Resumo

A entrada em vigor da Resolução CFM nº 2.454/2026 inaugura um novo patamar de exigência para o uso de inteligência artificial na medicina no Brasil. A norma deixa claro que a IA pode ser usada como ferramenta de apoio à prática médica, à gestão em saúde, à pesquisa e à educação continuada, mas não substitui a autoridade decisória do médico, nem afasta a necessidade de supervisão humana, proteção de dados, transparência e governança institucional. Nesse cenário, o tema central deixa de ser apenas inovação tecnológica e passa a ser compliance regulatório, ético e assistencial. O presente artigo analisa os principais deveres normativos e propõe um modelo de compliance aplicável a consultórios, clínicas e hospitais, públicos e privados, com base na resolução do CFM, na LGPD, no Código de Ética Médica, na legislação de telessaúde, na disciplina do prontuário eletrônico e em diretrizes internacionais de governança de IA em saúde.

Palavras-chave: inteligência artificial na medicina; compliance em saúde; governança de IA; CFM 2.454/2026; LGPD; consultórios; clínicas; hospitais.

1. Introdução

A adoção de soluções de inteligência artificial na medicina já alcança atividades assistenciais, administrativas, diagnósticas, documentais e de relacionamento com pacientes. Ferramentas de sumarização clínica, copilotos de prontuário, sistemas de apoio à decisão, triagem automatizada, classificação de risco, leitura assistida de exames e chatbots médicos passaram a integrar rotinas antes exclusivamente humanas. A publicação da Resolução CFM nº 2.454/2026, porém, altera a lógica de adoção dessas tecnologias: o uso da IA na medicina agora depende de enquadramento ético, gestão de risco, auditoria, monitoramento, supervisão humana e responsabilidade profissional.

A resolução estabelece normas para pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e uso responsável de sistemas de IA na área médica. Além disso, determina que instituições públicas e privadas que desenvolvam ou utilizem IA realizem avaliação preliminar de risco, classifiquem a solução por grau de risco e adotem mecanismos internos de governança proporcionais ao impacto da tecnologia. Para fins práticos, isso significa que consultórios, clínicas e hospitais precisam migrar de uma lógica experimental para uma lógica de compliance estruturado.

2. O que a Resolução CFM nº 2.454/2026 exige das instituições de saúde

A resolução assegura ao médico o direito de utilizar IA como apoio à prática médica, à decisão clínica, à gestão, à pesquisa científica e à educação médica continuada, mas condiciona esse uso ao respeito aos limites éticos e legais da profissão. O médico também tem direito a informações claras sobre finalidades, limitações, riscos e evidência científica da solução; pode recusar sistemas sem validação ou sem certificação pertinente; e não pode ser compelido a seguir automaticamente a recomendação da máquina. Por outro lado, permanece responsável final pelas decisões clínicas, diagnósticas, terapêuticas e prognósticas, devendo exercer julgamento crítico, manter-se atualizado e registrar em prontuário o uso da IA como apoio à decisão.

A norma também protege o paciente. O uso relevante de IA no cuidado deve ser informado de forma clara e acessível; é vedado delegar à IA a comunicação de diagnósticos, prognósticos ou decisões terapêuticas sem mediação humana; e a aplicação da tecnologia não pode comprometer empatia, escuta qualificada, confidencialidade nem dignidade da pessoa humana. O paciente mantém direito à informação clara, à segunda opinião, à privacidade e à não submissão a intervenções experimentais sem consentimento específico.

No plano organizacional, a resolução impõe avaliação preliminar de risco, categorização da solução em risco baixo, médio, alto ou inaceitável, adoção de processos internos de governança e, no caso de instituições com sistemas próprios de IA, criação de Comissão de IA e Telemedicina sob coordenação médica e subordinada à diretoria técnica. O anexo da norma ainda trata de transparência, mitigação de vieses discriminatórios, gestão do ciclo de vida, interoperabilidade, revisão periódica, acesso de órgãos de controle e atribuição de responsabilidade ao diretor técnico pela fiscalização e diretrizes de segurança, ética e transparência.

