O CFM publicou, em 27 de fevereiro de 2026, a Resolução nº 2.454/2026, que normatiza o uso de inteligência artificial (IA) na medicina. A norma entra em vigor em 180 dias, ou seja, em agosto de 2026. Abaixo, preparamos um panorama com os pontos que mais importam para quem opera, contrata ou desenvolve soluções de IA no setor de saúde.
Por que essa Resolução importa
O Brasil ainda não aprovou uma lei geral sobre IA (o PL 2.338/2023 segue em tramitação), mas o CFM decidiu não esperar. Com a Resolução nº 2.454/2026, o CFM inaugurou um regime setorial próprio — e bastante detalhado — para a medicina. Na prática, isso significa que hospitais, clínicas, operadoras e fornecedores de tecnologia que atuam no setor de saúde passam a ter obrigações concretas antes mesmo de qualquer marco legal federal sobre IA.
7 pontos que merecem atenção
1. A IA é ferramenta, nunca autoridade
A Resolução, de maneira geral, não proíbe o uso de IA na medicina. Pelo contrário: ela o autoriza expressamente como apoio a decisões clínicas, gestão, pesquisa e educação continuada. Mas impõe uma linha intransponível: a decisão final é sempre do médico. Nenhum sistema pode restringir ou substituir o julgamento profissional.
2. Classificação de risco em quatro (?) níveis
A resolução adota uma escala de risco com quatro faixas: baixo, médio, alto e inaceitável (art. 13). Na prática, porém, o Anexo II — que deveria detalhar os critérios de cada nível — define apenas as três primeiras categorias. O risco inaceitável é mencionado no corpo da Resolução, mas não recebe definição, exemplos nem consequências jurídicas específicas. O resultado é que, ao menos por ora, a resolução não proíbe nenhuma categoria de uso de IA na medicina de forma ex-ante, o que, deliberadamente ou não, sinaliza uma abordagem menos restritiva do que a adotada, por exemplo, pelo AI Act europeu ou pela atual versão do PL 2.338/2023.
A instituição médica que desenvolve ou contrata a ferramenta é quem deve fazer a avaliação preliminar de risco, considerando critérios como impacto em direitos fundamentais, grau de autonomia do modelo, sensibilidade dos dados e nível de intervenção humana.
Exemplos dados pela própria Resolução: agendamento de consultas e chatbots informativos são baixo risco; algoritmos de apoio diagnóstico com supervisão humana ativa são médio risco; sistemas que influenciam diretamente decisões em contextos de vida ou morte são alto risco.
Detalhe importante: a classificação não é estática. Se uma solução de médio risco ganhar mais autonomia ou passar a ser usada em contexto mais sensível, deve ser reclassificada como alto risco. O enquadramento acompanha o ciclo de vida do sistema, não apenas o momento de sua implantação.
3. Governança obrigatória com estrutura definida
Instituições de saúde que adotarem sistemas próprios de IA deverão criar uma Comissão de IA e Telemedicina, sob coordenação médica e subordinada à diretoria técnica. O Diretor Técnico da instituição é pessoalmente responsável pelas diretrizes de segurança, ética e transparência.
As obrigações de governança incluem: publicação de relatórios de desempenho, mitigação de vieses discriminatórios, interoperabilidade com outros sistemas de saúde (inclusive SUS), preferência por soluções abertas ou customizáveis, gestão do ciclo de vida do produto e acesso de órgãos de controle a relatórios de auditoria.
Atenção: não se trata apenas de “ter uma política de IA”. A Resolução exige estrutura institucional concreta, com responsáveis nomeados e processos documentados. A governança de IA deixa de ser boa prática no setor da saúde e vira requisito regulatório.
4. Transparência ao paciente com direito de recusa
A Resolução estabelece dois direitos distintos do paciente em relação ao uso de IA: o de ser informado quando a tecnologia for utilizada como apoio relevante em seu cuidado (art. 5º, §1º) e o de recusar o uso de IA em seu atendimento, como expressão de sua autonomia (art. 5º, §3º). Soma-se a isso a vedação de que a IA comunique diagnósticos, prognósticos ou decisões terapêuticas diretamente ao paciente, sem mediação do médico (art. 5º, §2º).
O direito à informação é coerente e esperado: reforça a transparência e dialoga com princípios já consolidados na relação médico-paciente. O problema está no direito de recusa, que a Resolução enuncia mas não regulamenta.
Na prática, como se operacionaliza essa recusa? Pense num algoritmo de triagem que já processou os dados do paciente antes mesmo do primeiro atendimento, ou num sistema de apoio diagnóstico por imagem que roda automaticamente ao receber o exame. O médico informa o paciente, o paciente recusa — e aí? O output que já influenciou o raciocínio clínico é “desconsiderado”? A análise é refeita do zero, com risco de resultado inferior para o próprio paciente?
Há cenários ainda mais difíceis. Em instituições que utilizam IA embarcada em dispositivos médicos ou integrada a sistemas hospitalares que operam em background, o médico sequer tem controle granular para desativar a ferramenta paciente a paciente. A recusa de um único paciente obrigaria a instituição a manter um fluxo assistencial paralelo, inteiramente livre de IA?
