IA na medicina: Riscos regulatórios da resolução CFM 2.454/26

O Conselho Federal de Medicina publicou no Diário Oficial da União a resolução 2.454/26, inaugurando o primeiro marco regulatório setorial dedicado exclusivamente à inteligência artificial no exercício da medicina no Brasil. A norma estabelece diretrizes abrangentes para pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e uso responsável de soluções de IA aplicadas à medicina, com vacatio legis de 180 dias - o que projeta sua vigência para agosto de 2026.

A iniciativa preenche uma lacuna regulatória evidente, em um cenário de adoção acelerada de sistemas de IA por hospitais, clínicas, operadoras de saúde e HealthTechs. Contudo, a forma como o CFM exerceu seu protagonismo regulatório suscita questões jurídicas relevantes: o escopo da norma parece transbordar os limites das atribuições administrativas de uma autarquia corporativa, sobrepõe-se a atribuições de outros reguladores setoriais e cria um ambiente de insegurança normativa e alto custo de transação para os agentes do ecossistema de saúde digital. Este artigo analisa os principais aspectos da resolução, suas sobreposições com o marco regulatório existente e os desafios práticos para a adequação.

O princípio fundamental: IA como ferramenta de apoio. A resolução consagra como premissa central que a inteligência artificial deve atuar exclusivamente como ferramenta de apoio à decisão médica, jamais como substituta da autoridade clínica. A decisão final sobre diagnóstico, prognóstico, prescrição ou qualquer ato médico caberá sempre ao profissional, que poderá acolher ou rejeitar as sugestões algorítmicas conforme seu julgamento (art. 18, §2º). É expressamente vedado ao médico delegar à IA a comunicação de diagnósticos, prognósticos ou decisões terapêuticas sem mediação humana (art. 5º, §2º), e a supervisão humana é obrigatória em todos os casos (art. 15, parágrafo único). O princípio da centralidade humana não é, em si, controverso - alinha-se às diretrizes da OMS sobre IA na saúde, ao EU AI Act europeu.

Classificação de riscos e governança institucional. A resolução adota metodologia de classificação em quatro níveis de risco - baixo, médio, alto e inaceitável - inspirada no AI Act europeu e no PL 2.338/23. A classificação não é estática: um sistema pode migrar entre categorias conforme mudanças tecnológicas, contextuais, de grau de autonomia ou de sensibilidade dos dados. Aplicações de baixo risco incluem agendamento de consultas, chatbots com informações gerais e sumarização de literatura; no outro extremo, sistemas que influenciam diretamente decisões médicas críticas ou envolvem pacientes vulneráveis são considerados de alto risco, exigindo processos rigorosos de validação, auditorias regulares e monitoramento contínuo.

No plano da governança, o Anexo III estabelece oito diretrizes obrigatórias para toda instituição que desenvolva ou contrate sistemas de IA: transparência mediante relatórios periódicos, prevenção e mitigação de vieses discriminatórios, mecanismos de governança interna com criação de Comissão de IA e Telemedicina (sob coordenação médica e subordinada à diretoria técnica), interoperabilidade com APIs abertas, flexibilidade e preferência por soluções de código aberto, gestão do ciclo de vida do produto, desenvolvimento de interfaces de integração com o SUS e garantia de acesso de órgãos de controle aos relatórios de auditoria.

Direitos e deveres: médicos e pacientes. A resolução assegura ao médico cinco direitos fundamentais: uso da IA como apoio, acesso a informações sobre funcionamento e limitações dos sistemas, recusa de sistemas sem validação científica ou certificação regulatória, preservação da autonomia profissional (vedando-se a imposição de metas que subordinem condutas médicas à IA) e proteção contra responsabilização indevida por falhas atribuíveis exclusivamente aos sistemas algorítmicos. Do lado dos deveres, o médico deve exercer julgamento crítico, manter-se atualizado quanto às capacidades e vieses dos sistemas, registrar em prontuário o uso de IA, informar o paciente e reportar falhas às instâncias competentes.

Quanto ao paciente, a norma reforça e amplia garantias já existentes: direito à informação clara sobre o uso de IA, direito à segunda opinião independente de recomendações algorítmicas, consentimento informado para intervenções experimentais, privacidade e proteção de dados desde a concepção do sistema (privacy by design) e, notadamente, direito de recusa informada do uso de IA em seu cuidado (art. 5º, §3º).

Proteção de dados e integração com a LGPD. A resolução estabelece conexão expressa com a LGPD - Lei Geral de Proteção de Dados Pessoais (lei 13.709/18), reconhecendo que dados de saúde são dados pessoais sensíveis e exigem tratamento diferenciado. Todos os dados utilizados no desenvolvimento, treinamento, validação e implementação de sistemas de IA médica devem observar rigorosamente a LGPD e as normativas de segurança da informação em saúde. Exige-se privacy by design e privacy by default, com incorporação de anonimização, criptografia e configuração padrão de máxima privacidade em todo o ciclo de vida dos sistemas.

