O Conselho Federal de Medicina (CFM), aproveitando um vácuo regulatório sobre o tema no Brasil, aprovou a Resolução CFM 2.454/2026 para regular o uso da inteligência artificial por profissionais médicos no país.
O vácuo regulatório se dá, em primeiro lugar, pela ausência de uma lei geral de IA no Brasil. O Congresso Nacional vem debatendo o tema por meio do PL 2338/2023, já aprovado no Senado e atualmente em tramitação da Câmara dos Deputados.
A falta de uma lei geral regulando IA no Brasil tem como consequência imobilizar, por prudência e incertezas quanto às opções jurídicas a serem adotadas pelos nossos legisladores, outros agentes reguladores do Poder Executivo Federal que poderiam estabelecer regras jurídicas sobre o uso da IA na área da saúde, notadamente o Ministério da Saúde e a Agência Nacional de Vigilância Sanitária (Anvisa).
Nesse contexto é que o CFM aproveitou uma enorme brecha regulatória e publicou a Resolução 2.454. Seguindo uma tradição que, infelizmente, vem se tornando padrão do CFM, esta autarquia corporativa regulou de forma imprecisa o que lhe é de competência legal e avançou sobre competências regulatórias que não lhe dizem respeito, tais como temas de responsabilidades jurídicas, desenvolvimento e incorporação de novas tecnologias em saúde com IA, direitos dos pacientes, dentre outros.
A resolução foi aprovada sem que tenha sido feita qualquer análise de impacto regulatório, o que é exigido pela Lei 13.874/2019, bem como sem que tenha sido feita qualquer consulta pública para que a sociedade pudesse opinar sobre o conteúdo da regulação criada (o que viola o princípio democrático constitucional de participação da comunidade no âmbito da gestão do sistema de saúde brasileiro, onde os médicos atuam).
Por tais razões, a resolução do CFM padece de vícios de legalidade e legitimidade de origem. Esta prática regulatória arbitrária e açodada do CFM vem se mostrando um padrão desta autarquia corporativa, que nos últimos anos aprovou resoluções com grandes controvérsias jurídicas, pouca legitimidade e gerando alto grau de insegurança jurídica (algumas delas judicializadas).
Para compreender adequadamente a amplitude da resolução aprovada pelo CFM e as potenciais controvérsias dela decorrentes, apresenta-se aqui uma análise jurídica dos principais elementos que caracterizam a regulação de uso de IA aprovada pelo conselho corporativo dos médicos.
Governança da IA e preservação da autonomia médica
O primeiro tema de que trata a resolução refere-se à governança dos modelos, sistemas e aplicações de IA na medicina. De acordo com o art. 1º, esta governança deverá respeitar a autonomia dos médicos e das instituições médicas, permitindo o desenvolvimento e a implementação de soluções inovadoras localmente ajustadas aos contextos específicos de cada serviço médico, desde que observados os padrões de auditoria, monitoramento e transparência definidos nesta resolução.
O art. 1º orienta para o o desenvolvimento cooperativo de modelos, sistemas e aplicações de IA, de modo a promover a interoperabilidade e a disseminação de tecnologias, códigos, bases de dados e boas práticas com outros órgãos e entidades do setor médico sem prejuízo do sigilo.
Chama atenção que, para o CFM, a governança dos modelos de IA utilizados por médicos seja centralizada nos próprios médicos e nas instituições médicas, desconsiderando o papel estratégico de outras profissões e instituições públicas e privadas no desenvolvimento e implementação destes modelos de IA nos serviços de saúde. Já de saída percebe-se o alto grau de corporativismo, fragilidades jurídicas e uma visão limitada do fenômeno do uso da IA nos cuidados em saúde.
Dos direitos dos médicos na utilização de IA na medicina
O art. 3º da resolução estabelece os direitos dos médicos na utilização de sistemas de inteligência artificial aplicados à medicina. Novamente a resolução avança sobre o que não é de competência do CFM. Embora os direitos elencados possam até ser razoáveis e aparentemente justos no conteúdo apresentado, eles visivelmente extrapolam a competência normativa do CFM, já que esta instituição corporativa não tem competência legal para criar ou estabelecer direitos.
São elencados cinco direitos, a saber:
i) utilizar ferramentas de IA como instrumento de apoio à prática médica, à decisão clínica, à gestão em saúde, à pesquisa científica e à educação médica continuada, respeitados os limites éticos e legais da profissão;
ii) ter acesso a informações claras, transparentes e compreensíveis sobre o funcionamento, as finalidades, as limitações, os riscos e o grau de evidência científica dos sistemas de IA utilizados;
iii) recusar a utilização de sistemas de IA que não apresentem validação científica adequada, certificação regulatória pertinente ou que contrariem princípios éticos, técnicos ou legais da medicina;
iv) preservar sua autonomia profissional, não podendo ser obrigado a seguir, de forma automática ou acrítica, recomendações geradas por sistemas de IA;
v) ser protegido contra responsabilização indevida por falhas atribuíveis exclusivamente a sistemas de IA, desde que comprovado o uso diligente, crítico e ético dessas ferramentas.
