Em 1 de dezembro de 2026, a Ley 21.719 do Chile entra em pleno vigor, criando a primeira autoridade de proteção de dados dedicada do país e um regime sancionatório que pode alcançar 20.000 UTM, cerca de 1,4 bilhão de pesos chilenos, por infração gravísima. Cinco meses antes, o Congresso brasileiro corre contra um calendário eleitoral que fecha sua janela legislativa em agosto de 2026, prazo até o qual o Marco Legal da Inteligência Artificial precisa ser aprovado na Câmara dos Deputados ou será postergado para 2027. O México, por sua vez, já extinguiu por completo seu órgão regulador de proteção de dados.
Nenhum país sul-americano tem ainda uma lei específica sobre IA em vigor. O PL 2338/2023 do Brasil foi aprovado pelo Senado em dezembro de 2024 e permanece parado em uma comissão especial da Câmara dos Deputados desde abril de 2025. O PL 043/2025 da Colômbia carrega uma mensagem de urgência presidencial e propõe uma nova autoridade de IA dentro do MinCiencias, ainda em comissão. A Argentina tem vários projetos concorrentes na Câmara dos Deputados, nenhum aprovado. Essa ausência de lei específica sobre IA não significa ausência de exposição: leis de proteção de dados já existentes, circulares setoriais e um regulador recém extinto já cumprem parte do trabalho de fiscalização, de forma desigual, país por país.
O resultado é uma região em que as cinco maiores jurisdições avançam em cinco calendários diferentes, e onde a distância entre "ainda não há lei de IA" e "ainda não há responsabilidade relacionada à IA" é onde ocorrem a maioria das falhas de conformidade.
Quais países sul-americanos já têm uma lei específica sobre IA em vigor?
Nenhuma das cinco maiores jurisdições, em meados de 2026. O Marco Legal da Inteligência Artificial do Brasil, PL 2338/2023, foi aprovado pelo Senado Federal em 10 de dezembro de 2024 por votação simbólica, e depois enviado à Câmara dos Deputados, que criou uma Comissão Especial em 4 de abril de 2025 sob a relatoria do deputado Aguinaldo Ribeiro. Em meados de 2026, o projeto ainda aguarda o parecer do relator, e a eleição presidencial brasileira de 4 de outubro de 2026 cria uma janela legislativa de fato que se encerra por volta de agosto de 2026; se a Câmara não votar até então, observadores esperam que o projeto seja postergado para 2027.
O esforço da Colômbia, PL 043/2025 no Senado e PL 324/2025 na Câmara, foi protocolado em setembro e outubro de 2025, com uma mensagem de urgência presidencial anexada no mesmo mês. Propõe uma classificação baseada em risco inspirada no AI Act da União Europeia, um regulatory sandbox e uma nova Autoridad Nacional para la IA no Ministério de Ciência, Tecnologia e Inovação, e permanece nas Comisiones Sextas conjuntas do Senado e da Câmara. A Argentina tem múltiplas propostas paralelas, da senadora Silvia Sapag e do deputado Daniel Gollán, que classificam sistemas de IA por nível de risco e proíbem sistemas de pontuação social e manipulativos, nenhuma aprovada. O México não tem projeto de lei sobre IA próximo da aprovação; propostas para alterar o Artigo 73 da Constituição, conferindo à União competência legislativa federal explícita sobre IA, foram apresentadas em 2025 e permanecem pendentes.
O que acontece quando a Ley 21.719 do Chile entra em pleno vigor em 1 de dezembro de 2026?
O Chile passa a ter sua primeira autoridade de proteção de dados dedicada e autônoma, a Agencia de Protección de Datos Personales, com poder sancionador real sobre qualquer organização que trate dados pessoais de pessoas no Chile, independentemente de onde esteja sediada. A Ley 21.719 foi publicada no Diario Oficial em 13 de dezembro de 2024, após uma Comisión Mixta conciliar as versões do Senado e da Câmara, e traz uma vacatio legis de 24 meses que termina em 1 de dezembro de 2026. Uma Comissão Consultiva de Implementação interministerial criada por decreto em 2025 tem elaborado as primeiras instruções vinculantes da Agência, e o Conselho Diretivo nomeado para liderá-la ainda aguardava confirmação do Senado em maio de 2026, com previsão de assumir o cargo por volta de outubro de 2026, semanas antes do início da aplicação plena.
