Em resumo: a Resolução CFM 2.454/2026 entra em vigor em 26 de agosto de 2026 e passa a reger o uso de inteligência artificial na medicina. Somada à LGPD, ela multiplica a exposição de médicos e clínicas: um mesmo incidente de dados pode gerar, ao mesmo tempo, ação civil, processo ético no CRM e sanção administrativa. Abaixo, o que mudou, a partir de um caso real julgado pelo TJ-SP, e um checklist do que fazer antes de agosto.

Em fevereiro de 2021, uma paciente de São Paulo perdeu o bebê. Dias depois do aborto espontâneo, recebeu pelo WhatsApp uma oferta de criopreservação de cordão umbilical. A mensagem vinha de um laboratório que ela jamais havia procurado, jamais autorizado a tratar seus dados, e que sequer participara do pré-natal. A informação de que aquela mulher estava grávida, e já não mais, havia circulado e sido usada comercialmente, e ela não sabia por qual cadeia.

A 1ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo, em julho de 2022, condenou o laboratório a pagar R$ 10 mil por dano moral. O voto do desembargador Alexandre Marcondes, no processo 1041607-35.2021.8.26.0100, ancorou-se em dois dispositivos pontuais da Lei Geral de Proteção de Dados: o artigo 5º, inciso II, que classifica qualquer dado relativo à saúde como dado pessoal sensível; e o artigo 42, que responsabiliza o agente de tratamento pelo uso indevido. Vale notar que a decisão inverteu o ônus probatório: caberia ao laboratório demonstrar a existência de consentimento, e não à paciente comprovar a ausência.

Dez mil reais é pouco. Pouco para o dano, pouco para o precedente, pouco para a paciente que reviveu a perda gestacional ao abrir uma mensagem indesejada. Contudo, é um número que deveria interessar muito a qualquer gestor de clínica em 2026, e a qualquer médico que esteja a poucos meses de operar sob um novo regime jurídico que triplica a exposição.

Por que estamos falando disso agora?

Três frentes regulatórias convergiram nos últimos dezoito meses, e o efeito conjunto redesenha o que significa “responsabilidade civil em saúde digital” no Brasil.

A primeira, mais antiga e já consolidada, é a LGPD (Lei 13.709/2018), em vigor desde 2020 com sanções aplicáveis desde agosto de 2021. Foi a base jurídica do caso paulista de 2022.

A segunda é o PL 2338/2023, marco legal da inteligência artificial no Brasil, aprovado por unanimidade no Plenário do Senado em 10 de dezembro de 2024 e em tramitação na Câmara dos Deputados ao longo de 2026. Adota o modelo risk-based approach importado do AI Act europeu de 2024: a intensidade da regulação acompanha o potencial de dano do sistema.

A terceira, e a mais imediata, é a Resolução CFM nº 2.454/2026, publicada no Diário Oficial da União em 27 de fevereiro de 2026, com retificação em 5 de março, e vigência iniciada 180 dias após a publicação. A conta é direta: a partir do final de agosto de 2026, todo médico e toda instituição médica no Brasil que utilizem, contratem ou desenvolvam sistemas de inteligência artificial estarão submetidos a um conjunto novo de deveres ético-profissionais, com sanções no âmbito do CRM e, como o próprio art. 8º faz questão de explicitar, sem prejuízo das responsabilidades civil e penal cabíveis.

Poucos gestores calculam o ponto seguinte: as três frentes não atuam de forma isolada. Elas se atravessam. Um vazamento como o do caso paulista, se ocorrer hoje em uma clínica que utilize IA para apoio diagnóstico, deixa de ser apenas violação à LGPD e passa a configurar, simultaneamente, falta ético-profissional do médico responsável, descumprimento de deveres de governança da instituição e, provavelmente, fato gerador de responsabilidade civil agravada pela violação combinada de regimes.

O que a LGPD já dizia (e o tribunal já aplicou)?

