A publicação da Resolução CFM nº 2.454/2026 inaugura um marco relevante na organização do uso da Inteligência Artificial na medicina brasileira, ao estabelecer parâmetros claros para o desenvolvimento, a implementação e a utilização dessas tecnologias na prática assistencial.
A norma não se limita ao uso da tecnologia, mas disciplina todo o seu ciclo de vida — incluindo desenvolvimento, validação, implantação, monitoramento e governança — com o objetivo de promover eficiência, segurança, transparência e respeito aos direitos dos pacientes (art. 1º).
Como premissa central, reafirma o caráter instrumental da Inteligência Artificial: os sistemas devem atuar como apoio à decisão clínica, sendo vedada a substituição da autoridade médica. A decisão final permanece sob responsabilidade do médico (arts. 4º, I, e 18, §§ 1º e 2º).
Essa diretriz impacta diretamente o regime de responsabilização. O médico permanece integralmente responsável pelos atos praticados (art. 7º), devendo atuar de forma diligente e crítica, ainda que a norma preveja proteção em hipóteses de falha exclusivamente atribuível ao sistema, desde que demonstrado o uso adequado da tecnologia (art. 3º, V). Soma-se a isso o dever de comunicar falhas, riscos relevantes ou usos inadequados que possam comprometer a segurança do paciente (art. 7º, §2º).
No plano operacional, a Resolução introduz exigências que alteram a integração da IA na prática médica. O uso deve ser registrado em prontuário, assegurando rastreabilidade e auditabilidade das decisões clínicas (art. 4º, V).
Outro ponto central é a classificação de risco. As instituições devem realizar avaliação preliminar considerando o contexto de uso, o grau de autonomia, o impacto sobre direitos fundamentais e a sensibilidade dos dados, classificando as soluções conforme seu nível de risco (arts. 12 e 13).
Essa lógica introduz um modelo baseado em gestão de riscos, aproximando o setor de saúde de práticas já consolidadas em outros ambientes regulados.
No campo da governança, a norma exige processos internos estruturados para garantir segurança, qualidade e controle (art. 14), reforçados por práticas como monitoramento contínuo, auditoria e mitigação de vieses previstas no Anexo III.
Quanto aos pacientes, reforça-se a transparência e a autonomia: é obrigatória a informação clara sobre o uso da IA, sendo assegurado o direito de recusa, além da vedação à delegação à tecnologia da comunicação de diagnósticos ou decisões terapêuticas (art. 5º, §§ 1º a 3º).
A norma também impõe padrões rigorosos de proteção de dados, compatíveis com a natureza sensível das informações de saúde (arts. 16 e 17), e aplica-se inclusive aos sistemas já em uso, exigindo revisão e adequação das soluções existentes (art. 21).
A leitura sistemática da Resolução evidencia que o principal risco não está na adoção da tecnologia, mas na forma como sua implementação é conduzida. A ausência de classificação adequada, de rastreabilidade e de estruturas de governança amplia significativamente a exposição jurídica de médicos e instituições.
Nesse cenário, a implementação segura da IA deixa de ser um desafio tecnológico e passa a ser um desafio de conformidade, organização e controle.
Sob a perspectiva da consultoria jurídica, a Resolução sinaliza uma mudança clara: o uso da Inteligência Artificial passa a demandar planejamento, mapeamento e governança. Não se trata apenas de adotar ferramentas, mas de compreender sua inserção nos fluxos assistenciais, os riscos envolvidos e os controles necessários para garantir aderência normativa e segurança jurídica.
Na prática, o uso da IA já ocorre de forma difusa em muitas instituições, sem visibilidade completa sobre as ferramentas utilizadas ou seus impactos regulatórios — um desalinhamento que tende a se tornar crítico à luz da nova regulamentação.
Diante disso, o mapeamento regulatório e o diagnóstico estruturado tornam-se essenciais para identificar vulnerabilidades, avaliar aderência e estruturar estratégias de adequação, permitindo o uso da tecnologia de forma segura e sustentável.
No ambiente regulado, inovação e responsabilidade caminham juntas. Quanto maior o potencial tecnológico, maior a necessidade de controle — é nesse equilíbrio que se constrói uma atuação sólida e juridicamente segura.
