A Resolução CFM nº 2.454/2026 rege o uso da Inteligência Artificial (“IA”) na medicina brasileira, trazendo parâmetros para inovação tecnológica implementada na cadeia da saúde, e a sua intersecção com fundamentos éticos da prática médica, aplicáveis a estabelecimentos de saúde e profissionais médicos.

Em um cenário de crescente incorporação de sistemas automatizados no apoio diagnóstico e na prática médica como um todo, a norma reafirma um princípio essencial: a inteligência artificial deve ser compreendida como instrumento auxiliar, e não como substituta da atuação profissional do médico[1]. Como pode ser observado, o Conselho Federal de Medicina (“CFM”) objetiva não apenas preservar o papel central do julgamento clínico do profissional, mas também atribuir-lhe a responsabilidade pelo cuidado[2].

A orientação do CFM sobre a centralidade do julgamento humano converge com o PL 2.338/2023, que, ao tratar dos sistemas de IA de alto risco, impõe a supervisão humana efetiva e atribui ao operador, e não ao sistema, a responsabilidade pelos danos decorrentes de seu uso[3], reforçando, no plano legislativo federal, a mesma lógica de subordinação da IA ao controle humano.

IA como instrumento auxiliar e a centralidade do julgamento clínico

Ao atribuir ao médico a responsabilidade final pelas decisões clínicas[4], independentemente de os achados e as recomendações serem gerados por sistemas de inteligência artificial, a Resolução ao mesmo tempo (a) assegura ao médico o direito de ser protegido contra a responsabilização indevida por falhas dos sistemas de IA[5]; e (b) reforça que a tecnologia não dilui a responsabilidade do profissional[6].

Não há clareza da intenção do CFM. Por um lado, há um dever claro de o profissional manter um fluxo de validação do resultado das informações disponibilizadas por IA, o que, do nosso ponto de vista, é adequado; por outro, o conselho não exclui a responsabilidade ético-profissional do médico por uso do sistema (art. 7º).

De acordo com a redação da Resolução, o médico passará a atuar também como avaliador das ferramentas de IA que utiliza, devendo compreender suas limitações, riscos e grau de confiabilidade. A norma, assim, passa, de certa forma, a exigir conhecimento técnico médico, bem como letramento digital e algorítmico, a fim de evitar dependência acrítica. Com isso, mantida a interpretação acima exposta, torna-se essencial que o profissional entenda o funcionamento e o racional do sistema, possibilitando análise crítica e validação das decisões, cuja responsabilidade permanece exclusivamente sua[7].

A IA, nos termos trazidos pelo CFM, deve ser utilizada pelo médico como instrumento de apoio, visando auxiliar a tomada de decisões e facilitar processos. E, assim, em hipótese nenhuma o profissional poderá se basear única e exclusivamente em suas recomendações, sendo imprescindível que as avalie com senso crítico e análise técnica. Sua utilização deve ser feita, ainda, de maneira que o profissional avalie se as orientações fornecidas estão em consonância com as normas éticas e sanitárias vigentes e sem comprometer a relação médico-paciente.

Comunicação ao paciente

No tocante ao paciente, o CFM orienta a comunicação prévia, garantindo-se, inclusive[8], a recusa do paciente a seu uso[9]. Assim, ao profissional médico cabe apropriar-se das tecnologias disponíveis e utilizadas no dia a dia dos seus atendimentos, certificar-se da comunicação aos pacientes e, finalmente, registrar o uso em prontuário[10].

Não há menção expressa à necessidade de consentimento prévio do paciente, apenas à comunicação, direito de recusa e anotação em prontuário.

Validação, supervisão e rastreabilidade das ferramentas de IA

A Resolução exige validação e supervisão das ferramentas de inteligência artificial no contexto da prática médica. A norma estabelece que o uso desses sistemas deve ocorrer de forma segura e responsável, o que pressupõe tanto a atuação do médico na revisão dos resultados obtidos das ferramentas como  a existência de um arranjo institucional que assegure condições adequadas para avaliação de sua eficácia em situações reais de atendimento[11].

