Medicina e Inteligência Artificial: A Resolução CFM nº 2.454/2026. Governança, risco e centralidade do cuidado.
Por Newton Moraes
A incorporação de modelos, sistemas e aplicações de inteligência artificial (IA) ao cotidiano da medicina deixou de ser uma hipótese tecnológica para se afirmar como realidade das mais diversas áreas, ou talvez todas, do conhecimento, porquanto presente no sistema financeiro, na educação, no exercício religioso, meio jurídico, filosófico e, como não poderia ser diferente, no exercício da medicina. Não mais cabe discutir a presença da IA em si, mas o modo como ela se integra aos processos clínicos, aos regimes de responsabilidade, às garantias do paciente e à autonomia profissional. Essa transição do entusiasmo tecnológico para a normatividade estimulou a elaboração da Resolução CFM nº 2.454/2026, quanto ao uso da IA na medicina, propondo arranjo que ultrapassa a ética declaratória e passa a exigir governança concreta ao longo de todo o ciclo de vida da solução.
A Resolução adota, desde o art. 1º, a arquitetura de “ciclo de vida”, explicitando que as normas alcançam pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e uso responsável, com o objetivo duplo de promover o desenvolvimento tecnológico e a eficiência, sob requisitos de segurança, transparência, isonomia e eticidade, em benefício do paciente e com estrita observância de seus direitos fundamentais.
Esse equilíbrio é tecnicamente relevante, pois desloca o debate para um ponto de mior maturidade, em que a IA passa a ser reconhecida como infraestrutura decisória sensível, cuja legitimidade depende de parâmetros institucionais estáveis, rastreáveis e fiscalizáveis.
A norma constrói eixo normativoda IA na medicina. Além da invocação de direitos fundamentais, traduz tais direitos em mecanismos operacionais. O CFM passa a determinar a compatibilidade entre direitos fundamentais, ética médica e bioética em todas as fases do ciclo de vida da atividade, desde o design, passando pelo desenvolvimento, testes, implantação, atualizações e retreinamentos, incorporando ao regime clínico a ideia de que não existe neutralidade algorítmica, mas, sim, desenho institucional, que deve ser responsivo à dignidade humana, à proteção de dados, e, em especial, à segurança do paciente. A Resolução, portanto, permite a utilização de sistemas de IA, contudo condicionada a formas demonstráveis de accountability.
Tanto que uma das contribuições centrais da Resolução está na preservação do núcleo duro da medicina: a autoridade final e humana do ato médico.
O texto é claro ao assegurar a autonomia médica, vedando subordinação automática a recomendações algorítmicas e garantindo o direito de recusar sistemas sem validação científica adequada ou certificação regulatória pertinente.
São impostos, também, deveres proporcionais à gravidade do contexto: a IA é ferramenta de apoio, e o médico permanece responsável final pelas decisões clínicas, diagnósticas, terapêuticas e prognósticas. Essa duplicidade da autonomia como direito e responsabilidade como dever resolve um dos dilemas mais delicados do uso clínico de IA: evitar tanto a delegação acrítica quanto a responsabilização injusta do profissional por falhas imputáveis ao sistema, desde que demonstrado uso diligente, crítico e ético.
A relação médico-paciente recebe proteção expressa, e isso tem densidade normativa especial no contexto de tecnologias generativas e assistentes clínicos. O CFM afirma que a IA não pode comprometer escuta qualificada, empatia, confidencialidade e dignidade. A comunicação de diagnóstico, prognóstico ou decisões terapêuticas não pode ser delegada à IA sem mediação humana, e o paciente deve ser informado de modo claro e acessível quando modelos de IA forem utilizados como apoio relevante em seu cuidado, diagnóstico ou tratamento.
Nessa moldura, a transparência não é apenas técnica; é também comunicacional: não basta que o sistema funcione, é preciso que o paciente compreenda o lugar institucional da tecnologia em seu cuidado.
