Respuesta Rápida:
El PL 2338/2023 de Brasil sería el primer marco integral de IA de América Latina, con un enfoque basado en riesgo (excesivo, alto y no alto), alineado con la LGPD y coordinado por la ANPD. El Senado lo aprobó en diciembre de 2024, pero sigue pendiente en la Cámara de Diputados: aún no es ley.
Puntos Clave:
- Estatus legislativo: según el análisis de Nathaly Calixto, el PL 2338/2023 fue aprobado por el Senado el 10 de diciembre de 2024 y sigue pendiente en la Cámara de Diputados a mayo de 2026 — todavía no está sancionado.
- Marco basado en riesgo: según Regulations.ai, clasifica los sistemas de IA en riesgo excesivo, alto y no alto, con evaluaciones de impacto y de conformidad obligatorias para los de alto riesgo.
- Coordinación regulatoria: según Data Privacy Brasil, la ANPD coordinaría el sistema junto a reguladores sectoriales, alineándose con la LGPD (Ley n.º 13.709 de 2018).
- Sanciones: según el análisis de Nathaly Calixto y Regulations.ai, las multas alcanzarían hasta R$50 millones por infracción o el 2% de la facturación en Brasil.
- Efecto de referencia: según AI Elsewhere, Brasil utiliza tres categorías de riesgo frente a las cuatro de la UE y su política podría servir de modelo para América Latina y el Sur Global.
América Latina está a punto de tener su primera ley integral de inteligencia artificial. Mientras gobiernos de Houston a Monterrey, de Bogotá a São Paulo, debaten cómo gobernar una tecnología que ya redefine el comercio, el empleo y la atención médica, Brasil ha avanzado más que cualquier otro país de la región con el Proyecto de Ley 2338/2023. Para cualquier empresa que venda, atienda o se anuncie en mercados latinoamericanos, lo que ocurra en Brasilia marcará el rumbo.
Pero conviene ser precisos: esta ley todavía no existe. Es un proyecto en trámite, no una norma vigente. Entender exactamente en qué punto se encuentra — y qué obligaciones traería — es el primer paso para que tu negocio no quede a contrapié cuando el marco entre en vigor.
Dónde está realmente el proyecto
Según el análisis de Nathaly Calixto, el PL 2338/2023 fue presentado el 3 de mayo de 2023 por el senador Rodrigo Pacheco y aprobado por el pleno del Senado Federal el 10 de diciembre de 2024. A partir de ahí, el texto pasó a la Cámara de Diputados, donde — siempre según el mismo análisis — seguía pendiente de votación a mayo de 2026.
La misma cronología la confirma AI Elsewhere, que describe la aprobación del Senado en diciembre de 2024 sobre una versión enmendada del texto y sitúa el debate en la Cámara durante 2025, con una sanción presidencial proyectada para la primera mitad de 2026. AI Elsewhere también señala que, una vez firmada, algunos artículos entrarían en vigor de inmediato mientras que la mayoría de las disposiciones tendrían un plazo de aplicación de entre seis meses y dos años.
Importante: ninguna de las fuentes consultadas afirma que el PL 2338/2023 ya sea ley. Cualquier titular que lo dé por aprobado es incorrecto. El proceso sigue abierto en la Cámara de Diputados.
Un marco basado en riesgo, inspirado en Europa
Según Regulations.ai, el proyecto establece un marco regulatorio horizontal basado en riesgo que clasifica los sistemas de IA en tres niveles: riesgo excesivo, alto y no alto. Cada categoría conlleva obligaciones proporcionales al daño potencial, en un equilibrio entre innovación y protección de derechos fundamentales.
Para los sistemas de alto riesgo, Regulations.ai detalla que el proyecto exige evaluaciones de impacto obligatorias, evaluación de conformidad, requisitos de documentación y una fuerte alineación con los estándares de protección de datos. El mismo análisis indica que el texto se inspira en la Ley de IA de la Unión Europea y en las recomendaciones de la OCDE, adoptando mecanismos similares al modelo regulatorio europeo.
AI Elsewhere matiza esa comparación: el proyecto brasileño emplea tres categorías de riesgo frente a las cuatro de la UE y, a diferencia del enfoque europeo, su borrador actual no pone el énfasis en el tamaño del modelo como variable regulatoria. Aun así, según AI Elsewhere, comparte con Europa un enfoque preventivo y de reducción de daños anclado en la transparencia y los derechos fundamentales, e incluso cubre los riesgos sistémicos de los modelos de IA de propósito general.
Qué quedaría prohibido y qué sería de alto riesgo
Según Data Privacy Brasil, el texto prohíbe una serie de usos considerados intolerables. Entre ellos figuran los sistemas de puntuación social por parte de autoridades públicas, las armas autónomas, la identificación biométrica remota en tiempo real — con excepciones acotadas para investigaciones criminales y situaciones de flagrancia —, los sistemas que explotan vulnerabilidades para causar daño y los que predicen la probabilidad de conducta criminal a partir de la personalidad.
En el escalón de alto riesgo, Data Privacy Brasil enumera la IA aplicada a infraestructura crítica, a decisiones de empleo (contratación, promoción y despido), a la selección educativa y profesional, a la elegibilidad para servicios esenciales como la seguridad social, a la determinación judicial de hechos y a los diagnósticos y procedimientos médicos, entre otros. Para estos casos, el proyecto reconoce derechos concretos a las personas afectadas: derecho a la información, derecho a la explicación de las decisiones, derecho a impugnarlas y derecho a una revisión humana.
