Brasil Cria a Primeira Regra de IA Para Medicina: O Que Muda Para Empresas de Saúde

Q: A Resolução CFM 2.454/2026 proíbe o uso de IA na medicina?

Não. A resolução regulamenta o uso, não proíbe. Ela garante ao médico o direito de usar IA como apoio à decisão clínica, desde que respeitados os limites éticos, legais e técnicos. O que é proibido são sistemas classificados como “risco inaceitável” — aqueles que operam sem supervisão médica em decisões críticas.

Q: Qual o prazo para se adequar à resolução?

A resolução entra em vigor 180 dias após a publicação, que ocorreu em 27 de fevereiro de 2026. O prazo final estimado é agosto de 2026. Instituições que não estiverem em conformidade após esse período podem enfrentar sanções do CFM.

O Brasil acaba de dar um passo que nenhum outro país da América Latina ousou: criou a primeira regulamentação específica para o uso de Inteligência Artificial na medicina. A Resolução CFM nº 2.454/2026, publicada em 27 de fevereiro de 2026 pelo Conselho Federal de Medicina, estabelece regras claras para pesquisa, desenvolvimento, governança e uso de IA em contextos médicos — e muda o jogo para hospitais, clínicas, healthtechs e qualquer empresa que opere no ecossistema de saúde digital.

Se você lidera ou trabalha em uma empresa de saúde — ou fornece tecnologia para esse setor — este é o momento de parar e entender o que está acontecendo. O prazo de adequação é de 180 dias. O relógio já começou a contar.

“A palavra final sobre decisões diagnósticas, terapêuticas e prognósticas sempre será do médico.” — Resolução CFM nº 2.454/2026

O Que É a Resolução CFM 2.454/2026

Após 18 meses de debates conduzidos por um grupo de trabalho especializado, o CFM publicou no Diário Oficial da União a resolução que normatiza o uso de Inteligência Artificial na medicina em todo o território nacional. É o primeiro marco regulatório setorial dedicado exclusivamente à IA no exercício da medicina no Brasil.

O objetivo é direto: promover o desenvolvimento tecnológico e a eficiência dos serviços médicos de modo seguro, transparente, isonômico e ético. A resolução cobre desde pesquisa e desenvolvimento até governança, auditoria, monitoramento, capacitação e uso responsável de sistemas de IA.

Alguns pontos centrais:

O médico tem o direito de usar ferramentas de IA como apoio à decisão clínica, gestão, pesquisa e educação
O médico pode recusar o uso de tecnologias não validadas cientificamente ou sem certificação regulatória
A decisão final — diagnóstica, terapêutica ou prognóstica — é sempre do médico, nunca da máquina
Todos os dados devem seguir rigorosamente a LGPD e normas de segurança da informação em saúde

Classificação de Risco: 4 Níveis Que Definem o Que Sua Empresa Pode ou Não Fazer

A resolução introduz um sistema de classificação de risco em quatro níveis para sistemas de IA na medicina:

Risco Baixo: Sistemas de apoio administrativo, agendamento inteligente, organização de prontuários
Risco Médio: Ferramentas de triagem preliminar, análise de exames de rotina com supervisão médica
Risco Alto: Sistemas de diagnóstico autônomo, recomendação terapêutica, análise de imagens médicas complexas
Risco Inaceitável: Qualquer sistema que opere sem supervisão médica em decisões críticas de vida ou morte

A classificação considera fatores como impacto nos direitos fundamentais, complexidade do modelo, grau de autonomia e sensibilidade dos dados utilizados. E o nível de risco deve ser informado ao usuário — ou seja, ao médico e ao paciente.

Para empresas de tecnologia em saúde, isso significa: antes de colocar qualquer produto no mercado, é preciso classificá-lo. E a classificação determina o nível de governança exigido.

