Inteligência artificial em dispositivos e softwares médicos

A adoção de sistemas e ferramentas que se utilizam de inteligência artificial (IA) tem se intensificado de forma notória recentemente. Neste ambiente de rápida e constante inovação, as autoridades governamentais têm enfrentado o desafio de estabelecer diretrizes que garantam um uso responsável e seguro da IA, sem prejudicar o progresso em seu desenvolvimento. 

Na área da saúde, a IA representa um instrumento com muitos benefícios potenciais, tanto que vem recebendo grande atenção e investimentos. Segundo a Universidade Stanford, o setor de saúde foi o que mais recebeu investimentos privados em IA em 2022, com um total de US$ 6,1 bilhões captados, seguido de gerenciamento de dados e fintechs, com US$ 5,9 bilhões e US$ 5,5 bilhões respectivamente.

Neste contexto, o presente artigo abordará um dos principais usos da IA no setor da saúde: sua aplicação em dispositivos e softwares médicos. Analisaremos como o desenvolvimento dessa ferramenta apresenta diversas oportunidades para o setor e também os desafios de governança e regulação, relacionados ao Marco Legal de IA e à proteção de dados pessoais.

Considerando a relevância da temática, este artigo é o primeiro de uma série preparada pelo Mattos Filho sobre uso de IA nas indústrias de Life Sciences, Healthcare e Agribusiness, a serem publicados no Portal Único do Escritório.

Wearables, outros dispositivos médicos e SaMD 

Em 2022, a Agência Nacional de Vigilância Sanitária (Anvisa) estabeleceu requisitos específicos para a regularização de softwares como dispositivos médicos (Software as a Medical Device – SaMD), nos termos das Resoluções da Diretoria Colegiada da Anvisa nº 657/2022 e 751/2022.  

O SaMD é definido como um produto ou aplicação que atende à definição de dispositivo médico, destinado a uma ou mais indicações médicas (diagnóstico, prevenção, monitoramento, tratamento etc.), e que desempenha suas funções sem ser parte do hardware de um dispositivo médico.  

Embora a regulamentação da Anvisa não faça referência expressa a sistemas de IA, a definição de SaMD abarca softwares que utilizam sistemas e ferramentas de IA para finalidades médicas. Assim, os fabricantes de SaMD baseados em IA devem seguir as normas aplicáveis a dispositivos médicos – o que inclui regras para classificação de risco, notificação e registro, rotulagem e instruções de uso.  

Os fabricantes ou desenvolvedores também devem apresentar, no ato de regularização perante a Anvisa, a descrição das bases de dados usadas para aprendizado, treinamento, verificação, entre outras, da IA. Tal descrição deve ser acompanhada de um relatório contendo a justificativa da técnica de IA aplicada, o tamanho das bases utilizadas e o relato do histórico de treinamento. Na ausência destas informações pode resultar na não anuência ou no indeferimento do pedido de regularização do dispositivo junto à autoridade regulatória. 

É importante destacar que as regras estabelecidas pela Anvisa possuem convergência com normas de autoridades sanitárias estrangeiras e com o Internacional Medical Device Regulators Forum (IMDRF). Nos últimos anos, o IMDRF participou de iniciativas relacionadas a Inteligência Artificial por meio de um Grupo de Trabalho (GT) sobre o tema, que visou alcançar uma abordagem alinhada para o gerenciamento de dispositivos médicos baseados em sistemas e ferramentas de IA. Com participação da Anvisa no GT, foi publicado, em 2021, documento que estabelece conceitos comuns em relação ao tema – como Machine Learning supervisionado, semi-supervisionado e sem supervisão.  

Também em 2021, houve uma crescente discussão do tema no âmbito do FDA (US Food and Drug Administration), quando mais de 100 pedidos de registro de produtos que continham IA foram submetidos ao órgão. Atualmente, diversos produtos já foram regularizados pelo FDA, com foco em oftalmologia, cardiologia, radiologia e outros. 

Em âmbito nacional, a Anvisa não só tem concedido registro a diversos produtos que trabalham com IA, a exemplo de softwares utilizados para prever insuficiência renal, auxiliar no diagnóstico de câncer, planejar radioterapia etc., como também tem utilizado tal tecnologia em suas atividades regulatórias, como na identificação de venda de produtos irregulares prejudiciais à saúde sendo comercializados na internet. 

