A Resolução CFM 2.454/2026 entra em vigor em 26 de agosto de 2026, 180 dias após sua publicação. Mas um aspecto frequentemente subestimado está no artigo 21: as disposições da resolução aplicam-se também aos modelos, sistemas e aplicações de IA em desenvolvimento ou em uso nas instituições médicas na data de vigência.
Isso significa que não há período de carência para sistemas já implantados. Um hospital que utiliza, desde 2023, um sistema de IA para triagem, apoio diagnóstico ou gestão clínica precisará estar em conformidade na data de vigência, independentemente de quando o sistema foi adquirido ou implementado.
O prazo de 180 dias não marca o início da aplicação das obrigações apenas para novos sistemas. É o tempo disponível para que todos os sistemas — novos e existentes — estejam adequados.
A resolução cria um conjunto articulado de obrigações que recaem sobre as instituições médicas — não apenas sobre os médicos individualmente. Compete ao diretor técnico constituir a Comissão de IA e Telemedicina (artigo 14, parágrafo único). Incumbe à Comissão de IA e ao DPO realizar a avaliação preliminar de risco de todos os sistemas em uso (artigos 12 e 13, Anexo II) e conduzir a Avaliação de Impacto Algorítmico (AIA) (Anexo I, XIII).
As áreas jurídica e de compliance devem revisar os contratos com fornecedores de IA (artigo 14, Anexo III), enquanto a área Jurídica, em conjunto com os médicos, é responsável pela revisão dos termos de consentimento informado para uso de IA (artigo 5º, §1º). O registro do uso de IA nos prontuários dos pacientes é obrigação de médicos e TI (artigo 4º, V). A implementação de transparência algorítmica e relatórios de governança recai sobre a área de TI e a Comissão de IA (Anexo III, I). Por fim, a capacitação formal dos médicos sobre os sistemas utilizados é responsabilidade das áreas de educação médica e direção técnica (artigo 4º, III).
Comissão de IA e telemedicina: estrutura, competência e responsabilidade
O artigo 14, parágrafo único, determina que instituições de saúde que adotem sistemas próprios de IA devem criar uma comissão de IA e telemedicina, sob coordenação médica e subordinada à diretoria técnica. Sua função é assegurar o cumprimento das diretrizes do Anexo III e garantir o uso ético dos sistemas.
A norma não detalha a composição mínima da comissão — o que confere às instituições certa flexibilidade, mas também cria um risco de estruturas meramente formais. A leitura integrada com as diretrizes do Anexo III sugere que a comissão deve ter competência técnica para classificar riscos de sistemas de IA; conduzir ou supervisionar AIAs; analisar contratos com fornecedores; monitorar vieses discriminatórios; e garantir o acesso de órgãos de controle a relatórios de auditoria. Uma comissão composta apenas por médicos, sem participação de profissionais de tecnologia da informação, direito e proteção de dados, não atenderá a esses requisitos de forma adequada.
A responsabilidade pela fiscalização interna recai expressamente sobre o diretor técnico (Anexo III, III). Isso implica responsabilidade disciplinar direta: o CRM poderá responsabilizar o Diretor Técnico pelo descumprimento das obrigações institucionais previstas na resolução.
Classificação de risco: o ponto de partida operacional
A resolução estabelece três categorias operacionais de risco para sistemas de IA em saúde (Anexo II): baixo, médio e alto. A classificação determina o nível de auditoria, monitoramento e documentação exigidos. A classificação também é dinâmica: um sistema de baixo risco pode ser reclassificado se suas funcionalidades forem expandidas ou se o contexto de uso se tornar mais crítico.
A categorização deve ser feita antes da vigência da norma para todos os sistemas já em uso. Os critérios relevantes incluem o potencial de impacto nos direitos e na saúde dos pacientes; a criticidade do contexto de uso; o grau de autonomia do sistema; o nível de intervenção humana no resultado; e a quantidade e sensibilidade dos dados utilizados.
Como orientação prática, o Anexo II classifica como baixo risco sistemas de agendamento de consultas, gestão logística, chatbots com informações gerais de saúde e sumarização de literatura médica para uso interno. São de médio risco os sistemas de apoio a decisões clínicas que não executam ações autônomas e cujos erros são detectáveis pelo médico antes de causar dano. Classificam-se como alto risco os sistemas que influenciam diretamente decisões médicas críticas, executam ações automatizadas com consequências clínicas relevantes ou envolvem pacientes vulneráveis em situações de risco de vida.
A classificação de risco não é uma formalidade administrativa. Ela define o regime de controle ao qual o sistema ficará sujeito — e a ausência de classificação já constitui descumprimento da norma.
Avaliação de impacto algorítmico (AIA): o que é e como se diferencia do RIPD
O Anexo I, inciso XIII, define a AIA como a análise contínua dos impactos de um sistema de IA sobre direitos e interesses dos pacientes, profissionais e demais envolvidos, identificando medidas preventivas, mitigadoras de danos e formas de maximizar impactos positivos. Deve ser documentada e atualizada periodicamente.
Gestores de compliance já familiarizados com o Relatório de Impacto à Proteção de Dados (RIPD) da LGPD podem ser tentados a tratar a AIA como equivalente. Mas os instrumentos têm naturezas distintas. A AIA tem escopo mais amplo: não se limita ao impacto sobre dados pessoais, mas analisa impactos sobre direitos fundamentais, autonomia dos pacientes, equidade de acesso e qualidade do cuidado. São instrumentos complementares — e ambos são exigíveis para sistemas de alto risco em saúde.
