Foi publicada hoje (27) no Diário Oficial da União, a Resolução nº 2.454/2026, com três Anexos, aprovada pelo Conselho Federal de Medicina, que consolida um marco regulatório e posiciona o uso da inteligência artificial na medicina brasileira a partir de três eixos centrais: governança, gestão de riscos e garantia dos direitos e deveres dos médicos. O texto deixa explícito que a adoção da IA não é obrigatória, nem pode ser imposta por instituições, gestores ou fornecedores de tecnologia, preservando a autonomia profissional como princípio estruturante do ato médico.
Do ponto de vista da governança, a resolução impõe às instituições de saúde a responsabilidade de estruturar processos internos capazes de assegurar segurança, transparência, rastreabilidade e controle contínuo das soluções de IA utilizadas. Sistemas não podem operar como “caixas-pretas”. É exigida a existência de mecanismos formais de auditoria, monitoramento e revisão periódica, compatíveis com o impacto e o grau de risco de cada aplicação. Em ambientes hospitalares ou clínicos que adotem soluções próprias, a norma determina a criação de instâncias internas específicas, sob coordenação médica e vinculadas à diretoria técnica, responsáveis por supervisionar o uso ético da tecnologia e garantir que a decisão final permaneça humana.
Na governança interna a Resolução deixa claro que o Diretor Técnico da instituição passa a ser formalmente responsável pela fiscalização do uso da IA, bem como pelas diretrizes de segurança, ética e transparência. Essa atribuição reforça que a inteligência artificial não é um tema exclusivo da área de tecnologia da informação, mas uma responsabilidade médica e institucional, vinculada diretamente à direção técnica e ao cumprimento das normas profissionais.
A gestão de riscos passa a ser um elemento obrigatório. A resolução estabelece que toda solução de IA aplicada à medicina deve ser previamente avaliada e classificada segundo seu potencial de impacto sobre a saúde e os direitos fundamentais dos pacientes. Sistemas de baixo risco, voltados a tarefas administrativas ou operacionais, exigem controles proporcionais. Já aplicações de médio e alto risco, especialmente aquelas que influenciam decisões clínicas relevantes, demandam validação científica robusta, monitoramento constante e auditorias regulares. A norma reconhece que o risco não é estático: soluções podem ser reclassificadas ao longo do tempo, à medida que ganhem maior autonomia ou passem a operar em contextos mais sensíveis.
Nesse ambiente regulado, os direitos dos médicos são explicitamente protegidos. O profissional tem o direito de adotar a inteligência artificial como ferramenta de apoio, mas também o direito de não utilizá-la. Pode recusar sistemas que não apresentem validação científica adequada, certificação regulatória ou que contrariem princípios éticos e legais da medicina. Nenhuma recomendação algorítmica é soberana. O médico não pode ser compelido a seguir automaticamente sugestões geradas por sistemas de IA, nem sofrer sanções por optar por desligar ou não utilizar a tecnologia em determinada situação clínica, desde que atue de acordo com os preceitos técnicos e éticos da profissão.
Ao mesmo tempo, a resolução estabelece deveres rigorosos para os médicos que optarem pelo uso da IA. O primeiro deles é inequívoco: a inteligência artificial só pode ser utilizada como instrumento de apoio. A responsabilidade integral sobre diagnósticos, prognósticos, prescrições e decisões terapêuticas permanece com o médico. Cabe ao profissional exercer julgamento crítico permanente sobre as informações fornecidas pelos sistemas, avaliar coerência clínica, reconhecer limitações e vieses e confrontar os resultados com as evidências científicas disponíveis.
O uso da IA também gera deveres de transparência e registro. Sempre que a tecnologia for utilizada como apoio relevante à decisão médica, essa informação deve constar no prontuário do paciente. O médico tem a obrigação de informar o paciente, de forma clara e acessível, sobre o emprego da inteligência artificial em seu cuidado, respeitando sua autonomia e o direito à recusa informada. A comunicação de diagnósticos e decisões terapêuticas não pode ser delegada à tecnologia, exigindo mediação humana em todas as situações.
No campo dos dados, a resolução impõe obrigações reforçadas. O médico deve zelar pela confidencialidade, integridade e segurança das informações de saúde utilizadas por sistemas de IA, observando rigorosamente a legislação de proteção de dados. É vedado o uso de soluções que não garantam padrões mínimos de segurança compatíveis com a sensibilidade dos dados médicos, inclusive quando empregados para treinamento ou aprimoramento de modelos.
Ao estruturar esse conjunto de direitos e deveres, a norma deixa clara a opção regulatória do CFM: a inteligência artificial é admitida como ferramenta legítima de apoio à medicina, mas apenas dentro de um modelo de governança controlado, orientado por risco e ancorado na autonomia e na responsabilidade do médico. A inovação tecnológica é reconhecida, mas subordinada à ética, à proteção dos pacientes e à centralidade do cuidado humano, que permanece como fundamento inegociável da prática médica.