Comissão de IA e Telemedicina: Nova Exigência Para Instituições de Saúde

Instituições médicas que desenvolvam ou utilizem sistemas próprios de IA deverão criar uma Comissão de IA e Telemedicina, com as seguintes características:

Coordenação obrigatoriamente médica
Subordinada à diretoria técnica da instituição
Responsável por monitorar o funcionamento das ferramentas de IA
Realizar auditorias periódicas e avaliar riscos éticos e técnicos
Garantir o cumprimento dos anexos da resolução e o uso ético e seguro das soluções

Para hospitais e clínicas que já usam IA — e são muitos — isso não é opcional. É uma nova camada de compliance que precisa ser implementada até agosto de 2026.

Quem É Afetado: Do Hospital à Startup

A resolução impacta diretamente:

Hospitais e clínicas que utilizam sistemas de IA para diagnóstico, triagem ou gestão
Operadoras de planos de saúde que implementam IA em processos de autorização ou análise
HealthTechs e startups que desenvolvem soluções de IA para o setor médico
Empresas de tecnologia que fornecem infraestrutura de dados ou modelos de machine learning para saúde
Centros de pesquisa que trabalham com IA aplicada à medicina

A implementação de sistemas inteligentes deixa de ser uma decisão meramente técnica ou administrativa. Agora integra a agenda de compliance, governança e gestão de riscos — com consequências legais reais.

Transparência e Proteção de Dados: O Que a Resolução Exige na Prática

A resolução vai além de princípios genéricos e detalha exigências práticas que impactam diretamente a operação de empresas de tecnologia em saúde. Todos os dados utilizados no desenvolvimento, treinamento, validação e implementação de sistemas de IA devem observar rigorosamente a Lei Geral de Proteção de Dados (LGPD) e normas específicas de segurança da informação em saúde.

Na prática, isso significa:

Dados de pacientes usados para treinar modelos precisam de consentimento explícito e rastreável
Anonimização deve ser comprovada tecnicamente — não basta remover nomes
Medidas técnicas e administrativas compatíveis com a criticidade das informações são obrigatórias
Transferência internacional de dados (comum em soluções de IA baseadas em cloud) precisa seguir as regras da LGPD
O viés algorítmico — quando modelos de IA discriminam por raça, gênero ou condição socioeconômica — deve ser monitorado e mitigado

Para healthtechs que usam modelos treinados em datasets internacionais (como muitas fazem), isso levanta uma questão concreta: seu modelo foi treinado com dados da população brasileira? Se não, como você garante que ele funciona com a mesma precisão para pacientes brasileiros? A resolução não ignora esse ponto.

Exemplos Práticos: Onde a IA Já Está na Medicina Brasileira

Se parece abstrato, considere que a IA já está presente em diversos pontos da cadeia de saúde no Brasil:

Radiologia: Sistemas de IA analisam raios-X e tomografias para detectar nódulos pulmonares, fraturas e anomalias — muitas vezes antes do radiologista
Dermatologia: Apps que fotografam lesões de pele e classificam o risco de melanoma usando visão computacional
Triagem em emergências: Algoritmos que priorizam pacientes com base em sinais vitais e histórico clínico
Gestão hospitalar: Previsão de demanda de leitos, otimização de escalas, gestão de estoque de medicamentos
Telemedicina: Chatbots de pré-atendimento que coletam sintomas antes da consulta médica
Patologia: Análise de lâminas histológicas com precisão que rivaliza com especialistas humanos

Cada um desses casos se enquadra em um nível diferente de risco na nova resolução. E cada um exige um nível diferente de governança. O hospital que usa IA para gestão de estoque (risco baixo) tem obrigações diferentes do que usa IA para diagnóstico de câncer (risco alto).

O Contexto Regulatório: Brasil na Vanguarda da América Latina

O Brasil já está discutindo o PL 2338/2023 (o “Marco Legal da IA”), que deve regulamentar a Inteligência Artificial de forma ampla. Mas a Resolução CFM 2.454/2026 saiu na frente como regulação setorial específica — algo que poucos países do mundo fizeram com essa clareza.