A LGPD trata dado de saúde como categoria especial. O art. 5º, II, define dado pessoal sensível como aquele referente, entre outras hipóteses, “à saúde”. A regra geral (tratamento mediante consentimento ou outra base legal) é, portanto, endurecida pelo art. 11, que enumera as hipóteses taxativas em que dados sensíveis podem ser tratados: consentimento específico e destacado do titular; ou, sem consentimento, apenas para finalidades muito restritas, como cumprimento de obrigação legal, tutela da saúde em procedimento por profissional de saúde, exercício regular de direitos, entre outras.

Compartilhar dado sensível com terceiro alheio à assistência ao paciente, para fim comercial, não cabe em nenhuma dessas hipóteses. Essa foi exatamente a leitura do TJ-SP no caso de 2022.

Há ainda um segundo movimento que o caso explicita: o art. 42 da LGPD estabelece responsabilidade civil do controlador e do operador por danos decorrentes de tratamento que viole a lei. O dispositivo dialoga, no contexto de relação de consumo, com o art. 14 do Código de Defesa do Consumidor, que prevê responsabilidade objetiva do prestador de serviços. A combinação cria um cenário em que a clínica (ou o laboratório, ou a operadora) não consegue se eximir alegando “boa-fé” ou “erro do parceiro”: precisa provar a adoção de todas as medidas razoáveis, ou demonstrar culpa exclusiva da vítima ou de terceiro estranho à cadeia, algo que o caso paulista demonstrou não ser trivial.

Ainda menos discutida, embora igualmente operacional, é a posição do art. 6º, VIII, que consagra o princípio da prevenção: “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”. Reagir ao incidente não basta; é preciso desenhar, antes, mecanismos que evitem sua ocorrência. Precisamente nesse ponto a Resolução CFM 2.454/2026 entra como camada adicional.

O que a Resolução CFM 2.454/2026 acrescenta?

A primeira leitura da nova resolução pode soar redundante. Muitos dos deveres que ela enumera (confidencialidade, sigilo, atualização técnica, registro em prontuário) já estão no Código de Ética Médica e em regulamentos anteriores, como a Resolução CFM 2.314/2022, que define a telemedicina. Como observou Rafaella Nogaroli em análise publicada na Migalhas em 4 de março de 2026, a nova norma “não cria deveres novos, mas ressignifica deveres tradicionais (informação, documentação, cuidado e vigilância) à luz das especificidades dos sistemas decisionais automatizados”.

A redundância, todavia, é só aparente. A Resolução eleva o patamar de diligência exigido e, aqui está o salto, confere a esses deveres uma estrutura institucional verificável. Quatro pontos merecem atenção do gestor:

1. O paciente passa a ter direito expresso de saber sobre o uso da IA em seu cuidado. O art. 5º, §1º, é categórico: “o paciente tem o direito de ser informado, de forma clara e acessível, quando modelos, sistemas e aplicações de IA forem utilizados como apoio relevante em seu cuidado, diagnóstico ou tratamento”. O art. 11 reforça que a utilização “deverá ser comunicada e explicada”. Em consequência, o termo de consentimento livre e esclarecido (TCLE) genérico, aquele documento de duas páginas que muitas clínicas ainda usam para tudo, deixa de ser suficiente. O consentimento se ramifica, agora, para alcançar também o uso da ferramenta tecnológica, em consonância com o que a doutrina europeia já chama de “direito à explicação”.

2. O médico precisa registrar no prontuário o uso da IA. O art. 4º, V, é taxativo. O efeito jurídico desse dever extrapola a esfera ética: a jurisprudência cível brasileira trata a omissão relevante de registro em prontuário como violação objetiva do dever profissional, com inversão do ônus da prova em ações de responsabilidade médica. Em outras palavras: se o médico não registrou o uso da IA, e o desfecho clínico é desfavorável, ele chega à audiência sem o instrumento mais elementar de defesa.

