A Resolução CFM n. 2.454/2026 estabelece parâmetros regulatórios para o uso de inteligência artificial na prática médica e já começa a produzir efeitos relevantes na distribuição de responsabilidades entre médicos, instituições de saúde, desenvolvedores de sistemas e operadoras. Embora não trate a tecnologia como objeto de restrição, a norma reorganiza deveres de governança, documentação clínica e controle de risco que passam a impactar diretamente fluxos assistenciais e relações contratuais no setor. A vigência prevista para 26 de agosto de 2026 antecipa um ciclo de adequações que já se desenha no curto prazo.
Este artigo não reproduz a norma. A proposta aqui é outra: identificar os pontos que realmente alteram a dinâmica de responsabilidade entre os diferentes atores do ecossistema.
O princípio estruturante: a IA como ferramenta, não como protagonista
O eixo da Resolução está concentrado em um comando que aparece de forma reiterada em três dispositivos (Arts. 4, 15 e 18): a decisão clínica permanece sendo do médico. A IA pode sugerir, apoiar, processar dados, mas a decisão final continua sendo humana. Nenhuma plataforma pode, em qualquer hipótese, restringir ou substituir essa autoridade (Art. 18).
Esse ponto, em si, não é novo do ponto de vista ético. O que muda é o seu peso normativo. A Resolução deixa claro que não basta “usar a IA corretamente” em termos abstratos. O médico que se apoia em um sistema sem revisão crítica não se exime de responsabilidade apenas porque seguiu a recomendação algorítmica. A decisão continua sendo dele, inclusive para fins jurídicos.
Em contrapartida, o Art. 3, V protege o profissional que consiga demonstrar uso diligente, crítico e ético contra falhas que sejam exclusivamente atribuíveis ao sistema. Isso cria um incentivo concreto para algo que antes era difuso: documentar o próprio raciocínio clínico quando há interação com IA.
Nesse cenário, o prontuário ganha uma função que vai além do registro clínico tradicional. O Art. 4, V exige que o uso de IA como suporte à decisão médica seja formalmente registrado. Na prática, a ausência desse registro pode ser interpretada como ausência de supervisão adequada.
Quatro impactos que os atores do setor precisam conhecer
1. Para o médico: autonomia protegida, mas com maior carga documental
A norma reforça a autonomia do médico ao permitir a recusa de sistemas sem validação científica adequada ou em desacordo com princípios técnicos da medicina (Art. 3, III). Também veda que instituições imponham metas ou políticas que condicionem a conduta clínica à adesão às recomendações da IA (Art. 19, §2º).
Na prática, isso coloca em risco arranjos contratuais que vinculem produtividade à taxa de concordância com sistemas algorítmicos. Dependendo do contexto, essas cláusulas podem ser questionadas em esferas disciplinares ou trabalhistas.
Ao mesmo tempo, a contrapartida é clara. O médico precisa conhecer as limitações, vieses e capacidades dos sistemas que utiliza (Art. 4, III), exercer julgamento crítico sobre cada recomendação (Art. 4, II) e registrar o uso da IA no prontuário (Art. 4, V). Esse conjunto forma um padrão de diligência que, se não observado, pode ser interpretado como elemento de negligência em disputas indenizatórias.
2. Para hospitais e clínicas: governança deixa de ser diferencial
O Art. 14 estabelece que instituições que desenvolvam ou contratem sistemas de IA devem estruturar processos internos de governança. Quando há desenvolvimento ou adoção de sistemas próprios, a exigência se amplia com a criação de uma Comissão de IA e Telemedicina, sob coordenação médica e vinculada à Diretoria Técnica. O Diretor Técnico passa a ocupar posição central na definição de diretrizes de segurança, ética e transparência.
Embora a Resolução não trate diretamente de responsabilidade civil, seus efeitos tendem a ser relevantes nesse campo. Falhas de governança podem ser utilizadas como indicativo de culpa in eligendo ou in vigilando em ações indenizatórias. Nesse contexto, a ausência da Comissão de IA, quando exigida, não é um detalhe formal, mas um elemento potencialmente decisivo.
O Anexo III reforça essa lógica ao impor monitoramento contínuo dos sistemas, com análise estratificada de resultados para identificação de vieses. Quando o viés não puder ser mitigado, a norma é direta: o sistema deve ser descontinuado.