Nesse contexto, exige-se, de um lado, a disponibilização de informações claras e acessíveis sobre o funcionamento, limitações e níveis de confiabilidade dos sistemas e, de outro, a adoção de protocolos assistenciais que orientem seu uso e delimitem os contextos em que suas recomendações devem ser aplicadas ou revistas.

Soma-se a isso a necessidade de mecanismos de monitoramento contínuo e rastreabilidade das decisões, que permitam aferir o desempenho das ferramentas ao longo do tempo[12]. Nesse cenário, a atuação do médico como validador crítico se torna efetiva não apenas pelo seu julgamento clínico, mas pela inserção em um ambiente estruturado que lhe permita compreender, questionar e, quando necessário, afastar os resultados apresentados pela IA.

O papel dos desenvolvedores e a corresponsabilização

Nesse arranjo, também se mostra indispensável a participação ativa dos desenvolvedores das soluções, que devem integrar a governança desses sistemas, especialmente no que se refere à realização de testes, validações prévias, documentação técnica e fornecimento de informações sobre limitações, vieses e condições de uso. A responsabilização desses agentes, ainda que não afaste o dever final do médico sobre a decisão clínica, é fundamental para assegurar a confiabilidade das ferramentas e viabilizar um ecossistema de uso seguro, baseado na transparência, na prestação de contas e na melhoria contínua dos sistemas.

Robustez científica, responsabilização e desafios regulatórios

A validação científica[13] também ocupa posição central no texto normativo, que exige tanto a revisão dos resultados pelo médico responsável quanto a validação prévia dos sistemas, sob os aspectos técnicos e de maturidade e acurácia da plataforma, antes da implementação na rotina médica. Logo, o uso de ferramentas de inteligência artificial sem respaldo técnico e científico adequado pode comprometer a segurança do paciente e a qualidade assistencial e, consequentemente, ensejar a responsabilização do médico e/ou da instituição de saúde responsáveis por sua implementação e utilização.

É importante considerar que há diversos procedimentos previstos na legislação sanitária em vigor – como a que trata de software como dispositivo médico (RDC nº 657/2022) e a que rege a notificação e registro de produtos (RDC nº 751/2022) – que já trazem uma série de obrigações relativas à comprovação de segurança e eficácia desses produtos, inclusive nos casos em que há sistemas envolvidos.

Sob esse aspecto, concluímos que o CFM: (a) foi claro quanto à necessidade de o profissional validar o resultado trazido pelo Sistema de IA, o que faz sentido do ponto de vista do conhecimento dos dados clínicos gerais disponíveis; (b) foi bastante dúbio ao, em um dispositivo, afastar a responsabilidade do médico (Inciso V do artigo 3º) e, em outro (artigo 7º) imputar-lhe responsabilidade.

Neste ponto, cabe refletir sobre os desafios na operacionalização da responsabilidade atribuída a médicos e instituições de saúde. Isso porque a validação e compreensão dos sistemas exigem um nível de letramento técnico científico que nem sempre está presente na prática. Essa limitação se acentua diante de ferramentas complexas, frequentemente desenvolvidas por terceiros e baseadas em modelos pouco transparentes, gerando uma assimetria informacional que dificulta tanto a avaliação crítica quanto a delimitação de responsabilidades, especialmente quando as decisões se apoiam em recomendações cujo funcionamento não é plenamente compreendido.

Essa assimetria informacional se agrava diante do papel das instituições de saúde, já que o médico, na prática, nem sempre detém plena autonomia sobre as ferramentas utilizadas. Por outro lado, as instituições de saúde, por determinação sanitária, são obrigadas a garantir a segurança do paciente e adotam medidas para padronização de fluxos e produtos utilizados no dia a dia, inclusive num processo constante de homologação de fornecedores.

Nesse contexto, cabe destacar que a área da saúde é um setor altamente regulado, justamente pela sensibilidade de se lidar com a vida e a saúde humana, exigindo que as ferramentas utilizadas pelos profissionais sejam devidamente validadas e rastreáveis.