Algumas das principais aplicações pela indústria são: 

• Diagnóstico: A IA é utilizada no diagnóstico de diversas doenças, tais como: previsão de insuficiência renal; auxílio no diagnóstico de câncer; e detecção de doença rara e hereditária de retina. Também é utilizada nos serviços de diagnóstico por imagem. 
• Gestão: A IA também está presente na rotina do paciente, auxiliando em processos como: o planejamento de radioterapia e distribuição de doses; e o acompanhamento de ciclo menstrual através de aplicativos de monitoramento. 
• Pesquisa: A IA é utilizada para fins de desenvolvimento evidências de vida real (Real World Evidence, “RWE”) – assim entendidas como informações coletadas fora de um contexto típico de pesquisa clínica (informações coletadas em aplicativos de celular, relógios inteligentes etc.) – e melhoria da eficácia de medicamentos e até de políticas públicas de saúde. 

Além disso, existem outras funcionalidades que, apesar de não serem qualificadas como software ou dispositivos médicos, também se utilizam da IA para o auxílio indireto em questões de saúde, como, por exemplo, o uso de dados geográficos para melhoria de políticas públicas. 

Impactos do Marco Legal da IA 

Além da regulamentação da Anvisa, o Congresso Nacional vem adotando esforços para regulamentar a IA. O PL 2.338/2023 (Marco Legal da IA), fruto dos trabalhos e audiências públicas organizadas por uma Comissão de Juristas instalada em 2022, é atualmente a principal iniciativa legislativa para regular o tema.  

O objetivo do Marco Legal da IA é estabelecer normas gerais em âmbito nacional para desenvolvimento, implementação e uso responsável de sistemas de IA no Brasil, a fim de proteger os direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis, em benefício da pessoa humana, do regime democrático e do desenvolvimento científico.  

Para tanto, busca estabelecer direitos e regulamentar os riscos relacionados aos sistemas de IA. Nesse sentido, em seu capítulo III, define que, previamente a sua colocação no mercado ou utilização em serviço, todo sistema de IA passará por uma avaliação preliminar a ser realizada pelo seu fornecedor para classificar o grau de risco.  

Entre os sistemas classificados pelo PL como de alto risco, estão as “aplicações na área da saúde, inclusive as destinadas a auxiliar diagnósticos e procedimentos médicos”.

Nas situações em que o fornecedor ou operador (os “agentes de IA”) desenvolva ou utilize sistemas de IA de alto risco, será necessário estabelecer estruturas de governança e procedimentos internos aptos a garantir a segurança dos sistemas e o cumprimento dos direitos dos usuários afetados. Tais estruturas e procedimentos incluem: 

• Elaboração de Avaliação de Impacto Algorítmico (AIA); 
• Realização de testes para avaliação de níveis apropriados de confiabilidade, conforme o setor e o tipo de aplicação do sistema de inteligência artificial, incluindo testes de robustez, acurácia, precisão e cobertura; 
• Adoção de medidas de gestão de dados para mitigar e prevenir vieses discriminatórios. Na prática, isso inclui constituir uma equipe inclusiva e diversa responsável pela concepção e desenvolvimento do sistema, e avaliação dos dados com medidas apropriadas de controle de vieses cognitivos humanos; 
• Adoção de medidas técnicas para viabilizar a possibilidade de explicação dos resultados atingidos por meio do uso da IA; 
• Implementação de mecanismos de supervisão humana dos sistemas de IA de alto risco para prevenir ou minimizar os riscos para direitos e liberdades individuais, permitindo a intervenção humana no funcionamento do sistema de IA e interpretação dos resultados.  

A título exemplificativo, outras medidas de governança incluem adotar procedimentos para garantir: 

• Transparência aos indivíduos quanto a sua interação sistemas de inteligência artificial; 
• Transparência quanto às medidas de governança adotadas pela organização; 
• Gestão de dados adequadas para a mitigação e prevenção de potenciais vieses discriminatórios; 
• Segurança da informação desde a concepção até a operação do sistema. 

De acordo com o Marco Legal da IA, as medidas de governança dos sistemas de inteligência artificial são aplicáveis ao longo de todo o seu ciclo de vida, desde a concepção inicial até o encerramento de suas atividades e descontinuação.  

