Em 27 de fevereiro de 2026, o Conselho Federal de Medicina (CFM) publicou a Resolução nº 2.454/2026, destinada a normatizar o uso da Inteligência Artificial (IA) na prática médica em todo o território nacional. A norma representa um marco regulatório para um momento em que hospitais, clínicas e serviços de saúde enfrentam desafios e oportunidades decorrentes da crescente incorporação de sistemas de IA no apoio à decisão clínica, gestão em saúde, pesquisa e educação médica.
A publicação ocorre em um contexto de evolução acelerada das tecnologias de IA e seu ingresso em funções críticas da cadeia de cuidados de saúde. A norma reconhece que tais sistemas, desde algoritmos de suporte à decisão até ferramentas de interpretação de exames, trazem benefícios relevantes para eficiência, qualidade e segurança do atendimento, ao mesmo tempo em que impõem riscos éticos, clínicos e de governança.
A regulamentação, portanto, não tem apenas caráter técnico: ela proporciona segurança jurídica aos profissionais e às instituições, estabelecendo parâmetros claros de responsabilidade e limites para o uso da tecnologia. Ao institucionalizar diretrizes de transparência, auditoria, monitoramento e capacitação, o CFM contribui para que a IA seja empregada de forma confiável e alinhada aos valores da medicina.
Um dos pilares da Resolução é a definição de que sistemas de IA devem ser implementados sob estruturas robustas de governança de dados e tecnologia. Isso implica:
- Transparência e auditabilidade: acompanhar e registrar decisões assistidas por IA, com capacidade de rastreamento e explicabilidade.
- Consentimento e informação ao paciente: o paciente tem direito de ser informado, de forma clara e acessível, sempre que a IA for utilizada em sua atenção ou tratamento.
- Segurança e conformidade regulatória: validação científica, certificação regulatória e monitoramento contínuo são pressupostos para adoção responsável das ferramentas.
- Proteção de dados e privacidade: assegurar que fluxos de informação e decisões assistidas preservem os direitos fundamentais dos pacientes, em consonância com as melhores práticas de proteção de dados.
Esses elementos refletem diretamente a necessidade de programas estruturados de governança em dados, IA e privacidade, capazes de conciliar inovação com segurança e conformidade.
A Resolução deixa claro que a decisão final diagnóstica, terapêutica ou prognóstica é sempre de responsabilidade do médico, que não pode delegar essa autoridade a sistemas automatizados. Essa diretriz, além de ética e técnica, impõe desafios de governança:
- Profissionais de saúde devem ser capacitados e atualizados quanto às limitações e riscos dos sistemas de IA.
- Instituições de saúde precisam estabelecer controles operacionais e técnicos, como avaliações de risco, validação de sistemas, políticas de uso e auditorias contínuas.
- O Data Protection Officer (DPO) e os responsáveis por governança de tecnologia devem participar ativamente da incorporação e monitoramento de soluções de IA, garantindo que sejam observadas as normas éticas e regulatórias, inclusive no tratamento de dados sensíveis dos pacientes, um aspecto crítico em instituições de saúde.
A presença de um DPO experiente e de um Comitê de Governança que integre segurança da informação, compliance, privacidade e saúde digital torna-se, portanto, um fator de competitividade e mitigação de riscos neste novo cenário.
A Resolução confere ao paciente o direito de ser informado sobre o uso de IA em seu cuidado, inclusive quando tal tecnologia apoiar decisões clínicas. Essa exigência fortalece a relação médico-paciente e reforça princípios éticos fundamentais, como a autonomia, a transparência e o consentimento informado.
Do ponto de vista de governança, essa exigência implica que instituições de saúde adotem mecanismos claros de comunicação, políticas de consentimento específico e práticas que considerem a experiência e a percepção dos pacientes sobre o uso dessas tecnologias.
Ao instituir que a IA atua exclusivamente como ferramenta de apoio à decisão, a Resolução 2454/2026 reafirma:
- o compromisso ético do profissional médico;
- a necessidade de julgamento clínico crítico;
- a obrigatoriedade de registrar, no prontuário, o uso da tecnologia como suporte;
- e a proteção do médico contra responsabilização indevida por falhas atribuíveis à ferramenta, desde que tenha havido uso ético e diligente.
Essa configuração exige que as instituições de saúde estruturem políticas internas claras, processos de avaliação de conformidade, gestão de riscos e inovação responsável.
Diante deste novo marco regulatório, gestores de saúde são convidados a refletir sobre o atual estágio de suas instituições em relação à adoção responsável e governada da IA. A eficiência e a competitividade não podem prescindir de estruturas sólidas de gestão de dados, privacidade, risco, segurança da informação e compliance.
Nesse contexto, contar com suporte especializado é um diferencial estratégico. HDPO se posiciona como empresa especializada em governança de dados, privacidade, conformidade regulatória e implementação de programas de gestão de IA e proteção de dados em saúde. Nossa atuação abrange:
- avaliação de maturidade e riscos em IA e dados;
- estruturação de programas de governança em privacidade, IA e segurança;
- capacitação de equipes;
- mapeamento de processos e integração com conformidade regulatória;
- apoio à produção de evidências de uso ético e transparente de tecnologias.
A Resolução 2454/2026 não é apenas uma norma: é uma oportunidade para transformar a tecnologia em vantagem competitiva com responsabilidade, segurança e respeito ao paciente. O momento de agir é agora.