Adicionalmente, o desenvolvimento de plataformas, algoritmos e softwares destinados a fins de diagnóstico, prevenção, monitoramento ou tratamento de doenças dos pacientes, ofertando precisão e suporte à decisão clínica[14], podem ser classificados como Software como Dispositivo Médico (SaMD)[15], exigindo regularização prévia e específica à sua comercialização. A classificação de risco sanitário aplicável, diferente da prevista pelo CFM, variará conforme as características do produto, sua finalidade e mecanismo de ação.

Tal cenário acentua a necessidade de que os médicos, ao utilizarem programas de IA para tomada de decisão apoiada, reforcem o seu julgamento crítico e realizem uma análise técnica aprofundada, de acordo com o quadro clínico do paciente para além das recomendações geradas pelo sistema.

Soma-se a isso um desafio de ordem regulatória: a Resolução CFM nº 2.454/2026 e o regime de SaMD da ANVISA estabelecem classificações de risco a partir de perspectivas distintas: a primeira priorizando, em grande parte, o grau de autonomia do sistema e o impacto sobre direitos fundamentais; a segunda, os padrões de segurança e eficácia necessários. Para instituições e desenvolvedores sujeitos simultaneamente às duas regulações, esse debate representa um desafio concreto de implementação que deverá ser endereçado de forma consistente pelo setor.

Sigilo médico e proteção de dados no ambiente digital

O sigilo médico permanece como elemento inegociável mesmo na utilização de ferramentas de inteligência artificial. A Resolução deixa claro que a confidencialidade das informações não se limita ao ambiente tradicional, mas se estende ao contexto digital, impondo ao profissional e às instituições a adoção de medidas robustas de governança da informação[16], como controle de acesso, anonimização quando possível e avaliação criteriosa de fornecedores de tecnologia, especialmente em soluções baseadas em nuvem.

Nesse contexto, estabelece-se um paralelo direto: o dever clássico de sigilo médico é reproduzido e ampliado no ambiente digital, passando a se materializar também nas obrigações previstas na Lei Geral de Proteção de Dados. Assim, ao exigir que o profissional zele pela confidencialidade no uso de IA, a Resolução dialoga com os princípios da LGPD, especialmente os de confidencialidade, integridade e disponibilidade, reforçando que a proteção dos dados de saúde, por sua natureza sensível, demanda não apenas uma postura ética, mas uma estrutura técnica e regulatória adequada para sua efetiva garantia.

Classificação de Risco, Governança institucional e responsabilidade organizacional

No plano institucional, a Resolução sinaliza a importância da criação de estruturas de governança[17] voltadas ao uso de tecnologias digitais. Para orientar essa governança, a Resolução estabelece que a implementação de sistemas de IA deve ser precedida de avaliação de risco, classificada em quatro níveis não estáticos:

 

• baixo, quando o impacto potencial se limita a atrasos ou inconvenientes administrativos. Exemplos: sistemas de  IA  para  agendamento  de  consultas,  gestão  logística  de  insumos hospitalares, chatbots, dentre outros;
• médio, quando há risco mitigável mediante supervisão humana e controles adequados. Exemplos: sistemas que apoiam  decisões  clínicas  ou  operacionais  importantes,  mas  não  as  executam de  forma autônoma;
• alto, quando existe potencial significativo de danos físicos, psíquicos ou morais; e
• inaceitável, categoria cuja definição a norma não detalha, mas cuja simples previsão já sinaliza que determinados usos de IA serão vedados na prática médica.

Essa gradação é central para que as instituições dimensionem adequadamente suas estruturas de controle. Reitera-se, porém, que essa disposição não está completamente convergente com a regulamentação da ANVISA, que traz critérios de risco diferenciado, aspecto que, como mencionado, deverá ser direcionado de alguma forma.

Hospitais, clínicas e demais organizações de saúde passam a ter o dever de estabelecer políticas internas claras, promover capacitação contínua de seus profissionais e implementar mecanismos de compliance que assegurem o uso ético e seguro da inteligência artificial. A responsabilidade, portanto, não é apenas individual, mas também organizacional, exigindo uma cultura institucional comprometida com a proteção de dados, a segurança do paciente e a integridade das decisões clínicas.