O problema central: sobreposição normativa e fragmentação regulatória. É neste ponto que a análise da resolução CFM 2.454/26 exige maior rigor crítico. O ecossistema regulatório da IA em saúde no Brasil não é um espaço vazio que o CFM veio preencher - é um espaço já habitado por múltiplos reguladores com competências legalmente definidas. A edição da resolução cria uma camada normativa adicional que, em vários pontos, co-regula matérias que já têm dono institucional, sem que haja mecanismo de coordenação, hierarquia ou resolução de conflitos entre esses órgãos.

O risco prático é concreto: uma HealthTech que desenvolve um sistema de IA diagnóstica no Brasil, por exemplo, pode estar, simultaneamente, sujeita às exigências da Anvisa (registro como SaMD nos termos da RDC 657/22), da ANPD (proteção de dados sensíveis, RIPD e governança algorítmica), da ANS (se atender operadoras de saúde suplementar), do CFM (via a resolução 2.454/26) e, futuramente, da lei geral de IA (PL 2.338/23) - com requisitos que podem não ser coincidentes e sem que exista um balcão único ou rito de harmonização entre essas autoridades.

Sobreposição com a Anvisa. A RDC 751/22 da Anvisa já estabelece regime de classificação de risco para SaMD - Software as a Medical Device, com classes I a IV baseadas na finalidade pretendida do software e na seriedade da condição médica tratada. A Anvisa possui competência para regular produtos de saúde sob vigilância sanitária, fundamentada na lei 9.782/1999 (lei formal). A resolução do CFM, contudo, cria sua própria taxonomia de classificação de risco - baixo, médio, alto e inaceitável - baseada em critérios e focos distintos (grau de autonomia, impacto em direitos fundamentais), sem articulação com o regime Anvisa. 

Sobreposição com a ANPD. Em 25/2/26 - dois dias antes da publicação da resolução do CFM no DOU - entrou em vigor a lei 15.352/26, que transformou a ANPD em agência reguladora com autonomia funcional, técnica e decisória. A agenda regulatória ANPD 2025-2026 elenca 16 temas prioritários, com destaque para regulamentação específica de dados de saúde e biométricos, supervisão de tecnologias emergentes com foco em IA e normas para RIPD. 

A ANPD está ativamente construindo seu regime para IA em saúde, em paralelo ao que o CFM estabeleceu unilateralmente. O problema não é que os objetivos conflitem; é que os instrumentos são diferentes, os órgãos fiscalizadores são diferentes e os regimes sancionatórios são diferentes. Uma empresa de IA médica precisará elaborar documentos paralelos: o RIPD (exigido pela ANPD/LGPD) e a AIA - Avaliação de Impacto Algorítmico exigida pela resolução do CFM, sem qualquer sinalização de que um documento possa satisfazer ambas as autoridades.

Tensão com o PL 2.338/23. O PL 2.338/23, aprovado pelo Senado em dezembro de 2024 e em tramitação na Câmara dos Deputados, pretende estabelecer normas gerais de caráter nacional para a governança de IA no Brasil, com classificação de risco transversal e previsão de que reguladores setoriais como Anvisa, ANS e ANPD atuem como autoridades competentes para implementação setorial da lei.

O CFM atuou de forma inversa: editou sua resolução antes da lei Federal, sem coordenação com o processo legislativo em curso. Se os critérios de classificação de risco ou os requisitos de governança previstos na futura lei forem diferentes dos estabelecidos pela resolução, a hierarquia normativa indica que a lei formal prevalecerá sobre o ato infralegal, podendo tornar parcialmente inválidas as disposições da resolução que conflitarem com o diploma legislativo. As HealthTechs que se adequarem à resolução do CFM poderão ter de fazer um segundo processo de adequação à lei geral de IA - duplicando o custo de compliance sem garantia de sinergia.

Precedentes judiciais que reconhecem a extrapolação de competências do CFM. A vulnerabilidade jurídica da resolução não é meramente teórica; dois precedentes judiciais recentes já reconheceram que o CFM exorbitou os limites de sua competência normativa em resoluções de escopo semelhante.

O primeiro é a decisão liminar do STF na ADIn 7.864, que suspendeu a eficácia da resolução CFM 2.434/25 por regular atividades de instituições de ensino. O STF reconheceu, em análise preliminar, que o CFM exorbitou os limites de sua competência ao criar, mediante resolução, obrigações para instituições de ensino que inovam na ordem jurídica Federal sem respaldo em lei formal. A mesma lógica constitucional - de que conselhos profissionais são autarquias cuja competência normativa se circunscreve à disciplina ética e à fiscalização do exercício profissional, nos termos da lei 3.268/1957, não sendo titulares do poder de legislar - aplica-se integralmente ao contexto da resolução 2.454/26.

