Inteligência Artificial na Medicina: o que muda, na prática, com a Resolução CFM nº 2.454/2026

A crescente incorporação de soluções de inteligência artificial (IA) em rotinas clínicas — da triagem à análise de imagens, da gestão hospitalar ao apoio à decisão — trouxe ganhos evidentes de eficiência e padronização. Contudo, também elevou riscos jurídicos e éticos: vieses algorítmicos, opacidade de modelos, fragilidades de segurança e tentativas indevidas de “substituir” o ato médico. É nesse cenário que se insere a Resolução CFM nº 2.454, de 11 de fevereiro de 2026, publicada em 27/02/2026, ao estabelecer um marco normativo para pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e uso responsável de modelos, sistemas e aplicações de IA na medicina.

Um ponto relevante, inclusive para planejamento de adequação, é o prazo de vigência: a norma entra em vigor após 180 dias da publicação, o que projeta sua eficácia para 26/08/2026.

1. Finalidade e premissas: inovação com segurança, transparência e ética

A Resolução parte de uma diretriz central: a IA pode (e deve) ser instrumento de apoio ao cuidado, mas sob condições de segurança, transparência, isonomia e ética, com estrita observância dos direitos fundamentais do paciente.

Do ponto de vista jurídico, isso significa: (i) não há “zona cinzenta” para experimentos assistenciais sem governança; (ii) a adoção de IA impõe deveres proporcionais ao risco; e (iii) o uso da tecnologia não pode servir como subterfúgio para diluir responsabilidades, nem para enfraquecer o vínculo terapêutico.

2. Direitos do médico: autonomia técnica e proteção contra responsabilização indevida

A Resolução não assume uma postura proibitiva. Ao contrário, reconhece expressamente o direito do médico de utilizar IA como apoio à prática médica, à decisão clínica, à gestão, à pesquisa e à educação continuada, desde que respeitados os limites éticos e legais.

Também assegura prerrogativas fundamentais para a segurança profissional:

• Direito à informação: acesso a dados claros sobre funcionamento, finalidades, limitações, riscos e evidências científicas do sistema utilizado.

• Direito de recusa: possibilidade de rejeitar sistemas sem validação científica adequada, certificação regulatória pertinente ou que afrontem princípios técnicos/éticos.

• Autonomia profissional: vedação a imposições de seguimento automático e acrítico de recomendações algorítmicas.

• Proteção contra responsabilização indevida por falhas atribuíveis exclusivamente ao sistema, desde que demonstrado uso diligente, crítico e ético.

  
  

Na prática, a norma funciona como um “escudo” contra a transferência artificial de culpa ao médico em hipóteses de falha sistêmica, mas condiciona essa proteção à demonstração de postura profissional ativa (criticidade, registro, supervisão).

3. Deveres do médico: supervisão humana, registro e deveres de cuidado

O núcleo duro da Resolução está na reafirmação do que, juridicamente, sempre foi sensível: a IA não “exerce medicina”. O médico permanece responsável final por decisões clínicas, diagnósticas, terapêuticas e prognósticas.

Entre os deveres com maior repercussão prática e probatória (inclusive para defesa em sindicâncias e ações judiciais), destacam-se:

1. Julgamento crítico sobre as recomendações fornecidas, verificando coerência com quadro clínico, evidências e boas práticas.

2. Atualização profissional quanto às limitações, riscos e vieses conhecidos dos sistemas de IA empregados.

3. Uso apenas de sistemas conformes às normas éticas, técnicas, legais e regulatórias vigentes no Brasil.

4. Registro no prontuário do uso de IA como apoio relevante à decisão médica — ponto que tende a ser decisivo em auditorias e litígios.

   
   

Além disso, a Resolução impõe o dever de comunicar falhas, riscos relevantes ou usos inadequados às instâncias competentes quando houver potencial comprometimento da segurança do paciente ou da qualidade assistencial.

4. Relação médico-paciente: transparência, consentimento e proibição de delegação da comunicação clínica

A norma é expressa em proteger a dimensão humana do cuidado: o uso de IA não pode comprometer escuta qualificada, empatia, confidencialidade e dignidade.

Dois comandos merecem atenção especial:

• Dever de informar: o paciente deve ser comunicado, de forma clara e acessível, quando a IA for utilizada como apoio relevante no cuidado, diagnóstico ou tratamento.

• Vedação de delegação comunicacional: é proibido delegar à IA a comunicação de diagnósticos, prognósticos ou decisões terapêuticas, sem mediação humana.

  
  

Há, ainda, preservação da autonomia do paciente, inclusive quanto à recusa informada do uso de IA em seu atendimento, quando aplicável.

Sob a ótica do contencioso, isso reforça a necessidade de protocolos claros: informar “que houve uso de IA” não é formalismo; é componente de transparência e de confiança, e pode repercutir na análise de consentimento e de dever de informação.