A impressão é de que a Resolução importou para o contexto de ferramentas de apoio um conceito de autonomia do paciente que faz sentido em outros cenários (como a recusa a tratamentos experimentais), mas que se encaixa mal na realidade de sistemas que funcionam como infraestrutura. Levado ao extremo, seria como permitir que o paciente recuse que o hospital utilize prontuário eletrônico em seu atendimento.
Nada disso invalida o princípio: a autonomia do paciente é um valor fundamental. Mas a ausência de qualquer parâmetro sobre como essa recusa se materializa na prática tende a gerar insegurança jurídica para médicos e instituições, especialmente diante do dever de registrar o uso de IA em prontuário (art. 4º, V) e da possibilidade de sanções éticas por descumprimento (art. 8º). É um ponto que certamente exigirá orientação complementar ao setor.
Para healthtechs: o design de produto deve, no mínimo, incorporar fluxos de notificação ao paciente sobre o uso de IA, já que esse dever de transparência é claro. Quanto ao opt-out, a prudência recomenda mapear o tema, acompanhando como o mercado e o próprio CFM vão interpretar o alcance prático dessa recusa.
5. Proteção de dados como requisito fundamental
A Resolução reforça a aplicação integral da LGPD, adicionando exigências específicas: as soluções de IA devem adotar privacy by design e privacy by default, sendo expressamente vedada a utilização de sistemas que não garantam padrões mínimos de segurança compatíveis com dados sensíveis.
O uso de dados pessoais para treinamento, validação ou aprimoramento de modelos deve observar princípios éticos e científicos, além da proteção geral de dados. Além disso, não basta invocar uma base legal: o compartilhamento de dados com o sistema deve ser adequado às finalidades informadas ao titular.
6. Responsabilidade ético-profissional
O médico permanece integralmente responsável pelos atos médicos praticados com uso de IA. Mas a Resolução introduz uma proteção relevante: ele não pode ser responsabilizado indevidamente por falhas exclusivamente atribuíveis ao sistema, desde que comprove uso diligente, crítico e ético da ferramenta.
Na prática, isso cria um ônus de documentação: o médico deve registrar no prontuário o uso de IA como apoio à decisão. Esse registro pode ser tanto sua defesa quanto a prova de negligência, a depender das circunstâncias.
No contexto da Resolução, o regime de responsabilidade não é binário (médico ou IA). A regulação aponta para um modelo de responsabilidade compartilhada que exige rastreabilidade. Isso impacta diretamente os contratos entre hospitais e fornecedores de tecnologia, que deverão prever cláusulas claras sobre alocação de riscos e dever de informação.
7. Prazo para adaptação
O prazo de 180 dias é de adequação geral, o que o torna extremamente desafiador diante das exigências regulatórias introduzidas. Após agosto de 2026, todos os sistemas deverão estar conformes, independentemente de quando foram contratados ou implementados.
O que fazer agora: próximos passos [*]
Para hospitais e clínicas: mapear as soluções de IA em uso, realizar a avaliação preliminar de risco de cada uma e iniciar a estruturação da Comissão de IA e Telemedicina. Revisar contratos com fornecedores de tecnologia para incluir cláusulas alinhadas às novas exigências.
Para healthtechs e desenvolvedores: revisar a documentação técnica dos sistemas para atender aos requisitos de transparência e auditabilidade. Verificar se os fluxos de produto permitem o registro em prontuário e a informação ao paciente, além de estudar a viabilidade de mecanismos de opt-out. Preparar relatórios de desempenho, viés e limitações.
Para operadoras de saúde: avaliar como os sistemas de IA utilizados na rede credenciada se enquadram na nova Resolução. Considerar a inclusão de exigências de conformidade nos critérios de credenciamento.
Uma Resolução que diz mais do que parece
A Resolução nº 2.454/2026 vai além da mera formalização do que já se praticava. O nível de detalhe — com definições técnicas de modelo, sistema e aplicação de IA, além de conceitos como LLM e IA generativa — mostra que o Conselho não tratou a matéria de forma genérica nem superficial.
Um dos recados mais relevantes da Resolução talvez esteja no que ela revela sobre o caminho da regulação de IA no Brasil. Enquanto o debate federal se concentra na aprovação de uma lei geral que tente disciplinar, de uma só vez, todos os setores impactados pela tecnologia, o CFM mostrou que é no nível setorial que os impactos concretos da IA se manifestam — e é nesse nível que as respostas regulatórias tendem a ser mais assertivas e necessárias.
A experiência do CFM sugere que a maturidade regulatória em IA pode avançar de forma mais efetiva pela via da expertise de cada setor do que pela expectativa de que uma única lei federal consiga endereçar, com o refinamento técnico necessário, realidades tão distintas quanto saúde, finanças, educação e segurança pública.
Para quem atua com governança de IA, vale a reflexão: a regulação que de fato vai moldar o dia a dia das organizações pode não ser aquela que ocupa as manchetes que saem da Praça dos Três Poderes.
[*] Este artigo oferece uma visão geral e não exaustiva das principais mudanças introduzidas pela Resolução CFM nº 2.454/2026. A norma traz requisitos complexos cuja aplicação depende das particularidades de cada organização e não dispensa análise jurídica individualizada. O Prado Vidigal Advogados, referência em inteligência artificial e proteção de dados, desenvolveu um projeto específico de adequação de organizações do setor de saúde à nova Resolução. Para saber mais, entre em contato com a nossa equipe.