3. A instituição precisa classificar os sistemas de IA por nível de risco. O Capítulo IV da Resolução estabelece quatro categorias de risco (baixo, médio, alto e inaceitável, no Anexo II) e impõe à instituição uma avaliação preliminar antes do uso. A classificação não é decorativa: define os controles aplicáveis, a frequência de auditoria, o tipo de supervisão humana exigida. Um sistema que apoia decisão diagnóstica em oncologia, por exemplo, não pode ser tratado com a mesma leveza com que se trata um chatbot de agendamento.

4. Quem desenvolver ou contratar IA precisa criar uma estrutura de governança. O art. 14 obriga a instituição a estabelecer “processos internos de governança aptos a garantir a segurança, a qualidade e a ética”, e o parágrafo único prevê, para instituições que adotem sistemas próprios de IA, a criação de uma Comissão de IA e Telemedicina, sob coordenação médica e subordinada à diretoria técnica. O Anexo III concentra no Diretor Técnico a responsabilidade pela fiscalização das diretrizes de segurança, ética e transparência.

Há ainda um ponto que dialoga diretamente com o caso paulista de 2022. O art. 6º, §1º, determina que o “compartilhamento de dados pessoais dos pacientes, sobretudo os sensíveis, com modelos, sistemas e aplicações de IA ocorra de forma adequada às finalidades informadas aos titulares”. A retificação do art. 16, publicada em 5 de março, manteve a remissão à “proteção geral de dados pessoais”. Em outras palavras, a LGPD permanece como régua infraestrutural, e a Resolução do CFM se sobrepõe como camada ético-profissional adicional.

Onde a sua clínica fica exposta?

Quem só leu a LGPD e quem só leu a Resolução do CFM tende a subestimar a exposição. O risco real está na superposição dos regimes.

Imagine o cenário: uma clínica de imagem contrata um sistema de IA para apoio à interpretação de exames radiológicos. O sistema é fornecido por uma empresa terceira. Os dados clínicos dos pacientes são processados na nuvem, em servidores que o fornecedor contratou de uma terceira empresa. O médico radiologista valida os laudos, mas não registra explicitamente, em prontuário, que houve apoio de IA. O TCLE da clínica menciona “uso de tecnologia para auxílio diagnóstico”, mas não detalha o que isso significa nem oferece ao paciente a opção de recusar.

Em um cenário pré-2026, isso era, no máximo, uma fragilidade contratual com risco LGPD difuso. A partir de agosto de 2026, esse mesmo cenário concentra três frentes simultâneas de exposição:

Não são camadas excludentes. São cumulativas. Decisões recentes sobre vazamento de dados em saúde mostram que cada camada agrava a comprovação das demais: a falta de governança alimenta a presunção de culpa civil; a omissão de registro alimenta a tipificação ética; a ausência de TCLE específico alimenta a sanção administrativa.

O ponto a sublinhar é este: em 2022, no caso paulista, o laboratório foi condenado por R$ 10 mil em uma única frente. A partir de agosto de 2026, o mesmo fato tende a desencadear três respostas institucionais paralelas, e o valor agregado é incomparável.

Checklist prático antes de agosto de 2026

Para clínicas, hospitais e consultórios que utilizem ou pretendam utilizar IA (universo que, hoje, inclui qualquer estabelecimento operando software com componente de aprendizado de máquina, mesmo “discreto”, como sistemas de triagem em pronto-atendimento ou auxílio à interpretação de imagens), há cinco frentes de revisão prioritárias:

Primeiro, mapear o que já é IA na operação. A definição da Resolução (Anexo I) é deliberadamente larga: inclui modelos, sistemas e aplicações que “processem dados ou informações fornecidas, gerando resultados que possam influenciar ambientes ou processos”. Boa parte dos sistemas comprados como “software de gestão” tem hoje algum componente de IA. Sem mapeamento, não há classificação de risco; sem classificação, não há controle aplicável.

Segundo, revisar contratos com terceiros, especialmente laboratórios, plataformas de telemedicina e fornecedores de software diagnóstico. O caso paulista de 2022 nasceu de um vazamento via terceiro. Os contratos precisam prever, expressamente, deveres de segurança da informação, base legal para tratamento, responsabilidade solidária em caso de incidente e cláusula de auditoria. O art. 39 da LGPD permite exigir do operador a comprovação dessas medidas; o art. 6º da Resolução CFM 2.454/2026 transforma esse requisito em dever ético do médico responsável.