3. Compliance em IA na medicina: conceito e função

No contexto da saúde, compliance para IA não deve ser entendido apenas como cumprimento formal da norma. Trata-se de um sistema de integridade técnica, ética, jurídica e assistencial voltado a garantir que a solução tecnológica seja adequada ao contexto clínico, não produza dano desproporcional, respeite direitos fundamentais, permita supervisão humana e gere evidências de conformidade. Em outras palavras, compliance em IA médica é a capacidade institucional de demonstrar que a tecnologia foi escolhida, implantada, usada e monitorada de modo seguro, transparente, rastreável e eticamente justificável.

Essa leitura é coerente com a Lei Geral de Proteção de Dados Pessoais – LGPD, que considera dados de saúde como dados pessoais sensíveis, exige base legal adequada, impõe medidas técnicas e administrativas de segurança, assegura direitos aos titulares e prevê revisão de decisões tomadas unicamente com base em tratamento automatizado. Também converge com a agenda regulatória da ANPD, que incluiu inteligência artificial, tratamento de dados de alto risco, dados de saúde, medidas de segurança, relatório de impacto e governança entre seus temas prioritários.

4. Estrutura mínima de compliance para aplicação da norma

4.1 Inventário e mapeamento dos sistemas de IA

O primeiro passo de compliance é identificar todas as soluções de IA já em uso ou em contratação. Isso inclui ferramentas clínicas, administrativas, documentais, laboratoriais, de imagem, teleatendimento, relacionamento com pacientes, transcrição, sumarização, predição e automação de rotinas. Sem inventário, a instituição não consegue classificar risco, avaliar impacto, controlar acesso a dados nem comprovar conformidade. A própria resolução alcança sistemas já em desenvolvimento ou em uso na data de vigência, o que torna indispensável o mapeamento retrospectivo.

4.2 Classificação de risco e avaliação preliminar

A resolução obriga as instituições médicas, públicas ou privadas, que desenvolvam ou utilizem IA a realizar avaliação preliminar para definir o grau de risco da solução, considerando impacto sobre direitos fundamentais e saúde, criticidade do contexto de uso, autonomia do sistema, finalidade e sensibilidade dos dados. Esse requisito deve ser traduzido em procedimento documentado, com critérios objetivos e registro das justificativas. Ferramentas administrativas simples tendem a ser de baixo risco; soluções de apoio clínico podem ser de médio risco; sistemas que influenciam decisões críticas ou pacientes vulneráveis se aproximam do alto risco.

4.3 Política institucional de uso de IA

Toda instituição que utilize IA na medicina deve possuir política interna aprovada pela direção, com regras sobre casos de uso permitidos, restrições, critérios de contratação, tratamento de dados, revisão humana, responsabilidade dos usuários, monitoramento, documentação e resposta a incidentes. A ausência de política gera informalidade operacional e dificulta prova de diligência. A política precisa refletir os deveres da resolução e dialogar com regras de privacidade, prontuário, telessaúde, segurança da informação e ética médica.

4.4 Governança formal e definição de responsáveis

O anexo da norma atribui ao diretor técnico a responsabilidade pela fiscalização e pelas diretrizes de segurança, ética e transparência no uso da IA. Nas instituições que adotarem sistemas próprios, é necessária Comissão de IA e Telemedicina. Ainda que o consultório ou a clínica não esteja obrigada a criar colegiado formal amplo, deve haver ao menos uma estrutura mínima de responsabilização, com definição clara de quem aprova, quem monitora, quem responde por incidentes e quem valida mudanças de uso. Em hospitais, a governança deve ser multidisciplinar, envolvendo corpo clínico, diretoria técnica, jurídico, proteção de dados, segurança da informação, qualidade e áreas assistenciais.

4.5 Supervisão humana obrigatória

A resolução afirma expressamente que as soluções apresentadas pelos sistemas de IA não são soberanas e que a supervisão humana é obrigatória. Em compliance, isso exige protocolos operacionais claros: quando o médico deve revisar a saída do sistema, quando pode rejeitá-la, como justificar divergência, em quais contextos a IA não pode operar sozinha e quais alertas devem ser escalados. A instituição que não define esses fluxos corre o risco de permitir delegação indevida de atos médicos.