Uma análise rápida destes direitos elencados já permite visualizar problemas para sua implementação e eficácia de proteção. Alguns pontos merecem ser levantados:
Considerando que o desenvolvimento destas tecnologias não é necessariamente de responsabilidade de médicos, como garantir que o respeito aos limites éticos e legais da profissão médica serão respeitados pelas tecnologias com IA utilizadas? De que forma o médico irá saber se o algoritmo da IA que ele utiliza possui viés ou outro tipo de erro de programação que caracterizam deslizes éticos ou legais?
No que se refere ao direito de ter acesso a informações claras, igualmente a Resolução do CFM terá pouca eficácia prática. Trata-se de um campo que exige legislação própria de defesa do consumidor e de legislação contratual.
Ainda, no que diz respeito à recusa de uso de sistemas de IA que não apresentem validação científica ou certificação regulatória, o CFM simplesmente ignora o fato que tais validações ainda não são reguladas no país e de que não existe no Brasil qualquer certificação oficial válida estabelecida. Como irá o médico saber se o sistema de IA utilizado é cientificamente válido ou se a certificação obtida é confiável?
No que se refere à “responsabilização indevida” do médico por falhas “atribuídas aos sistemas de IA”, novamente trata-se de norma ineficaz. Em primeiro lugar, o princípio da supervisão humana visa justamente evitar que a responsabilidade do profissional que faz uso da IA seja limitada.
Em segundo lugar, aparentemente contraria a própria resolução do CFM que, no art. 8º, prevê que “o descumprimento dos deveres previstos nesta resolução sujeita o médico às sanções éticas cabíveis, sem prejuízo das responsabilidades civil e penal aplicáveis”. De acordo com a legislação vigente, a responsabilidade do médico é inafastável, ainda que depois ele demonstre falha do sistema de IA utilizado (o que deverá ser feito em ação de regresso, não podendo a falha ser considerada excludente de responsabilidade do médico). Há uma contradição evidente na própria Resolução, já que conforme previsto no art. 7º, I, o médico se mantém integralmente como o responsável final pelas decisões clínicas tomadas.
Vê-se, assim, que no que se refere aos direitos estabelecidos aos médicos, a resolução é, na melhor hipótese, inócua; e, na pior das hipóteses, ilegal.
Dos deveres dos médicos na utilização da IA
O art. 4º da resolução trata dos deveres dos médicos na utilização de sistemas de inteligência artificial.
O primeiro dever, já mencionado, é o de empregar a IA exclusivamente como ferramenta de apoio, mantendo-se o médico como responsável final pelas decisões clínicas, diagnósticas, terapêuticas e prognósticas. Além disso, o médico deve exercer julgamento crítico sobre as informações e recomendações fornecidas pela IA, avaliando sua coerência com o quadro clínico, as evidências científicas disponíveis e as boas práticas médicas.
Outro dever estabelecido, que poderá ser de difícil aplicação, é o que estabelece que o médico deve manter-se atualizado quanto às capacidades, limitações, riscos e vieses conhecidos dos sistemas de IA utilizados e de que o profissional deve utilizar apenas sistemas de IA que atendam às normas éticas, técnicas, legais e regulatórias vigentes no território nacional. Como poderá o médico respeitar tais deveres se ele não é letrado em IA ou se não tem acesso às informações técnicas do produto, que poderiam permitir a identificação das limitações, vieses ou riscos?
Outro dever elencado é o de registrar no prontuário do paciente o uso de sistemas de IA como apoio à decisão médica, e o paciente tem o direito de ser informado, de forma clara e acessível, quando modelos, sistemas e aplicações de IA forem utilizados como apoio relevante em seu cuidado, diagnóstico ou tratamento. Nesse aspecto, importante destacar que o médico deverá respeitar a autonomia do paciente, inclusive quanto à recusa informada do uso de modelos, sistemas e aplicações de IA.
A resolução também aborda no art. 6º a proteção de dados, dispondo que o médico deverá zelar pela confidencialidade, integridade e segurança dos dados de saúde utilizados por modelos, sistemas e aplicações de IA, em conformidade com a legislação vigente.
Assim, é dever do médico assegurar que o compartilhamento de dados pessoais dos pacientes, sobretudo os sensíveis, com modelos, sistemas e aplicações de IA ocorra de forma adequada às finalidades informadas aos titulares ou a seus representantes legais ou convencionais, e apenas quando estritamente necessário, observando-se as bases legais idôneas.
Responsabilidade ético-profissional
No campo da responsabilidade ético-profissional, o art. 7º estabelece que o médico permanece integralmente responsável pelos atos médicos por ele praticados mediante a utilização de modelos, sistemas e aplicações de IA, bem como que a utilização da IA não exime o médico do cumprimento do Código de Ética Médica e demais normas emanadas do Conselho Federal de Medicina.
