O CFM - Conselho Federal de Medicina não esperou o Congresso Nacional. Com a resolução 2.454/26, publicada em fevereiro e com vigência a partir de setembro de 2026, o setor médico passa a ter um marco regulatório próprio para o uso de inteligência artificial, antes mesmo de qualquer lei federal sobre o tema. Para as organizações de saúde, incluindo as OSCs que prestam serviços médicos, o prazo já está correndo, e o tema torna-se relevante de compliance.
Na prática, isso significa que as organizações de saúde, inclusive as organizações da sociedade civil que prestam serviços médicos, já estão sujeitas a um cronograma regulatório em curso, o que eleva a relevância do tema sob a perspectiva de compliance e adequação normativa imediata.
A necessidade de adequação, portanto, não depende da aprovação de uma lei federal sobre o tema, o que coloca a inteligência artificial, desde já, no centro das preocupações de conformidade e governança dessas instituições.
A IA na medicina: ferramenta com regras, mas também com lacunas
A resolução parte de uma ideia simples e objetiva: a inteligência artificial atua como instrumento de apoio à decisão clínica, mas não decide. A decisão final permanece com o médico. Pode parecer evidente, mas o texto faz questão de afirmar isso de forma expressa, inclusive para afastar qualquer tentativa de subordinar o julgamento clínico a protocolos automatizados ou metas administrativas impostas pelas instituições.
Essa diretriz, embora conceitualmente clara, é acompanhada de um conjunto relevante de obrigações práticas que impactam diretamente a rotina assistencial e a governança institucional.
Antes de colocar qualquer sistema em funcionamento, as instituições de saúde deverão realizar uma avaliação prévia de risco, independentemente de a tecnologia ter sido desenvolvida internamente ou contratada de terceiros. A partir dessa análise, o sistema deve ser classificado como de baixo, médio ou alto risco, o que definirá o nível de exigência em termos de governança, monitoramento e auditoria.
A resolução, no entanto, vai além e menciona uma quarta categoria: o chamado "risco inaceitável". E aqui está um dos pontos mais sensíveis do texto, pois, embora a categoria exista, não há definição clara, exemplos objetivos ou indicação precisa das consequências jurídicas. Essa ausência abre espaço para duas leituras: pode ser entendida como uma lacuna regulatória, que gera incerteza sobre os limites de uso de determinadas tecnologias, ou como uma escolha consciente por maior flexibilidade, permitindo que a regulação acompanhe a evolução do tema.
Ao estabelecer um diálogo comparativo com outras iniciativas regulatórias, o contraste fica ainda mais evidente. O Regulamento Europeu sobre Inteligência Artificial (EU AI Act) adota abordagem mais detalhada, definindo expressamente hipóteses de risco inaceitável, proibindo determinados usos de sistemas de IA. Já o PL 2.338/23, ainda em tramitação, também caminha para uma classificação mais detalhada, estruturando categorias como o risco excessivo e o alto risco.
O Conselho Federal de Medicina, por sua vez, optou por um caminho intermediário ao antecipar diretrizes importantes sem esgotar a matéria.
Outro ponto que merece atenção é o caráter dinâmico da classificação de risco. A resolução deixa claro que o enquadramento não é definitivo. Um sistema pode ser inicialmente considerado de baixo risco e, com o tempo, passar a exigir controles mais rigorosos, seja por ganhar maior autonomia, seja por ser utilizado em contextos clínicos mais sensíveis. Isso impõe às instituições um dever contínuo de acompanhamento e revisão, com estruturas de governança capazes de responder a mudanças ao longo do ciclo de vida dessas tecnologias.
No geral, o modelo proposto combina duas ideias que caminham juntas: de um lado, reafirma a centralidade da decisão médica e, de outro, impõe deveres concretos de avaliação, monitoramento e reavaliação das tecnologias utilizadas. O resultado é um sistema que preserva a autonomia profissional, mas exige mais organização, mais controle e mais responsabilidade no uso da inteligência artificial na prática médica.
O que muda para os médicos: direitos, deveres e o ônus do prontuário
A resolução não se limita a impor deveres aos médicos, mas também estabelece um conjunto consistente de direitos que funciona como contrapeso. O modelo adotado não coloca o profissional em posição subordinada à tecnologia, mas reafirma sua autonomia técnica diante dela.