5. Direitos do paciente: garantias explícitas e reforço da não experimentalidade encoberta

A Resolução afirma que a introdução de IA não afasta direitos já existentes e lista, de modo exemplificativo, garantias como: informação clara, segunda opinião, não submissão a intervenções experimentais sem consentimento específico e privacidade/confidencialidade de dados pessoais.

Esse trecho é particularmente relevante para separar:

• uso assistencial validado (apoio à decisão com segurança e supervisão), de

• uso experimental disfarçado (modelos em teste atuando em cuidado real, sem governança e consentimento apropriado).

6. Classificação de risco: baixo, médio, alto e inaceitável

A Resolução adota uma abordagem moderna: a instituição deve realizar avaliação preliminar para definir o grau de risco do modelo, sistema ou aplicação, levando em conta impacto em direitos fundamentais e saúde, contexto de uso, complexidade/autonomia, nível de intervenção humana e sensibilidade de dados.

As soluções devem ser categorizadas em baixo, médio, alto ou inaceitável e essa classificação deve ser informada ao usuário.

O detalhamento do anexo sobre risco evidencia que aplicações de alto risco (as que influenciam decisões críticas ou operam com consequências clínicas relevantes) demandam validação rigorosa, auditorias regulares e monitoramento contínuo, dada a gravidade potencial de danos.

7. Governança institucional: Diretor Técnico, comissões e trilhas de auditoria

A Resolução coloca a governança no centro, impondo que a instituição médica (ou o médico que desenvolve/contrata) estabeleça processos internos voltados à segurança, qualidade e ética, com medidas descritas no Anexo III.

Quando a instituição adota sistemas próprios, exige-se a criação de Comissão de IA e Telemedicina, sob coordenação médica e subordinada à diretoria técnica, para assegurar o cumprimento das medidas de governança e o uso ético do sistema e de seus usuários.

Há, ainda, previsão de fiscalização pelos Conselhos Regionais de Medicina e reafirmação de que as soluções de IA não são soberanas, sendo obrigatória a supervisão humana.

8. Proteção e qualidade de dados: LGPD, segurança da informação e responsabilidade operacional

No tema dados, a Resolução é direta: todo o ciclo (desenvolvimento, treinamento, validação e implementação) deve observar rigorosamente a LGPD e normativas específicas de segurança da informação em saúde.

Além disso, determina que dados, modelos e ambientes computacionais sejam protegidos contra destruição, perda, alteração, acessos não autorizados e vazamentos, com medidas técnicas e administrativas compatíveis com o “estado da arte” e a criticidade do sistema.

Para médicos e instituições, isso implica uma conclusão prática: não basta “contratar um software”. É indispensável manter documentação mínima de segurança, controles de acesso, rastreabilidade e avaliação de fornecedores — sob pena de o risco tecnológico se converter em responsabilidade civil, administrativa e ética.

9. Controle e autonomia médica: o “freio de segurança” obrigatório

A Resolução determina que sistemas de IA devem ser concebidos e implantados para assegurar a autonomia do médico, proibindo que restrinjam ou substituam sua autoridade final.

Adicionalmente, reconhece o direito do médico de não utilizar ou desligar a aplicação de IA quando a julgar inadequada na situação concreta, vedando penalizações institucionais por não seguir a orientação algorítmica, desde que o profissional atue conforme preceitos técnicos e éticos.

Esse desenho normativo reduz o risco de “protocolos automatizados” se transformarem, na prática, em ordens administrativas que constranjam o ato médico.

10. Pesquisa, transição e aplicabilidade a sistemas já em uso

A Resolução também alcança pesquisas e projetos-piloto, exigindo alinhamento aos princípios éticos da pesquisa e do cuidado.

E estabelece que suas disposições se aplicam inclusive a modelos e aplicações já em desenvolvimento ou em uso na data da vigência — isto é, não há “direito adquirido” a operar sistemas sem adequação.

11. Recomendações práticas de adequação (checklist de conformidade)

Sem pretender esgotar o tema, a leitura sistemática da norma sugere um roteiro prudente para médicos, clínicas e hospitais até 26/08/2026:

• Mapeamento de todas as soluções de IA utilizadas (assistenciais e administrativas) e de suas finalidades.

• Classificação preliminar de risco e definição de controles proporcionais (especialmente para alto risco).

• Protocolos clínicos: registro em prontuário, critérios de uso, supervisão humana e condutas de contingência.

• Transparência ao paciente: rotinas de informação clara sobre uso relevante de IA e documentação de comunicação.

• Governança: designação de responsáveis, comitês (quando cabível), auditoria e monitoramento.

• LGPD e segurança: revisão de bases legais, contratos com fornecedores, padrões mínimos de segurança e gestão de incidentes.

• Capacitação: treinamento de equipes sobre limitações, vieses, erros possíveis e uso responsável.