A evolução recente do direito da saúde no Brasil já não se explica por categorias isoladas. O que se observa, especialmente a partir de abril de 2026, é a sobreposição de regimes normativos que operam com racionalidades distintas, mas simultaneamente aplicáveis.
A entrada em vigor da Lei 15.378/2026 reposiciona o paciente como centro decisório da relação assistencial, elevando o dever de informação e o consentimento informado a condição de legitimidade do ato médico[1]. Em paralelo, a Resolução CFM 2.454/2026 introduz a inteligência artificial no núcleo da prática clínica, sem afastar a responsabilidade humana pela decisão final[2].
A leitura conjunta desses diplomas revela uma tensão que não é apenas normativa, mas estrutural: o descompasso entre o direito à informação, tal como concebido na tradição civilista e consumerista, e a lógica operacional das tecnologias baseadas em dados.
O direito à informação, consolidado no âmbito dos direitos da personalidade[3] e reforçado pelo Código de Defesa do Consumidor, pressupõe compreensão. A informação relevante é aquela que permite ao indivíduo exercer sua autonomia de maneira consciente, o que, na medicina, se traduz na validade do consentimento informado. Não por outra razão, o Superior Tribunal de Justiça tem afirmado, de forma consistente, que o dever de informação possui autonomia em relação ao erro médico propriamente dito, sendo suficiente, para a configuração do dano, a privação da capacidade de decisão consciente do paciente[4].
A Lei Geral de Proteção de Dados aprofunda essa lógica ao incorporar a autodeterminação informativa[5], entendida não apenas como acesso a dados, mas como controle efetivo sobre decisões que deles derivam. Trata-se de desdobramento direto dos direitos da personalidade, cuja proteção exige efetividade material e não apenas reconhecimento normativo[6]. O Superior Tribunal de Justiça já reconheceu a evolução histórica do dever informacional na prática médica, destacando a consolidação do consentimento informado como elemento estruturante da relação médico-paciente[7]
É nesse ponto que a inteligência artificial tensiona o sistema.
Modelos contemporâneos de IA operam por meio de inferências probabilísticas que escapam à lógica explicativa tradicional. A opacidade algorítmica não é exceção: é característica estrutural desses sistemas[8]. A exigência de explicabilidade plena, portanto, colide com os próprios fundamentos técnicos da tecnologia.
A resposta regulatória comparada aponta outro caminho. O AI Act estrutura um modelo baseado em risco, no qual a exigência central não é a explicação absoluta, mas transparência proporcional, a auditabilidade e a supervisão humana[9]. De forma semelhante, o PL 2338/2023 — ainda em tramitação e sujeito a alterações — adota abordagem principiológica voltada à mitigação de riscos e à responsabilização[10].
O Estatuto do Paciente, ao exigir informação “clara, acessível e detalhada”, permanece, contudo, ancorado em uma lógica informacional pré-algorítmica. O Superior Tribunal de Justiça tem reiteradamente afirmado que esse dever não se satisfaz com advertências genéricas, exigindo comunicação clara, específica e adequada ao caso concreto[11]
Essa assimetria cria um risco concreto. Se a validade do consentimento depender de um grau de explicabilidade tecnicamente inalcançável, abre-se espaço para a invalidação de atos médicos baseados em IA, ainda que adequados do ponto de vista clínico. O efeito previsível não é a rejeição da tecnologia, mas a ampliação da judicialização, com deslocamento do debate para a suficiência informacional, já reconhecida pelo Superior Tribunal de Justiça como causa autônoma de responsabilização civil, na medida em que a ausência de informação adequada configura violação direta aos direitos da personalidade do paciente[12].
O problema se intensifica diante do direito de recusa. O paciente pode rejeitar o uso de inteligência artificial, inclusive quando esta representa o melhor recurso disponível, enquanto o médico permanece vinculado à lex artis. A tensão entre autonomia e dever técnico deixa de ser teórica e passa a impactar diretamente a definição de responsabilidade.
Nesse cenário, a governança da inteligência artificial emerge como elemento central. A regulação da tecnologia não se esgota na norma jurídica formal, mas depende de arranjos institucionais que integrem hard law e soft law, capazes de responder à complexidade dos sistemas contemporâneos[13].
No campo da saúde, isso exige estruturas que assegurem rastreabilidade, validação e supervisão contínua das decisões mediadas por tecnologia. A integração com a Lei Geral de Proteção de Dados deixa de ser acessória e passa a constituir elemento estruturante da legitimidade do uso da IA.
Conclusão: reconstruir para viabilizar
A tensão entre autonomia do paciente, dever de informação e inteligência artificial não será resolvida por prevalência simples entre esses elementos. O que se impõe é a reconstrução do modelo informacional que sustenta a prática médica.