4.6 Registro em prontuário e rastreabilidade

O médico tem o dever de registrar no prontuário do paciente o uso de sistemas de IA como apoio à decisão médica. Em consequência, o programa de compliance deve estabelecer padrão mínimo de anotação: qual sistema foi usado, para qual finalidade, em que etapa do cuidado, qual foi o peso da recomendação e qual decisão final humana foi adotada. Esse ponto também se conecta à Lei nº 13.787/2018, que exige integridade, autenticidade, confidencialidade e valor probatório do prontuário digital.

4.7 Transparência com o paciente

A norma determina que o paciente seja informado, de forma clara e acessível, quando a IA for utilizada como apoio relevante em seu cuidado, diagnóstico ou tratamento. Portanto, compliance exige mecanismos de informação adequados: cláusulas contratuais, termos de consentimento quando cabíveis, avisos de privacidade, comunicações no fluxo assistencial e treinamento da equipe para explicar o papel da tecnologia. Transparência aqui não é opcional; é requisito ético-regulatório.

4.8 Proteção de dados e segurança da informação

Dados utilizados no desenvolvimento, treinamento, validação e implementação de IA na medicina devem observar rigorosamente a proteção geral de dados pessoais e normas específicas de segurança da informação em saúde. A LGPD reforça a sensibilidade dos dados de saúde, exige medidas técnicas e administrativas aptas a protegê-los, prevê comunicação de incidentes e impõe atenção especial às bases legais e aos direitos dos titulares. Em programas de compliance, isso implica controle de acesso, minimização de dados, segregação de ambientes, criptografia, gestão de terceiros, logs, revisão de contratos e, quando necessário, elaboração de RIPD.

4.9 Gestão de fornecedores e soluções “caixa-preta”

A instituição não pode terceirizar seu dever de diligência ao fornecedor. A resolução assegura ao médico o direito a informações claras sobre funcionamento, limitações, riscos e evidência científica do sistema. Logo, contratos de IA em saúde devem conter critérios de validação, obrigações de segurança, documentação mínima, atualização controlada, suporte à auditoria, rastreabilidade, gestão de incidentes, exclusão ou devolução segura de dados e cooperação com órgãos de controle. Contratar sistema opaco, sem capacidade mínima de avaliação, é risco de compliance.

4.10 Monitoramento, auditoria e viés

O anexo da resolução exige monitoramento contínuo dos outputs da IA, análise de resultados para identificação de vieses e adoção de medidas corretivas, inclusive ajuste, retreinamento, restrição de uso ou descontinuação. Isso é especialmente relevante em triagem, priorização de atendimento, imagem, predição de risco e qualquer cenário em que o sistema possa afetar grupos populacionais de forma desigual. Em compliance, recomenda-se definir indicadores mínimos de desempenho, acurácia, segurança, estabilidade e viés por população atendida.

4.11 Capacitação e alfabetização em IA

A resolução inclui capacitação entre seus eixos estruturantes. Não há programa de compliance eficaz sem treinamento dos profissionais que usam a tecnologia. Médicos e equipes precisam compreender limites, riscos, vieses, formas de registro, deveres de informação ao paciente, segurança de dados e critérios para aceitar ou rejeitar recomendações algorítmicas. Esse ponto também converge com o movimento internacional, que destaca literacy e human oversight como pilares da governança ética da IA.

5. Aplicação prática por porte e perfil institucional

5.1 Compliance em consultórios

Nos consultórios, a estrutura pode ser proporcionalmente mais simples, mas não pode ser inexistente. O mínimo recomendável é manter inventário das ferramentas utilizadas, verificar se há entrada de dados de pacientes nessas soluções, definir quais usos são proibidos, registrar no prontuário o apoio relevante de IA, informar o paciente quando aplicável e assegurar revisão humana integral. Também é prudente formalizar termo interno de uso de IA e checklist de contratação de fornecedores. O pequeno porte reduz a complexidade, mas não elimina deveres éticos nem proteção de dados sensíveis.

