CFM publica resolução que regulamenta o uso de inteligência artificial na medicina

Em 27 de fevereiro de 2026, o Conselho Federal de Medicina (“CFM”) publicou a Resolução CFM nº 2.454/26, que dispõe sobre o uso da inteligência artificial (“IA”) na medicina. A resolução entrará em vigor 180 dias após sua publicação.

De acordo com o CFM, a resolução é fruto de um ano e meio de debates conduzidos no âmbito do grupo de trabalho instituído para discutir a incorporação da IA à medicina. A iniciativa busca responder ao uso crescente dessas tecnologias na prática médica, assegurando que sua adoção observe os princípios da beneficência, da não maleficência, da autonomia médica, da justiça e do cuidado centrado no paciente.

O novo marco regulatório, no entanto, não se limita à atuação clínica. Ele traz reflexos relevantes para instituições de saúde, empresas de tecnologia, desenvolvedores de software, centros de pesquisa e demais agentes que integram o ecossistema de saúde digital, exigindo uma abordagem estruturada de governança, proteção de dados e gestão de ativos intangíveis.

Confira abaixo os principais aspectos da nova norma do CFM:

Escopo e princípios gerais

A Resolução CFM nº 2.454/26 estabelece parâmetros para a pesquisa, o desenvolvimento, a governança, a auditoria, o monitoramento, a capacitação e o uso responsável de soluções que adotem modelos, sistemas e aplicações de IA na área da medicina. O objetivo é promover o desenvolvimento tecnológico e a eficiência dos serviços médicos, sempre respeitando os direitos fundamentais dos pacientes.

A governança dessas soluções deverá respeitar a autonomia dos médicos e das instituições, admitindo a implementação de tecnologias ajustadas aos contextos locais, desde que atendam a critérios de auditoria, transparência e monitoramento proporcionais ao risco envolvido.

A resolução enfatiza, ainda, que os sistemas devem ser auditáveis e monitoráveis de forma prática e acessível, preservando-se o segredo industrial. Além disso,  a transparência deve ser promovida por meio de indicadores científicos que comprovem a acurácia, a eficácia e a segurança.

Relação médico-paciente e dever de informação

Nos termos da nova norma, o uso de inteligência artificial não pode comprometer a relação médico-paciente, a escuta qualificada, a empatia, a confidencialidade e o respeito à dignidade da pessoa humana.

O paciente deve ser informado, de forma clara e acessível, quando modelos, sistemas ou aplicações de IA forem utilizados como apoio relevante em seu cuidado. Além disso, a resolução proíbe delegar à IA a comunicação de diagnósticos, prognósticos ou decisões terapêuticas sem mediação humana, preservando-se a autoridade final do profissional.

É importante notar que a norma assegura ao paciente o direito de recusar o uso de tais tecnologias em seu atendimento.

Direitos e deveres dos médicos

 A resolução estabelece direitos e deveres dos médicos no uso da IA. Dentre eles, destacam-se:

Direitos:

• utilizar ferramentas de IA como instrumento de apoio à prática médica, à decisão clínica, à gestão em saúde, à pesquisa científica e à educação médica continuada;
• ter acesso a informações claras, transparentes e compreensíveis sobre funcionamento, finalidades, limitações, riscos e grau de evidência científica dos sistemas utilizados;
• recusar a utilização de sistemas que não apresentem validação científica adequada ou certificação regulatória pertinente;
• preservar sua autonomia profissional, não podendo ser compelido a seguir recomendações automatizadas de forma acrítica;
• ser protegido contra a responsabilização indevida por falhas exclusivamente atribuíveis ao sistema, desde que demonstre o uso diligente, crítico e ético.

Deveres:

• empregar a IA exclusivamente como ferramenta de apoio, mantendo-se como o responsável final pelas decisões clínicas, diagnósticas, terapêuticas e prognósticas;
• exercer julgamento crítico sobre as recomendações fornecidas;
• manter-se atualizado quanto a capacidades, limitações, riscos e vieses conhecidos dos sistemas utilizados;
• utilizar apenas soluções em conformidade com as normas éticas, técnicas, legais e regulatórias vigentes;
• registrar no prontuário do paciente o uso de IA como apoio à decisão médica;
• comunicar às instâncias competentes eventuais falhas ou riscos relevantes identificados.

Governança de IA e responsabilidade:  

De acordo com a nova norma, as instituições médicas que desenvolvam ou contratem soluções próprias de IA deverão implementar processos internos de governança voltados à segurança, qualidade e conformidade ética.

A Resolução CFM nº 2.454/26 também proíbe a comunicação de diagnósticos, prognósticos ou decisões terapêuticas ao paciente por meio de sistemas de IA, reforçando a centralidade da mediação humana na relação médico-paciente, bem como a necessidade de registrar o uso da tecnologia nos prontuários médicos.