Como já indicado, a responsabilidade dos estabelecimentos de saúde quanto às ferramentas e fluxos internos utilizados não é novidade. A ANVISA é expressa ao impor aos estabelecimentos de saúde o dever de estabelecer estratégias e ações para garantir a segurança dos pacientes e a humanização da atenção e gestão médica[18].

Novamente, sob o aspecto prático da responsabilização das instituições, recomenda-se a adoção de medidas concretas, como a definição de critérios para seleção e contratação de fornecedores, a realização de testes e validações antes da implementação das ferramentas, a formalização de fluxos de uso, incluindo quando a IA pode ou não ser utilizada, e a criação de rotinas de monitoramento contínuo dos sistemas. Além disso, cabe às instituições estruturar canais de reporte de falhas, revisar periodicamente o desempenho das soluções e garantir que haja suporte técnico adequado aos profissionais de saúde.

Assim, a responsabilidade deixa de ser apenas uma diretriz abstrata e passa a demandar atuação ativa e contínua das organizações, que devem assumir papel central na gestão dos riscos tecnológicos, não apenas como apoiadoras, mas como efetivas responsáveis pela governança, segurança e confiabilidade das ferramentas disponibilizadas aos seus profissionais.

Por fim, não se pode ignorar os desafios éticos associados aos vieses algorítmicos. Sistemas de IA são treinados com base em dados históricos que podem refletir desigualdades estruturais, o que pode resultar em recomendações discriminatórias ou menos precisas para determinados grupos populacionais. A Resolução, ao enfatizar o uso ético dessas ferramentas no artigo 7º, impõe ao médico, sob pena de responsabilização, o dever de vigilância crítica sobre tais limitações, de modo a evitar a reprodução de injustiças e a garantir a equidade no cuidado.

Conclusão

Dessa forma, a Resolução CFM nº 2.454/2026 estabelece um marco regulatório que não apenas disciplina o uso da inteligência artificial na medicina, mas também redefine o próprio exercício profissional em um ambiente digital. Ao equilibrar inovação com responsabilidade, a norma reforça que, embora a medicina se transforme com a tecnologia, valores fundamentais como responsabilidade, confidencialidade, autonomia e cuidado centrado no paciente permanecem inalterados.

Pelo exposto, entendemos que há pontos divergentes que devem ser enfrentados pelo conselho e pela sociedade civil como: (a) a definição mais clara quanto à responsabilização ou não de profissionais médicos pelo uso de IA; (b) a obrigatoriedade de supervisão humana; e (c) a convergência da classificação de risco com a legislação sanitária vigente.

[1] Art. 3º, Inciso IV; Art. 4º, Incisos I e II; e Art. 18 da Resolução CFM nº 2.454/2026.

[2] Art. 7º da Resolução CFM nº 2.454/2026.

[3] Art. 8º do PL 2.338/2023.

[4] Art. 4º, Inciso I da Resolução CFM nº 2.454/2026.

[5] Art. 3º, Inciso V da Resolução CFM nº 2.454/2026.

[6] Art. 7º da Resolução CFM nº 2.454/2026.

[7] Art. 4º, Incisos I a III da Resolução CFM nº 2.454/2026.

[8] Art. 11 da Resolução CFM nº 2.454/2026.

[9] Art. 5º, §3º da Resolução CFM nº 2.454/2026.

[10] Art. 4º, Inciso V da Resolução CFM nº 2.454/2026.

[11] Art. 14 da Resolução CFM nº 2.454/2026.

[12] Art. 1º da Resolução CFM nº 2.454/2026.

[13] Art. 1º, §3º e 4º da Resolução CFM nº 2.454/2026.

[14] Resolução da Diretoria Colegiada ANVISA nº 751/2022.

[15] Resolução da Diretoria Colegiada ANVISA nº 657/2022.

[16] Art. 14 da Resolução CFM nº 2.454/2026.

[17] Resolução CFM nº 2.454/2026, Art. 14 e Anexo III

[18] Resolução da Diretoria Colegiada ANVISA nº 36/2013 e Resolução da Diretoria Colegiada ANVISA nº 63/2011