Em 27 de fevereiro de 2026, foi publicada no Diário Oficial da União (DOU) a Resolução CFM nº 2.454/2026, que normatiza o uso da inteligência artificial na medicina.

Apesar da questionável competência do CFM para tratar sobre aspectos envolvendo o desenvolvimento, a governança e a fiscalização dos sistemas de IA, a norma estabelece diretrizes e obrigações para o uso responsável de modelos, sistemas e aplicações de Inteligência Artificial (IA) na área médica, inclusive para ferramentas que já estejam em uso. Confira abaixo os principais pontos.

Direitos e deveres dos médicos no uso de IA


A Resolução CFM nº 2.454/2026 assegura ao médico o direito de utilizar ferramentas de IA como instrumento de apoio à prática médica, à decisão clínica, à gestão em saúde, à pesquisa científica e à educação médica continuada, respeitados os limites éticos e legais da profissão. Deve ser permitido a estes profissionais o acesso a informações claras e compreensíveis sobre o funcionamento, as finalidades, as limitações, os riscos e o grau de evidência científica dos sistemas de IA utilizados.

Por outro lado, a norma estabelece que o médico deve:

  • empregar a IA exclusivamente como ferramenta de apoio, mantendo-se como responsável final pelas decisões clínicas, diagnósticas, terapêuticas e prognósticas;
  • exercer julgamento crítico sobre as informações e recomendações fornecidas pela IA, avaliando sua coerência com o quadro clínico e as evidências científicas disponíveis;
  • manter-se atualizado quanto às capacidades, limitações, riscos e vieses conhecidos dos sistemas de IA utilizados;
  • utilizar apenas sistemas de IA que atendam às normas éticas, técnicas, legais e regulatórias vigentes no território nacional;
  • registrar no prontuário do paciente o uso de sistemas de IA como apoio à decisão médica;
  • assegurar que o uso de modelos, sistemas e aplicações de inteligência artificial não comprometam a relação médico-paciente, a escuta qualificada, a empatia, a confidencialidade e o respeito à dignidade da pessoa humana.

É expressamente vedado ao médico:

  • delegar à IA a comunicação de diagnósticos, prognósticos ou decisões terapêuticas sem a devida mediação humana, devendo também respeitar a autonomia do paciente quanto à recusa informada do uso de IA; e
  • utilizar sistemas de IA que não garantam padrões mínimos de segurança da informação compatíveis com dados pessoais sensíveis.

A regulação reforça que os sistemas de IA utilizados em âmbito assistencial deverão ser concebidos e implantados de modo a assegurar a autonomia médica, não podendo limitar ou substituir a decisão do profissional, que pode acolher ou rejeitar as sugestões da IA conforme seu julgamento.

Relação médico-paciente e proteção de dados


No contexto clínico, a norma determina que qualquer ferramenta de IA utilizada como apoio relevante em ações de cuidado, diagnóstico ou tratamento deverá ser comunicada e explicada aos pacientes de forma clara e acessível, reforçando-se que tais sistemas servem de apoio ao médico, mas não substituem a autoridade e a decisão final humana sobre o cuidado. Adicionalmente, cabe ao médico respeitar a autonomia do paciente, inclusive quanto à recusa informada do uso de ferramentas de IA.

No que se refere à proteção de dados, o médico deve zelar pela confidencialidade, integridade e segurança dos dados de saúde utilizados por sistemas de IA, em conformidade com a legislação vigente, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD). O compartilhamento de dados pessoais dos pacientes com sistemas de IA deve ocorrer de forma adequada às finalidades informadas aos titulares e apenas quando estritamente necessário.

Além disso, o uso de dados pessoais para treinamento, validação ou aprimoramento de algoritmos de IA deve observar princípios éticos e direitos fundamentais, incluindo:

  • princípios da beneficência, da não maleficência, da autonomia, da justiça e da centralidade do cuidado humano;
  • direito à informação clara sobre seu estado de saúde e opções de tratamento;
  • direito à obtenção de segunda opinião;
  • direito de não ser submetido a intervenções experimentais sem consentimento específico; e
  • direito à privacidade e confidencialidade de seus dados pessoais.

Classificação de riscos de IA

A Resolução CFM nº 2.454/2026 estabelece que a utilização ou desenvolvimento de modelos, sistemas e aplicações de IA por instituições médicas (públicas ou privadas) estarão sujeitas à avaliação preliminar para identificação do grau de risco algoritmico. Trata-se de uma abordagem semelhante à proposta em discussão no Congresso Nacional, no âmbito do PL nº 2.338/2023.

