Resolución del CFM sobre IA (feb/2026): responsabilidad médica, deber de información y gobernanza — qué cambia a partir de ahora

La adopción de Inteligencia Artificial en la medicina ha dejado de ser solo una decisión tecnológica y ha pasado a ser, también, una decisión de gobernanza, cumplimiento y responsabilidad. El 11 de febrero de 2026, el Consejo Federal de Medicina (CFM) aprobó una norma específica para disciplinar la investigación, el desarrollo, la auditoría, el monitoreo, la capacitación y el uso responsable de modelos, sistemas y aplicaciones de IA en el entorno médico.

Un punto que ayuda mucho a organizar las responsabilidades (incluso las contractuales) es la distinción realizada por la resolución entre “modelo”, “sistema” y “aplicación”. El modelo es el componente algorítmico en sí mismo, capaz de generar clasificaciones, predicciones y recomendaciones. El sistema es la solución que procesa datos y produce resultados que influyen en procesos vinculados a la salud, como el apoyo a la decisión o sistemas embebidos. Por su parte, la aplicación es el uso concreto de ese sistema dentro de un contexto específico, como asistencia, peritaje, enseñanza, investigación o gestión. En la práctica, esto importa porque un mismo modelo puede integrarse en diferentes sistemas, y el mismo sistema puede tener usos distintos, con riesgos y deberes diferentes. Es decir: no basta con “tener IA”; es necesario mapear dónde, cómo y con qué impacto se utiliza.

La resolución también refuerza principios que deben orientar la implementación: seguridad, transparencia basada en evidencias, isonomía y ética. La idea de proporcionalidad aparece como un hilo conductor: la auditoría y el monitoreo deben variar según el riesgo y el impacto de la aplicación, buscando la viabilidad práctica sin ignorar los secretos legítimos (como el secreto industrial y comercial). Al mismo tiempo, la transparencia no puede ser solo retórica: debe apoyarse en métricas e indicadores de precisión, eficacia y seguridad, con una comunicación clara cuando la información esté dirigida a pacientes y usuarios.

En el centro del texto se encuentra la reafirmación de que la IA es una herramienta de apoyo, no un sustituto del médico. La autonomía profesional se preserva: el médico debe tener acceso a información sobre la finalidad, el funcionamiento, las limitaciones y los riesgos, y puede rechazar sistemas sin la validación adecuada, la certificación pertinente o que entren en conflicto con parámetros éticos y legales. Pero esto viene acompañado de deberes muy objetivos.

El médico sigue siendo el responsable final de las decisiones clínicas, diagnósticas y terapéuticas; debe ejercer un juicio crítico sobre las recomendaciones, mantenerse actualizado sobre las capacidades y límites del sistema, utilizar solo soluciones compatibles con las normas vigentes y registrar en la historia clínica cuando se haya utilizado la IA como apoyo a la decisión.

Para clínicas y hospitales, esto tiende a exigir ajustes reales (y documentables): capacitación, protocolos, criterios de uso, mecanismos de rechazo y rutinas de validación que permitan una supervisión efectiva — no solo una “supervisión en el papel”.

En la relación médico-paciente, la resolución señala impactos operativos inmediatos. El paciente tiene derecho a ser informado cuando la IA se utilice como apoyo relevante en su cuidado, de forma clara y accesible.

Además, existe una prohibición expresa: no se puede delegar en la IA, sin mediación humana, la comunicación de diagnósticos, pronósticos o decisiones terapéuticas. A esto se suma el respeto a la autonomía del paciente, incluyendo el derecho a rechazar, de modo informado, el uso de la IA. En la práctica, esto puede exigir la revisión de los flujos de atención y comunicación, además de una atención especial al diseño de interfaces y herramientas (como chatbots y asistentes) para evitar que la automatización sobrepase los límites éticos y normativos.

Cuando el tema son los datos, la resolución refuerza exigencias compatibles con la criticidad del sector: el tratamiento de la información (especialmente los datos personales sensibles) debe observar rigurosamente la LGPD y los estándares de seguridad de la información en salud.

El texto enfatiza la confidencialidad, integridad y protección contra el acceso no autorizado, destrucción, pérdida, alteración o filtración, con medidas técnicas y administrativas compatibles con el “estado del arte” y con la sensibilidad de los datos involucrados. En lenguaje más directo: en salud, los proyectos de IA deben nacer con privacidad y seguridad por diseño y por defecto (“privacy by design” y “privacy by default”), principalmente cuando existe integración con historias clínicas y bases clínicas.

En el campo de la responsabilidad ético-profesional, el mensaje es objetivo: el uso de IA no reduce el deber médico. El médico sigue siendo íntegramente responsable de los actos realizados mediante el uso de IA, sin perjuicio de otras responsabilidades aplicables, y la norma refuerza además el deber de comunicar fallas, riesgos relevantes o usos inadecuados que puedan comprometer la seguridad del paciente o la calidad de la asistencia. Esto eleva la importancia de los canales internos para el reporte de incidentes, las rutinas de gestión de riesgos y la documentación de medidas correctivas y preventivas — un punto que también repercute en la relación con los proveedores.

Otro eje relevante es la clasificación de riesgo de las soluciones de IA, que debe realizarse previamente por la institución usuaria o desarrolladora. La evaluación considera, entre otros factores, el impacto potencial en los derechos fundamentales y la salud, la criticidad del contexto de uso, el grado de autonomía del modelo, el nivel de intervención humana y la cantidad/sensibilidad de los datos. El anexo trabaja con categorías como bajo riesgo (usos administrativos o de bajo impacto clínico), riesgo medio (apoyo a decisiones importantes con riesgo mitigable por supervisión humana) y alto riesgo (potencial elevado de daños físicos, psíquicos o morales, con necesidad de validación rigurosa, auditorías regulares y monitoreo continuo). Un punto que merece atención: la clasificación no es “para siempre”. La norma prevé una reevaluación — la solución puede cambiar de categoría a medida que evoluciona, gana autonomía o cambia de contexto.

Finalmente, la resolución trata la gobernanza institucional de forma muy práctica: solicita procesos internos para asegurar la seguridad, calidad y ética; incentiva la mitigación de sesgos discriminatorios con un monitoreo continuo; refuerza la interoperabilidad; valora los sistemas auditables y parametrizables (evitando las “cajas negras” que imposibiliten la gobernanza); y exige la gestión del ciclo de vida con revisiones periódicas, correcciones, actualizaciones controladas y mejora continua. También prevé el acceso de los órganos de control, cuando lo solicite la autoridad competente, a los informes e información necesaria para una supervisión independiente, dentro de los límites legales. Este conjunto de medidas tiende a tener un impacto directo en los contratos con proveedores: qué informes existen, qué métricas se monitorean, cómo se registran los cambios, cómo se asegura la auditabilidad y qué niveles de explicabilidad/contestabilidad se entregarán, compatibles con el riesgo y el contexto de uso.

En cuanto a la vigencia, la resolución prevé su entrada en vigor 180 días después de su publicación y admite un régimen de transición cuando una nueva orientación imponga un deber nuevo y la transición sea indispensable para un cumplimiento proporcional y eficiente. Para clínicas, hospitales y empresas de tecnología en salud, el mensaje es que la implementación responsable de la IA, a partir de ahora, pasa necesariamente por la documentación, los procesos, la capacitación, la gestión de riesgos y la alineación contractual — con el paciente y la seguridad asistencial en el centro.