Em termos práticos, o RIPD — fundamentado no artigo 38 da LGPD e fiscalizado pela ANPD — concentra-se no impacto sobre os titulares dos dados tratados e é exigido quando há alteração relevante no tratamento. A AIA, por sua vez, tem base no Anexo I, XIII, da Resolução CFM 2.454/2026, é fiscalizada pelo CRM e pelo CFM, deve ser realizada de forma contínua e periódica e abrange um universo mais amplo de afetados: pacientes, profissionais e a população em geral.
Contratos com fornecedores de IA: o que precisa ser revisado
O artigo 14 da resolução impõe que a instituição médica que desenvolver ou contratar sistemas de IA estabeleça processos internos de governança. A leitura combinada com o Anexo III — especialmente as diretrizes de acesso de órgãos de controle (item VIII) e de gestão do ciclo de vida (item VI) — cria obrigações contratuais que a maioria dos contratos existentes não contempla.
Os contratos com fornecedores de IA devem ser revisados para incluir a documentação de classificação de risco e validação científica do modelo; o direito de auditoria da instituição sobre os algoritmos, dados e processos do fornecedor, nos limites do segredo industrial; a obrigação do fornecedor de informar alterações relevantes no modelo, como retreinamento, atualização de parâmetros ou mudança de arquitetura; mecanismos de descontinuação do sistema com prazo razoável e entrega de documentação técnica; a alocação de responsabilidade em caso de falha do sistema que cause danos ao paciente — sem excluir a responsabilidade deontológica do médico, mas estabelecendo os direitos de regresso da instituição contra o fornecedor; a conformidade com a LGPD, incluindo as bases legais para tratamento de dados de saúde utilizados pelo sistema; e o acesso a relatórios de desempenho, métricas de viés e registros de auditoria para fins de apresentação ao CRM, se solicitado.
Cenário hipotético: clínica que delegou à IA sem governança
Uma rede de clínicas especializadas em oncologia adotou, em 2024, um sistema de IA para apoio à decisão em protocolos quimioterápicos — sistema que, pelo Anexo II, se classifica como de alto risco. Os médicos receberam treinamento superficial do fornecedor. Não há registro de uso de IA nos prontuários. A Comissão de IA não foi constituída. O contrato com o fornecedor não prevê auditoria nem responsabilidade em caso de falha.
Em setembro de 2026, um paciente questiona, por meio de seu advogado, a conduta adotada em seu protocolo de tratamento — que divergiu da literatura clínica vigente. A investigação revela que a divergência foi influenciada por uma recomendação do sistema de IA, que nenhum médico documentou ter avaliado criticamente.
O diretor técnico responde ao CRM por descumprimento da resolução. Os médicos respondem pela ausência de julgamento crítico documentado (artigo 4º, II e V). A rede enfrenta ação de responsabilidade civil sem ter como demonstrar que os processos de governança exigidos pela norma estavam em vigor. O fornecedor do sistema, protegido por cláusula contratual de limitação de responsabilidade, permanece fora do litígio.
A ausência de governança não elimina a responsabilidade. Ela a concentra inteiramente sobre a instituição e seus médicos, sem qualquer possibilidade de distribuição ao fornecedor do sistema.
Plano de ação: os seis meses até agosto de 2026
Com base na análise da resolução, as ações prioritárias podem ser organizadas em três janelas temporais.
De imediato, entre março e abril de 2026, a instituição deve mapear todos os sistemas de IA em uso, incluindo os contratados de terceiros; constituir ou designar formalmente a Comissão de IA e Telemedicina com composição multidisciplinar; e iniciar a classificação de risco dos sistemas mapeados com base nos critérios do Anexo II.
No curto prazo, entre maio e junho de 2026, devem ser conduzidas as AIAs para sistemas de alto e médio risco; revisados os contratos com fornecedores de IA para incluir as cláusulas de conformidade necessárias; revisados os termos de consentimento informado para tratamentos em que a IA seja utilizada como apoio relevante; e implementado o registro de uso de IA nos prontuários, com suporte do sistema de informação hospitalar.
No período pré-vigência (julho a agosto de 2026), a instituição deve conduzir o treinamento formal dos médicos sobre os sistemas utilizados, com registro de participação; publicar os primeiros relatórios de transparência de governança de IA, conforme Anexo III, I; e validar internamente a conformidade com todas as obrigações da resolução antes da data de vigência.
Pergunta que os gestores precisam responder
A Resolução CFM 2.454/2026 transfere para a estrutura institucional do hospital ou clínica uma responsabilidade que até então estava difusa entre médicos e fornecedores de tecnologia. A governança de IA deixa de ser um atributo opcional de organizações avançadas e passa a ser exigência normativa com fiscalização pelo CRM.
A questão estratégica que cada diretor técnico e cada compliance officer deve responder hoje é: se o CRM solicitasse amanhã uma auditoria dos sistemas de IA em uso na sua instituição, teríamos a documentação, os processos e as estruturas para demonstrar conformidade?
Se a resposta for negativa — ou incerta —, agosto de 2026 chegará mais rápido do que parece.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login