Há, ainda, um núcleo de governança de dados que dialoga diretamente com a realidade da IA em saúde: sem dados, não há modelo; sem governança de dados, não há legitimidade. Ao exigir conformidade rigorosa com a LGPD e normativas de segurança da informação em saúde, ao impor padrões mínimos de segurança compatíveis com dados sensíveis e ao exigir adequação de finalidade e necessidade no compartilhamento, a Resolução estabelece o mínimo normativo para que a IA não se torne vetor de exposição sistêmica.
O texto vai além ao incorporar privacy by design e privacy by default, indicando que privacidade deve ser incorporada desde a concepção e por configuração padrão, reduzindo a dependência de condutas individuais e aumentando o grau de proteção estrutural.
Outro ponto de maturidade é a introdução explícita de uma classificação por níveis de risco (baixo, médio, alto, inaceitável), baseada em fatores como impacto sobre direitos fundamentais e saúde do paciente, criticidade do contexto, complexidade e autonomia do modelo, finalidade pretendida e potencial, grau de intervenção humana, e quantidade e sensibilidade dos dados.
Esse desenho aproxima o Brasil do paradigma regulatório contemporâneo centrado em risco, predominante na União Europeia. Mais do que uma aproximação retórica, trata-se de compatibilidade funcional com o AI Act, cuja espinha dorsal é a regulação “risk-based”, com exigências elevadas para sistemas de alto risco, especialmente em contextos sensíveis como saúde.
Percebe-se, pois, intenso diálogo da Resolução CFM nº 2.454/2026 com a norma europeia porquanto o AI Act não se limita à adoção genérica de uma abordagem baseada em risco, mas revela convergência material com obrigações estruturantes do regime europeu de sistemas de alto risco. O Regulamento (UE) 2024/1689 estabelece que sistemas de IA classificados como de alto risco devem ser concebidos e desenvolvidos com um sistema contínuo de gestão de riscos, abrangendo identificação, análise, avaliação e mitigação de riscos ao longo de todo o ciclo de vida do sistema.
Tanto que o art. 9º do AI Act dispõe expressamente que “o sistema de gestão de riscos deverá ser um processo contínuo e iterativo que perdure durante todo o ciclo de vida do sistema de IA de alto risco”¹.
Essa exigência encontra correspondência direta na Resolução do CFM ao impor avaliação preliminar de risco, auditoria especializada e monitoramento contínuo em todas as fases do ciclo de vida dos modelos, sistemas e aplicações de IA aplicados à medicina.
Além disso, o AI Act impõe requisitos rigorosos de governança e qualidade dos dados utilizados no treinamento, validação e teste dos sistemas de IA de alto risco, ao prever, no art. 10 que tais conjuntos de dados devem ser relevantes, representativos, livres de erros e completos, na medida do possível, considerando o contexto de uso pretendido², sendo que a Resolução CFM nº 2.454/2026 internaliza ao sistema normativo brasileiro essa observância rigorosa da legislação de proteção de dados pessoais, padrões mínimos de segurança da informação e mecanismos específicos de mitigação de vieses discriminatórios, inclusive com análise estratificada de resultados e adoção de medidas corretivas imediatas quando detectados impactos injustificados sobre determinados grupos populacionais.
O princípio da supervisão humana, elemento central do AI Act, também é incorporado de forma substancial pela Resolução brasileira. O art. 14 do Regulamento europeu estabelece que sistemas de IA de alto risco devem ser concebidos e desenvolvidos de modo a permitir supervisão humana eficaz, capaz de prevenir ou minimizar riscos à saúde, segurança ou direitos fundamentais³.
Avança o CFM avança nesse ponto ao afirmar que as soluções de IA “não são soberanas”, impondo supervisão humana obrigatória e vedando qualquer restrição ou substituição da autoridade final do médico. Trata-se de uma tradução normativa robusta do conceito europeu de human oversight, elevada à condição de dever ético-profissional.
