CFM publica marco regulatório sobre o uso de IA na medicina

O Conselho Federal de Medicina (CFM) publicou, em 27 de fevereiro de 2026, a Resolução CFM nº 2.454, de 11 de fevereiro de 2026, que estabelece o novo marco regulatório para o uso de inteligência artificial (IA) na medicina. A norma entrará em vigor em agosto de 2026 e traz obrigações relevantes para médicos e instituições de saúde.

Confira, abaixo, os aspectos relevantes da Resolução CFM n° 2.454/2026.

Direitos dos médicos

A resolução normatiza os direitos dos médicos na utilização de sistemas de inteligência artificial aplicados à medicina, incluindo o direito de preservar sua autonomia profissional.

Merecem destaque, dentre outros aspectos relevantes:

• Uso de sistemas de IA: é garantido ao médico o direito de utilizar ferramentas de IA como apoio à prática médica, decisão clínica, gestão em saúde, pesquisa científica e educação médica continuada, sempre em conformidade com os limites éticos e legais da profissão;
• Direito de recusa: o médico pode recusar o uso de sistemas de IA que não apresentem validação científica adequada, certificação regulatória pertinente ou que contrariem princípios éticos, técnicos ou legais; e
• Responsabilidade: o médico não deverá ser responsabilizado por falhas atribuídas exclusivamente a sistemas de IA, desde que comprovado o uso diligente, crítico e ético dessas ferramentas.

Deveres dos médicos

Dentre os deveres atribuídos aos médicos quando da utilização de IA na medicina:

• Autonomia: a IA deve ser empregada exclusivamente como ferramenta de apoio. O médico permanece como responsável final pelas decisões clínicas, diagnósticas, terapêuticas e prognósticas;
• Julgamento crítico: o médico deve avaliar de forma crítica as informações e recomendações fornecidas pela IA, mantendo-se atualizado sobre suas capacidades, limitações, riscos e vieses;
• Regularidade: somente podem ser utilizados sistemas de IA em conformidade com normas éticas, técnicas, legais e regulatórias vigentes no Brasil;
• Prontuário: o uso de IA como apoio à decisão médica deve ser registrado no prontuário do paciente;
• Confidencialidade: o médico deve zelar pela segurança, integridade e confidencialidade dos dados de saúde utilizados pela IA, vedada a utilização de sistemas que não assegurem padrões mínimos de segurança compatíveis com dados pessoais sensíveis; e
• Comunicação: falhas, riscos relevantes ou uso inadequado de sistemas de IA devem ser comunicados às instâncias competentes.

Instituições de saúde

Algumas das obrigações atribuídas às instituições de saúde são:

• Governança: o Diretor Técnico da instituição será o responsável pela fiscalização, pelas diretrizes de segurança, ética e transparência no uso da IA;
• Auditoria: as instituições médicas deverão implementar mecanismos de auditoria especializada e monitoramento contínuos. A instituição médica ou o médico que desenvolver ou contratar um modelo, sistema e/ou aplicações de IA deverá estabelecer processos internos de governança aptos a garantir a segurança, a qualidade e a ética, incluindo as medidas contidas no Anexo III da Resolução CFM nº 2.454/2026;
• Avaliação preliminar: as instituições médicas, públicas ou privadas, que desenvolverem ou utilizarem modelos, sistemas e aplicações de IA deverão realizar uma avaliação preliminar com a finalidade de definir seu grau de risco;
• Comissão de IA e Telemedicina: instituições de saúde que adotarem sistemas próprios de IA deverão criar uma Comissão de IA e Telemedicina sob a coordenação médica e subordinada a diretoria técnica cuja função é assegurar o cumprimento das regras estabelecidas pela Resolução CFM nº 2.454/2026 e garantir o uso ético do sistema e dos usuários; e
• Disponibilidade de informações: o acesso apropriado aos relatórios de auditoria, de monitoramento e às informações de configuração dos sistemas de IA deve ser garantido aos órgãos legitimamente interessados, como o Conselho de Medicina, a Comissão Nacional de Ética em Pesquisa, o Ministério Público e demais entidades de fiscalização, bem como entidades de defesa dos direitos dos pacientes.

Relação médico-paciente

O médico deve assegurar que o uso das ferramentas de IA não comprometa a relação médico-paciente, respeitando integralmente os aspectos estabelecidos pelo Código de Ética Médica. O paciente tem o direito de ser informado quando modelos, sistemas e aplicações de IA forem utilizados como apoio relevante em seu cuidado, diagnóstico ou tratamento.

No campo da responsabilidade ético-profissional, o especialista permanece integralmente responsável pelos atos médicos por ele praticados mediante a utilização de modelos, sistemas e aplicações de IA.

Proteção de dados

Os dados utilizados no desenvolvimento, treinamento, validação e implementação das soluções de IA na medicina devem ser tratados observando rigorosamente a Lei Geral de Proteção de Dados Pessoais (LGPD), bem como as normativas específicas de segurança da informação em saúde. Os dados, modelos, sistemas e aplicações de IA e ambientes computacionais envolvidos no processo de desenvolvimento e implementação na medicina devem ser protegidos de forma eficaz contra riscos de destruição acidental ou intencional, perda, alteração, acessos não autorizados ou vazamentos.