Terceiro, atualizar o TCLE. O documento precisa, agora, fazer referência específica ao uso de sistemas de IA quando aplicável, explicar finalidades, oferecer ao paciente a opção de recusa (art. 5º, §3º) e registrar o consentimento de forma rastreável. TCLE genérico, com cláusula vaga sobre “uso de tecnologias”, não atende ao padrão.

Quarto, definir formalmente o Diretor Técnico como responsável pela governança de IA. O Anexo III, item III, atribui essa função especificamente ao Diretor Técnico. Isso significa que a função, antes mais cerimonial em muitas instituições, agora carrega encargos concretos: fiscalizar diretrizes de segurança, ética e transparência. A formalização interna desse papel (via portaria, regulamento ou alteração de organograma) protege a instituição e o próprio profissional designado.

Quinto, criar a Comissão de IA e Telemedicina. Para instituições que adotam sistemas próprios de IA, o art. 14, parágrafo único, exige a criação de comissão sob coordenação médica, subordinada à diretoria técnica. A composição deve permitir avaliação preliminar de risco (Anexo II), monitoramento contínuo, análise de vieses (Anexo III, II) e prestação de contas. Não se trata de comitê decorativo: a instância tem função verificável e produz documentação exigível em qualquer apuração futura.

O que isso muda para o profissional individual?

Há uma leitura conservadora possível: “isso é problema da instituição”. Não é. O art. 7º da Resolução é explícito: “no campo da responsabilidade ético-profissional, o médico permanece integralmente responsável pelos atos médicos por ele praticados mediante a utilização de modelos, sistemas e aplicações de IA”. A IA não cria zona de imunidade; eleva o patamar de diligência exigido. Na prática, o médico que utilizar IA precisa demonstrar que conhecia as limitações do sistema, exerceu juízo crítico sobre seus outputs, registrou o uso no prontuário e respeitou a autonomia informada do paciente.

A doutrina recente, em particular a obra de Rafaella Nogaroli sobre responsabilidade civil médica e IA (Thomson Reuters, 2023), sustenta que o profissional não dispõe, no novo cenário, de espaço para “adesão automática e acrítica” aos algoritmos. O caso norte-americano Sampson v. HeartWise Health Systems Corp. (Suprema Corte do Alabama, 2023), citado pela mesma autora, ilustra o ponto. Um programa de rastreio cardiovascular, apoiado em software proprietário, classificou como “normal” um jovem com histórico familiar de cardiopatia congênita, que mais tarde veio a falecer; o espólio processou a clínica, a desenvolvedora do sistema e os médicos. A Suprema Corte do Alabama manteve o entendimento de que, mesmo diante do resultado automatizado, os médicos retinham o julgamento clínico e a decisão final, responsabilidade que não se transfere ao sistema. O recado é simples: confiar no algoritmo é admissível; delegar a ele não afasta a responsabilidade do médico.

Compliance como infraestrutura, não como custo

A Resolução CFM 2.454/2026 não chega para revolucionar o exercício da medicina. Chega para institucionalizar, com prazo, com escala e com sanção verificável, algo que a jurisprudência aponta há quatro anos: dado de saúde é dado sensível, e quem trata dado sensível responde objetivamente pelo que faz com ele. O caso paulista de 2022 foi um primeiro alerta de baixa intensidade; quem leu na época como “barulho de Tribunal de Justiça” perdeu a oportunidade de se preparar para o que se desenhava.

A janela até agosto de 2026 é curta. É exatamente ali, no intervalo entre a publicação da norma e a entrada em vigor, que se distinguem as instituições que tratam compliance como custo operacional daquelas que o tratam como infraestrutura de operação. A diferença, daqui para frente, impactará diretamente a exposição patrimonial: civil, ético-profissional e administrativa.