Por fim, o AI Act exige níveis adequados de transparência e fornecimento de informações aos usuários, de modo que estes possam interpretar corretamente os resultados produzidos pelo sistema e utilizá-los de forma apropriada. O art. 13 do Regulamento prevê que os sistemas de alto risco devem ser acompanhados de instruções claras de uso, incluindo características, limitações e nível esperado de precisão⁴, sendo que a Resolução CFM converge com esse modelo ao assegurar ao médico o direito de acesso a informações claras e compreensíveis sobre funcionamento, riscos, limitações e grau de evidência científica dos sistemas de IA, bem como ao impor o dever de informar o paciente sobre o uso relevante da tecnologia em seu cuidado.
Por seu turno, o European Health Data Space (EHDS) representa uma das mais ambiciosas iniciativas regulatórias globais voltadas à governança de dados em saúde, estruturando um regime jurídico que combina ampliação do acesso do indivíduo aos seus dados eletrônicos de saúde com a possibilidade de reutilização regulada desses dados para fins de interesse público, pesquisa científica, inovação e formulação de políticas. O regulamento do EHDS afirma, como premissa central, que os cidadãos devem ter “controle efetivo sobre seus dados eletrônicos de saúde” e que o uso secundário desses dados deve ocorrer sob “estritas salvaguardas jurídicas e técnicas”⁵.
Nesse sentido, a Resolução CFM nº 2.454/2026 dialoga diretamente com essa lógica ao reforçar o direito do paciente à informação clara e acessível sobre o uso de IA em seu cuidado, bem como ao assegurar o direito à privacidade, à confidencialidade e à recusa informada do uso de modelos de IA. Embora não institua um espaço nacional de dados, a Resolução cria condições normativas essenciais para a compatibilidade do ambiente clínico brasileiro com arquiteturas semelhantes ao EHDS, ao exigir governança institucional, transparência, segurança da informação e controle de finalidade no uso de dados sensíveis de saúde.
O EHDS também atribui centralidade à interoperabilidade como instrumento para evitar fragmentação, redundância e ineficiência nos sistemas de saúde digitais europeus. O texto regulatório destaca que a interoperabilidade técnica e semântica é condição necessária para a circulação segura e eficiente de dados de saúde entre sistemas e Estados-membros⁶.
A Resolução do CFM também incorpora essa diretriz ao incentivar explicitamente o desenvolvimento e a adoção de soluções de IA interoperáveis, com uso de padrões abertos, APIs e mecanismos de integração que permitam comunicação com outros sistemas de informação em saúde, inclusive bases públicas e registros nacionais, respeitados os requisitos de segurança e consentimento.
No que se refere ao uso secundário de dados para pesquisa e inovação, o EHDS estabelece que tal reutilização deve ser autorizada por órgãos competentes e condicionada à avaliação de impacto, minimização de riscos e proteção dos direitos dos titulares⁷. A Resolução CFM, ao exigir que pesquisas, estudos e projetos-piloto envolvendo IA estejam alinhados aos princípios éticos da pesquisa e do cuidado, e ao instituir a Avaliação de Impacto Algorítmico (AIA) como análise contínua dos impactos sobre direitos e interesses, cria um regime ético-institucional compatível com o modelo europeu de reutilização responsável de dados em saúde.
O tema mereceu atenção, também, da Organização Mundial da Saúde com papel relevante na consolidação de uma ética global para o uso da inteligência artificial em saúde. No relatório Ethics and Governance of Artificial Intelligence for Health, a OMS afirma que “os sistemas de IA devem ser projetados para proteger e promover a autonomia humana, o bem-estar e a segurança, e não para substituí-los”⁸. Essa diretriz encontra correspondência direta na Resolução CFM nº 2.454/2026 ao afirmar que a IA deve ser utilizada exclusivamente como ferramenta de apoio, preservando a autoridade final do médico e a centralidade do cuidado humano.