A Resolução também prevê ser dever do médico comunicar às instâncias competentes eventuais falhas, riscos relevantes ou usos inadequados de modelos, sistemas e aplicações de IA que possam comprometer a segurança do paciente ou a qualidade da assistência. Quais seriam as “instâncias competentes”?
Ainda no que se refere à responsabilidade, o art. 10 da Resolução dispõe que a introdução de sistemas de modelos, sistemas e aplicações de IA da medicina não afasta a aplicação dos direitos dos pacientes, tais como: direito à informação clara sobre seu estado de saúde e opções de tratamento; direito à obtenção de segunda opinião; direito de não ser submetido a intervenções experimentais sem consentimento específico; e direito à privacidade e confidencialidade de seus dados pessoais.
Uma norma importante da resolução é a do art. 11, que estabelece que qualquer utilização de IA deverá ser comunicada e explicada aos pacientes, reforçando-se que tais sistemas servem de apoio ao médico, mas não substituem a autoridade e a decisão final humana sobre o cuidado.
Da classificação e categorização dos riscos da IA pelo CFM
O art. 12 estabelece níveis de risco das tecnologias com IA, mas de forma vaga e com técnica jurídica bastante precária.
Primeiro, prevê que as instituições médicas, públicas ou privadas, que desenvolverem ou utilizarem modelos, sistemas e aplicações de IA deverão realizar uma avaliação preliminar com a finalidade de definir seu grau de risco. Ora, não compete ao CFM regulamentar sobre o funcionamento de instituições públicas ou sobre o desenvolvimento de modelos de IA. Tal competência é da União e, em nível infralegal, do Ministério da Saúde ou da Anvisa. Há um evidente abuso de poder regulamentar aqui.
Segundo a resolução do CFM, os modelos, sistemas e aplicações de IA na medicina serão categorizados, quanto ao risco, nos níveis baixo, médio, alto ou inaceitável, conforme definido no anexo II da resolução, e deverão ser informados ao usuário. Curioso é ver que os critérios de classificação são extremamente confusos e imprecisos, e que as soluções para minimizar os riscos são precárias e, aparentemente, inócuas na prática.
E, mais curioso ainda, o CFM simplesmente “se esqueceu” de informar na resolução quais seriam as tecnologias com IA consideradas “inaceitáveis”. Ato falho.
Da incorporação das tecnologias de IA ao sistema de saúde e à prática médica
Outro abuso de poder regulatório da resolução do CFM refere-se à abordagem dada sobre os critérios a serem considerados para a incorporação das tecnologias de IA nos serviços de saúde.
Conforme previsto no art. 14, a instituição médica ou o médico que desenvolver ou contratar um modelo, sistema e/ou aplicações de IA deverá estabelecer processos internos de governança aptos a garantir a segurança, a qualidade e a ética. Estabelece ainda que as instituições de saúde que adotarem sistemas próprios de IA é necessária a criação de uma Comissão de IA e Telemedicina sob a coordenação médica e subordinada a diretoria técnica cuja função é assegurar o cumprimento do anexo III e garantir o uso ético do sistema e dos usuários.
Não compete ao CFM estabelecer normas sobre desenvolvimento de tecnologias de IA, e nem tampouco sobre os critérios de incorporação de tecnologias ao sistema de saúde. Também não compete ao CFM estabelecer obrigações primárias às instituições, públicas ou privadas, no que se refere à forma como devem se estruturar e organizar. Tais competências são da União e, em nível infralegal, do Ministério da Saúde.
Considerações finais
A resolução do CFM preenche uma lacuna regulatória do Brasil sobre o uso de IA na prática médica, mas o faz sem cuidado e sem debate público. O CFM avança de forma agressiva sobre competências que não são desta autarquia corporativa, especialmente no campo das responsabilidades, do desenvolvimento, da incorporação e da governança.
Como resultado, a resolução do CFM ou será inócua, ou será ineficaz ou será considerada ilegal; apenas no que se refere exclusivamente às questões de ética médica envolvidas no uso da IA ela será válida, mas ainda assim de difícil aplicação devido à má técnica de redação legislativa e às contradições e inviabilidades lógicas nela verificadas.
Além disso, os vícios de origem de ausência de análise de impacto regulatório e de não realização de consultas públicas sobre a resolução maculam a sua legalidade e legitimidade e permitem questionamentos sobre sua validade perante o Judiciário.
Para evitar uma judicialização nociva à sociedade como um todo, seria recomendável que o CFM revogasse esta resolução e iniciasse novamente o processo de elaboração regulatória, para que na norma conste apenas o que é de competência da autarquia corporativa, preservando as competências legais do Congresso Nacional e do Ministério da Saúde.
A revogação e revisão permitiriam, ainda, que o CFM lapidasse o texto para focar no que é de sua competência, ou seja, a parte referente à ética médica. Assim, o órgão poderia tornar a resolução mais clara e inteligível, visando sua eficácia e plena aplicação pelos médicos do Brasil.