Foi divulgado no Diário Oficial da União do dia 27/02/2026 a Resolução CFM nº 2454/2026, que trata da regulamentação do uso da inteligência artificial (“IA”) na medicina, introduzindo importantes quesitos mínimos de governança ética de IA . A norma também estabelece direitos e deveres relevantes para médicos, pacientes e instituições que utilizam ou desenvolvem sistemas de IA na área da saúde.

Para os médicos, a Resolução reconhece direitos importantes, como: o de não seguir de forma acrítica as recomendações da IA; manter a palavra final sobre decisões clínicas; optar por não utilizar a tecnologia; e receber informações claras sobre as capacidades e limitações do sistema. Ao mesmo tempo, a norma reforça que a IA deve atuar como ferramenta de apoio à atividade médica – isto é, como forma de inteligência aumentada –, e não como substituta do julgamento técnico do profissional, que permanece responsável pelos procedimentos realizados com o suporte da tecnologia.

Para os pacientes, a Resolução assegura o direito de serem informados, em linguagem clara e acessível, sobre o uso de IA em seus procedimentos de saúde, bem como o direito de recusar sua utilização, além da garantia de que seus direitos já estabelecidos como pacientes sejam plenamente respeitados.

Já para as instituições médicas, a norma estabelece uma série de obrigações de governança, incluindo a implementação de estruturas de auditoria e monitoramento de sistemas de IA, a realização de avaliação prévia do grau de risco dessas tecnologias (classificadas em baixo, médio, alto ou inaceitável, conforme critérios do Anexo II), a verificação da conformidade ética e bioética em cada etapa do ciclo de vida da IA e a adoção de processos estruturados de governança ética para o uso dessas ferramentas, cujos quesitos mínimos são definidos no Anexo III. Os conceitos para apoiar a interpretação do regulamento são definidos no Anexo I.

Em relação a classificação de risco para os sistemas de IA utilizados na medicina, ela pode ser sintetizada nos termos abaixo.

Os sistemas de baixo risco são aqueles que não exercem influência decisória direta em diagnósticos ou tratamentos individuais, sendo utilizados, em geral, para funções administrativas, operacionais ou de apoio de baixo impacto. Ainda assim, devem ser monitorados e revisados periodicamente para verificar se permanecem adequadamente enquadrados nessa categoria.

Os sistemas de risco médio são aqueles que apoiam decisões clínicas ou operacionais relevantes, mas não as executam de forma autônoma, permitindo que eventuais erros sejam detectados e corrigidos pelo profissional antes de gerar danos. Nesses casos, exige-se monitoramento regular e avaliação periódica de possíveis vieses.

Já os sistemas de alto risco são aqueles que podem gerar danos físicos, psíquicos ou morais significativos aos indivíduos, ou impactos relevantes à saúde pública, caso operem de forma inadequada ou sem controle. Esses sistemas influenciam diretamente decisões médicas críticas ou podem atuar com maior grau de autonomia, exigindo processos rigorosos de validação, auditorias periódicas e monitoramento contínuo.

A categoria de risco inaceitável não é expressamente definida pela Resolução. Pode-se inferir, contudo, que nela se enquadram sistemas que violem as disposições da própria norma ou outras regras éticas e legais aplicáveis, bem como aqueles que impliquem afronta aos direitos dos pacientes.

De forma sintetizada, são estabelecidos pela Resolução os seguintes quesitos mínimos de governança para o uso de IA na área da saúde:

• Transparência: divulgação clara sobre a finalidade do sistema, dados utilizados, desempenho, limitações, vieses identificados e mecanismos de supervisão, com publicação periódica de relatório de transparência.

• Mitigação de vieses: monitoramento contínuo para identificação de possíveis discriminações, com adoção de medidas corretivas ou até descontinuação do sistema em casos mais graves.

• Interoperabilidade: priorização do desenvolvimento ou contratação de soluções capazes de se integrar a diferentes sistemas de informação em saúde, permitindo interoperabilidade e eventual compartilhamento entre instituições.

• Governança interna: atribuição ao Diretor Técnico da responsabilidade pela fiscalização, segurança, ética e transparência no uso da IA, com formalização dessa atribuição e instituição de fluxos documentados de governança.

• Flexibilidade e adaptabilidade: preferência por soluções de código aberto ou, quando comerciais, por sistemas que sejam customizáveis, auditáveis e adaptáveis ao contexto local, evitando dependência de soluções totalmente fechadas.

• Gestão do ciclo de vida como produto: tratamento da IA segundo práticas de gestão de produto, com fases definidas como levantamento de requisitos, desenvolvimento, testes, implantação, suporte e melhoria contínua, revisões periódicas, atualização e correção de falhas.

• Desenvolvimento de interfaces de interoperabilidade: incentivo à criação de APIs e outros mecanismos que permitam a comunicação direta entre soluções de IA e sistemas de informação em saúde de diferentes instituições.

• Acesso de órgãos de controle e entidades externas: garantia de acesso apropriado a relatórios de auditoria, monitoramento e informações sobre a configuração dos sistemas de IA por parte de órgãos de controle e entidades legitimamente interessadas.

MIX 73/2026

Voltar para Notícias