É dever do médico assegurar que o compartilhamento de dados pessoais dos pacientes, sobretudo os dados sensíveis, com modelos, sistemas e aplicações de IA, ocorra de forma adequada às finalidades informadas aos titulares ou a seus representantes legais ou convencionais, e apenas quando estritamente necessário, observando-se as bases legais idôneas.

Além disso, o uso de dados pessoais para treinamento, validação ou aprimoramento de modelos, sistemas e aplicações de IA deve observar princípios éticos, científicos e proteção geral de dados pessoais.

Classificação e categorização dos riscos

Os modelos, sistemas e aplicações de IA na medicina serão categorizados quanto ao seu risco, entre níveis baixo, médio, alto ou inaceitável, e deverão ser informados ao usuário. As classificações estabelecidas pelo CFM são:

• Soluções de baixo risco: utilização da IA cujo potencial de causar consequências negativas à saúde, aos direitos fundamentais ou à segurança de pacientes e profissionais é mínimo ou inexistente. Nesse caso, não exercem influência decisória direta em diagnósticos ou tratamentos individuais. As soluções classificadas como de baixo risco deverão ser monitoradas e revisadas periodicamente.
• Soluções de médio risco: aplicações de IA que envolvem potencial impacto adverso, porém mitigável via supervisão humana ativa e controles de segurança. Nesse caso, mesmo em situações de mau funcionamento, a intervenção do médico responsável e mecanismos de controle são capazes de impedir a efetivação de um desfecho lesivo.

As soluções classificadas de médio risco ficarão sujeitas a procedimentos de controle proporcionais: exigirão monitoramento regular (embora não necessariamente contínuo) e; avaliação de desempenho em intervalos apropriados, devendo ser reavaliada se houver indícios de aumento ou redução relevante de risco.

• Soluções de alto risco: aplicações de IA em saúde que apresentem alto potencial de causar danos físicos, psíquicos ou morais a indivíduos, ou de gerar impactos relevantes à saúde pública, quando operadas de forma inadequada ou sem controle. Incluem-se nesse escopo sistemas que influenciam diretamente decisões médicas críticas ou realizam ações automatizadas com consequências clínicas significativas, especialmente em situações de vulnerabilidade do paciente ou em cenários de risco de vida.

As soluções de alto risco demandam rigorosos processos de validação, auditorias regulares e monitoramento contínuo.

As atividades de supervisão e fiscalização do cumprimento da Resolução CFM nº 2.454/2026 serão exercidas, no âmbito de suas competências, pelo Conselho Regional de Medicina da jurisdição, na forma de suas atribuições.

Vale notar que a norma incorpora conceitos e diretrizes que ainda estão em discussão no âmbito do projeto de lei que trata sobre a regulação da inteligência artificial no Brasil. Nesse contexto, será importante acompanhar a evolução do processo legislativo para verificar se haverá convergência entre os conceitos e obrigações previstos na futura lei e aqueles já estabelecidos pelo CFM, ou se poderão surgir eventuais inconsistências ou necessidades de ajustes interpretativos.

A Resolução CFM nº 2.454/2026 e o Projeto de Lei do Marco Legal da Inteligência Artificial

A publicação da Resolução CFM nº 2.454/2026 ocorre paralelamente aos debates no Congresso Nacional que discutem um marco regulatório federal para regular a inteligência artificial no Brasil. O principal projeto de lei sob análise é o Projeto de Lei nº 2.338/2023, que institui o Marco Legal da Inteligência Artificial no Brasil. Esse PL foi aprovado pelo Senado Federal em dezembro de 2024 e encaminhado à Câmara dos Deputados em março de 2025, onde segue em tramitação.

Paralelamente, tramita na Câmara o Projeto de Lei nº 2.688/2025, que também propõe um marco regulatório para o desenvolvimento e o uso de sistemas de IA.

Caso um dos PLs venha a ser aprovado, o Brasil passará a ter lei federal regulando inteligência artificial no país, e que terá hierarquia superior a regulamentos infralegais, incluindo resoluções de conselhos profissionais. Isso significa que disposições da Resolução CFM nº 2.454/2026 que eventualmente sejam conflitantes ou contrárias à legislação federal serão consideradas ilegais, sujeitas à revisão e atualização para garantir plena aderência ao novo marco normativo.

Embora a resolução do CFM antecipe temas que também são objeto dos projetos de lei – como critérios de classificação de risco de sistemas de IA, exigência de supervisão humana, requisitos de governança e proteção de dados – será fundamental acompanhar os desdobramentos do marco regulatório federal, que se propõe a estabelecer os parâmetros gerais, vinculantes e uniformes para o uso e o desenvolvimento de tecnologias de inteligência artificial em todo o país.

Para mais informações sobre o tema, entre em contato com nossos profissionais das práticas de Life Sciences e Saúde e Tecnologia do Mattos Filho.

*Com a colaboração de Luana Lafayette de Noronha.