A 26 de agosto entra em vigor o marco do CFM para inteligência artificial na medicina; veja como ele se conecta à LGPD e o que o Encarregado precisa preparar.
O que aconteceu
A IA na medicina deixou de ser tema apenas de inovação para se tornar obrigação regulatória concreta. O Conselho Federal de Medicina publicou a Resolução CFM nº 2.454/2026, deliberada em 11 de fevereiro e publicada em 27 de fevereiro de 2026, que estabelece regras para pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e uso responsável de sistemas de IA aplicados à medicina.
A norma prevê 180 dias de adaptação. O prazo final é 26 de agosto de 2026, agora a menos de dois meses. Para hospitais, clínicas, laboratórios e plataformas de saúde digital que já operam ferramentas de apoio diagnóstico, triagem ou sumarização de prontuário, a contagem regressiva já começou.
O ponto central da resolução é a primazia da decisão médica. A IA passa a ser ferramenta exclusivamente de apoio às decisões diagnósticas, terapêuticas e prognósticas, cabendo sempre ao médico a decisão final. A norma também veda expressamente que se delegue à inteligência artificial a comunicação de diagnósticos, prognósticos ou decisões terapêuticas ao paciente.
Por que isso importa para o setor de saúde
A Resolução CFM 2.454/2026 não vive isolada. Ela conversa diretamente com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), porque praticamente todo sistema de IA clínica processa dados pessoais sensíveis. O artigo 11 da LGPD classifica os dados referentes à saúde como sensíveis e impõe bases legais específicas e mais rígidas para o seu tratamento.
Há ainda a sobreposição com o artigo 20 da LGPD, que assegura ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados que afetem seus interesses. A exigência ética do CFM, de manter o médico como decisor final, e a exigência legal da LGPD, de garantir intervenção humana e revisão, apontam para o mesmo lugar: não pode haver automação cega em saúde.
Esse encontro de normas chega num momento de fiscalização crescente. A ANPD incluiu inteligência artificial e tecnologias emergentes entre os temas prioritários do seu Mapa de Temas Prioritários para o biênio 2026-2027, ao lado da proteção de dados sensíveis. O planejamento institucional prevê ao menos dez ações de fiscalização até o fim de 2026 envolvendo dados de saúde, biometria e informações financeiras. A combinação de marco ético setorial com agenda fiscalizatória ativa eleva o risco para quem ainda trata IA clínica como projeto experimental sem governança.
Implicações práticas para o Encarregado e o gestor
Para o Encarregado de dados, a Resolução CFM 2.454/2026 funciona como um gatilho de revisão de toda a cadeia de governança de IA. Alguns pontos exigem atenção imediata.
Primeiro, mapeamento. É preciso saber quais sistemas de IA estão em uso ou em piloto na instituição, quais dados pessoais alimentam esses sistemas, com que finalidade e sob qual base legal do artigo 7º ou do artigo 11 da LGPD.
Segundo, avaliação de impacto. Tratamentos de alto risco com dados sensíveis e decisões de saúde justificam a elaboração do Relatório de Impacto à Proteção de Dados Pessoais, previsto no artigo 38 da LGPD. O RIPD documenta riscos, salvaguardas e medidas de mitigação, e é exatamente o tipo de evidência que a ANPD costuma solicitar.
Terceiro, transparência e rastreabilidade. Tanto o CFM quanto a LGPD, em seu artigo 6º, inciso VI, exigem transparência. O paciente precisa saber, em linguagem clara, quando uma ferramenta de IA participa do seu cuidado, e a instituição precisa manter trilhas de auditoria que permitam reconstruir como cada decisão de apoio foi produzida.
Quarto, contratos com fornecedores. Boa parte das soluções de IA clínica é contratada de terceiros (operadores, na linguagem da LGPD). Os contratos devem prever obrigações de segurança, finalidade, registro de operações e cooperação em incidentes, em linha com os artigos 39 e 46 da LGPD.
O que fazer a partir de agora
Com o prazo de 26 de agosto se aproximando, a recomendação é tratar a adequação como projeto com dono, cronograma e evidências. Um roteiro mínimo inclui:
- Inventariar todos os sistemas de IA que tocam dados de saúde e classificar seu nível de risco.
- Revisar ou elaborar o RIPD para os tratamentos de maior risco.
- Definir e documentar o ponto de decisão humana em cada fluxo, garantindo que o médico permaneça como responsável final.
- Atualizar avisos de privacidade e fluxos de consentimento ou de informação ao titular.
- Revisar contratos com fornecedores de IA e suas garantias de segurança e auditabilidade.
- Estabelecer registro de incidentes e fluxo de notificação compatível com os prazos da regulação da ANPD.
A conformidade não se prova com a simples existência de documentos. A fiscalização tende a avaliar a efetividade das práticas e a coerência entre o discurso institucional e a operação real. Política sem execução não protege a instituição.
Como o ecossistema HDPO pode ajudar
A interseção entre a Resolução CFM 2.454/2026 e a LGPD é precisamente o terreno em que a atuação do Encarregado se torna estratégica. A HDPO apoia instituições de saúde na construção de governança de IA defensável, da elaboração do RIPD à revisão contratual de fornecedores, passando pela estruturação de trilhas de auditoria e canais do titular. Por meio do PROTEGON e do modelo de DPO as a Service, a operação de conformidade deixa de ser um conjunto de documentos parados e passa a ser um processo vivo, com evidências prontas para um eventual pedido da ANPD.
A sua instituição já mapeou quais sistemas de IA tocam dados de pacientes e quem responde pela decisão final em cada um deles? Faltando menos de dois meses para o prazo do CFM, vale a conversa. Fale com a HDPO para uma análise de prontidão em governança de IA e proteção de dados na saúde.
Sua instituição já mapeou quais sistemas de IA tocam dados de pacientes e quem responde pela decisão final em cada um deles? Faltando menos de dois meses para o prazo do CFM, fale com a HDPO para uma análise de prontidão em governança de IA e proteção de dados na saúde.
Fontes
