IA na Medicina: O Que Muda com a Resolução CFM 2.454/2026

A inteligência artificial já está nos hospitais brasileiros. Algoritmos que analisam exames de imagem, sistemas de triagem automatizada, modelos preditivos de deterioração clínica e assistentes de decisão terapêutica já fazem parte do cotidiano de algumas instituições de saúde. Até agora, porém, não existia uma regulamentação específica do Conselho Federal de Medicina sobre como a IA deve ser usada na prática médica.

Isso mudou em 27 de fevereiro de 2026, quando o CFM publicou a Resolução nº 2.454/2026 — o primeiro marco regulatório brasileiro dedicado ao uso de inteligência artificial na medicina. A norma entra em vigor em agosto de 2026 (180 dias após a publicação) e afeta diretamente hospitais, clínicas, healthtechs, operadoras de saúde e qualquer instituição que desenvolva ou utilize sistemas de IA em contexto clínico.

Este artigo analisa o que a Resolução permite e proíbe, como ela se conecta com a LGPD e a regulamentação da ANPD, e o que sua instituição precisa fazer para estar em conformidade.

O que a Resolução CFM 2.454/2026 permite e proíbe

IA como apoio — nunca como substituto

O princípio central da Resolução é inequívoco: a inteligência artificial é uma ferramenta de apoio ao médico, nunca um substituto. A norma assegura ao profissional o direito de utilizar ferramentas de IA como apoio à decisão clínica, gestão em saúde, pesquisa científica e educação médica continuada — desde que respeitados os limites éticos e legais da profissão.

Em termos práticos, a Resolução proíbe expressamente que seja delegada à inteligência artificial:

A comunicação de diagnósticos ao paciente
A definição de prognósticos
As decisões terapêuticas finais

A decisão final permanece, em todos os casos, sob responsabilidade exclusiva do médico. Além disso, o profissional pode recusar-se a utilizar sistemas de IA que não tenham validação científica, certificação regulatória pertinente ou que contrariem princípios éticos, técnicos ou legais da medicina.

Classificação de risco dos sistemas de IA

A Resolução estabelece critérios para classificar sistemas de IA segundo quatro níveis de risco: baixo, médio, alto ou inaceitável. Os fatores considerados incluem:

Impacto nos direitos fundamentais do paciente
Complexidade do modelo de IA utilizado
Grau de autonomia do sistema na tomada de decisão
Sensibilidade dos dados utilizados no treinamento e operação

Sistemas de risco inaceitável — como aqueles que substituem completamente a decisão médica ou discriminam pacientes — são proibidos. Quanto maior o nível de risco, mais rigorosas são as exigências de governança, transparência e supervisão humana.

Transparência: o paciente deve saber

A Resolução CFM 2.454/2026 é explícita sobre o direito do paciente à informação. Os pacientes têm o direito de serem informados de forma clara e acessível sempre que a inteligência artificial for utilizada em seu atendimento. Essa exigência abrange:

Informação prévia sobre o uso de IA em procedimentos diagnósticos ou terapêuticos
Acesso a informações claras sobre seu estado de saúde, inclusive quando o diagnóstico contou com auxílio de IA
Direito a uma segunda opinião — que pode ser solicitada independentemente do resultado gerado pela IA
Proteção de dados pessoais e confidencialidade

O Anexo III da Resolução detalha diretrizes específicas de governança, incluindo a transparência no emprego da IA e a prevenção e mitigação de vieses discriminatórios ilegais ou antiéticos. Essa transparência não é apenas um princípio ético — ela se conecta diretamente com as exigências da LGPD, especialmente o Art. 20 sobre decisões automatizadas.

Registro em prontuário

Um ponto operacionalmente relevante: a Resolução determina que o uso relevante de IA como apoio deve ser registrado em prontuário. Esse registro integra o dever de transparência e pode ser decisivo em eventual questionamento ético ou judicial. Para hospitais, isso significa que os sistemas de prontuário eletrônico precisam suportar a documentação estruturada do uso de IA — um impacto direto na infraestrutura de TI.

Se sua instituição já trata dados de saúde em prontuários eletrônicos e telemedicina, os requisitos de transparência da Resolução CFM se somam às obrigações existentes da LGPD. Para entender o cenário completo, consulte nosso guia sobre LGPD em hospitais e clínicas: prontuário eletrônico e telemedicina.

Responsabilidade médica quando a IA erra

Um dos aspectos mais debatidos da Resolução é a questão da responsabilidade. O modelo adotado pelo CFM é claro: o médico é responsável pela decisão clínica, mesmo quando utiliza IA como apoio.