O regime sancionatório é escalonado pelos Artigos 34 bis a 35: infrações leve recebem advertência por escrito ou multa de até 5.000 UTM; infrações grave, como tratar dados pessoais sem base legal válida ou não notificar a Agência sobre uma violação em até 72 horas, recebem até 10.000 UTM; e infrações gravísima, incluindo o tratamento de dados sensíveis como dados de saúde, biométricos ou de afiliação sindical sem base legal, recebem até 20.000 UTM. Violações gravísima reiteradas por empresas maiores podem, em vez disso, receber multas de até 4% da receita anual chilena, caso esse valor supere o teto do multiplicador triplo. Especificamente para IA, a lei acrescenta direitos exigíveis em torno de decisões automatizadas e profiling, ausentes na Ley 19.628 de 1999 que ela substitui.
O que rege a IA no Brasil enquanto o Marco Legal está parado no Congresso?
A Lei Geral de Proteção de Dados, principalmente por meio do Artigo 20, que dá a qualquer titular de dados o direito de solicitar a revisão de uma decisão tomada unicamente por meio de tratamento automatizado de dados pessoais, incluindo decisões que definem o perfil de consumo, crédito ou profissional de uma pessoa. Uma tentativa de 2019 de exigir que essa revisão fosse feita por uma pessoa natural foi vetada pelo presidente, e o Congresso manteve esse veto por apenas um voto no Senado em 2 de outubro de 2019, de modo que a LGPD não determina explicitamente a revisão humana, embora a ANPD e os tribunais brasileiros em geral tenham interpretado os deveres de transparência do Artigo 20 como exigindo uma verificação humana real e documentada, e não uma simples confirmação de rotina.
A fiscalização evoluiu bastante desde a primeira multa pública da ANPD, em julho de 2023. Sob as regras de dosimetria da Resolução CD/ANPD 4/2023, a ANPD pode impor multa de até 2% da receita brasileira da empresa infratora no último exercício fiscal, limitada a 50 milhões de reais por infração, além de multas diárias em caso de descumprimento continuado. Os gatilhos mais comuns nos processos da ANPD são falhas na notificação de incidentes previstas no Artigo 48, tratamento sem base legal válida sob o Artigo 7 e ausência de Encarregado de Proteção de Dados obrigatório sob o Artigo 41. As empresas que utilizam IA no Brasil hoje são julgadas segundo o arcabouço já consolidado da LGPD, e não pelos níveis de risco que o Marco Legal viria a introduzir.
Como a Colômbia regula a IA sem ainda ter uma lei dedicada?
Por meio da Circular Externa 002 da Superintendencia de Industria y Comercio, de 21 de agosto de 2024, vinculante já hoje, mesmo com o PL 043/2025 ainda em comissão. A SIC, atuando como autoridade nacional de proteção de dados da Colômbia sob a Ley 1581 de 2012, usou a circular para declarar que os princípios do Habeas Data se aplicam integralmente aos dados pessoais tratados dentro de sistemas de IA, independentemente da tecnologia subjacente, e exige que as organizações demonstrem idoneidad, necesidad, razonabilidad e proporcionalidad sempre que dados pessoais alimentem um modelo de IA ou uma decisão automatizada.
Isso significa que uma empresa que utiliza IA na Colômbia já tem uma obrigação de conformidade documentada, decorrente da Ley 1581 combinada com a Circular 002/2024, bem antes de a classificação de risco e a nova autoridade de IA do PL 043/2025 entrarem em vigor. O projeto propõe categorias de alto risco definidas pelo uso pretendido e pela gravidade do dano potencial, além de um regulatory sandbox que permitirá à futura Autoridad Nacional para la IA autorizar testes controlados. Até que seja aprovado, o arcabouço exigível de dados e IA da Colômbia é a circular da SIC, e é ela que os reguladores efetivamente aplicam.
O que a extinção do INAI mexicano mudou na fiscalização da proteção de dados?
Ela eliminou o regulador de privacidade independente e constitucionalmente autônomo do país e transferiu suas funções a um órgão dentro do Poder Executivo. Uma reforma constitucional de 28 de novembro de 2024 extinguiu sete órgãos autônomos, incluindo o Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, e em 20 de fevereiro de 2025 o México publicou novas versões da Ley Federal de Protección de Datos Personales en Posesión de los Particulares e da Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, ambas em vigor desde 21 de março de 2025. Os recursos, os processos em andamento e as funções de fiscalização do INAI foram transferidos para a Secretaría Anticorrupción y Buen Gobierno, que agora investiga denúncias e impõe sanções sob as duas leis.
