedores de automação precisam ser estruturados.
O que fazer agora
Esta semana:
- Revise a primeira mensagem de todos os seus bots. O cliente sabe claramente que é atendimento automatizado?
- Verifique se há decisões sendo tomadas automaticamente que deveriam ter aprovação humana antes de chegar ao cliente.
Nos próximos 30 dias:
- Implemente logs de decisão nos fluxos críticos. O que o bot recebeu, o que classificou, o que fez.
- Mapeie onde há impacto direto no consumidor e adicione pontos de supervisão humana.
- Revise contratos com fornecedores de automação. Quem é responsável pelo quê quando a lei valer?
Nos próximos 90 dias:
- Documente a arquitetura dos sistemas de alto risco.
- Crie um processo de contestação — como um cliente questiona uma decisão do bot.
- Se você vende IA para outros negócios, comece a preparar a documentação de impacto para cada implementação.
Por que isso é bom para quem faz certo
Toda regulação tem um efeito que poucos falam abertamente: ela elimina quem foi rápido demais e descuidado demais.
Quando a lei entrar em vigor, uma parte significativa do mercado vai estar em situação irregular — fluxos sem logs, sem transparência, sem supervisão humana, sem documentação. Reconstruir isso depois é muito mais caro do que construir certo desde o início.
Quem já opera com logs de decisão, aprovação humana nos fluxos comerciais e transparência na primeira mensagem vai ter uma vantagem real — não só legal, mas operacional. Fluxo com supervisão humana fecha mais porque o humano corrige o que a IA erra. Isso não é compliance pelo compliance. É arquitetura melhor.
A barreira de entrada vai subir. Clientes vão começar a perguntar sobre conformidade. E a resposta "a gente já faz assim" vai ter peso.
Perguntas frequentes
A lei já vale? Não. O texto ainda está na Câmara. Mas a votação pode acontecer em semanas, e após aprovação na Câmara o projeto retorna ao Senado para análise final antes da sanção presidencial. O prazo de preparação está se fechando.
Preciso parar de usar IA no WhatsApp? Não. O PL não proíbe automação — regula como ela é feita. A diferença entre risco limitado e alto risco muitas vezes é uma questão de arquitetura, não de desligar o sistema.
Se uso uma ferramenta de terceiro, eles são responsáveis? Não. A lei responsabiliza quem opera, não apenas quem desenvolve. Você é o operador do seu bot — independente de quem o construiu.
Quanto custa se adequar? Depende do estado atual dos seus fluxos. Se já há logs, transparência e revisão humana, o custo é marginal. Se os fluxos foram construídos sem isso em mente, espere algumas semanas de trabalho para refazer o que precisa ser refeito.
Para encerrar
O PL 2338/2023 não é um problema para as empresas que usam IA com seriedade. É um problema para as que não usam.
A regulação está chegando. O texto está quase pronto. A votação pode acontecer este mês.
Não é o momento de esperar para ver. É o momento de revisar o que você tem, identificar os gaps, e fechar antes que a lei chegue.
Conteúdo educativo. Não constitui consultoria jurídica.
Quer mapear seus fluxos e verificar se estão prontos para o Marco Legal da IA? A NEXAGEN faz esse diagnóstico como parte do onboarding.