O segundo precedente é ainda mais direto e recente. No processo 1017752-74.2026.4.01.3400, entidades obtiveram liminar da 21ª vara Federal Cível do Distrito Federal suspendendo parcialmente a eficácia da resolução CFM 2.448/25 (sobre auditoria médica). O juízo afirmou haver plausibilidade na alegação de que determinados dispositivos da resolução extrapolam os limites do poder normativo dos conselhos profissionais, ao disciplinar aspectos da saúde suplementar que são competência da ANS, não do CFM. A decisão ressaltou expressamente que o poder normativo dos conselhos profissionais deve limitar-se à disciplina ética e técnica do exercício da profissão, não podendo inovar no ordenamento jurídico. Os fundamentos aplicam-se de forma análoga à resolução 2.454/26: ao proibir operadoras de penalizarem médicos que não sigam recomendações algorítmicas e ao criar obrigações de governança para instituições, HealthTechs e desenvolvedores que não são médicos nem estão submetidos à jurisdição ética do CFM, a norma adentra competências reservadas a outros reguladores.

Desafios práticos: insegurança, custos de transação e inovação. Além das fragilidades jurídicas, a resolução apresenta desafios práticos substanciais.

O prazo de 180 dias para adequação integral é considerado muito exíguo pelo mercado: exigir comissões de IA, auditoria algorítmica contínua e governança estruturada em seis meses é especialmente oneroso para empresas que ainda lutam com a digitalização básica. As obrigações são simultaneamente técnicas (reestruturar software com auditabilidade e explicabilidade), jurídicas (redesenhar termos de consentimento granulares, revisar contratos) e organizacionais (mapear e monitorar shadow AI, implementar registros em prontuário de forma nativa).

A definição de “aplicação de IA na medicina” contida no Anexo I abrange, expressamente, atividades de “apoio administrativo” que possam impactar, direta ou indiretamente, a tomada de decisão de profissionais de saúde. Essa formulação captura chatbots de agendamento, ferramentas de sumarização de literatura médica e sistemas de gestão logística hospitalar - gerando insegurança jurídica significativa para empresas de tecnologia que não conseguem delimitar com precisão quais produtos e funcionalidades precisarão ser adaptados.

A ausência de mecanismo de sandbox regulatório agrava o cenário. Experiências internacionais demonstram que ambientes controlados de teste são fundamentais para equilibrar inovação e segurança no setor de saúde digital. A ausência desse mecanismo pode fazer com que inovações disruptivas em IA médica sejam desenvolvidas fora do Brasil por falta de ambiente regulatório favorável. A combinação de exigências de validação científica, auditoria contínua, explicabilidade algorítmica e criação de comissões formais, embora positiva para grandes players, tende a criar barreiras de entrada para novos competidores, desestimulando exatamente o ecossistema de inovação que a norma pretende proteger.

A responsabilidade civil permanece como ponto de incerteza. Embora a norma alivie o médico de responsabilização em caso de falha exclusiva do sistema (desde que comprovada sua diligência), não há regime claro de responsabilização dos desenvolvedores e fornecedores de IA perante o paciente. A cadeia de atribuição de culpa envolvendo médico, instituição de saúde, operadora e empresa de tecnologia dependerá da interpretação dos tribunais à luz do CC, do CDC e da LGPD - sem que a resolução tenha criado um regime específico para os desenvolvedores de sistemas de IA médica.

Ausência de consulta pública e legitimidade democrática. A norma foi editada sem consulta pública prévia, sem análise de impacto regulatório e sem diálogo com os agentes do setor potencialmente afetados. Esse padrão de atuação unilateral do CFM já havia sido expressamente criticado no contexto da resolução 2.448/25 sobre auditoria médica. A comparação com o EU AI Act europeu é ilustrativa: trata-se de lei formal aprovada pelo Parlamento Europeu, com ampla consulta pública, análise de impacto e mecanismos de implementação gradual e diferenciada por porte da empresa - inclusive com isenções para PMEs. A resolução do CFM, ao contrário, é ato infralegal editado sem essas garantias processuais.

Conclusão. A resolução CFM 2.454/26 surge, formalmente, como o primeiro marco regulatório específico para o uso de IA na medicina brasileira. Seus méritos incluem a classificação de risco proporcional, a garantia de supervisão humana obrigatória, a proteção da autonomia médica e dos direitos dos pacientes e a integração com a LGPD. No entanto, a norma enfrenta fragilidades jurídicas sérias - particularmente a sobreposição de competências já estabelecidas, o impacto desproporcional sobre as empresas e a ausência de consulta pública prévia -, fragilidades que já encontram respaldo em precedentes judiciais que reconheceram a extrapolação de atribuições do CFM (ADIn 7.864 no STF e processo 1017752-74.2026.4.01.3400 na Justiça Federal).