A OMS também destaca que a adoção de IA em saúde exige estruturas robustas de governança, capazes de assegurar transparência, responsabilidade e avaliação contínua de riscos. O documento ressalta que “a governança eficaz da IA em saúde requer mecanismos de monitoramento contínuo, auditoria independente e revisão periódica dos impactos sobre indivíduos e populações”⁹. A Resolução do CFM internaliza esse comando ao exigir auditoria especializada, monitoramento contínuo, mitigação de vieses e acesso de órgãos de controle e entidades externas a relatórios e evidências de desempenho dos sistemas de IA utilizados em instituições médicas.
Outro ponto enfatizado pela OMS é o risco de amplificação de desigualdades e discriminações por meio de sistemas algorítmicos mal projetados ou treinados com dados enviesados. O relatório alerta que “sem salvaguardas adequadas, a IA pode reproduzir e exacerbar desigualdades existentes no acesso e na qualidade do cuidado em saúde”¹⁰. A Resolução CFM responde a esse alerta ao definir expressamente o conceito de viés discriminatório ilegal ou abusivo e ao impor obrigações concretas de monitoramento estratificado, correção e, quando necessário, descontinuação de sistemas que produzam impactos injustificados sobre determinados grupos.
Merece relevo o diálogo, também com o AI Risk Management Framework (AI RMF), publicado pelo National Institute of Standards and Technology (NIST), referência internacional para a governança de riscos associados à IA. O documento define governança como a capacidade organizacional de estabelecer cultura, processos e estruturas para gerir riscos de IA de forma contínua e responsável.
O NIST afirma que “a gestão de riscos de IA deve ser integrada ao ciclo de vida do sistema, desde o design até a operação e descontinuação”¹¹. Essa abordagem é substancialmente compatível com a Resolução CFM nº 2.454/2026, que trata o ciclo de vida dos modelos e sistemas de IA como objeto permanente de governança, auditoria e revisão, e enfatiza que transparência, explicabilidade e contestabilidade são elementos-chave para a confiança em sistemas de IA, especialmente em domínios de alto impacto como a saúde, sendo que o framework destaca que “os usuários e partes afetadas devem ter meios adequados para compreender, contestar e revisar os resultados produzidos por sistemas de IA”¹².
A Resolução do CFM incorpora essas categorias de forma explícita, ao defini-las no Anexo I e ao exigir sua implementação sempre que tecnicamente possível, reforçando a compatibilidade do regime brasileiro com padrões internacionais de confiança algorítmica.
No plano ético-profissional e institucional, a resolução cria as condições para que o uso de IA em ambientes clínicos seja compatível com esse tipo de disciplina: auditorias regulares, monitoramento contínuo, supervisão humana obrigatória e transparência de desempenho, limitações e vieses.
Em síntese, a Resolução CFM nº 2.454/2026 é um marco por consolidar, no nível profissional e institucional, um modelo robusto de governança de IA na medicina, alinhado ao paradigma internacional de regulação por risco e accountability contínua, convergindo funcionalmente com a norma europeia (AI Act), com os pressupostos estruturais do Espaço Europeu de Dados da Saúde (EHDS) e com as diretrizes éticas da Organização Mundial da Saúde OMS.
O conselho, portanto, implanta normativa capaz de sustentar tanto inovação clínica quanto proteção efetiva da dignidade humana, da autonomia profissional e dos direitos do paciente, com o desafio organizacional de transformar esse texto em rotinas, contratos, protocolos, comissões, trilhas de auditoria e cultura clínica de uso crítico e responsável.
Notas:
UNIÃO EUROPEIA. Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, que estabelece regras harmonizadas em matéria de inteligência artificial (AI Act). Jornal Oficial da União Europeia, L, 2024.
UNIÃO EUROPEIA. Proposta de Regulamento do Parlamento Europeu e do Conselho relativo ao Espaço Europeu de Dados de Saúde (European Health Data Space – EHDS). COM(2022) 197 final.
ORGANIZAÇÃO MUNDIAL DA SAÚDE (OMS). Ethics and Governance of Artificial Intelligence for Health. Genebra: WHO, 2021.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). AI Risk Management Framework (AI RMF 1.0). Gaithersburg: NIST, 2023.
