O CFM acaba de dar prazo para hospitais e clínicas se regularizarem no uso de IA — até agosto

Existe um algoritmo que analisa exames de imagem e identifica tumores com precisão comparável à de um radiologista experiente. Existe outro que, nos Estados Unidos, já é usado para prever quais pacientes em UTI têm maior risco de sepse nas próximas horas. No Brasil, hospitais e clínicas adotam soluções de inteligência artificial para triagem, diagnóstico, monitoramento e até para sugestão de condutas clínicas — com velocidade que superou, há tempos, a capacidade regulatória de acompanhar.

O Conselho Federal de Medicina resolveu colocar ordem na casa. A Resolução CFM nº 2.454/2026, publicada em abril, estabelece regras claras para o uso de IA em saúde e dá prazo até agosto de 2026 para que todas as instituições estejam em conformidade. Quem não se adaptar não enfrenta apenas uma questão ética — enfrenta vulnerabilidade jurídica em processos civis, administrativos e éticos.

O que a resolução exige — e o que ela não inventa

O primeiro ponto importante: a Resolução 2.454 não cria obrigações do nada. Ela pega o que já estava disperso na LGPD, no Código de Ética Médica e em diretrizes do CFM e coloca tudo em linguagem específica para o ambiente clínico. Martha Leal, vice-presidente do Instituto Nacional de Proteção de Dados, é direta: "Não são deveres completamente novos, mas especificações das exigências para quem usa IA."

A resolução se organiza em quatro eixos. Entender cada um é a diferença entre chegar em agosto em conformidade ou chegar em pânico.

O primeiro eixo é o mais importante — e o mais mal compreendido

A supervisão médica efetiva não significa que o médico precisa aprovar toda análise que a IA faz. Significa que, quando a IA gera uma saída com implicação clínica — uma suspeita de fratura, uma alteração num ECG, uma predição de risco —, há um profissional identificável que assumiu a responsabilidade de validar aquela informação antes que ela afete o cuidado do paciente.

Parece óbvio. Mas na prática não é. Em sistemas mal implementados, algoritmos geram alertas que ficam na fila de leitura sem que nenhum médico os veja antes de o paciente ser tratado. Em outros, a "validação" é um clique automático numa tela que ninguém lê de verdade. A resolução exige que a validação seja real, rastreável e registrada no prontuário.

O segundo eixo — transparência ao paciente — vai incomodar alguns gestores. A maioria dos sistemas de IA em uso hoje nos hospitais brasileiros é completamente invisível para o paciente. Ele não sabe que seu tomografia foi pré-analisada por um algoritmo antes de chegar ao médico. A nova regra exige que isso mude.

A governança que falta

O terceiro eixo é onde a maioria das instituições vai descobrir que tem um problema sério: inventário de sistemas de IA. Pergunte ao diretor técnico de um hospital médio quantos sistemas de IA a instituição usa. A resposta honesta, na maior parte dos casos, é: "depende do que você chama de IA." Tem o software de radiologia que usa deep learning para detectar nódulos. Tem o sistema de gestão que usa machine learning para prever cancelamentos de cirurgia. Tem o chatbot de triagem no site. Tem a ferramenta de billing que sugere códigos de procedimento.

A resolução exige documentação de todos eles. Finalidade, dados utilizados, responsável técnico, contrato com o fornecedor. Para quem nunca fez esse inventário, agosto chega rápido.

O quarto eixo — gestão de riscos — é o mais exigente em cultura organizacional. Requer que a instituição tenha processos para identificar quando um sistema de IA está produzindo erros sistemáticos. Que esses erros sejam comunicados. Que haja alguém responsável por agir quando um viés for detectado. Em hospitais com governança madura, isso já existe. Na maioria, não.

Quem é responsável?

A resolução é clara sobre o escopo: a responsabilidade é compartilhada entre médicos, diretores técnicos, administradores de estabelecimentos e gestores de TI. Não é só problema do departamento de tecnologia. Não é só problema do médico que prescreve. É de todo mundo que, na cadeia de decisão, deixou uma IA agir sem supervisão adequada.

Isso tem implicações práticas em casos de erro médico envolvendo IA. Se um algoritmo sugeriu uma conduta errada e o médico seguiu sem questionar, a responsabilidade não cai apenas sobre o fornecedor do software. Cai sobre quem implementou sem governança, sobre quem não treinou a equipe, sobre quem não documentou o processo. A resolução cria uma trilha de responsabilidade — e isso é exatamente o que faltava.

O que fazer até agosto

O caminho prático tem três passos que qualquer instituição pode iniciar esta semana. Primeiro: inventariar todos os sistemas de IA em operação. Não só os que foram comprados como "IA" — qualquer sistema que usa modelagem preditiva ou análise automatizada de dados clínicos entra na conta.

Segundo: revisar contratos com fornecedores de tecnologia. A maioria dos contratos de software em saúde não menciona IA explicitamente, mesmo quando o produto usa. É preciso saber quem é responsável pelo desempenho do algoritmo, quem atualiza o modelo, quem é notificado quando há falha.

Terceiro: formalizar uma política interna de governança alinhada à LGPD. Não precisa ser um documento de 100 páginas. Precisa ser real, conhecida pela equipe e aplicada.

A IA na saúde não é ficção científica nem tendência de futuro. É o presente. Um presente que, até ontem, operava num vácuo regulatório confortável para fornecedores e desconfortável para pacientes. O CFM deu o passo que precisava dar. Agosto não é muito tempo. Mas é tempo suficiente para quem começar agora.