O dever de informar não pode mais ser compreendido como exigência de explicação técnica exaustiva, mas como obrigação de fornecer informação funcionalmente adequada, suficiente para viabilizar decisão consciente em ambiente de incerteza.
A formalização do consentimento — e, especialmente, da recusa tecnológica — passa a desempenhar papel central na mitigação de riscos, exigindo documentação compatível com a complexidade das decisões envolvidas.
Ao mesmo tempo, a governança institucional da inteligência artificial torna-se condição de sustentabilidade jurídica, exigindo estruturas proporcionais de controle, em linha com o AI Act e com as diretrizes atualmente em discussão no PL 2338/2023.
Hospitais e médicos não estão diante da escolha entre adotar ou rejeitar a tecnologia. Estão diante da necessidade de incorporá-la de forma juridicamente sustentável.
Nesse contexto, a reconstrução do dever de informar deixa de ser um ajuste conceitual e passa a ser o principal instrumento para compatibilizar inovação tecnológica e proteção efetiva da dignidade humana.
BARROSO, Luís Roberto. Colisão entre liberdade de expressão e direitos da personalidade. Revista de Direito Administrativo, Rio de Janeiro, v. 235, p. 1-30, 2004.
BRASIL. Código de Defesa do Consumidor. Disponível em: https://www.planalto.gov.br. Acesso em: 2026.
BRASIL. Lei Geral de Proteção de Dados. Disponível em: https://www.planalto.gov.br. Acesso em: 2026.
BRASIL. Lei nº 15.378/2026.
BRASIL. Projeto de Lei nº 2.338/2023.
CONSELHO FEDERAL DE MEDICINA. Resolução CFM nº 2.454/2026.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006.
MENDES, Laura Schertel Ferreira. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). AI Risk Management Framework. Gaithersburg: NIST, 2023.
OECD. OECD Principles on Artificial Intelligence. Paris: OECD, 2019; NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). AI Risk Management Framework. 2023.
PASQUALE, Frank. The Black Box Society: The Secret Algorithms That Control Money and Information. Cambridge: Harvard University Press, 2015.
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008.
SUPERIOR TRIBUNAL DE JUSTIÇA. REsp 1.335.153/RJ, Rel. Min. Nancy Andrighi, 3ª Turma, julgado em 2013. Acesso em abril de 2026
SUPERIOR TRIBUNAL DE JUSTIÇA. REsp 1.540.580/DF, Rel. Min. Luis Felipe Salomão, 4ª Turma, julgado em 2019. Acesso em abril de 2026
SUPERIOR TRIBUNAL DE JUSTIÇA. REsp 1.848.862/SP, Rel. Min. Marco Aurélio Bellizze, 3ª Turma, julgado em 2022. Acesso em abril de 2026
UNIÃO EUROPEIA. AI Act. Regulation (EU) 2024/… do Parlamento Europeu e do Conselho.
Paulo Vinícius de Carvalho Soares é Mestre em Direito Civil pela PUC/SP, graduado em Direito pela USP, Professor do IBMEC em Direito Digital e sócio do Lee Brock Camargo Advogados.
[1] BRASIL. Lei nº 15.378/2026, arts. 12, 14 e 19.
[2] CONSELHO FEDERAL DE MEDICINA. Resolução CFM nº 2.454/2026.
[3] GOMES, Orlando. Direitos da personalidade. Revista Forense, 1966.
[4] SUPERIOR TRIBUNAL DE JUSTIÇA. REsp 1.540.580/DF, Rel. Min. Luis Felipe Salomão, 4ª Turma, julgado em 2019.
[5] BRASIL. Lei nº 13.709/2018 (LGPD).
[6] MENDES, Laura Schertel Ferreira. Privacidade, proteção de dados e defesa do consumidor.
[7] SUPERIOR TRIBUNAL DE JUSTIÇA. REsp 1.848.862/SP, Rel. Min. Marco Aurélio Bellizze, 3ª Turma, julgado em 2022.
[8] PASQUALE, Frank. The Black Box Society. Harvard University Press, 2015
[9] UNIÃO EUROPEIA. AI Act. Regulation (EU)
[10] BRASIL. Projeto de Lei nº 2.338/2023.
[11] SUPERIOR TRIBUNAL DE JUSTIÇA. REsp 1.540.580/DF, Rel. Min. Luis Felipe Salomão, 4ª Turma, julgado em 2019.
[12] SUPERIOR TRIBUNAL DE JUSTIÇA. REsp 1.335.153/RJ, Rel. Min. Nancy Andrighi, 3ª Turma, julgado em 2013
[13] OECD; NIST. Frameworks de governança de IA