A transformação digital na saúde exige respostas regulatórias claras. Nesse movimento, o Conselho Federal de Medicina (CFM) publicou, em 27 de fevereiro de 2026, duas normas que estruturam a adoção de tecnologias no setor: as Resoluções CFM nº 2.453/2026 e 2.454/2026. Elas se somam a iniciativas anteriores como a prescrição eletrônica (Res. nº 2.299/2021), a regulamentação da telemedicina (Res. nº 2.314/2022) e a plataforma Atesta CFM (Res. nº 2.382/2024), consolidando uma agenda de digitalização com responsabilidade e foco na proteção de dados.
A Resolução nº 2.453/2026 cria a plataforma “Medicina Segura CFM”, um sistema eletrônico para reunir e organizar informações sobre danos provocados por atos médicos praticados por quem não é médico. O objetivo é fortalecer o combate ao exercício ilegal da medicina, aprimorando a articulação institucional e a apuração de responsabilidades. A norma já nasce com uma premissa tecnológica importante, qual seja o uso de mecanismos de anonimização e diretrizes específicas de tratamento e proteção de dados, em conformidade com a LGPD, a serem detalhadas em manual técnico próprio.
Já a Resolução nº 2.454/2026 inaugura um marco regulatório para o uso de inteligência artificial (IA) na medicina. O ponto de partida é inequívoco, ao passo que a IA apoia a prática clínica, mas não substitui o julgamento do profissional. O médico permanece como responsável final por decisões diagnósticas, terapêuticas e prognósticas. Na prática, passa a ser obrigatório registrar no prontuário o uso de sistemas de IA como suporte à decisão, com informação ao paciente e possibilidade de recusa. Fica vedado, ainda, que uma IA comunique diretamente diagnósticos, prognósticos ou condutas ao paciente sem mediação humana, preservando a relação médico-paciente.
A norma dedica capítulo específico à qualidade e à segurança dos dados médicos ao longo de todo o ciclo de vida dos modelos. Exige medidas técnicas e administrativas para prevenir destruição, perda, alterações indevidas, acessos não autorizados e vazamentos. Impõe ao médico o dever de garantir confidencialidade e integridade, limitando o compartilhamento de dados sensíveis ao estritamente necessário e com base legal adequada, além de proibir, inclusive, o uso de sistemas que não comprovem padrões mínimos de segurança compatíveis com a natureza dos dados.
Dois princípios de privacidade aparecem como requisitos estruturantes. O privacy by design determina que a proteção de dados esteja embutida desde a concepção do sistema, inclusive por técnicas como anonimização e criptografia. O privacy bydefault, por sua vez, exige que as configurações padrão assegurem o nível mais alto de proteção, sem depender de ações adicionais do usuário. A mensagem é clara, a privacidade deve ser padrão de projeto e de operação, não um acessório.
No plano de governança institucional, hospitais e demais organizações que desenvolvem ou operam sistemas próprios de IA devem instituir uma Comissão de IA e Telemedicina, subordinada à diretoria técnica e sob coordenação médica. A norma exige mecanismos de auditoria especializada, monitoramento contínuo durante todo o ciclo de vida do sistema e transparência ativa, com relatórios periódicos acessíveis a pacientes, médicos e gestores. Soma-se a isso a obrigação de prevenir e mitigar vieses discriminatórios, e garantir acesso a informações de configuração e desempenho para órgãos de controle.
Os efeitos extrapolam a prática clínica. Há reflexos diretos sobre contratos, compliance, governança de dados, desenvolvimento tecnológico e estratégia institucional.
Para desenvolvedores e fornecedores, as exigências incluem segurança da informação robusta, proteção de dados pessoais sensíveis, transparência algorítmica e responsabilidade ao longo de todo o ciclo de vida dos produtos. Para instituições de saúde, será indispensável revisar processos e instrumentos contratuais, definir responsabilidades entre as partes, implantar uma governança de IA com fluxos de supervisão humana, comprovar conformidade com a LGPD com privacy by design e bydefault, monitorar continuamente desempenho e vieses com registro das medidas adotadas e assegurar cláusulas claras sobre auditorias e acesso a informações técnicas.
A Resolução CFM nº 2.454/2026 entra em vigor 180 dias após a publicação, período curto para quem desenvolve, contrata ou distribui soluções de IA na saúde, sendo hora de mapear riscos, ajustar governança, alinhar a proteção de dados e preparar a documentação técnica e assistencial que comprove conformidade e transparência.
Notícias
Artigos
Cases
E-books
Acontece