Cenários de responsabilidade

Cenário	Responsável
IA sugere diagnóstico correto, médico segue	Médico
IA sugere diagnóstico incorreto, médico segue sem avaliar criticamente	Médico
IA sugere diagnóstico incorreto, médico corrige	Médico (conduta correta)
IA apresenta falha técnica que afeta resultado	Médico + instituição + fornecedor

O Diretor Técnico da instituição assume responsabilidade pela estrutura interna de governança, incluindo a seleção, validação e monitoramento dos sistemas de IA adotados. Isso significa que hospitais não podem simplesmente "comprar e instalar" um sistema de IA sem estabelecer processos de avaliação contínua.

Implicações jurídicas

A responsabilidade do médico não exclui a responsabilidade do desenvolvedor do sistema de IA (que responde por defeitos no produto) nem da instituição de saúde (que responde pela adoção de tecnologia não validada). Essa cadeia de responsabilidade tem impactos diretos no seguro de responsabilidade civil profissional e nos contratos com fornecedores de tecnologia.

LGPD e dados de saúde em IA: o Art. 11 em foco

A interseção entre a Resolução CFM 2.454/2026 e a LGPD é profunda. Dados de saúde são dados pessoais sensíveis nos termos do Art. 5º, II da LGPD, e seu uso no treinamento e operação de sistemas de IA está sujeito ao regime mais restritivo do Art. 11.

Bases legais aplicáveis

O Art. 11 da LGPD oferece duas vias para o tratamento de dados sensíveis:

1. Consentimento específico e em destaque (Art. 11, I)

Para o uso de dados de pacientes no treinamento de modelos de IA, o consentimento específico é frequentemente a base legal mais adequada. Esse consentimento deve ser:

Específico — indicando expressamente a finalidade de treinamento de IA
Em destaque — separado de outros termos e condições
Informado — detalhando que tipo de dados será usado, como e por quem
Granular — permitindo ao titular consentir ou recusar usos distintos

2. Hipóteses sem consentimento (Art. 11, II)

Para a operação clínica de sistemas de IA (quando a IA auxilia no diagnóstico de um paciente específico), as bases legais mais relevantes são:

Art. 11, II, f — Tutela da saúde: tratamento realizado exclusivamente por profissionais de saúde, serviços de saúde ou autoridade sanitária. Aplica-se quando a IA é utilizada como parte do atendimento assistencial direto.
Art. 11, II, a — Obrigação legal ou regulatória: quando regulações de saúde exigem o tratamento dos dados.
Art. 11, II, c — Pesquisa por órgão de pesquisa: para estudos clínicos, exigindo anonimização sempre que possível.

Treinamento de modelos de IA com dados de saúde

Um dos pontos mais críticos e menos compreendidos é o uso de dados de pacientes para treinar modelos de inteligência artificial. A Resolução CFM reforça que todos os dados utilizados no desenvolvimento, treinamento e implementação dos sistemas devem observar rigorosamente a LGPD.

Na prática, isso exige:

Finalidade determinada: o modelo de IA não pode ser treinado com dados coletados para outra finalidade (princípio da finalidade, Art. 6º, I)
Minimização: usar apenas os dados estritamente necessários para o treinamento (Art. 6º, III)
Anonimização ou pseudonimização: sempre que viável, os dados usados em treinamento devem ser anonimizados. Se a anonimização não for possível, deve-se adotar pseudonimização com controles rigorosos
Segurança reforçada: medidas técnicas e administrativas compatíveis com a criticidade das informações tratadas — criptografia, controle de acesso, logs de auditoria

A vedação do Art. 11, § 5º da LGPD também é relevante: operadoras de planos de saúde não podem usar dados de saúde para seleção de riscos na contratação ou exclusão de beneficiários — incluindo por meio de sistemas de IA.