Pela interpretação da versão atual do texto, em uma primeira análise, é possível que wearables e dispositivos médicos que utilizem técnicas de IA sejam classificados como sistemas de IA de alto risco, razão pela qual o acompanhamento do assunto é de suma importância para as organizações que os desenvolvam ou utilizam na condução de seus negócios.  

Em 28 de novembro de 2023, foi publicado o PL substitutivo do Marco Legal da IA, que removeu a classificação da aplicações na área da saúde como sendo de alto risco. Em vez disso, o substitutivo menciona, em seu Anexo I, os impactos à saúde entre os fatores que contribuem para a avaliação de impacto da IA.  

Desafios para a proteção de dados pessoais 

Nota-se que a inclusão de aplicações de IA voltadas para saúde no rol de sistemas de alto risco no Marco Legal da IA não se trata de uma preocupação sem fundamento.  

A Organização Mundial da Saúde (OMS) reforçou, em outubro de 2023, os potenciais transformadores da IA no setor de saúde, que inclui o potencial de aprimorar diagnósticos e tratamentos médicos, fortalecer pesquisas clínicas e complementar o conhecimento, habilidades e competências de profissionais de saúde. 

Ao mesmo tempo, a OMS reforçou a importância de se estabelecer medidas aptas a garantir a privacidade, segurança e integridade das informações de saúde. Apesar de ser uma grande promessa, a IA traz desafios – como referente à coleta antiética de dados, ameaças à segurança cibernética, vieses discriminatórios e desinformação.  

Nesse cenário, a Lei Geral de Proteção de Dados (Lei 13.709/2018 ou LGPD) apresenta uma série de balizadores para os riscos derivados do uso de sistemas de IA na saúde. Em primeiro plano, destaca-se que o tratamento de dados pessoais e dados pessoais sensíveis no âmbito destes sistemas de IA poderá ocorrer somente se amparado em uma das bases legais descritas nos artigos 7º ou 11 da LGPD.  

Entre as bases legais previstas pela LGPD, há a possibilidade de os agentes de tratamento justificarem suas atividades pela base legal da “realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais” (art. 7º, inciso IV e art. 11, inciso II, alínea “c” da LGPD). A interpretação da referida base legal é de extrema relevância no contexto de desenvolvimento de sistemas de IA diante do crescente número de centros de pesquisa em IA. 

Atenta a essa discussão, a Autoridade Nacional de Proteção de Dados (ANPD) publicou guia orientativo sobre o tratamento de dados pessoais para fins acadêmicos e para realização de estudos por órgão de pesquisa. Nesse guia, a ANPD indicou o seguinte:  

• O “órgão de pesquisa” é qualquer órgão ou entidade, público ou privado, sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no Brasil, que inclua em sua missão institucional a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico – exemplos de órgãos de pesquisa são o Instituto Brasileiro de Geografia e Estatística (IBGE) e o Instituto de Pesquisa Econômica Aplicada (IPEA); 
• Do conceito exposto, excluem-se as pessoas jurídicas de direito privado com fins lucrativos. Isso significa que para essas instituições, mesmo detendo entre suas finalidades constitutivas a realização de pesquisa, não se torna possível a utilização dessa base legal específica; 
• Entidades com fins lucrativos podem amparar suas atividades de pesquisa em outra hipótese legal, como o consentimento do titular ou o legítimo interesse. 

Em todo caso, ao treinar e desenvolver sistemas de IA, os agentes de IA devem estar preparados para prestar esclarecimentos quanto às medidas de segurança, técnicas e administrativas empregadas no tratamento de dados pessoais, de acordo com os termos da LGPD. 

Na ausência de legislação específica e diante do crescente (em alguns casos, quase inevitável) uso de soluções de IA nos negócios, é importante que os envolvidos na cadeia de serviços (fornecedores, operadores e usuários finais) entendam as oportunidades e os riscos existentes em decorrência do uso destas ferramentas. Este objetivo se torna mais fácil com a compreensão do debate legislativo sobre o assunto, conhecimento e observância dos princípios gerais que norteiam o melhor uso destas aplicações e também um cuidado na redação das regras oferecidas em termos de uso e em cláusulas contratuais.  

Para mais informações, conheça as práticas de Tecnologia e Life Sciences e Saúde do Mattos Filho. 

No próximo artigo desta série, abordaremos o uso de IA no âmbito da prestação de serviços e relacionados à Agência Nacional de Saúde Suplementar (ANS).