Boas práticas e responsabilidade
No Anexo III da Resolução nº 2.454/2026, o Conselho Federal de Medicina detalhou o núcleo operacional da governança da inteligência artificial na medicina que funcionará como um manual de boas práticas obrigatórias para instituições de saúde que desenvolvem, contratam ou utilizam sistemas de IA. O foco do texto está menos na tecnologia em si e mais na forma como ela deve ser controlada, supervisionada e integrada à rotina assistencial sem comprometer a ética médica, a segurança do paciente e a autonomia profissional.
A transparência aparece como eixo estruturante dessa governança. As instituições são obrigadas a divulgar informações básicas sobre o funcionamento das soluções de IA, suas finalidades, os tipos de dados utilizados e os mecanismos de supervisão adotados. Essa prestação de contas não se limita a relatórios técnicos internos, devendo ser feita em linguagem clara, em nível gerencial, de modo a permitir a compreensão por médicos, gestores e, sempre que possível, pela própria sociedade. A resolução deixa explícito que limitações conhecidas, eventuais vieses e medidas de mitigação precisam ser documentadas e comunicadas, resguardados apenas os segredos comerciais e dados confidenciais estritamente necessários.
Outro ponto central é a prevenção e mitigação de vieses discriminatórios ilegais ou antiéticos. O anexo impõe às instituições o dever de monitorar continuamente os resultados produzidos pela IA, com análises estratificadas que permitam identificar distorções entre grupos populacionais. A simples detecção de viés já aciona a obrigação de resposta imediata, seja por meio do ajuste do modelo, do retreinamento com bases de dados mais equilibradas ou, se necessário, da restrição de uso. Em situações mais graves, nas quais o viés não possa ser eliminado, o texto é taxativo ao prever a descontinuidade do sistema, priorizando a proteção dos pacientes e a justiça no cuidado em saúde.
A resolução também estimula fortemente a interoperabilidade e a colaboração. As instituições devem priorizar soluções de IA capazes de se integrar a diferentes sistemas de informação em saúde, evitando ilhas tecnológicas e a duplicação de esforços. O uso de padrões abertos, como APIs e protocolos reconhecidos no setor, é apresentado como diretriz preferencial, com o objetivo de ampliar a eficiência coletiva, facilitar o compartilhamento seguro de informações e permitir que diferentes entes do sistema de saúde se beneficiem das inovações, inclusive em articulação com bases públicas e sistemas nacionais.
Flexibilidade e adaptabilidade das soluções aparecem como critérios estratégicos de contratação e desenvolvimento. O anexo orienta a preferência por sistemas que permitam customização ao contexto local, seja por meio de código aberto, seja por soluções comerciais auditáveis e parametrizáveis. A norma afasta, de forma indireta, a adoção de sistemas totalmente fechados que não possam ser ajustados às peculiaridades clínicas, organizacionais ou epidemiológicas de cada instituição, reforçando a ideia de que a IA deve se adaptar à prática médica, e não o contrário.
Outro aspecto relevante é o tratamento da IA como um produto com ciclo de vida definido. A resolução exige que as soluções sejam geridas desde o levantamento de requisitos até a implantação, operação e melhoria contínua, com revisões periódicas, correção de falhas, atualização de modelos e controle rigoroso de novas funcionalidades. Essa abordagem busca evitar o uso prolongado de sistemas obsoletos, não auditados ou desalinhados com a evolução científica e regulatória.
O desenvolvimento de interfaces de interoperabilidade é tratado como política ativa. A criação de APIs e outros mecanismos de integração deve permitir a comunicação direta entre soluções de IA e sistemas de informação de saúde de outras instituições, inclusive do SUS, registros nacionais e bases de pesquisa. O objetivo é reduzir retrabalho, aumentar a eficiência do sistema como um todo e garantir que o compartilhamento de dados ocorra de forma segura, íntegra e consentida.
Por fim, o anexo assegura o acesso de órgãos de controle e entidades externas às informações necessárias para a supervisão independente. Conselhos de Medicina, comissões de ética em pesquisa, Ministério Público e outros órgãos fiscalizadores devem ter acesso apropriado a relatórios de auditoria, monitoramento e métricas de desempenho dos sistemas de IA, sempre que solicitado por autoridade competente. A colaboração institucional deixa de ser facultativa e passa a ser um dever, especialmente em sistemas classificados como de maior risco.
Em conjunto, o Anexo III deixa claro que a inteligência artificial, na visão do CFM, só é aceitável na medicina quando inserida em um modelo robusto de governança, com transparência, controle humano, mitigação ativa de riscos e abertura à fiscalização. A inovação tecnológica é admitida, mas estritamente condicionada à ética, à segurança e à responsabilidade institucional.
