Resolução do CFM reforça: uso de Inteligências Artificiais exige governança robusta

Inteligência Artificial na Medicina

A Resolução CFM nº 2.454/2026, aprovada em 11 de fevereiro de 2026 e publicada em 27 de fevereiro de 2026, oferece um alerta regulatório recente e relevante que ultrapassa a prática médica e interessa diretamente a empresas que pretendem incorporar ferramentas de IA em suas atividades, especialmente quando haja tratamento de dados pessoais sensíveis. A mensagem normativa é clara: não basta disponibilizar tecnologia, nem confiar que o fornecedor já tenha resolvido sozinho as questões éticas, técnicas e jurídicas envolvidas. A adoção responsável de IA exige um programa robusto de governança, capaz de estruturar critérios de escolha, parâmetros de uso, mecanismos de supervisão e fluxos de resposta a falhas e riscos.

Nesse contexto, a governança não se esgota na elaboração de políticas internas. Ela pressupõe diretrizes claras, responsabilidades bem definidas, auditoria, monitoramento contínuo e revisão periódica das soluções adotadas.

Mais do que isso, exige que a organização prepare seus colaboradores para utilizar essas ferramentas de forma ética, crítica e responsável, compreendendo suas limitações, riscos, vieses e impactos potenciais. Os arts. 7º e 8º da Resolução CFM nº 2.454/2026 reforçam justamente que o uso da IA não elimina a responsabilidade humana, que eventuais falhas e riscos relevantes devem ser comunicados às instâncias competentes e que o descumprimento dos deveres previstos pode ensejar sanções éticas, sem prejuízo das responsabilidades civil e penal. A própria resolução também associa o uso responsável da IA a mecanismos de  auditoria especializada e monitoramento contínuo, o que reforça a necessidade de controles permanentes ao longo de todo o ciclo de vida da ferramenta.

Por isso, empresas que desejam extrair valor real da IA precisam ir além da lógica da mera contratação de ferramentas. É indispensável combinar governança institucional, capacitação profissional e controles permanentes, para que a inovação não se converta em vulnerabilidade regulatória, operacional e reputacional. Em matéria de IA, maturidade organizacional não se mede por quantas soluções foram adquiridas, mas por quão preparada está a empresa para usá-las com segurança, ética e responsabilidade.

Direitos dos Pacientes conforme a Resolução 2.454 do CFM e a LGPD

A Resolução do CFM em questão fortalece os direitos dos pacientes, especialmente no que diz respeito à transparência. Os pacientes devem ser informados quando a IA for utilizada de forma relevante em seu cuidado e podem, em tese, recusar seu uso. Além disso, passa a ser obrigatório registrar no prontuário médico a utilização de IA, criando rastreabilidade e suporte para auditorias e discussões futuras — um ponto de forte convergência com princípios da LGPD.

Outro destaque é a adoção de uma abordagem baseada em risco, inspirada em regulações internacionais como o AI Act europeu. A norma exige que instituições realizem avaliações periódicas das soluções de IA, classificando-as em níveis de risco (baixo, médio, alto e potencialmente inaceitável), e implementem controles proporcionais, como monitoramento contínuo e auditorias algorítmicas.

A Resolução deixa claro que a implementação eficaz da IA na saúde depende de uma governança estruturada. Isso inclui definição de papéis, criação de políticas internas, protocolos de uso, integração com práticas de segurança da informação e proteção de dados, além do envolvimento do DPO. Mais do que um checklist pontual, trata-se de um processo contínuo que deve ser incorporado à rotina das instituições, garantindo que a inovação tecnológica caminhe lado a lado com ética, transparência e responsabilidade.

Resolução CFM nº 2.454/2026, responsabilidades e a Tecnologia

A Resolução CFM nº 2.454/2026 estabelece de forma clara que a responsabilidade final pelos atos médicos permanece integralmente com o profissional, mesmo quando há uso de inteligência artificial. A IA deve ser utilizada exclusivamente como ferramenta de apoio, cabendo ao médico exercer julgamento crítico sobre suas recomendações, validando-as com base no quadro clínico, evidências científicas e boas práticas. A norma também cobre a eventual responsabilização por falhas exclusivamente atribuíveis à tecnologia. Além disso, é vedado delegar à IA decisões ou comunicações clínicas relevantes, reforçando o princípio de “human-in-the-loop” como base da prática médica digital.

Do ponto de vista tecnológico, a resolução impõe uma série de obrigações estruturais para médicos e instituições de saúde. Entre elas estão o uso apenas de sistemas validados e em conformidade regulatória, a garantia de segurança, confidencialidade e integridade dos dados (em linha com a LGPD), e o registro obrigatório do uso de IA no prontuário para fins de rastreabilidade. Além disso, exige-se governança ativa da tecnologia, incluindo classificação de risco das soluções, monitoramento contínuo, auditorias algorítmicas e comunicação de falhas ou riscos às instâncias competentes. Esse conjunto de medidas posiciona a IA como uma tecnologia que demanda gestão contínua, controles técnicos robustos e integração com práticas formais de governança e segurança da informação.