Em termos de conteúdo, o arcabouço de direitos ARCO e as bases legais para tratamento de dados permaneceram, em grande parte, inalterados, mas nenhuma das duas leis foi redigida com decisões automatizadas, opacidade algorítmica ou treinamento massivo com dados públicos da web em mente, já que ambas derivam de textos de 2010 e 2017. Propostas para alterar o Artigo 73 da Constituição, dando ao Congresso competência explícita para legislar sobre IA, foram apresentadas em 2025 e permanecem pendentes. Por ora, uma empresa que opera IA envolvendo dados pessoais mexicanos responde a uma secretaria que aplica uma lei de proteção de dados escrita antes da existência da IA generativa.
Como uma equipe de compliance deve acompanhar cinco regimes descoordenados ao mesmo tempo?
Comece separando o que já é exigível do que ainda está pendente. A Ley 21.719 do Chile passa a ser exigível em 1 de dezembro de 2026; o Artigo 20 da LGPD e as regras de dosimetria da ANPD no Brasil já são exigíveis hoje; a Circular 002/2024 da SIC na Colômbia já é exigível hoje; as leis mexicanas de proteção de dados de 2025 já são exigíveis hoje sob um novo regulador; e todos os projetos de lei específicos sobre IA na região, tanto no Brasil quanto na Colômbia e na Argentina, permanecem pendentes.
| Jurisdição | Instrumento atual relevante para IA | Status da lei dedicada à IA | Data chave em 2026 |
|---|---|---|---|
| Brasil | LGPD Art. 20 (decisões automatizadas) + dosimetria da ANPD (Res. 4/2023) | PL 2338/2023, pendente em comissão da Câmara | Janela legislativa se encerra por volta de agosto de 2026 |
| Chile | Ley 19.628 (até ser substituída) | Sem projeto de lei de IA dedicado; a lei de dados cobre profiling | Ley 21.719 em pleno vigor em 1 de dezembro de 2026 |
| Colômbia | Circular Externa 002/2024 da SIC + Ley 1581/2012 | PL 043/2025S, pendente nas Comisiones Sextas | Mensagem de urgência presidencial ativa desde setembro de 2025 |
| Argentina | Ley 25.326 (2000) | Vários projetos pendentes, nenhum aprovado | Minutas de reforma alinhadas à AAIP no Congresso ao longo de 2026 |
| México | LFPDPPP e LGPDPPSO, ambas em vigor desde 21 de março de 2025 | Nenhum projeto de lei de IA próximo da aprovação | Secretaría Anticorrupción y Buen Gobierno agora é a única fiscalizadora |
Manualmente, isso significa acompanhar cinco diários oficiais em paralelo e reverificar cada um deles sempre que uma comissão apresenta um novo texto de projeto ou um regulador emite uma nova circular. O monitoramento por jurisdição da Obsidian foi criado justamente para essa carga de trabalho: acompanha cada fonte oficial no momento da publicação, sinaliza a resolução, circular, ley ou decreto específico que afeta uma norma já na lista de acompanhamento de uma empresa, e transforma cinco trilhas nacionais descoordenadas em um único painel com alertas datados.
Para equipes que precisam da mesma resposta com fontes verificadas dentro de um fluxo de trabalho, e não em um painel, esses dados também estão disponíveis através do MCP, de modo que um assistente de IA já responsável por outras tarefas de compliance possa confirmar se a Agência chilena já publicou sua primeira instrução vinculante, sem que uma pessoa precise reverificar a fonte antes. A IA da Obsidian funciona como uma companheira regulatória nessa troca, nunca como substituta do responsável de compliance que assina a resposta final, apenas leva o fato verificado até a equipe antes do prazo, e não depois.
O que uma equipe de governança de IA e dados deve fazer a seguir
Mapeie a exposição por instrumento, não por rótulo de país. Uma equipe no Chile precisa de um plano de preparação para a Ley 21.719 construído em torno da data de aplicação plena de 1 de dezembro de 2026. Uma equipe no Brasil precisa de um processo de revisão do Artigo 20 da LGPD que resista ao escrutínio da ANPD hoje, independentemente do destino do Marco Legal. Uma equipe na Colômbia precisa documentar idoneidad, necesidad e proporcionalidad sob a Circular 002/2024 agora, e não apenas quando o PL 043/2025 se tornar lei. Uma equipe no México precisa saber que seu regulador agora é uma secretaria dentro do Poder Executivo, não um instituto autônomo, o que muda a forma como uma denúncia é efetivamente tratada.
Os planos da Obsidian foram criados para esse tipo de acompanhamento multijurisdicional de governança de IA e dados, fonte oficial por fonte oficial, para que a próxima resolução da ANPD, circular da SIC ou instrução da Agencia de Protección de Datos chegue à equipe de compliance antes de chegar a uma manchete.