Regulação da IA chega primeiro à saúde

Enquanto o Congresso Nacional ainda discute como regular a inteligência artificial, o CFM - Conselho Federal de Medicina larga na frente e define sua própria fronteira regulatória para o uso de IA na saúde. A partir de agora, com a publicação da resolução CFM 2.454/26, o setor não poderá mais tratar a IA como experimental, periférica ou meramente tecnológica. O prazo de adequação é de 180 dias contados da publicação, o que projeta a entrada em vigor da norma para agosto de 2026. 

Na prática, a nova regra assegura a profissionais médicos o direito de usar ferramentas de IA como apoio à decisão clínica, à gestão em saúde, à pesquisa científica e à educação médica continuada. No entanto, a palavra final sobre prognósticos, decisões diagnósticas e terapêuticas será sempre dos médicos, que também podem se recusar a usar tecnologias não validadas cientificamente, que não tenham certificação regulatória ou que contrariem princípios éticos, técnicos ou legais da medicina.

Como a autoridade clínica continua sendo humana, o uso da IA pode apoiar, organizar, sugerir, sinalizar padrões e ampliar a capacidade analítica dos médicos. O que ela não pode fazer é deslocar o eixo da responsabilidade médica, substituir o bom juízo profissional ou servir de fundamento para uma espécie de automatização da conduta clínica. Médicos e médicas devem, portanto, exercer avaliação crítica sobre os resultados produzidos pela ferramenta e registrar no prontuário seu uso como apoio à decisão.

Esse aspecto tem uma consequência prática de enorme relevância para instituições de saúde: não basta controlar o software. Será preciso controlar também os fluxos, protocolos, incentivos e as políticas internas para evitar que a IA, ainda que formalmente apresentada como apoio, passe a operar na prática como critério oculto de decisão ou como substituto informal da autonomia clínica. Em um ambiente cada vez mais pressionado por produtividade, padronização e escalabilidade, esse talvez seja um dos pontos mais sensíveis da resolução.

E, assim, a IA deixa de ser uma promessa de eficiência, escala e otimização de processos no campo da saúde e se torna também um ponto de exposição jurídica, ética, assistencial, contratual e reputacional. Isso acontece, especialmente, quando utilizada sem critérios formais de classificação de risco, governança definida, documentação adequada, revisão contratual consistente, nem clareza sobre a forma como suas respostas interferem na rotina clínica e na jornada do paciente.

Norma atinge também IAs em operação

Há, ainda, um ponto que merece atenção imediata. A resolução não alcança só contratações futuras ou projetos ainda em fase de desenho, mas também plataformas, modelos e aplicações de IA que estejam em desenvolvimento ou em uso quando a vigência chegar. Esse dado, por si só, altera a forma como hospitais, clínicas, laboratórios, operadoras e corpos clínicos precisam enxergar o tema, uma vez que todo legado tecnológico precisará ser revisitado.

Outro vetor central da norma é a necessidade de transparência sobre a utilização da IA. Assim, quando essa tecnologia for utilizada, o médico deverá registrar no prontuário seu uso como apoio à decisão. Nesse sentido, a forma como a instituição, seja ela um hospital, clínica ou plano de saúde explicará o uso da ferramenta ao paciente, em linguagem juridicamente segura e clinicamente inteligível, transforma-se em parte concreta da adequação.

Já no plano institucional, a resolução exige algo que muitos agentes do setor ainda não estruturaram com a seriedade necessária: a avaliação preliminar de risco. Isso significa que soluções de IA deverão ser analisadas à luz de critérios como impacto sobre direitos fundamentais e saúde do paciente, criticidade do contexto de uso, sensibilidade dos dados tratados, grau de autonomia do sistema e nível de intervenção humana possível. Em termos objetivos, não haverá espaço regulatório para tratar da mesma forma uma ferramenta de apoio administrativo, um sistema de triagem, um assistente de documentação clínica, um mecanismo de apoio à decisão médica ou uma solução com potencial de influência direta sobre condutas assistenciais.

A partir dessa lógica, a governança passa a ser estrutural, já que a norma exige processos internos capazes de garantir segurança, qualidade, ética, rastreabilidade, monitoramento e revisão contínua dos sistemas. Nos casos de instituições que adotem sistemas próprios de IA, a regulação avança ainda mais e prevê a criação de Comissão de IA e Telemedicina, sob coordenação médica e subordinada à diretoria técnica. Isso demonstra que o nível de maturidade exigido aumentou, inclusive para quem contrata, integra, opera ou depende de soluções de terceiros em ambientes clínicos ou assistenciais.

O tema se torna ainda mais delicado quando observado sob o prisma de privacidade, LGPD e segurança da informação em saúde. Isso porque a resolução exige compatibilidade com a legislação de proteção de dados e proíbe o uso de sistemas que não garantam padrões mínimos de segurança compatíveis com a natureza sensível das informações tratadas. Em um universo em que cada vez mais instituições operam com prontuários eletrônicos, integrações entre plataformas, soluções em nuvem, automação documental, triagem digital, sistemas preditivos e ferramentas baseadas em modelos generativos, o desafio vira operacional, contratual e probatório.

O risco, portanto, está também em utilizar uma ferramenta aparentemente adequada dentro de uma instituição que não consegue demonstrar, de forma consistente, por que a contratou, como a classificou, quais limites estabeleceu, quem a supervisiona, quais dados a alimentam, quais controles de segurança foram implementados, como os profissionais foram treinados e quais evidências documentais sustentam sua adoção.

É justamente aqui que as organizações poderão descobrir, tardiamente, que o problema nunca foi a tecnologia em si, mas a ausência de arquitetura jurídica, regulatória e decisória para sustentá-la.

Passo a passo para as instituições de saúde

Os próximos meses exigirão da área da saúde ações coordenadas entre diretoria, jurídico, compliance, tecnologia, segurança da informação, compras, liderança médica e operação assistencial. Entre as medidas urgentes, destacam-se: 

1. o mapeamento de soluções de IA já utilizadas ou em contratação; 
2. a identificação dos casos de uso com repercussão clínica, assistencial, administrativa ou decisória; 
3. a classificação preliminar de risco por aplicação; a revisão de contratos com fornecedores, integradores e distribuidores; 
4. a definição de responsabilidades internas; 
5. a revisão de fluxos de informação ao paciente e de registro em prontuário; 
6. o reforço dos controles de privacidade e segurança;
7. e a capacitação de equipes médicas, técnicas e executivas.

A resolução, portanto, visa mostrar ao setor que, em saúde, tecnologia sem governança tem potencial para virar um problema jurídico e um passivo em formação, diante de possibilidades de medidas judiciais ou impactos reputacionais e institucionais por conta da falta de conformidade no uso por seus médicos, funcionários e parceiros.

Eu e meu time temos acompanhando de perto os impactos da resolução CFM 2.454/26, assessorando instituições na construção de trilhas de adequação que envolvem mapeamento de sistemas, classificação regulatória de risco, revisão contratual, governança interna, LGPD aplicada à saúde, segurança da informação, desenho de fluxos assistenciais e preparação documental para fiscalização, auditoria e resposta regulatória.

Por isso, podemos dizer com propriedade que, se a sua instituição já utiliza IA, testa pilotos de sistemas de inteligência, integra soluções de terceiros e/ou pretende acelerar essa agenda ainda em 2026, o momento de compreender o alcance da norma e estruturar a adequação é agora, porque, desta vez, o relógio regulatório não está correndo ao lado da inovação.