A categorização definida pelo CFM se divide em: 

Classificação Medidas a serem adotadas Exemplos
Baixo Risco

Aquelas cujo potencial de consequências negativas é mínimo, atuando tipicamente em funções administrativas ou de apoio de baixo impacto.

Deverão ser monitoradas e revisadas periodicamente (sem prazo específico), para assegurar que continuem dentro dos parâmetros dessa categoria e que eventuais mudanças tecnológicas ou contextuais não alterem sua classificação de risco.

Agendamento de consultas;

Gestão logística de insumos hospitalares, chatbots de saúde (desde que sem personalizar aconselhamento clínico);

Ferramentas de tradução de prontuários ou de sumarização de literatura médica para uso interno.
Médio Risco

Envolvem algum potencial de impacto adverso, porém mitigável via supervisão e intervenção do médico responsável, bem como mecanismos de controle impeçam a efetivação de um desfecho lesivo.

Demandam monitoramento regular (sem prazo específico) e avaliação de desempenho em intervalos apropriados.

 Sistemas de suporte à decisão clínica.
Alto Risco

Podem acarretar alto potencial de danos físicos, psíquicos ou morais, incluindo sistemas que influenciam diretamente decisões médicas críticas ou executam ações automatizadas com consequências clínicas relevantes.

Demandam processos de validação, auditorias regulares (sem prazo específico) e monitoramento contínuo, dada a gravidade das consequências potenciais aos direitos fundamentais, à saúde e à vida.

 Sistemas que influenciam diretamente decisões médicas críticas ou executam ações automatizadas com consequências clínicas envolvendo pacientes em estado vulnerável ou questões de vida ou morte

Apesar de o texto publicado mencionar soluções de IA de risco “inaceitável”, não há definição para esta categoria.

Governança e supervisão


No âmbito institucional, a norma veda qualquer penalização para profissionais que não sigam a orientação de uma solução de IA, desde que atue de acordo com os preceitos técnicos e éticos. Também é vedado aos estabelecimentos a imposição de metas ou políticas que subordinem as condutas dos médicos.

As instituições de saúde que adotarem sistemas próprios de IA, deverão criar uma Comissão de IA e Telemedicina, sob coordenação médica e subordinada à diretoria técnica, cuja função é assegurar o uso ético do sistema, através de processos internos de governança aptos a garantir a segurança, a qualidade e a ética. As principais medidas obrigatórias incluem:

  • Transparência do emprego e da governança da IA, mediante divulgação de informações básicas sobre o funcionamento das soluções de IA, suas finalidades, os tipos de dados utilizados e os mecanismos de supervisão adotados;
  • Implementação de procedimentos de monitoramento, prevenção e mitigação de vieses discriminatórios ilegais ou antiéticos. Havendo detecção de viés indevido, a instituição deverá adotar medidas corretivas (e.g. ajustes ao algoritmo, retreinamento com dados mais balanceados ou restrição de uso) ou descontinuar o uso da ferramenta;
  • Priorização do desenvolvimento ou contratação de soluções de IA interoperáveis, que possam ser integradas a diferentes sistemas de informação em saúde e eventualmente compartilhadas com outras instituições, evitando a duplicação de esforços e aumentando a eficiência coletiva. É recomendável a integração com APIs abertas e protocolos setoriais sempre que possível;
  • Estabelecimento de rotinas de revisão periódica do sistema durante todo o ciclo de vida do produto, contemplando a atualização de modelos (retreino com novos dados se aplicável), correção de bugs, e inclusão de novas funcionalidades de forma controlada, de modo a garantir a evolução segura dessas soluções e a mitigação de riscos associados;
  • Acesso de órgãos de controle e entidades externas a relatórios de auditoria, de monitoramento e a informações de configuração dos sistemas de IA.

A Resolução CFM nº 2.454/2026 também recomenda que estabelecimentos de saúde priorizem ferramentas que ofereçam acesso a parametrizações e possibilidade de treinamento adicional com dados locais e interfaces auditáveis, em detrimento de sistemas totalmente fechados que não possibilitem ajustes necessários às peculiaridades do ambiente clínico.

Por fim, no que diz respeito à realização de pesquisas, estudos ou projetos-piloto envolvendo IA na medicina deve ser alinhada aos princípios éticos da pesquisa e do cuidado, incluindo o Código de Ética Médica vigente e as normas da Instância Nacional de Ética em Pesquisa (INAEP).  

A prática de Life Sciences e Saúde pode fornecer mais informações sobre o tema.