A publicação da Resolução CFM nº 2.454/2026 alterou de modo decisivo o ambiente regulatório da inteligência artificial aplicada à medicina no Brasil ao retirar a IA do campo da “inovação experimental difusa” e inseri-la no campo da governança obrigatória, da supervisão humana, da rastreabilidade clínica e da responsabilidade profissional. A norma afirma que a IA é instrumento de apoio, preserva a autoridade final do médico, exige avaliação preliminar de risco, impõe processos internos de governança e, para instituições que adotem sistemas próprios, prevê a criação de Comissão de IA e Telemedicina sob coordenação médica.

Em consequência, o maior risco para o setor já não é apenas “usar IA errada”, mas usar IA sem estrutura formal de validação, controle, documentação, segurança e prestação de contas.

1. A Resolução CFM nº 2.454/2026 como marco de transição regulatória

A Resolução CFM nº 2.454/2026 estabelece normas para pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e uso responsável de soluções de IA na medicina. Seu ponto central é inequívoco: a tecnologia pode apoiar, mas não substituir a decisão humana final sobre diagnóstico, prognóstico, prescrição ou conduta terapêutica.

O médico permanece responsável pelos atos médicos praticados com apoio de IA; o paciente deve ser informado quando a IA for utilizada de modo relevante; e a supervisão humana é obrigatória. A norma foi publicada em 27 fev. 2026 e entrou em vacatio legis de 180 dias, o que significa que, em 4 abril 2026, o setor já se encontra em período formal de adaptação.

A novidade regulatória não está apenas na permissão de uso da IA, mas na transformação de requisitos antes tratados como boas práticas em deveres normativos.

A resolução exige avaliação preliminar de risco para instituições públicas e privadas que desenvolvam ou utilizem IA, adota classificação de risco em níveis baixo, médio, alto e inaceitável, define conceitos como auditabilidade, explicabilidade, contestabilidade e avaliação de impacto algorítmico, e determina governança interna proporcional ao impacto da solução. Em outras palavras, o CFM deslocou o debate de “posso usar?” para “como demonstro que uso com segurança, ética, qualidade e rastreabilidade?”.

2. O primeiro risco regulatório: informalidade no uso clínico da IA

O risco mais imediato para consultórios, clínicas e hospitais é a informalidade operacional. Muitas organizações já utilizam transcrição automática, sumarização clínica, apoio à triagem, geração de relatórios, segunda leitura de exames, copilotos administrativos e chatbots de relacionamento sem inventário interno, sem classificação de risco, sem política formal de uso e, às vezes, sem registro em prontuário. A resolução torna esse cenário perigoso porque passa a exigir que o uso da IA seja conhecido, governado, documentado e supervisionado. O que era “atalho tecnológico” pode converter-se em evidência de falha organizacional.

A informalidade também conflita com o Código de Ética Médica. O CEM veda causar dano por imperícia, imprudência ou negligência, reafirma o caráter pessoal da responsabilidade médica, protege a autonomia do paciente e preserva o sigilo profissional.

Assim, o uso descuidado de uma solução algorítmica não validada, opaca ou insegura não é um problema apenas tecnológico: pode configurar problema ético-profissional, sobretudo se a instituição não treina seus médicos, não define critérios mínimos de adoção e não cria fluxos de revisão humana.

3. O segundo risco regulatório: delegação indevida de atos médicos

A resolução proíbe delegar à IA, sem devida mediação humana, a comunicação de diagnósticos, prognósticos ou decisões terapêuticas. Isso tem impacto prático enorme.

Significa que fluxos inteiramente automatizados de devolutiva clínica, recomendação terapêutica ou comunicação sensível ao paciente são juridicamente frágeis e eticamente arriscados se não houver intervenção médica qualificada. A instituição que estruturar atendimento com base em “saída soberana” do algoritmo expõe médico, diretor técnico e organização a responsabilização ética, civil e reputacional.

Esse ponto se articula com a Lei nº 14.510/2022, que disciplina a telessaúde e reafirma autonomia do profissional, consentimento livre e informado, confidencialidade de dados, responsabilidade digital e assistência segura e de qualidade.

Se a telessaúde já exigia cuidado com consentimento, registro e responsabilidade, a incorporação de IA em fluxos remotos eleva o grau de exigência, porque introduz nova camada de risco: o risco algorítmico. Logo, telessaúde com IA sem governança é dupla exposição regulatória.

4. O terceiro risco regulatório: proteção de dados sensíveis e uso indevido de bases clínicas

Na saúde, quase todo projeto sério de IA toca dados pessoais sensíveis. A LGPD classifica dados de saúde como sensíveis, exige base legal adequada, protege direitos do titular, prevê revisão de decisões automatizadas, exige medidas de segurança e admite Relatório de Impacto à Proteção de Dados Pessoais.

Para IA clínica, isso significa que “coletar tudo e depois ver o que fazer” é estratégia incompatível com o marco legal. O tratamento deve ter finalidade específica, necessidade, segurança, governança e justificativa jurídica robusta.

5. O quarto risco regulatório: viés, discriminação e opacidade algorítmica

A resolução do CFM exige prevenção e mitigação de vieses discriminatórios ilegais ou antiéticos, monitoramento contínuo dos outputs, análise estratificada de resultados e adoção de medidas corretivas quando houver disparidades indevidas. Isso é crucial em medicina, onde vieses em triagem, classificação de risco, leitura de imagem, priorização de atendimento ou recomendação terapêutica podem produzir exclusão clínica silenciosa. Se a instituição não mede desempenho por grupos populacionais, ela sequer consegue provar que a ferramenta é segura e justa.

