A adoção de Inteligência Artificial na medicina deixou de ser apenas uma decisão tecnológica e passou a ser, também, uma decisão de governança, conformidade e responsabilidade. Em 11 de fevereiro de 2026, o Conselho Federal de Medicina (CFM) aprovou uma norma específica para disciplinar pesquisa, desenvolvimento, auditoria, monitoramento, capacitação e uso responsável de modelos, sistemas e aplicações de IA no ambiente médico.
Um ponto que ajuda bastante a organizar responsabilidades (inclusive contratuais) é a distinção feita pela resolução entre “modelo”, “sistema” e “aplicação”. O modelo é o componente algorítmico em si, capaz de gerar classificações, predições e recomendações. O sistema é a solução que processa dados e produz resultados que influenciam processos ligados à saúde, como apoio à decisão ou sistemas embarcados. Já a aplicação é o uso concreto daquele sistema dentro de um contexto específico, como assistência, perícia, ensino, pesquisa ou gestão. Na prática, isso importa porque um mesmo modelo pode ser integrado em diferentes sistemas, e o mesmo sistema pode ter usos distintos, com riscos e deveres diferentes. Ou seja: não basta “ter IA”; é preciso mapear onde, como e com qual impacto ela é usada.
A resolução também reforça princípios que devem orientar a implementação: segurança, transparência baseada em evidências, isonomia e ética. A ideia de proporcionalidade aparece como um fio condutor: auditoria e monitoramento devem variar conforme o risco e o impacto da aplicação, buscando viabilidade prática sem ignorar sigilos legítimos (como segredo industrial e comercial). Ao mesmo tempo, a transparência não pode ser apenas retórica: ela precisa se apoiar em métricas e indicadores de acurácia, eficácia e segurança, com comunicação clara quando a informação for voltada a pacientes e usuários.
No centro do texto está a reafirmação de que a IA é ferramenta de apoio, não substituta do médico. A autonomia profissional é preservada: o médico deve ter acesso a informações sobre finalidade, funcionamento, limitações e riscos, e pode recusar sistemas sem validação adequada, certificação pertinente ou que conflitem com parâmetros éticos e legais. Mas isso vem acompanhado de deveres bem objetivos.
O médico segue como responsável final pelas decisões clínicas, diagnósticas e terapêuticas; precisa exercer julgamento crítico sobre recomendações, manter-se atualizado sobre capacidades e limites do sistema, utilizar apenas soluções compatíveis com normas vigentes e registrar em prontuário quando a IA foi usada como apoio à decisão.
Para clínicas e hospitais, isso tende a exigir ajustes reais (e documentáveis): treinamento, protocolos, critérios de uso, mecanismos de recusa e rotinas de validação que permitam supervisão efetiva — não apenas “supervisão no papel”.
Na relação médico-paciente, a resolução aponta impactos operacionais imediatos. O paciente tem direito de ser informado quando a IA for utilizada como apoio relevante no cuidado, de forma clara e acessível.
Além disso, há uma vedação expressa: não se pode delegar à IA, sem mediação humana, a comunicação de diagnósticos, prognósticos ou decisões terapêuticas. Some-se a isso o respeito à autonomia do paciente, inclusive para recusar, de modo informado, o uso da IA. Na prática, isso pode exigir revisão de fluxos de atendimento e de comunicação, além de atenção especial ao desenho de interfaces e ferramentas (como chatbots e assistentes) para evitar que a automação ultrapasse limites éticos e normativos.
Quando o tema é dados, a resolução reforça exigências compatíveis com a criticidade do setor: o tratamento de informações (especialmente dados pessoais sensíveis) deve observar rigorosamente a LGPD e padrões de segurança da informação em saúde.
O texto enfatiza confidencialidade, integridade e proteção contra acesso não autorizado, destruição, perda, alteração ou vazamento, com medidas técnicas e administrativas compatíveis com o “estado da arte” e com a sensibilidade dos dados envolvidos. Em linguagem mais direta: em saúde, projetos de IA precisam nascer com privacidade e segurança no desenho e nas configurações padrão (“privacy by design” e “privacy by default”), principalmente quando há integração com prontuários e bases clínicas.
No campo da responsabilidade ético-profissional, a mensagem é objetiva: o uso de IA não reduz o dever médico. O médico permanece integralmente responsável pelos atos praticados mediante uso de IA, sem prejuízo de outras responsabilidades aplicáveis, e a norma ainda reforça o dever de comunicar falhas, riscos relevantes ou usos inadequados que possam comprometer segurança do paciente ou a qualidade da assistência. Isso eleva a importância de canais internos para reporte de incidentes, rotinas de gestão de risco e documentação de medidas corretivas e preventivas — um ponto que também repercute na relação com fornecedores.
Outro eixo relevante é a classificação de risco das soluções de IA, que deve ser feita previamente pela instituição usuária ou desenvolvedora. A avaliação considera, entre outros fatores, impacto potencial em direitos fundamentais e na saúde, criticidade do contexto de uso, grau de autonomia do modelo, nível de intervenção humana e quantidade/sensibilidade dos dados. O anexo trabalha categorias como baixo risco (usos administrativos ou de baixo impacto clínico), médio risco (apoio a decisões importantes com risco mitigável por supervisão humana) e alto risco (potencial elevado de danos físicos, psíquicos ou morais, com necessidade de validação rigorosa, auditorias regulares e monitoramento contínuo). Um ponto que merece atenção: a classificação não é “para sempre”. A norma prevê reavaliação — a solução pode mudar de categoria conforme evolui, ganha autonomia ou muda de contexto.
Por fim, a resolução trata de governança institucional de forma bastante prática: pede processos internos para assegurar segurança, qualidade e ética; incentiva mitigação de vieses discriminatórios com monitoramento contínuo; reforça interoperabilidade; valoriza sistemas auditáveis e parametrizáveis (evitando “caixas-pretas” que inviabilizem governança); e exige gestão de ciclo de vida com revisões periódicas, correções, atualizações controladas e melhoria contínua. Também prevê acesso de órgãos de controle, quando solicitado por autoridade competente, a relatórios e informações necessárias para supervisão independente, dentro dos limites legais. Esse conjunto tende a ter impacto direto em contratos com fornecedores: quais relatórios existem, que métricas são monitoradas, como se registram mudanças, como se assegura auditabilidade e quais níveis de explicabilidade/contestabilidade serão entregues, compatíveis com o risco e o contexto de uso.
Quanto à vigência, a resolução prevê entrada em vigor após 180 dias da publicação e admite regime de transição quando uma nova orientação impor dever novo e a transição for indispensável para cumprimento proporcional e eficiente. Para clínicas, hospitais e empresas de tecnologia em saúde, o recado é que a implementação responsável de IA, a partir de agora, passa necessariamente por documentação, processos, treinamento, gestão de riscos e alinhamento contratual — com o paciente e com a segurança assistencial no centro.