5.2 Compliance em clínicas

Clínicas com várias especialidades, centros diagnósticos e operações com telessaúde exigem maior formalização. Aqui já se recomenda política institucional de IA, responsável interno designado, fluxo de classificação de risco, processo de homologação de soluções, documentação de treinamento e canal de reporte de incidentes. Quando houver uso mais intenso de IA em laudos, imagem, triagem ou telemonitoramento, a clínica deve se aproximar de práticas hospitalares de governança, ainda que em escala menor.

5.3 Compliance em hospitais

Nos hospitais, públicos ou privados, o compliance em IA deve ser tratado como função crítica de segurança assistencial e governança corporativa. Em instituições com sistemas próprios, a Comissão de IA e Telemedicina prevista na resolução deve operar de modo ativo, com critérios de aprovação, revisão periódica, documentação de impactos e monitoramento contínuo. Hospitais também precisam integrar IA aos programas de qualidade, gestão de risco, privacidade, segurança da informação, integridade clínica e governança do prontuário. Quanto maior o volume de pacientes e a criticidade do cuidado, maior a necessidade de estrutura formal, trilha de auditoria e supervisão independente.

6. Relação entre compliance, ética médica e proteção de dados

O Código de Ética Médica continua plenamente aplicável. O médico não pode causar dano por imperícia, imprudência ou negligência; sua responsabilidade é pessoal; deve respeitar a autonomia do paciente; e está obrigado ao sigilo profissional. A resolução sobre IA não substitui o CEM; ela o concretiza em ambiente tecnológico. Assim, o compliance em IA é também mecanismo de preservação da ética médica, pois cria barreiras contra automatismo acrítico, uso irresponsável de dados, opacidade decisória e enfraquecimento da relação médico-paciente.

A proteção de dados ocupa posição central nesse arranjo. A ANPD já indicou que a boa governança de IA deve ser transparente, preventiva, monitorada e compatível com o direito de contestar e solicitar revisão de decisões automatizadas. Em paralelo, a autoridade tem demonstrado, inclusive em medidas cautelares envolvendo treinamento de IA, que falta de transparência, base legal inadequada e limitação de direitos dos titulares são riscos regulatórios concretos. Para o setor saúde, isso reforça que o programa de compliance de IA não pode ser separado do programa de governança de dados.

7. Perspectiva internacional e reforço das melhores práticas

A governança proposta pelo CFM está alinhada às principais diretrizes internacionais. A OMS afirma que a IA em saúde deve colocar ética e direitos humanos no centro de seu desenho, implantação e uso. A UNESCO destaca proporcionalidade, segurança, privacidade, responsabilidade, transparência, supervisão humana e não discriminação. A OCDE trata robustez, segurança, transparência, accountability e respeito a direitos fundamentais como bases da IA confiável. Isso confirma que compliance em IA médica não é burocracia local, mas requisito de maturidade institucional reconhecido globalmente.

8. Conclusão

A Resolução CFM nº 2.454/2026 torna inviável a adoção informal de inteligência artificial na medicina. A partir dela, o uso institucional de IA depende de inventário, classificação de risco, política interna, supervisão humana, segurança de dados, rastreabilidade, gestão de fornecedores, capacitação e monitoramento contínuo. Em consultórios, essas exigências devem ser implementadas com proporcionalidade. Em clínicas, precisam ganhar formalização. Em hospitais, exigem governança robusta e multidisciplinar.

Mais do que evitar sanções éticas ou exposição regulatória, o compliance em IA médica protege a qualidade do cuidado, a confiança do paciente e a autonomia clínica. O verdadeiro objetivo da norma não é impedir inovação, mas garantir que a inovação seja incorporada com responsabilidade, segurança e centralidade humana. Instituições que estruturarem governança agora terão melhores condições de demonstrar diligência, reduzir riscos e usar IA de forma compatível com a medicina brasileira.