RIPD obrigatório para sistemas de IA em diagnóstico

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é fortemente recomendado e, na prática, obrigatório para instituições que utilizam IA em contextos clínicos. A combinação de fatores torna o RIPD mandatório:

Dados sensíveis em larga escala: hospitais tratam dados de saúde de grandes populações
Decisões automatizadas com impacto significativo: sistemas de IA que auxiliam diagnósticos podem afetar diretamente a saúde e a vida do paciente
Uso de tecnologia inovadora: a ANPD considera IA como tecnologia que exige avaliação de impacto

O que o RIPD deve conter

Para sistemas de IA em saúde, o RIPD deve incluir:

Descrição dos dados tratados: tipos de dados de saúde, volume, origem, período de retenção
Finalidades específicas: diagnóstico auxiliado por IA, triagem, monitoramento, pesquisa
Bases legais justificadas: especialmente sob o Art. 11
Análise de riscos aos titulares: incluindo riscos de diagnóstico incorreto, discriminação algorítmica, reidentificação de dados anonimizados
Medidas de mitigação: controles técnicos e organizacionais adotados
Avaliação de proporcionalidade: justificativa de que os benefícios superam os riscos residuais

A elaboração do RIPD para sistemas de IA é um tema que tratamos em profundidade no artigo RIPD para sistemas de inteligência artificial, com modelo e passo a passo aplicável ao setor de saúde.

Validação clínica e registro na ANVISA

A Resolução CFM 2.454/2026 não atua isoladamente. Sistemas de IA utilizados em contexto clínico estão sujeitos à regulação da ANVISA quando se enquadram como Software como Dispositivo Médico (SaMD).

Quando a IA precisa de registro na ANVISA

Sob a RDC nº 751/2022 e a RDC nº 657/2022, software com finalidade clínica — como diagnóstico, monitoramento ou apoio à decisão terapêutica — é considerado dispositivo médico e deve ser registrado na ANVISA. Isso inclui:

Algoritmos de análise de imagens médicas (raio-X, tomografia, ressonância)
Sistemas de apoio à decisão diagnóstica
Modelos preditivos de deterioração clínica
Software de planejamento cirúrgico assistido por IA

Classificação de risco ANVISA

A classificação segue o mesmo princípio de risco crescente:

Classe I (baixo risco): software de gerenciamento clínico sem impacto direto na decisão
Classe II (médio risco): software de apoio à decisão com supervisão médica obrigatória
Classe III e IV (alto risco): software com alto grau de autonomia ou impacto em decisões críticas

IA adaptativa: o desafio regulatório

A ANVISA está em processo de revisão da RDC nº 657/2022 para incluir dois conceitos novos: software adaptativo (que evolui com uso contínuo) e software específico (ajustado a pacientes ou populações específicas). Modelos de IA com aprendizado contínuo representam um desafio particular, pois seu comportamento muda após a aprovação regulatória inicial.

Entre os mecanismos em discussão está o Predetermined Change Control Plan (PCCP) — um plano pré-aprovado de mudanças que permite atualizações do algoritmo sem novo registro, desde que dentro de parâmetros previamente definidos.

O médico, conforme a Resolução CFM, pode recusar-se a utilizar qualquer sistema de IA que não possua certificação regulatória pertinente — o que inclui o registro na ANVISA quando aplicável.

Interseção com a regulamentação de IA da ANPD

A Resolução CFM 2.454/2026 não existe em um vácuo regulatório. Ela se insere em um ecossistema normativo mais amplo que inclui a LGPD, a atuação da ANPD e o debate legislativo sobre inteligência artificial no Brasil.

ANPD: IA como tema prioritário

A ANPD publicou, em dezembro de 2025, o Mapa de Temas Prioritários para Fiscalização e Atuação Regulatória no biênio 2026–2027, que estabelece quatro prioridades:

Direitos dos titulares
Proteção de crianças e adolescentes no ambiente digital
Tratamento de dados pessoais pelo Poder Público
Inteligência artificial e tecnologias emergentes no contexto do tratamento de dados pessoais

Isso significa que sistemas de IA em saúde estarão sob dupla supervisão: do CFM (aspectos éticos e médicos) e da ANPD (proteção de dados). As obrigações se complementam e, em vários pontos, se sobrepõem.

Decisões automatizadas: Art. 20 da LGPD

O Art. 20 da LGPD garante ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses — incluindo decisões que definam perfil pessoal, profissional, de consumo, de crédito ou de saúde.

Para sistemas de IA em medicina, isso tem implicações diretas:

O paciente pode solicitar revisão humana de qualquer decisão apoiada por IA
A instituição deve ser capaz de explicar a lógica do sistema de IA (explicabilidade)
Vieses algorítmicos que resultem em discriminação configuram infração à LGPD

A ANPD já publicou nota técnica sobre decisões automatizadas em IA, sinalizando que a fiscalização nessa área será rigorosa. Para uma análise completa do cenário regulatório da IA no Brasil, consulte nosso artigo sobre regulamentação de IA e proteção de dados.