3. Para desenvolvedores e healthtechs: regulação indireta com efeito direto
A Resolução não se dirige formalmente aos desenvolvedores, mas seus efeitos acabam sendo equivalentes a uma regulação indireta. Um sistema que não permita ao médico cumprir seus deveres éticos e normativos simplesmente não se sustenta em ambiente de conformidade.
Isso inclui soluções que não ofereçam mecanismos mínimos de explicabilidade, não permitam registro adequado no prontuário ou não forneçam métricas de monitoramento de vieses para instituições usuárias.
A própria Resolução define explicabilidade como a possibilidade de compreender, sempre que tecnicamente possível, como o sistema chegou a determinada decisão (Anexo I, XIX), e contestabilidade como a possibilidade de questionar e revisar os resultados gerados pela IA (Anexo I, XX). A ressalva técnica não elimina a exigência, mas reconhece limites reais de sistemas complexos. Ainda assim, esses limites precisam ser documentados e comunicados de forma clara ao usuário médico.
No campo da responsabilidade civil, o enquadramento segue o regime do Código de Defesa do Consumidor. Um sistema que cause dano por defeito de projeto ou validação insuficiente pode ser considerado produto defeituoso, com possibilidade de responsabilização objetiva.
4. Para operadoras de saúde: exposição indireta, mas concreta
Embora a Resolução não regule operadoras de saúde de forma direta, elas podem ser impactadas quando a IA é utilizada em processos com efeito clínico, como triagem de beneficiários ou análise de autorizações.
Nessas situações, eventuais falhas podem gerar responsabilização com base no Código de Defesa do Consumidor e no Código Civil. A Resolução pode funcionar como parâmetro interpretativo do padrão esperado de conduta, ainda que não imponha obrigações diretas.
A questão da proteção de dados: dupla exposição
O Art. 16 determina que o uso de dados no desenvolvimento, treinamento e implementação de sistemas de IA observe rigorosamente a legislação de proteção de dados pessoais. No caso da saúde, esses dados são classificados como sensíveis pela LGPD (Art. 11), o que exige bases legais específicas e medidas reforçadas de segurança.
O uso de IA clínica sem verificação de conformidade pode gerar uma exposição simultânea a dois regimes distintos: o ético e disciplinar, perante o sistema CFM/CRM, e o administrativo, perante a ANPD. As duas esferas são independentes e podem coexistir.
O horizonte regulatório
A Resolução não opera isoladamente. O PL n. 2.338/2023, já aprovado no Senado e em tramitação na Câmara, estabelece um marco regulatório geral para inteligência artificial no Brasil, com abordagem baseada em risco semelhante ao EU AI Act. Em regra, sistemas aplicados à saúde tendem a ser classificados como de alto risco. O projeto é apontado como prioridade pelo presidente da Câmara, Hugo Motta, com expectativa de votação ainda em 2026.
Isso significa que organizações que já se adequem à Resolução CFM estarão, em grande medida, antecipando exigências futuras desse marco regulatório mais amplo.
A norma também dialoga com o Regulamento (UE) 2024/1689, em vigor desde agosto de 2024, especialmente em conceitos como explicabilidade, auditabilidade e contestabilidade. Para grupos com atuação internacional, há espaço real para convergência regulatória.
O que fazer antes de agosto de 2026
A vigência em 26 de agosto de 2026 não permite uma transição gradual para sistemas já em operação. O Art. 21 estabelece que a norma se aplica também à IA em uso na data de entrada em vigor.
Prioridades imediatas:
Médicos: adaptar o prontuário para registro do uso de IA, revisar validações dos sistemas utilizados e documentar o exercício de julgamento clínico em situações complexas.
Hospitais e clínicas: mapear todos os sistemas de IA em uso, classificá-los por nível de risco (Arts. 12 e 13), estruturar a Comissão de IA e Telemedicina quando exigida e revisar contratos com fornecedores para garantir transparência e acesso a dados de auditoria.
Desenvolvedores: mapear funcionalidades de explicabilidade e contestabilidade, disponibilizar métricas de monitoramento de vieses e revisar documentação técnica ao longo do ciclo de vida dos sistemas.
Operadoras: avaliar o uso de IA em processos com impacto clínico e assegurar que haja supervisão médica adequada sempre que esses sistemas forem utilizados.
No conjunto, o risco de inércia é tangível. Ele se manifesta em três frentes: sanções disciplinares para médicos, responsabilidade civil para instituições e restrições operacionais para desenvolvedores cujos sistemas não estejam em conformidade. Mais do que uma obrigação regulatória, a adequação passa a ser um elemento de estabilidade operacional no setor de saúde digital.