6. O quinto risco regulatório: contratação de soluções “caixa-preta” sem auditabilidade

A resolução assegura ao médico o direito de receber informações claras sobre funcionamento, finalidades, limitações, riscos e evidência científica dos sistemas de IA, bem como o direito de recusar sistemas sem validação científica adequada ou certificação regulatória pertinente.

No plano institucional, isso significa que contratos com fornecedores não podem mais se limitar a preço, licença e SLA. É indispensável incluir cláusulas de auditabilidade, documentação técnica, critérios de validação, gestão de incidentes, atualização de modelos, controles de segurança, interoperabilidade e regras de encerramento contratual. Sem isso, a organização adquire dependência tecnológica sem capacidade de controle.

Entre os pontos mais úteis para hospitais e clínicas estão governança de dados, assurance regulatória, model cards, modernização de procurement, envolvimento de profissionais de saúde e mecanismos de monitoramento pós-implantação. Em síntese, comprar IA sem due diligence clínica, regulatória e contratual passou a ser falha de governança, não simples escolha comercial.

7. Por que a governança é urgente também para instituições públicas

Na saúde pública, a urgência é ainda maior porque a Constituição trata a saúde como direito de todos e dever do Estado, garantido por políticas voltadas à redução do risco de doença e outros agravos, e considera as ações e serviços de saúde de relevância pública, sujeitos à regulamentação, fiscalização e controle. Em ambiente de SUS, IA sem governança não é apenas problema de eficiência: pode representar falha constitucional de prevenção de risco, controle do serviço e tutela de direitos fundamentais.

A solução, portanto, não é frear a inovação, mas submeter a inovação à governança: inventário de casos de uso, avaliação de impacto, critérios públicos de contratação, métricas de desempenho, segurança da informação, canais de contestação e transparência compatível com o interesse público.

8. Governança proporcional: o que muda para consultório, clínica e hospital

Para consultórios, a governança pode ser enxuta, mas não inexistente. O mínimo necessário inclui inventário das ferramentas usadas, política explícita sobre quais sistemas podem receber dados de pacientes, checagem de base legal e segurança, registro em prontuário quando a IA apoiar decisão clínica, orientação ao paciente quando houver uso relevante e treinamento básico do médico e da equipe. O princípio é proporcionalidade, não improviso.

Para clínicas, o nível de exigência sobe. Já se torna recomendável comitê interno ou, ao menos, responsável formal por IA, matriz de risco por caso de uso, fluxo de homologação tecnológica, critérios de contratação de fornecedores, processo de incidentes, revisão periódica de desempenho e política de consentimento/informação. Clínicas multiespecialidade, com imagem, laboratório, triagem digital ou atendimento remoto, já operam em território de médio a alto risco em diversas aplicações.

Para hospitais, públicos ou privados, a governança de IA deve ser tratada como função crítica de segurança assistencial. Quando houver sistema próprio, a própria resolução exige Comissão de IA e Telemedicina sob coordenação médica, subordinada à diretoria técnica. Na prática, isso pede arquitetura institucional com inventário centralizado, classificação de risco, comitê multidisciplinar, monitoramento contínuo, auditoria especializada, indicadores por linha de cuidado, gestão do ciclo de vida do modelo, evidências de validação e plano de resposta a falhas algorítmicas.

9. Agenda mínima e urgente de implementação

Uma agenda institucional séria de governança de IA para o setor saúde deveria começar por dez frentes simultâneas: (1) inventário completo dos casos de uso; (2) classificação preliminar de risco; (3) política de dados e privacidade para IA; (4) revisão contratual de fornecedores; (5) protocolo de supervisão humana; (6) documentação clínica e rastreabilidade em prontuário; (7) avaliação de viés, acurácia e segurança; (8) fluxo de incidentes e descontinuação; (9) capacitação periódica de médicos e equipes; e (10) instância formal de governança com participação da diretoria técnica, jurídico, privacidade, segurança da informação e áreas assistenciais. A urgência deriva do fato de que a transição regulatória já está em curso e os sistemas em uso também serão alcançados quando a norma entrar em vigor.

Também é indispensável alinhar IA, prontuário eletrônico e guarda documental. A Lei nº 13.787/2018 exige integridade, autenticidade, confidencialidade, proteção contra acessos não autorizados e valor probatório do documento digital, além de regras de guarda e eliminação.

Portanto, se a IA influencia atendimento, produz sumários, sugere condutas, classifica risco ou altera fluxos clínicos, a instituição precisa definir o que será registrado, como será armazenado, quem poderá auditar e como será preservada a cadeia de evidências assistenciais.

Conclusão

A Resolução CFM nº 2.454/2026 inaugura, na prática médica brasileira, um novo padrão de diligência. A partir dela, não basta alegar inovação, ganho de eficiência ou adesão de mercado: será necessário provar governança, segurança, transparência, supervisão humana, respeito à autonomia do paciente, adequação ética e conformidade com proteção de dados. A instituição de saúde que não internalizar essa lógica enfrentará risco acumulado: ético-profissional, assistencial, regulatório, contratual, reputacional e judicial.

Por isso, a governança de IA deixou de ser pauta de futuro para tornar-se infraestrutura obrigatória de cuidado seguro. Em consultórios, ela deve ser proporcional e operacional. Em clínicas, deve ser formal e mensurável. Em hospitais e instituições públicas, deve ser sistêmica, multidisciplinar e auditável.

A urgência não decorre de modismo tecnológico, mas do encontro entre direito à saúde, ética médica, proteção de dados e aumento real da dependência algorítmica no cuidado. Quem se antecipar construirá confiança; quem adiar governança poderá experimentar a inovação pelo pior caminho possível: o da crise.