Sob essa perspectiva, a norma evita tratar o médico como mero operador de sistemas. Ao contrário, deixa claro que decisões clínicas, diagnósticas, terapêuticas e prognósticas permanecem sob sua exclusiva responsabilidade. A inteligência artificial é admitida como ferramenta de apoio, a ser utilizada conforme o critério do profissional, sem qualquer redução do seu papel central na condução do cuidado.
Entre as garantias asseguradas, destaca-se o direito de recusar a utilização de sistemas que não apresentem validação científica adequada ou certificação regulatória pertinente. Além disso, a resolução estabelece que nenhuma diretriz institucional pode impor ao médico a adoção automática de recomendações geradas por sistemas de inteligência artificial. Trata-se, portanto, de uma proteção relevante, especialmente em ambientes marcados por pressões por padronização e eficiência.
A norma também prevê proteção contra responsabilização indevida quando o erro for exclusivamente atribuível ao sistema de inteligência artificial. Essa proteção, contudo, não é automática, pois depende da comprovação de que o médico atuou com diligência, senso crítico e observância dos parâmetros éticos da profissão.
No campo dos deveres, o impacto mais imediato recai sobre a exigência de registro em prontuário do uso de IA como apoio à decisão clínica. Sempre que houver utilização da tecnologia, essa circunstância deverá ser documentada. Com isso, inaugura-se um novo eixo de responsabilidade, voltado à documentação da interação entre o médico e os sistemas de tecnologia utilizados.
Esse registro cumpre dupla função: ao mesmo tempo em que pode servir como elemento de defesa, demonstrando que a decisão foi tomada com respaldo técnico e dentro de padrões éticos, também poderá assumir papel probatório em sentido oposto, especialmente se evidenciar adesão acrítica às recomendações da ferramenta.
Na prática, impõe-se uma mudança relevante: não basta que a decisão seja adequada, é preciso demonstrar como ela foi construída e qual foi a influência da tecnologia nesse processo. Isso exige mudança de cultura e, principalmente, ajustes nos sistemas de prontuário eletrônico, que terão de comportar esse tipo de informação de forma clara e organizada.
Além disso, o médico passa a ter deveres que vão além da prática clínica tradicional, abrangendo a necessidade de avaliação crítica das recomendações da IA, a atualização contínua quanto às capacidades e limitações das ferramentas utilizadas e a adoção exclusiva de sistemas em conformidade com as normas vigentes no país.
O resultado é claro: o uso de inteligência artificial não reduz a responsabilidade profissional. Ao contrário, ele amplia o nível de exigência técnica e reforça a necessidade de prudência na tomada de decisão.
Portanto, ao estabelecer essas diretrizes, o Conselho Federal de Medicina constrói um modelo em que direitos e deveres caminham juntos, preservando a autonomia médica e ampliando de forma significativa as responsabilidades associadas ao uso da inteligência artificial na prática assistencial.
O ponto mais delicado da resolução: o direito de recusa do paciente
A resolução CFM 2.454/26 representa avanço importante ao reconhecer expressamente o direito do paciente de recusar o uso de inteligência artificial em seu atendimento. Trata-se de manifestação direta da autonomia do paciente, plenamente alinhada aos princípios éticos que regem a prática médica.
A dificuldade, contudo, não reside no reconhecimento do direito, mas na ausência de diretrizes sobre sua aplicação concreta. A norma assegura a recusa, porém não disciplina a forma de sua manifestação, o momento adequado para sua coleta, nem os limites de seu exercício em um ambiente assistencial cada vez mais permeado por tecnologias digitais. É nesse ponto que surgem incertezas relevantes para a prática cotidiana.
Em situações corriqueiras, por exemplo, é possível que dados do paciente sejam processados por sistemas de inteligência artificial antes mesmo do primeiro contato com o médico, seja para fins de triagem, organização de fluxo ou suporte administrativo. Nesses casos, questiona-se qual seria o alcance efetivo da recusa e se haveria possibilidade de reversão de tratamentos de dados já realizados.
A questão se torna ainda mais complexa diante de sistemas que operam em segundo plano, integrados a prontuários eletrônicos ou a rotinas institucionais, muitas vezes sem controle direto do profissional e sem percepção clara pelo paciente. Nem toda aplicação de IA é evidente ou clinicamente relevante, tampouco passível de individualização para fins de consentimento ou recusa.
