De acordo com a pesquisa TIC Saúde, 17% dos médicos brasileiros já utilizavam IA generativa em suas atividades profissionais em 2024. Considerando a impressionante evolução desta tecnologia, é totalmente plausível concluir que em 2026 este número seja ainda maior.
Neste ínterim, a Câmara dos Deputados discute, há mais de um ano, o futuro Marco Legal da Inteligência Artificial (Projeto de Lei 2.338/2023), com diversas vozes dizendo, inclusive, que a regulação não é desejada, pois pode impedir a inovação no país.
Tomando a frente das discussões e possivelmente entendendo a realidade do uso da tecnologia pelos profissionais da área médica, o Conselho Federal de Medicina publicou no último dia 27 de fevereiro suas próprias regras sobre o tema.
A Resolução nº 2.454/2026 do CFM estabelece as diretrizes éticas, técnicas e de governança para o uso da Inteligência Artificial (IA) na medicina, buscando equilibrar o avanço tecnológico com a segurança do paciente e a autonomia médica, impondo ao Diretor Técnico da instituição médica a responsabilidade direta pela fiscalização e pelas diretrizes de segurança, ética e transparência no uso destes sistemas.
É possível organizar os principais pontos desta norma em alguns pilares: responsabilidade profissional; transparência; classificação de riscos e governança; e proteção de dados e segurança da informação.
Sobre responsabilidade profissional, o médico deve manter sua autonomia e independência técnica, permanecendo integralmente responsável, nos âmbitos ético, civil e penal, por todas as decisões que tomar com o auxílio da IA. Isso inclui o direito de recusar o uso de sistemas sem validação científica, optar por desligar a IA se julgar seu uso inadequado e a proibição das instituições de saúde de impor metas que subordinem a conduta do médico aos algoritmos.
A transparência, que tem sido um princípio recorrente no uso de IA, inclusive fora do contexto médico, está bem presente nas regras do CFM. É o caso, por exemplo, da obrigação de o médico registrar o uso da tecnologia no prontuário do paciente e do direito do paciente de ser informado sempre que um modelo ou sistema de IA for utilizado de forma relevante em seu diagnóstico, tratamento ou cuidado.
A norma também exige que, sempre que for tecnicamente possível, seja garantida a “explicabilidade” da decisão ou previsão gerada. Ou seja, o médico deve conseguir compreender de modo claro como o sistema chegou a um determinado resultado ou predição, tornando transparentes os critérios e fatores algorítmicos relevantes.
Outro pilar, e talvez um dos mais relevantes pelo seu impacto operacional significativo, é o de classificação de riscos e governança. Diversas regras foram criadas, exigindo que todo sistema de IA passe por uma avaliação prévia de risco, cujo resultado deve ser o enquadramento deste sistema como sendo de risco baixo, médio, alto ou inaceitável.
Essas categorias de risco levam em consideração critérios como o impacto nos direitos fundamentais e na saúde dos pacientes, o nível de intervenção humana nos resultados, a criticidade do contexto de uso, combinados com o nível de influência da IA na decisão clínica e a capacidade do médico de intervir a tempo de evitar um dano.
Sistemas de baixo risco são aqueles cujo potencial de causar consequências negativas à saúde ou à segurança é mínimo ou inexistente, enquanto os de alto risco apresentam alto potencial de danos físicos, psíquicos ou morais a indivíduos, ou impactos significativos à saúde pública. Já os sistemas de risco inaceitável, como o próprio nome indica, não são compatíveis com o uso na prática médica por violarem princípios fundamentais.
Adicionalmente à classificação de risco, a Resolução do CFM prevê que as instituições médicas criem um programa de governança destes sistemas de IA que permeie todo o ciclo de vida desta tecnologia. Este programa de governança deve englobar a criação de uma Comissão de IA e Telemedicina, publicação de relatórios regulares detalhando o funcionamento da IA, seus desempenhos, limitações e mecanismos de supervisão, análise contínua dos resultados (outputs) da IA para identificar vieses discriminatórios ilegais ou antiéticos, rotinas de validação, testes, correção de falhas e atualizações, entre outras obrigações.
Além disso, deve ser criada uma rotina mais ou menos intensa de auditoria e monitoramento destes sistemas, a depender do nível de risco aferido pela instituição.
Por fim, todo o ciclo de vida da IA na prática médica continua subordinado à Lei Geral de Proteção de Dados (LGPD), o que significa aplicar os conceitos de privacy by design (privacidade desde a concepção do software) e privacy by default (configuração padrão de privacidade máxima), para evitar vazamentos e acessos não autorizados aos dados sensíveis dos pacientes.
A Resolução entra em vigor em 180 dias, prazo curto para hospitais e clínicas estruturarem comissões de IA, implantarem rotinas de auditoria e adaptarem seus sistemas de governança. Na prática, o CFM fez o que o Congresso ainda não conseguiu e criou um marco regulatório setorial para a inteligência artificial, com regras concretas e prazos definidos. Enquanto o PL 2.338/2023 segue emperrado entre lobbies e divergências ideológicas em Brasília, a medicina brasileira tomou a frente e criou suas próprias regras.
Resta saber se o restante do país vai seguir o mesmo caminho – ou se a falta de uma lei geral continuará deixando setores inteiros à própria sorte.
* Henrique Fabretti é CEO do Opice Blum Advogados; Renato Opice Blum é advogado, economista e professor de direito digital na FAAP e no INSPER
