CFM 2.454/2026 estabelece novo marco jurídico para a inteligência artificial na saúde
Nova resolução do CFM estabelece diretrizes para uso de IA na saúde até agosto de 2026.
A Resolução CFM n.º 2.454/2026 traz uma questão crucial para o setor da saúde: as instituições estão cientes dos sistemas de inteligência artificial (IA) que utilizam, suas finalidades e a responsabilidade sobre eles?
Até agosto de 2026, as respostas a essas perguntas devem ser documentadas e auditáveis, respaldadas por políticas internas de governança. A norma não cria um novo paradigma regulatório, mas traduz obrigações já existentes na Lei Geral de Proteção de Dados (LGPD) e no Marco Legal de IA para o contexto clínico.
O que se destaca é a especificidade das exigências e a proximidade do prazo. Ignorar essa norma não representa apenas um risco ético, mas também um risco jurídico concreto, uma vez que sua aplicação se tornará obrigatória em agosto de 2026.
A resolução não surge em um vácuo regulatório. Ela operacionaliza o que a LGPD e o Código de Ética Médica já estabeleciam em termos gerais, funcionando como uma norma setorial que especifica as obrigações para o uso de IA na Medicina.
As instituições que utilizam IA em diagnósticos, triagens e suporte à decisão clínica, sem conformidade com a LGPD, não enfrentam apenas uma lacuna regulatória, mas um passivo jurídico em construção. A nova resolução torna essa exposição juridicamente visível.
A Resolução CFM 2.454/2026 define obrigações em quatro eixos principais que devem ser implementados até agosto:
Supervisão médica efetiva: Nenhuma decisão clínica relevante pode ser delegada a sistemas de IA sem um médico responsável para avaliar e registrar a conduta. O sistema deve auxiliar, mas a decisão final é do médico.
Transparência ao paciente: O uso de IA no diagnóstico ou tratamento deve ser claramente informado ao paciente, respeitando seu direito à informação conforme previsto no Código de Ética Médica e na LGPD.
Governança dos sistemas: Clínicas e hospitais devem manter registros sobre os sistemas de IA em uso, suas finalidades, os dados que utilizam e quem é responsável por eles. Isso inclui a revisão de contratos com fornecedores de tecnologia.
Gestão de riscos e incidentes: É necessário ter procedimentos documentados para identificar falhas ou vieses nos sistemas de IA e comunicar incidentes quando necessário, em conformidade com o artigo 48 da LGPD.
A Resolução não se limita aos médicos individuais; ela também abrange diretores técnicos, administradores de estabelecimentos de saúde e gestores de TI envolvidos na implementação de sistemas de IA. A responsabilidade é compartilhada, e a falta de uma política interna de governança pode ser vista como negligência institucional diante de órgãos reguladores e do Judiciário.
O primeiro passo é a realização de um inventário. É fundamental saber quais sistemas de IA estão em operação, incluindo aqueles que fazem parte de softwares de gestão clínica ou prontuários eletrônicos, que podem não ser reconhecidos como ferramentas de IA pelos gestores.
Após o mapeamento, é necessário analisar os contratos com fornecedores de tecnologia. A Resolução atribui responsabilidades que devem estar refletidas nas cláusulas de prestação de serviço, especialmente em relação à rastreabilidade dos dados e à alocação de responsabilidade em caso de falha. A etapa final envolve a formalização de uma política interna de governança de IA, alinhada à LGPD e ao Marco Legal, que defina fluxos de supervisão médica e procedimentos de registro.
O prazo de agosto de 2026 é um marco importante. A partir dessa data, a não conformidade pode ser considerada uma vulnerabilidade em processos éticos, cíveis ou administrativos relacionados ao uso de IA no cuidado ao paciente. A hora de agir é agora.