Diante desse cenário, impõe-se uma indagação inevitável: trata-se de um direito absoluto ou de um direito que deve ser compatibilizado com limitações técnicas e operacionais? A resolução, nesse aspecto, não oferece resposta.
A ausência de parâmetros objetivos gera insegurança jurídica imediata. Médicos e instituições permanecem sem orientação clara quanto à extensão do dever de informação, aos critérios para identificação do que seria "uso relevante" de IA, à forma adequada de registro da recusa e às providências cabíveis quando essa recusa impactar fluxos assistenciais já estruturados.
Apesar de a norma utilizar a expressão "apoio relevante" como critério para o dever de informação, essa distinção, embora útil, não resolve integralmente o problema. Em certos casos, a diferenciação entre o que é meramente operacional e o que efetivamente interfere na decisão clínica pode não ser evidente.
Ainda assim, a leitura sistemática do ato normativo, especialmente à luz das disposições sobre direitos fundamentais e bioética, indica uma diretriz consistente: o paciente deve ser adequadamente informado, ter sua autonomia respeitada e não pode ter seus direitos reduzidos em razão do uso de tecnologia.
Nesse contexto, é razoável antecipar a necessidade de complementação regulatória por parte do Conselho Federal de Medicina, seja por meio de orientações técnicas, seja por instrumentos interpretativos. Tal providência se mostra necessária para conferir segurança jurídica e viabilidade prática a um direito que, embora corretamente reconhecido, ainda carece de operacionalização clara. Vale notar que o cenário não é muito diferente no plano federal: o PL 2.338/23, em sua versão atual, tampouco oferece parâmetros operacionais claros sobre como esse direito deve se materializar na prática assistencial, o que reforça a expectativa de que o tema exigirá orientação complementar, seja do próprio CFM, seja do legislador federal.
Governança obrigatória: não basta ter uma política
A resolução não se limita a orientar a conduta dos médicos. Para as instituições de saúde que adotem sistemas próprios de IA, ela impõe a criação de uma Comissão de IA e Telemedicina, com coordenação médica obrigatória e subordinação à diretoria técnica. O diretor técnico passa a ser pessoalmente responsável pelas diretrizes de segurança, ética e transparência no uso dessas tecnologias. Não se trata, portanto, de recomendar boas práticas, dado que a norma exige estrutura institucional concreta, com responsáveis nomeados, processos documentados e mecanismos de auditoria e monitoramento contínuos.
Um ponto que merece atenção especial é a responsabilidade pessoal atribuída ao diretor técnico da instituição. A norma é direta, ou seja, cabem a ele a fiscalização e a definição das diretrizes de segurança, ética e transparência no uso da IA. Isso significa que, em caso de descumprimento, a responsabilidade não recai apenas sobre a instituição de forma abstrata, mas sobre um profissional identificado e sujeito a sanções éticas perante o próprio CRM. Para as OSCs, onde as funções de direção técnica nem sempre estão claramente delimitadas ou são acumuladas por um único profissional, essa exigência pode demandar revisão do modelo de governança interno antes mesmo de qualquer implementação de IA.
Para organizações que já contam com comitês de ética, de compliance ou de proteção de dados, a resolução abre espaço para uma articulação inteligente dessas estruturas, evitando a criação de instâncias paralelas e redundantes. A Comissão de IA e Telemedicina pode, em muitos casos, funcionar como grupo ou câmara técnica especializada dentro de um modelo de governança já existente, o que reduz custos de implementação e favorece a integração entre as diferentes dimensões do compliance institucional.
Essa articulação, contudo, exige planejamento. A comissão não pode ser apenas um rótulo dado a uma estrutura preexistente sem os ajustes necessários. A resolução é clara ao exigir que ela assegure o cumprimento das obrigações de governança previstas no Anexo III da referida resolução, que incluem desde a publicação de relatórios de desempenho e a prevenção de vieses discriminatórios até a gestão do ciclo de vida dos sistemas e a promoção de interoperabilidade com outros sistemas de saúde, inclusive o SUS.