Como endereçar a Governança para Privacidade na prática?

Falhas de proteção de dados raramente nascem de um único erro isolado; elas costumam surgir da falta de encadeamento lógico entre processos e procedimentos internos. Política de retenção que não conversa com o fluxo de atendimento a titulares, verificação de identidade dissociada de critérios de segurança e rastreabilidade, resposta a incidentes desconectada de gestão de acessos, desligamento de pessoal e cooperação regulatória: tudo isso evidencia a importância de estruturar um ciclo coerente de governança.

Endereçar esse problema exige construir uma lógica operacional integrada, em que cada etapa alimente a seguinte: coleta e uso de dados, classificação e definição de riscos, controle de acesso, retenção e descarte, autenticação para atendimento de direitos, detecção e resposta a incidentes, preservação de evidências, comunicação interna e externa e revisão contínua dos controles. Em outras palavras, não basta ter procedimentos avulsos; é preciso que eles formem um sistema. A maturidade, nesse campo, está menos na existência
formal de documentos e mais na capacidade de fazer com que áreas, fluxos e responsabilidades operem de modo coordenado, com começo, meio, fim e retroalimentação.

Na prática, isso demanda uma agenda concreta de implementação, que passa por: (i) elaborar e consolidar a documentação necessária, com políticas, fluxos, protocolos, matrizes de responsabilidade e critérios de escalonamento; (ii) capacitar os profissionais que  executam, supervisionam ou decidem sobre esses processos, para que compreendam seus deveres, limites e pontos críticos; (iii) integrar esse material aos fluxos efetivos da organização, assegurando aderência entre norma interna e operação; (iv) testar periodicamente os procedimentos por meio de simulações e cenários inspirados em situações reais, de modo a verificar sua funcionalidade antes que a falha se produza em contexto concreto; e (v) auditar e revisar continuamente os controles implementados, à luz de incidentes, solicitações de titulares, mudanças regulatórias e fragilidades identificadas na prática. É esse movimento cíclico – documentar, treinar, integrar, testar, auditar e revisar – que permite transformar um conjunto disperso de regras em um programa efetivamente
funcional de governança.

A Resolução 2.454/2026 do CFM e as consequências práticas para consultórios, clínicas e laboratórios.

Na prática, a Resolução CFM nº 2.454/2026 significa que consultórios, clínicas e laboratórios não podem mais adotar soluções de inteligência artificial de forma ad hoc ou puramente operacional. Será necessário estruturar o uso dessas tecnologias com critérios claros: avaliar previamente os riscos de cada ferramenta, garantir que elas tenham validação técnica e regulatória, e manter o médico sempre como responsável final pelas decisões. Isso implica revisar fluxos assistenciais, treinar equipes sobre limitações e riscos da IA, formalizar quando e como ela pode ser utilizada e, principalmente, garantir transparência com o paciente — incluindo informar o uso relevante da tecnologia e registrar isso no prontuário. Em outras palavras, a IA deixa de ser apenas uma ferramenta de eficiência e passa a ser um elemento regulado da prática assistencial.

Do ponto de vista tecnológico e de gestão, essas instituições precisarão implementar uma governança estruturada de IA, muito próxima do que já se exige em segurança da informação e LGPD. Isso inclui classificar soluções por nível de risco, estabelecer rotinas de monitoramento e auditoria, documentar decisões e evidências de uso responsável, além de garantir controles sobre dados sensíveis de saúde. Também será necessário definir papéis claros (quem aprova, quem monitora, quem responde por incidentes), integrar o tema à gestão de riscos e envolver áreas como TI, jurídico e DPO. Na prática, clínicas e laboratórios que hoje utilizam IA — seja em diagnóstico, triagem, atendimento ou operação — precisarão evoluir para um modelo contínuo de gestão, com processos, políticas e evidências que sustentem conformidade, segurança e confiança.

Como a Macher Tecnologia pode ajudar?

A Macher Tecnologia apoia consultórios, clínicas e laboratórios na implementação prática e segura da Resolução CFM nº 2.454/2026, combinando expertise em governança de tecnologia, LGPD e cibersegurança.

Atuamos desde a avaliação de risco e seleção de soluções de IA até a estruturação completa de políticas, processos e controles — incluindo classificação de risco, monitoramento, auditoria algorítmica e integração com prontuários e fluxos assistenciais. Nosso modelo hands-on garante não apenas conformidade regulatória, mas também eficiência operacional e confiança no uso da IA, com treinamento das equipes, execução de DPO-as-a-Service e construção de uma governança contínua que sustenta inovação responsável na área da saúde.

Fale agora com nossos consultores!