CFM 2.454/2026: o novo marco jurídico da IA na saúde

A pergunta que a Resolução CFM n.º 2.454/2026 coloca ao setor da saúde não é nova, mas ganhou prazo: sua instituição sabe, com precisão, quais sistemas de IA estão sendo usados, para quais finalidades e sob responsabilidade de quem?

Até agosto de 2026, essa resposta precisa estar não apenas na memória dos gestores, mas documentada, auditável e respaldada por políticas internas de governança. A norma não inaugura um novo paradigma regulatório. Ela traduz, para o contexto clínico, obrigações que a LGPD e o Marco Legal de IA já impunham em caráter geral.

O que muda é a especificidade das exigências e a proximidade do prazo. Com prazo em agosto de 2026, a norma passa a ser obrigatória e ignorá-la não é apenas um risco ético, é um risco jurídico concreto.

A Resolução CFM 2.454/2026 não surgiu no vácuo regulatório. Ela operacionaliza, no contexto da saúde, o que a Lei Geral de Proteção de Dados (Lei n.º 13.709/2018) e o Código de Ética Médica já estabeleciam em termos gerais. Trata-se de uma norma setorial de segundo nível: não cria deveres novos do ponto de vista sistêmico, mas especifica, para o ambiente da Medicina, o conteúdo e a forma das obrigações que essas legislações federais já impunham a quem utiliza sistemas de IA no cuidado ao paciente.

A consequência prática é direta: quem já utiliza IA em diagnóstico, triagem, monitoramento ou suporte à decisão clínica em desconformidade com a LGPD não enfrenta apenas uma lacuna regulatória — enfrenta um passivo jurídico em construção. A Resolução CFM 2.454/2026 não cria a exposição; ela a torna juridicamente visível.

A CFM 2.454/2026 estrutura obrigações em torno de quatro eixos principais, que precisam estar implementados até agosto:

Supervisão médica efetiva: nenhuma decisão clínica relevante pode ser delegada ao sistema de IA sem que haja um médico responsável por avaliar, validar e registrar a conduta. O sistema auxilia; o médico decide.

Transparência ao paciente: o uso de ferramentas de IA no diagnóstico ou tratamento deve ser informado ao paciente de forma clara, compreensível e documentada, respeitando o direito à informação previsto no Código de Ética Médica e na LGPD.

Governança dos sistemas: clínicas e hospitais precisam manter registros sobre quais sistemas de IA estão em uso, para quais finalidades, com quais dados são alimentados e quem responde tecnicamente por eles. Isso inclui, necessariamente, a revisão de contratos com fornecedores de tecnologia.

Gestão de riscos e incidentes: é obrigatório ter procedimentos documentados para identificar falhas, erros ou vieses nos sistemas de IA e para comunicar incidentes quando necessário, obrigação que dialoga diretamente com o art. 48 da LGPD.

A Resolução não se dirige apenas ao médico individual. Ela alcança diretores técnicos, administradores de estabelecimentos de saúde e gestores de TI envolvidos na implantação e operação de sistemas de IA. A responsabilidade é compartilhada e a ausência de política interna de governança de IA pode ser interpretada como negligência institucional perante o Conselho Federal de Medicina (CFM), a Anvisa, a Autoridade Nacional de Proteção de Dados (ANPD) e o Judiciário.

O ponto de partida é o inventário. Antes de qualquer revisão contratual ou elaboração de política interna, é preciso saber quais sistemas de IA estão efetivamente em operação — incluindo aqueles incorporados a softwares de gestão clínica, prontuários eletrônicos ou plataformas de diagnóstico por imagem que nem sempre são identificados pelos gestores como ferramentas de IA.

Feito o mapeamento, o passo seguinte é a análise dos contratos com fornecedores de tecnologia: a Resolução atribui responsabilidades institucionais que precisam estar refletidas nas cláusulas de prestação de serviço, especialmente quanto à rastreabilidade dos dados e à alocação de responsabilidade em caso de falha. A etapa final é a formalização de uma política interna de governança de IA, alinhada à LGPD e ao Marco Legal, que defina fluxos de supervisão médica, procedimentos de registro e critérios para comunicação de incidentes. Cada uma dessas etapas demanda tempo e agosto não está distante.

Agosto de 2026 não é uma data simbólica. É o marco a partir do qual a não conformidade deixa de ser uma fragilidade regulatória para se tornar uma vulnerabilidade em qualquer processo ético, cível ou administrativo que envolva o uso de IA no cuidado ao paciente. O momento de agir é agora.

O texto acima expressa a visão de quem o assina, não necessariamente do Congresso em Foco. Se você quer publicar algo sobre o mesmo tema, mas com um diferente ponto de vista, envie sua sugestão de texto para [email protected].