O avanço da inovação no setor de saúde tem exigido respostas regulatórias cada vez mais claras. A incorporação de plataformas digitais e sistemas de inteligência artificial na prática médica motivou o Conselho Federal de Medicina (CFM) a editar duas resoluções recentes que ajudam a estruturar o uso dessas tecnologias: as Resoluções CFM nº 2.453/2026 e 2.454/2026.
Vale lembrar que essa movimentação não é isolada. Nos últimos anos, o CFM já vinha sinalizando uma atenção crescente à transformação digital na medicina, com iniciativas como a normatização da prescrição eletrônica (Resolução CFM nº 2.299/2021), a regulamentação da telemedicina (Resolução CFM nº 2.314/2022), e a criação da plataforma Atesta CFM para validação digital de atestados médicos (Resolução CFM nº 2.382/2024). As duas novas resoluções, publicadas no Diário Oficial da União (DOU), em 27 de fevereiro de 2026, reforçam esse caminho e trazem desdobramentos relevantes para áreas como proteção de dados, governança de tecnologia e inteligência artificial.
A Resolução CFM nº 2.453/2026 institui a plataforma Medicina Segura CFM, voltada à coleta e sistematização de informações sobre danos decorrentes de atos médicos praticados por pessoas sem formação em medicina. A medida fortalece o enfrentamento ao exercício ilegal da medicina e cria um ambiente institucional mais estruturado para apurações, articulação entre órgãos e eventual responsabilização.
Do ponto de vista tecnológico, a Resolução prevê que a plataforma contará com sistema eletrônico próprio, dotado de mecanismos de anonimização de dados, em conformidade com a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei Federal nº 13.709/2018). O manual técnico que detalhará o funcionamento da plataforma deverá incluir, entre outros pontos, orientações específicas sobre tratamento e proteção de dados. Trata-se de mais um indicativo de que o CFM está atento à necessidade de conciliar a digitalização dos processos de fiscalização com as exigências da legislação de proteção de dados.
Já a Resolução CFM nº 2.454/2026 representa um marco ao normatizar, de forma inédita, o uso da inteligência artificial na medicina. A norma parte de um ponto essencial: a IA pode apoiar a prática médica, mas não substitui o julgamento clínico nem afasta a responsabilidade humana pelas decisões. O diagnóstico não pode ser automático, e a decisão final permanece sempre sob responsabilidade do médico.
Do ponto de vista prático, a resolução traz impactos relevantes. Passa a ser obrigatório registrar em prontuário quando sistemas de IA forem utilizados como apoio à decisão clínica. O paciente deve ser informado e pode, inclusive, recusar o uso dessas ferramentas, o que reforça a importância do consentimento e da transparência na relação assistencial. Além disso, fica expressamente vedado que sistemas de IA comuniquem diagnósticos ou decisões terapêuticas diretamente ao paciente sem a mediação de um profissional de saúde.
A resolução traz um capítulo inteiro dedicado à proteção e à qualidade dos dados médicos, o que evidencia a centralidade desse tema na governança de IA em saúde. Os dados utilizados no desenvolvimento, treinamento, validação e implementação de modelos de IA devem ser tratados em rigorosa observância à legislação de proteção de dados pessoais e às normativas de segurança da informação em saúde. Devem ser implementadas medidas técnicas e administrativas de segurança compatíveis com o estado da arte e com a criticidade dos dados e sistemas, a fim de protegê-los contra riscos de destruição, perda, alteração, acessos não autorizados ou vazamentos.
Nesse contexto, a norma impõe ao médico o dever de zelar pela confidencialidade, integridade e segurança dos dados de saúde utilizados por sistemas de IA, assegurando que o compartilhamento de dados pessoais sensíveis ocorra de forma adequada às finalidades informadas aos titulares e apenas quando estritamente necessário, observando-se as bases legais aplicáveis. É vedado, ainda, o uso de sistemas de IA que não garantam padrões mínimos de segurança da informação compatíveis com a natureza sensível dos dados envolvidos.
Vale destacar que a resolução incorpora conceitos já consolidados na área de proteção de dados e privacidade, como privacy by design e privacy by default. O primeiro refere-se à incorporação, desde a concepção de qualquer projeto ou serviço de IA, de medidas para garantir a privacidade dos titulares e a proteção de seus dados pessoais em todo o ciclo de vida do sistema, inclusive mediante anonimização e criptografia de dados sensíveis. O segundo exige que a configuração padrão de qualquer sistema de IA garanta o nível mais alto de proteção e confidencialidade, de forma automática, sem requerer ações adicionais do usuário.
Outro ponto que merece atenção é a classificação dos sistemas de IA em níveis de risco - baixo, médio, alto ou inaceitável - a partir de uma avaliação preliminar que deve considerar fatores como o impacto nos direitos fundamentais e na saúde dos pacientes, a complexidade e o grau de autonomia do modelo, o nível de intervenção humana e a quantidade e sensibilidade dos dados utilizados. Essa abordagem se aproxima de referenciais internacionais, como o modelo europeu de regulação de IA, e dialoga com discussões em curso no Brasil sobre a regulamentação da inteligência artificial. A resolução exige ainda a realização de avaliações de impacto algorítmico (AIA), consistentes em análises contínuas dos impactos de um sistema de IA sobre direitos e interesses dos pacientes, profissionais e demais envolvidos, com identificação de medidas preventivas e mitigadoras de danos.
No campo da governança institucional, hospitais e instituições que desenvolverem ou utilizarem sistemas próprios de inteligência artificial deverão instituir uma Comissão de IA e Telemedicina, subordinada à diretoria técnica e sob coordenação médica. A resolução impõe, ainda, a implementação de mecanismos de auditoria especializada e monitoramento contínuo ao longo de todo o ciclo de vida dos sistemas de IA, bem como a transparência do emprego dessas soluções por meio de relatórios regulares acessíveis a pacientes, médicos e gestores.
Outros requisitos relevantes incluem a prevenção e mitigação de vieses discriminatórios, a adoção de padrões de interoperabilidade e APIs abertas e a garantia de acesso a informações de configuração e desempenho dos sistemas por órgãos de controle e fiscalização. Isso traz reflexos diretos sobre organização interna, gestão de riscos, definição de responsabilidades e integração entre áreas técnicas, assistenciais e tecnológicas.
Os impactos não se limitam à prática clínica e alcançam contratos, compliance, governança de dados, desenvolvimento tecnológico e estratégias institucionais em todo o ecossistema da saúde. Para desenvolvedores e fornecedores de soluções de IA, as novas regras trazem exigências concretas em matéria de segurança da informação, proteção de dados pessoais sensíveis, transparência algorítmica e responsabilidade ao longo do ciclo de vida dos produtos. As instituições de saúde, por sua vez, precisarão revisar seus processos contratuais e de governança para assegurar a conformidade com as novas obrigações, inclusive no que diz respeito à alocação de responsabilidades entre as partes envolvidas na cadeia de desenvolvimento e utilização de IA.
As equipes de Tecnologia e Inovação e Ciências da Vida e Saúde de TozziniFreire estão à disposição para apoiar empresas, instituições de saúde e desenvolvedores na interpretação e implementação dessas novas regras, que entram em vigor 180 dias da data de sua publicação, em agosto de 2026.
