Análise – Direito Médico e Inteligência Artificial
A Resolução CFM nº 2.454/2026 – publicada no DOU em 27 de fevereiro de 2026 e exigível a partir de 26 de agosto de 2026 – inaugura o primeiro regime setorial detalhado de Inteligência Artificial no Brasil. Em síntese: a IA é ferramenta de apoio, nunca de substituição; a decisão e a responsabilidade final permanecem com o médico; o uso de IA deve ser registrado em prontuário; os sistemas são classificados por risco (baixo, médio, alto, inaceitável); e as instituições devem estruturar governança algorítmica sob o Diretor Técnico. Abaixo, o que muda para médicos e healthtechs – e o checklist até agosto.
Baixar a análise completa em PDF
Um regime setorial que não esperou a lei federal
O Conselho Federal de Medicina optou pela self-regulation, antecipando-se ao Marco Legal da IA (PL 2.338/2023) e preenchendo um vácuo normativo que gerava insegurança a profissionais e healthtechs. A Resolução tem caráter infralegal e convive com a LGPD e o Marco Civil da Internet; em caso de conflito com a futura lei federal de IA, de hierarquia superior, deverá ser ajustada. Sua motivação (art. 1º) é a segurança do paciente, a transparência algorítmica e a proteção de direitos fundamentais.
Conceitos que definem o risco e a responsabilidade
A precisão terminológica delimita a extensão do risco. A norma distingue o modelo de IA (núcleo lógico) do sistema de IA (estrutura que processa dados e gera outputs), tipifica a IA generativa e os LLMs e exige auditabilidade e explicabilidade contra o problema da "caixa-preta". Introduz a Avaliação de Impacto Algorítmico (AIA), contínua por todo o ciclo de vida, e identifica os agentes: desenvolvedor, distribuidor e usuário (interno, o profissional de saúde; externo, o paciente).
O médico no centro: deveres e prerrogativas
A IA é ferramenta de apoio, jamais de substituição. O médico pode recusar sistemas sem validação científica ou certificação, não está obrigado a seguir recomendações de forma acrítica e conta com cláusula de exclusão de responsabilidade por falhas exclusivas do sistema – desde que comprove uso diligente e crítico. Em contrapartida, deve manter supervisão humana permanente (é vedada a decisão automatizada sem mediação), registrar em prontuário o uso de IA – a omissão pode ser lida como negligência – e confrontar os outputs com a evidência científica e o quadro clínico. É proibido delegar à IA a comunicação de diagnósticos e usá-la em publicidade que fira a ética médica.
Governança obrigatória nas instituições
A governança algorítmica deixa de ser boa prática e torna-se exigência com responsabilização do corpo diretivo. O Diretor Técnico responde pessoalmente pela fiscalização e pelas diretrizes de segurança, ética e transparência (art. 14); instituições que adotem sistemas próprios devem criar a Comissão de IA e Telemedicina; a norma orienta a preferência por soluções auditáveis (código aberto ou customizável) e exige interoperabilidade, inclusive com o SUS.
Responsabilidade civil e ética
O médico permanece como responsável primário (art. 7º), mas a norma cria uma defesa contra o arbítrio tecnológico: a cláusula de exclusão exige prova positiva do julgamento crítico – não basta alegar que o sistema falhou; é preciso demonstrar que se seguiram os protocolos e que a falha era imprevisível à supervisão diligente. Há ainda dever de gestão de danos – comunicar falhas e riscos às instâncias competentes –, sob pena de sanção ética no CRM e reparação civil pelo nexo causal entre o uso inadequado e o dano.
Proteção de dados sensíveis
Em simbiose com a LGPD, exige-se privacy by design e by default (arts. 16 e 17). O uso de dados de pacientes para treinar ou aprimorar modelos depende de base legal idônea, finalidade informada e, preferencialmente, anonimização. E há dever de segurança contra acessos não autorizados, vazamentos e destruição de dados, sob responsabilidade administrativa e ética.
Classificação por risco
A regulação escalona o rigor da auditoria conforme o potencial de dano:
- Baixo – impacto mínimo, sem influência decisória direta (agendamento, logística): revisão periódica simplificada.
- Médio – impacto adverso mitigável por supervisão ativa (suporte à decisão clínica): monitoramento de desempenho e vieses.
- Alto – potencial de dano físico ou moral (cirurgia, triagem crítica, diagnóstico autônomo): validação rigorosa e auditorias regulares.
- Inaceitável – fere direitos fundamentais ou a ética médica: proibição ex ante (categoria criada no art. 13, mas ainda não exemplificada).
Lacunas que merecem atenção
O "risco inaceitável" foi criado (art. 13), mas o Anexo II é omisso em defini-lo – há insegurança sobre o que poderá ser sumariamente proibido. O direito de recusa do paciente carece de operacionalização, faltando regras sobre fluxos manuais paralelos quando a IA opera como infraestrutura de fundo (recomendam-se Procedimentos Operacionais Padrão). E persiste a fragilidade na competência do CFM para disciplinar o desenvolvimento de software – matéria civil/comercial –, o que pode ensejar judicialização e conflito com a futura Autoridade Nacional de IA.
O que fazer até 26 de agosto de 2026
O prazo de adequação expira em 26 de agosto de 2026; a inércia expõe a riscos éticos e civis.
Instituições de saúde
- Inventariar todas as IAs em uso e classificá-las por risco.
- Instituir a Comissão de IA e Telemedicina, se utilizar sistemas próprios.
- Revisar contratos com fornecedores – alocação de riscos e direito de auditoria.
- Informar os pacientes sobre o uso de suporte algorítmico.
- Formalizar as diretrizes de ética e transparência sob o Diretor Técnico.
Médicos
- Registrar no prontuário o uso da IA e o exercício do julgamento crítico.
- Questionar resultados que fujam aos critérios clínicos e científicos.
- Garantir a ciência do paciente e o direito à segunda opinião.
- Utilizar apenas ferramentas com validação técnica e ética pela instituição.