Governança de IA e proteção de dados

A Resolução CFM exige que instituições de saúde criem uma Comissão de IA e Telemedicina, sob coordenação médica, vinculada à diretoria técnica. Essa comissão deve trabalhar em estreita colaboração com o DPO da instituição para garantir que as exigências de proteção de dados sejam atendidas.

Para estruturar essa governança de forma integrada, recomendamos a leitura do nosso framework de governança de IA e proteção de dados, que oferece modelo adaptável ao setor de saúde.

Checklist de conformidade para hospitais que usam IA

Com base na Resolução CFM 2.454/2026, na LGPD e nas normas da ANVISA, elaboramos um checklist consolidado para instituições de saúde:

Governança e estrutura

Instituir Comissão de IA e Telemedicina sob coordenação médica, vinculada à diretoria técnica
Designar responsabilidades claras entre Diretor Técnico, DPO e equipe de TI
Criar política interna de uso de IA alinhada à Resolução CFM, LGPD e normas ANVISA
Estabelecer processo de avaliação e aprovação de novos sistemas de IA antes da adoção

Proteção de dados e LGPD

Elaborar RIPD para cada sistema de IA utilizado em contexto clínico
Definir bases legais específicas para cada finalidade de tratamento (operação clínica vs. treinamento de modelos)
Garantir consentimento específico e em destaque para uso de dados em treinamento de IA
Implementar anonimização ou pseudonimização de dados utilizados em treinamento
Documentar o fluxo de dados desde a coleta até o processamento pela IA
Assegurar conformidade com o Art. 11 da LGPD para todos os dados sensíveis de saúde

Transparência e direitos do paciente

Informar pacientes, de forma clara e acessível, sobre o uso de IA em seu atendimento
Registrar em prontuário o uso relevante de IA como apoio à decisão clínica
Garantir o direito à segunda opinião e à revisão humana de decisões apoiadas por IA
Disponibilizar canal para o paciente exercer seus direitos sob a LGPD (acesso, correção, exclusão)

Validação e segurança

Verificar se os sistemas de IA possuem registro na ANVISA quando enquadrados como SaMD
Exigir dos fornecedores evidências de validação clínica e desempenho do algoritmo
Monitorar continuamente o desempenho dos sistemas de IA em produção (drift, viés, acurácia)
Implementar controles de acesso adequados aos sistemas de IA e aos dados que processam
Manter logs de auditoria completos sobre o uso de IA em decisões clínicas

Contratos e fornecedores

Incluir cláusulas de proteção de dados nos contratos com fornecedores de IA
Definir responsabilidades contratuais em caso de falha ou erro do sistema
Exigir transparência algorítmica suficiente para atender ao Art. 20 da LGPD
Garantir que o fornecedor mantenha certificações regulatórias atualizadas

Capacitação

Treinar equipe médica sobre uso ético e responsável de IA, conforme a Resolução CFM
Treinar equipe de TI e compliance sobre obrigações de proteção de dados específicas para IA em saúde
Documentar treinamentos realizados como evidência de conformidade

Prazo e próximos passos

A Resolução CFM 2.454/2026 entra em vigor em agosto de 2026, o que dá às instituições de saúde aproximadamente cinco meses para se adequarem. O prazo pode parecer confortável, mas a experiência mostra que projetos de conformidade envolvendo IA, proteção de dados e governança institucional exigem meses de planejamento e implementação.

Prioridades imediatas

Inventariar todos os sistemas de IA utilizados na instituição — incluindo os que não são percebidos como "IA" (como algoritmos de triagem em prontuários eletrônicos)
Classificar cada sistema segundo os níveis de risco da Resolução
Elaborar o RIPD para os sistemas de alto risco
Revisar contratos com fornecedores de tecnologia
Instituir a Comissão de IA e Telemedicina

A convergência entre a Resolução CFM, a LGPD e a agenda regulatória da ANPD deixa claro que a conformidade em IA na saúde não é mais uma questão futura — é uma exigência presente.

A Confidata é a única plataforma de conformidade com a LGPD no Brasil que já contempla os requisitos da Resolução CFM 2.454/2026. Com funcionalidades específicas para o setor de saúde — como elaboração de RIPD com análise de proporcionalidade para sistemas de IA, inventário de atividades de tratamento com classificação de dados sensíveis, gestão de bases legais do Art. 11 e governança integrada de dados de saúde — a plataforma permite que hospitais, clínicas e healthtechs documentem conformidade tanto com a LGPD quanto com a nova regulamentação do CFM em um único ambiente. Se sua instituição utiliza inteligência artificial e precisa se adequar antes de agosto de 2026, conheça a Confidata.