A resolução segue princípios alinhados com o debate global:

Beneficência e não-maleficência (“primeiro, não causar dano”)
Autonomia médica preservada
Justiça no acesso e aplicação
Cuidado centrado no paciente
Transparência nos algoritmos e dados utilizados

Para empresas brasileiras de saúde, isso é uma vantagem competitiva. Quem se adequar primeiro terá credibilidade regulatória para expandir operações — inclusive internacionalmente.

O Que Fazer Agora: 5 Passos Para Empresas de Saúde

O prazo de 180 dias parece generoso, mas para quem conhece a complexidade de compliance em saúde, é apertado. Aqui está o que precisa acontecer:

Auditar todos os sistemas de IA em uso: Mapear quais ferramentas utilizam IA, mesmo que indiretamente (muitos ERPs e sistemas de gestão já embarcam modelos de machine learning)
Classificar por nível de risco: Usar os critérios da resolução para enquadrar cada sistema nos quatro níveis
Criar a Comissão de IA e Telemedicina: Nomear coordenação médica, definir escopo de atuação e vincular à diretoria técnica
Revisar contratos com fornecedores de tecnologia: Garantir que os fornecedores de IA estejam em conformidade com a resolução e com a LGPD
Documentar tudo: Processos de governança, auditorias, decisões da comissão — a resolução exige rastreabilidade

Na Posicionamento Digital: O Que Vemos Nesse Movimento

Na Posicionamento Digital, acompanhamos de perto a intersecção entre tecnologia e regulação. O que a Resolução CFM 2.454/2026 sinaliza é um padrão que vai se repetir em outros setores: educação, advocacia, contabilidade, engenharia. A IA está entrando em profissões regulamentadas, e os conselhos de classe vão precisar responder.

Para PMEs que atuam no setor de saúde ou fornecem tecnologia para ele, este é um momento de posicionamento estratégico. Empresas que se adequarem cedo não apenas evitam problemas — ganham vantagem competitiva real. Compliance deixou de ser custo para ser diferencial de mercado.

A pergunta que fica: sua empresa já sabe quais sistemas de IA está usando — e em qual nível de risco eles se enquadram?

Perguntas Frequentes

A Resolução CFM 2.454/2026 proíbe o uso de IA na medicina?

Não. A resolução regulamenta o uso, não proíbe. Ela garante ao médico o direito de usar IA como apoio à decisão clínica, desde que respeitados os limites éticos, legais e técnicos. O que é proibido são sistemas classificados como “risco inaceitável” — aqueles que operam sem supervisão médica em decisões críticas.

Minha clínica usa um software com IA embutida. Preciso me adequar?

Sim. Qualquer instituição de saúde que utilize sistemas com componentes de IA — mesmo que fornecidos por terceiros — precisa classificar esses sistemas por nível de risco e garantir conformidade com a resolução. Se a instituição desenvolve sistemas próprios, precisa também criar a Comissão de IA e Telemedicina.

Qual o prazo para se adequar à resolução?

A resolução entra em vigor 180 dias após a publicação, que ocorreu em 27 de fevereiro de 2026. O prazo final estimado é agosto de 2026. Instituições que não estiverem em conformidade após esse período podem enfrentar sanções do CFM.

HealthTechs e startups também são afetadas?

Sim. A resolução afeta “empresas desenvolvedoras ou fornecedoras de soluções tecnológicas” para o setor de saúde. Se sua startup desenvolve qualquer ferramenta de IA voltada para uso médico — diagnóstico, triagem, gestão, pesquisa — ela precisa atender aos requisitos de governança, transparência e proteção de dados da resolução.

A resolução do CFM tem relação com o Marco Legal da IA (PL 2338/2023)?

São complementares. O PL 2338/2023 busca regulamentar a IA de forma ampla no Brasil. A Resolução CFM 2.454/2026 é uma regulação setorial, específica para a medicina. Quando o Marco Legal for aprovado, as duas normas deverão coexistir — com a resolução do CFM detalhando as exigências específicas do setor de saúde.