As instituições que adotarem sistemas próprios deverão criar uma Comissão de IA e Telemedicina, sob coordenação médica e subordinada à diretoria técnica, para assegurar o uso ético e supervisionado dessas ferramentas. A supervisão e fiscalização do cumprimento da resolução caberão aos Conselhos Regionais de Medicina, no âmbito de suas competências.

Nesse contexto, a Resolução CFM nº 2.454/26 introduz a lógica de avaliação e classificação de risco dos sistemas de IA, variando de baixo a inaceitável, como um elemento relevante para definir as medidas de governança, supervisão e controle aplicáveis a cada solução. Esses elementos passam a integrar a agenda de compliance e gestão de risco das organizações que utilizam ou desenvolvem soluções baseadas em IA na área da saúde.

Classificação e categorização de riscos

 As instituições médicas que desenvolverem ou utilizarem soluções de IA deverão realizar uma avaliação preliminar para definir o grau de risco da ferramenta, considerando, entre outros, os seguintes critérios:

• impacto potencial sobre os direitos fundamentais e a saúde dos pacientes;
• a criticidade do contexto de uso;
• a complexidade e o grau de autonomia do sistema;
• a finalidade pretendida e as finalidades potenciais;
• o nível de intervenção humana nos resultados; e
• a quantidade e sensibilidade dos dados utilizados.

A partir da análise desses critérios, os sistemas serão categorizados nos níveis baixo, médio, alto ou inaceitável, e essa classificação deverá ser informada ao usuário.

Privacidade, transparência e dados de saúde

Os dados utilizados no desenvolvimento, no treinamento, na validação e na implementação de sistemas de IA deverão observar rigorosamente a Lei Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) e as normas específicas de segurança da informação em saúde.

A Resolução CFM nº 2.454/26 exige a adoção de medidas técnicas e administrativas compatíveis com a prática de mercado e com a criticidade dos dados tratados, prevenindo a destruição, a perda, a alteração, o acesso não autorizado e o vazamento de informações sensíveis. O compartilhamento de dados deve ocorrer apenas quando estritamente necessário e com base legal adequada.

Na prática, o uso de IA em saúde passa a demandar:

• bases legais adequadas para o tratamento de dados de saúde;
• medidas técnicas e organizacionais de segurança da informação; e
• políticas de transparência, rastreabilidade e responsabilização no uso de algoritmos.

A resolução reforça, ainda, uma abordagem preventiva de governança, na qual aspectos de privacidade, segurança da informação e mitigação de riscos devem ser considerados desde a concepção e a implementação das soluções tecnológicas, impactando diretamente contratos, fluxos operacionais e estratégias de inovação no setor.

Propriedade intelectual, segredo industrial e inovação tecnológica

Outro ponto relevante é o equilíbrio entre a transparência regulatória e a proteção de ativos de propriedade intelectual.

A Resolução CFM nº 2.454/26 prevê que modelos, sistemas e aplicações de IA devem ser auditáveis e monitoráveis, mas devem resguardar o segredo industrial e comercial envolvido no desenvolvimento dessas tecnologias.

Esse cenário exige atenção especial:

• à definição de titularidade sobre soluções desenvolvidas em ambientes clínicos ou de pesquisa;
• às estruturas contratuais de licenciamento, compartilhamento de dados e codesenvolvimento.

A resolução incentiva modelos cooperativos e interoperáveis de desenvolvimento tecnológico, reforçando a necessidade de arranjos contratuais claros que conciliem a inovação, o compartilhamento de dados e a preservação de ativos intangíveis.

Conclusão

A Resolução CFM nº 2.454/2026 inaugura uma nova etapa de maturidade regulatória para o uso da inteligência artificial na medicina, ao deslocar o debate da possibilidade de uso da tecnologia para como ela deve ser governada.

Ao exigir estruturas claras de governança, transparência, proteção de dados e preservação de ativos intangíveis, a norma impõe uma visão integrada entre a ética médica, a inovação tecnológica e a segurança jurídica.

Para organizações que atuam no ecossistema de saúde digital, tanto os desafios quanto as oportunidades estão em transformar essas diretrizes em vantagem estratégica por meio da revisão de estruturas internas, contratos e políticas de inovação alinhadas a esse novo paradigma.

Esse movimento regulatório setorial ocorre em um contexto mais amplo de consolidação normativa da inteligência artificial no Brasil, marcado pela tramitação de projetos de lei que buscam instituir um marco legal geral para a tecnologia,  como o Projeto de Lei nº 2.338/2023, atualmente em análise no Congresso Nacional. Eventuais avanços legislativos nesse campo poderão impactar significativamente as regulações setoriais já em vigor, inclusive no âmbito da saúde, reforçando a importância de uma abordagem dinâmica e prospectiva de compliance.

As equipes de Life Sciences & Healthcare, Privacidade, Tecnologia e Cibersegurança e Propriedade Intelectual, Tecnologia e Inovação do Demarest estão à disposição para prestar esclarecimentos adicionais.