El sistema de gobernanza (SIA), según Data Privacy Brasil:
- La Autoridad Nacional de Protección de Datos (ANPD) actuaría como organismo coordinador
- Reguladores sectoriales (como ANATEL, ANVISA, ANAC y el Banco Central) supervisarían sus áreas
- El texto afirma los derechos de los titulares de datos previstos en la LGPD (Ley n.º 13.709 de 14 de agosto de 2018)
Sanciones, derechos de autor y un comité de juristas
Según el análisis de Nathaly Calixto, las sanciones máximas alcanzarían R$50 millones por infracción o el 2% de la facturación de la empresa en Brasil. Regulations.ai cita una cifra coincidente — hasta R$50.000.000 o el 2% del volumen de negocio en Brasil — junto con otras sanciones posibles como advertencias, suspensión de operaciones y prohibición de participar en entornos de prueba regulatorios.
El proyecto también aborda la propiedad intelectual. Según Data Privacy Brasil, los desarrolladores tendrían que divulgar el contenido protegido utilizado para entrenar sus sistemas, los titulares de derechos podrían prohibir el uso de su contenido cuando contradiga sus intereses y se establecería un sistema de remuneración justa. El mismo informe recuerda que el comité de juristas que dio origen al texto fue conducido por el ministro Ricardo Villas Bôas Cueva, del Superior Tribunal de Justicia, y la profesora Laura Schertel Mendes, de la Universidad de Brasilia.
Por qué importa más allá de Brasil
El alcance de esta ley no se detiene en las fronteras brasileñas. Según AI Elsewhere, diversos actores pretenden que la política de IA de Brasil sirva de ejemplo para el resto del mundo, en particular para los países del Sur Global, generando un posible efecto de referencia — un "efecto Bruselas" — para América Latina.
Para las empresas de la región, eso significa que el marco brasileño puede convertirse en la plantilla de futuras leyes en México, Colombia, Chile o Argentina. La transparencia algorítmica, la trazabilidad de los datos y la capacidad de explicar cómo una herramienta de IA llega a una decisión dejarán de ser buenas prácticas opcionales para convertirse, tarde o temprano, en requisitos.
"La regulación premia a quienes pueden mostrar cómo y dónde aparece su negocio en la era de la IA. Si no controlas tu propia presencia digital, no estás listo para lo que viene."
- Diego Medina F, Fundador de MerchandisePROS
Qué significa esto para tu negocio
El mensaje de fondo del PL 2338/2023 es claro: la era de la IA exige transparencia, trazabilidad y la capacidad de explicar tu presencia digital. Y ahí es donde la regulación se cruza con un problema mucho más inmediato para tu negocio — la forma en que la inteligencia artificial te encuentra, te entiende y te recomienda.
Cada día más clientes no buscan en Google: le preguntan a ChatGPT, a Perplexity o a la respuesta de IA de Google quién ofrece el mejor servicio en su ciudad. Si tu negocio no aparece estructurado, descrito y citado de forma consistente, esos motores recomiendan a otro. Nuestro servicio de Optimización para Motores de IA (AEO) ataca exactamente ese punto: estructura los datos de tu negocio, tu marcado schema y tus citas para que ChatGPT, Claude, Perplexity y los resúmenes de IA de Google te nombren con confianza, y deja por escrito cómo y dónde apareces — la misma transparencia que la regulación empezará a exigir.
El primer paso es saber dónde estás hoy. Nuestra Auditoría Gratis evalúa en menos de 60 segundos qué señales de visibilidad en IA tienes y cuáles te faltan, con un puntaje de 0 a 100 y un informe en PDF directo a tu correo.
Preguntas Frecuentes
¿Ya es ley el PL 2338/2023 de Brasil?
No. El PL 2338/2023 fue aprobado por el Senado Federal el 10 de diciembre de 2024 y, según el análisis de Nathaly Calixto, sigue pendiente en la Cámara de Diputados a mayo de 2026. Aún no ha sido sancionado, por lo que debe entenderse como una propuesta en trámite, no como una ley vigente.
¿Qué enfoque regulatorio adopta la Ley de IA de Brasil?
Según Regulations.ai, el proyecto establece un marco horizontal basado en riesgo que clasifica los sistemas de IA en riesgo excesivo, alto y no alto. Cada nivel conlleva obligaciones distintas; los sistemas de alto riesgo requieren evaluaciones de impacto y de conformidad obligatorias.
¿Qué usos de IA quedarían prohibidos?
Según Data Privacy Brasil, el texto prohíbe usos como los sistemas de puntuación social por autoridades públicas, las armas autónomas, la identificación biométrica remota en tiempo real (con excepciones acotadas) y los sistemas que explotan vulnerabilidades para causar daño.
¿Quién sería la autoridad reguladora?
Según Data Privacy Brasil y el análisis de Nathaly Calixto, la Autoridad Nacional de Protección de Datos (ANPD) coordinaría el sistema, trabajando junto a reguladores sectoriales como el Banco Central, ANATEL y la autoridad de salud.
¿Cómo se compara con la Ley de IA de la Unión Europea?
Según Regulations.ai, el proyecto se inspira en la Ley de IA de la UE y en las recomendaciones de la OCDE. AI Elsewhere señala que Brasil utiliza tres categorías de riesgo frente a las cuatro de la UE y podría generar un efecto de referencia para América Latina y el Sur Global.