Resumo
O Conselho Federal de Medicina (CFM) publicou norma em 27/02 que regulamenta o uso de inteligência artificial (IA) na prática médica, definindo responsabilidades, classificação de risco, exigências de governança e regras de proteção de dados. A resolução entra em vigor em 180 dias e reforça que a decisão clínica final permanece com o profissional.
Entre os pontos centrais estão a obrigatoriedade de registro em prontuário, o dever de informar o paciente quando a IA tiver papel relevante e o direito do paciente de recusar seu uso. A norma também prevê avaliação de risco em quatro níveis, auditorias e mecanismos contra vieses.
O que exatamente o CFM publicou?
O CFM publicou a Resolução CFM nº 2.454/2026, que normatiza o uso da inteligência artificial na medicina, estabelecendo normas para a pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e o uso responsável de soluções de inteligência artificial, equilibrando inovação e segurança nos serviços de saúde.
A resolução define modelos, sistemas e aplicações de inteligência artificial como ferramentas de apoio à decisão clínica, estabelecendo parâmetros para validação científica, certificação e limites de uso.
Quando a norma passa a valer?
A norma foi publicada em 27/02/2026 e entra em vigor em 180 dias, ou seja, em 26/08/2026.
Nesse período, instituições e profissionais devem ajustar políticas, processos e contratos com fornecedores de tecnologia para cumprir as novas obrigações.
O que muda na responsabilidade do médico?
A resolução reafirma que o profissional mantém a responsabilidade final por decisões diagnósticas, terapêuticas e prognósticas, mesmo quando apoiadas por IA. O texto também garante ao médico o direito de recusar sistemas sem validação científica ou certificação regulatória adequada.
Os médicos precisam registrar o uso de IA?
Sim. Há obrigação expressa de registrar no prontuário quando ferramentas de IA forem utilizadas como suporte à decisão clínica. Esse registro deve documentar o papel relevante da tecnologia no processo assistencial.
O paciente pode recusar o uso de IA?
Sim. O médico deve informar o paciente, de forma clara, quando sistemas de IA forem utilizados de maneira relevante em seu cuidado. O paciente tem o direito de recusar o uso dessas tecnologias, e sua decisão deve ser respeitada.
A IA pode comunicar diagnósticos sem médico?
A norma proíbe a delegação à IA da comunicação de diagnósticos e decisões terapêuticas sem mediação humana. Ou seja, não é admitida a substituição da autoridade médica pela execução automatizada de comunicações ou condutas clínicas.
Como a resolução classifica o risco dos sistemas?
Os sistemas deverão ser avaliados quanto ao grau de risco e classificados em quatro níveis: baixo, médio, alto ou inaceitável. Aplicações administrativas, como agendamento, são consideradas de baixo risco, enquanto ferramentas que influenciam decisões críticas são de alto risco, exigindo validação rigorosa e monitoramento contínuo.
Quais exigências de governança são previstas?
Hospitais e clínicas que desenvolvam ou contratem IA devem instituir processos internos de controle e, quando aplicável, criar uma Comissão de IA e Telemedicina subordinada à diretoria técnica. A norma prevê auditoria especializada, monitoramento permanente e avaliação de impacto algorítmico durante o ciclo de vida da tecnologia.
Como ficam a proteção de dados e a LGPD?
O CFM determina que o tratamento de informações de saúde observe a Lei Geral de Proteção de Dados Pessoais (LGPD) e adote princípios como privacy by design e privacy by default, expressões que indicam, respectivamente, a incorporação da privacidade desde a concepção e a configuração padrão mais protetiva. O uso de dados para treinamento e validação deve respeitar bases legais e padrões mínimos de segurança da informação.
O que a norma exige sobre vieses e auditoria?
A resolução exige monitoramento contínuo para identificar e corrigir vieses discriminatórios. Caso um viés não possa ser mitigado, o sistema deverá ser descontinuado. Órgãos de controle e conselhos regionais poderão acessar relatórios de auditoria e informações técnicas para fiscalização.
Qual o impacto para clínicas e hospitais?
Instituições precisarão revisar contratos com fornecedores de IA, adaptar prontuários eletrônicos para registrar o uso de ferramentas e estruturar processos de governança, auditoria e monitoramento. Investimentos em validação, certificação e segurança da informação serão necessários para soluções de maior risco.
Conclusão
Para empresários do setor de saúde, a nova norma do CFM exige ajustes operacionais e de governança: registro em prontuário, comunicação ao paciente, classificação de risco, proteção de dados e mecanismos de auditoria. Profissionais mantêm a responsabilidade final sobre atos clínicos e pacientes podem recusar o uso de IA.