Merece atenção especial, ainda, o alcance da fiscalização prevista na norma. A resolução garante acesso aos relatórios de auditoria e monitoramento não apenas ao CRM competente, mas também ao Ministério Público e à ANPD - Agência Nacional de Proteção de Dados, entre outros órgãos. A presença da ANPD nesse rol é significativa, dado que ela indica que o uso de IA na saúde será monitorado simultaneamente sob a ótica da ética médica e da proteção de dados pessoais, por autoridades distintas e com competências complementares. Para as instituições, isso significa que uma eventual irregularidade pode desencadear fiscalizações paralelas e independentes, o que reforça a necessidade de uma governança robusta e bem documentada desde o início.
Compliance e proteção de dados como requisitos regulatórios
Se a resolução já impõe exigências relevantes do ponto de vista da governança médica, ela vai igualmente fundo na dimensão da proteção de dados. E aqui o diálogo com a LGPD - Lei Geral de Proteção de Dados (lei 3.709/18) é direto e expresso.
A norma exige que todas as soluções de IA adotem a lógica do privacy by design e do privacy by default, conceitos que deixam de ser apenas referências do ecossistema de proteção de dados e passam a figurar como requisitos regulatórios setoriais, com fiscalização pelo CRM. Além disso, veda expressamente o uso de sistemas que não garantam padrões mínimos de segurança compatíveis com dados pessoais sensíveis de saúde, e estabelece regras específicas para o uso de dados de pacientes no treinamento, validação e aprimoramento de modelos de IA.
Esse conjunto de exigências tem uma consequência prática imediata que as organizações de saúde precisam enfrentar: a revisão dos contratos com fornecedores de tecnologia. Acordos celebrados antes da resolução (ou mesmo após ela, sem a devida atenção ao novo marco) provavelmente não contemplam o nível de exigência agora imposto. A adequação contratual não é, portanto, uma medida futura e opcional, mas sim uma necessidade presente.
Na prática, os contratos com fornecedores de IA precisarão prever, no mínimo, obrigações claras de auditabilidade, garantindo que a instituição possa acessar informações sobre o funcionamento do sistema sempre que necessário; alocação expressa de responsabilidade por falhas atribuíveis ao sistema, distinguindo o que é responsabilidade do fornecedor do que cabe à instituição contratante; obrigações de notificação em caso de incidentes de segurança envolvendo dados de saúde, em linha com o que já exige a LGPD; e cláusulas que assegurem a gestão adequada do ciclo de vida do produto, incluindo atualizações, retreinamentos e eventual descontinuação (ponto expressamente mencionado no Anexo III da Resolução).
Para as OSCs, que frequentemente contratam soluções de tecnologia sem o suporte de assessoria jurídica, esse é talvez o ponto de maior vulnerabilidade prática. Um contrato que não preveja esses elementos coloca a organização em situação de descumprimento regulatório mesmo que a ferramenta de IA em si seja tecnicamente adequada. A conformidade com a resolução não depende apenas da escolha do sistema certo, mas também da forma como a relação com o fornecedor é juridicamente estruturada.
Considerações finais
As organizações da sociedade civil que atuam na área da saúde ocupam uma posição peculiar diante da resolução CFM 2.454/26, pois estão sujeitas ao mesmo conjunto de obrigações que grandes hospitais privados com fins lucrativos, mas em geral podem dispor de estrutura jurídica mais enxuta. A norma não faz distinção de porte ou natureza jurídica e, ainda que o texto mencione em seu art. 1º a possibilidade de soluções localmente ajustadas, isso não equivale a uma flexibilização das obrigações centrais.
O desafio, portanto, não é apenas técnico. É também de gestão e de priorização. Mapear os sistemas de IA em uso, classificá-los por nível de risco, estruturar a governança interna, revisar contratos com fornecedores e garantir a conformidade com os requisitos de proteção de dados são etapas que demandam tempo, expertise e recursos - justamente o que tende a ser mais escasso nas OSCs. Ignorar esse processo, contudo, não elimina o risco; ele apenas o transfere para um momento em que a adequação será mais custosa e urgente.
O prazo de 180 dias corre para todos. Setembro de 2026 chega rápido; quanto mais enxuta a estrutura, mais urgente o início desse processo.
O CFM não esperou o Congresso Nacional. E as organizações de saúde também não podem esperar.