Para quem quiser aprofundar, reuni e estudei as fontes primárias que sustentam este artigo, todas listadas ao final: a Resolução CFM 2.454/2026 integral, a Resolução CFM 2.314/2022 (telemedicina), o texto consolidado da LGPD e o PL 2338/2023, além das análises da ConJur (Sandra Franco, Rocha e Clemente, Tábata Viapiana) e do estudo de Rafaella Nogaroli na Migalhas. O que falta, para a maioria das clínicas, é cruzar esse material com a realidade contratual e operacional de cada instituição, e isso não tem atalho.

Perguntas frequentes

Quando a Resolução CFM 2.454/2026 entra em vigor?

Em 26 de agosto de 2026, 180 dias após a publicação no Diário Oficial (27 de fevereiro de 2026, com retificação em 5 de março).

O médico é responsável por um erro do sistema de IA que utilizou?

Sim. O art. 7º é expresso: o médico permanece integralmente responsável pelos atos praticados com apoio de IA. A ferramenta não cria zona de imunidade.

A norma vale mesmo para quem usa IA só em tarefas simples?

A definição de IA da Resolução (Anexo I) é ampla e alcança apoio diagnóstico, triagem e gestão com componente de aprendizado de máquina. Por isso o primeiro passo é mapear o que já é IA na operação.

O que a clínica precisa fazer antes de agosto de 2026?

Mapear os sistemas de IA em uso, classificar o risco de cada um, revisar contratos com terceiros, atualizar o TCLE, formalizar o diretor técnico como responsável pela governança e, quando houver IA própria, criar a Comissão de IA e Telemedicina.

Leia também

• WhatsApp na atividade médica: vilão ou aliado?
• Lei do Prontuário Eletrônico
• O TCLE na medicina: burocracia ou boa prática?
• Telemedicina no Brasil: Resolução CFM 2.314 e a LGPD

Fontes consultadas

• Constituição Federal de 1988, art. 5º, X e LXXIX (privacidade e proteção de dados).
• Lei 13.709/2018 (LGPD), arts. 5º (II e III), 6º (VIII), 7º, 11, 14, 39, 42 e 52.
• Resolução CFM nº 2.454/2026 (normatiza o uso da inteligência artificial na medicina), publicada em 27/02/2026, com retificação em 05/03/2026 e vigência em 26/08/2026.
• Resolução CFM nº 2.314/2022 (define e regulamenta a telemedicina).
• Resolução CFM nº 2.306/2022 (Código de Processo Ético-Profissional dos Conselhos de Medicina).
• PL 2338/2023 (Marco Legal da IA), aprovado pelo Senado Federal em 10/12/2024.
• Resolução CD/ANPD nº 1/2021 (Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador).
• TJ-SP, 1ª Câmara de Direito Privado, Processo 1041607-35.2021.8.26.0100, Rel. Des. Alexandre Marcondes, julgado em julho de 2022.
• Supreme Court of Alabama, Sampson v. HeartWise Health Systems Corp., 386 So. 3d 411 (Ala. 2023).
• Sandra Franco, “Necessária regulação do uso da inteligência artificial na saúde”, Consultor Jurídico, 30/08/2022.
• Henrique Rocha & Vanessa Clemente, “LGPD, fiscalização e tratamento de dados no setor farmacêutico”, Consultor Jurídico, 21/07/2022.
• Tábata Viapiana, “Vazamento de informações sobre gravidez gera dever de indenizar, decide TJ-SP”, Consultor Jurídico, 21/07/2022.
• Rafaella Nogaroli, “Breves reflexões sobre a regulamentação da inteligência artificial na medicina a partir da resolução CFM 2.454/26”, Migalhas (Coluna de Direito Médico e Bioética), 04/03/2026.
• Rafaella Nogaroli, Responsabilidade civil médica e inteligência artificial: culpa médica e deveres de conduta no século XXI (Thomson Reuters Brasil, 2023).
• Rafaella Nogaroli, Medical liability and artificial intelligence: Brazilian and European legal approaches (Springer Nature Switzerland, 2025).