Resolução CFM 2.454/2026: O CFM Acabou de Regulamentar a IA na Medicina. Você Tem 180 Dias.

Em 27 de fevereiro de 2026, o Conselho Federal de Medicina publicou a Resolução CFM n.º 2.454/2026 — o primeiro marco regulatório brasileiro específico para o uso de inteligência artificial na prática médica. São 23 artigos e 3 anexos que estabelecem regras claras sobre responsabilidade, transparência, classificação de risco e supervisão humana.

O prazo para adequação é de 180 dias a partir da publicação. Isso significa que, até agosto de 2026, toda clínica, hospital, serviço de telerradiologia e empresa de tecnologia médica no Brasil precisa estar em conformidade — ou estará operando fora das normas do CFM.

1. Princípio Fundamental: O Médico no Centro (Art. 3-5)

A resolução abre com um princípio inegociável: a IA é uma ferramenta complementar, nunca substituta do médico. O Art. 3 estabelece que o uso de IA deve se fundamentar na beneficência, não-maleficência, autonomia do paciente e justiça — os pilares da bioética médica.

O Art. 4 vai mais fundo: o médico deve exercer julgamento crítico sobre toda saída da IA e manter-se atualizado sobre capacidades, limitações e vieses do sistema que utiliza. Na prática, isso significa que “a IA sugeriu” não é justificativa aceitável para um diagnóstico errado.

“A IA não pode comunicar diagnósticos ou condutas diretamente ao paciente sem mediação humana do médico.”

— Art. 5, Resolução CFM 2.454/2026

O Art. 5 proíbe explicitamente que a IA comunique diagnósticos ou decisões terapêuticas ao paciente sem mediação do médico. Sistemas que entregam laudos “auto-gerados” diretamente para o paciente, sem revisão médica, estão terminantemente vedados.

2. Responsabilidade Integral do Médico (Art. 7)

Este é o artigo que muda tudo. O Art. 7 é explícito: o médico é integralmente responsável por qualquer ato profissional, diagnóstico ou terapêutico, mesmo quando assistido por IA. Não existe transferência de culpa para o algoritmo, para o desenvolvedor do software ou para a instituição.

A combinação do Art. 7 com a evidência do estudo Bernstein cria uma situação jurídica clara: o radiologista que usa IA não pode ignorar seus alertas sem documentar o motivo; e o radiologista que não usa IA pode ser questionado por não ter utilizado uma ferramenta disponível que poderia ter detectado o achado. Em ambos os cenários, a rastreabilidade é o que protege o profissional.

3. Classificação de Risco Obrigatória (Art. 8-9)

A Resolução 2.454 adota um sistema de classificação por níveis de risco que se alinha ao modelo europeu (EU AI Act) e ao PL 2.338/2023 em tramitação no Congresso brasileiro:

Para a radiologia, a maioria dos sistemas de IA diagnóstica será classificada como risco alto. Isso significa requisitos adicionais de documentação, validação, monitoramento contínuo e auditoria — exatamente os requisitos que já existem no EU AI Act para dispositivos médicos.

4. Transparência e Consentimento (Art. 10-12 + Anexo III)

O paciente tem direito de saber que IA está sendo utilizada em seu atendimento. O Art. 10 exige que a instituição informe o paciente de forma clara e em linguagem não-técnica sobre:

• Que um sistema de IA está sendo utilizado
• Qual é a finalidade do sistema
• Que a decisão final é sempre do médico
• Quais dados são processados pela IA
• Que o paciente pode solicitar atendimento sem IA

O Anexo III detalha os requisitos de transparência: a comunicação deve ser em linguagem clara e não-técnica, acessível ao público leigo. Termos como “rede neural convolucional” ou “modelo de difusão” não bastam — o paciente precisa entender o que está acontecendo de fato.

5. Proteção de Dados e LGPD (Art. 13-15)

A resolução reforça a obrigatoriedade de conformidade com a Lei Geral de Proteção de Dados (LGPD) para todo dado utilizado por sistemas de IA na saúde. Os artigos 13 a 15 são específicos:

• Dados utilizados para treinamento de IA devem ter base legal válida sob a LGPD
• Anonimização ou pseudonimização é obrigatória quando tecnicamente viável
• O paciente deve ter acesso a informações sobre como seus dados são processados
• Transferência internacional de dados segue as regras da ANPD

Para serviços de telerradiologia que utilizam IA em nuvem, isso é especialmente relevante. A resolução efetivamente exige que toda a cadeia de processamento — do PACS ao motor de IA — esteja mapeada e em conformidade com a LGPD.

6. Governança Institucional: Comissão de IA (Art. 16-18)

Uma das exigências mais impactantes da resolução: toda instituição que utilize IA em saúde deve criar uma “Comissão de IA e Telemedicina”, sob coordenação médica. Essa comissão é responsável por:

• Avaliar e aprovar sistemas de IA antes da implantação
• Monitorar desempenho, vieses e eventos adversos
• Realizar auditorias periódicas de viés com análise estratificada por população
• Reportar incidentes ao CRM estadual
• Garantir educação continuada dos médicos sobre IA

O monitoramento contínuo de viés é especialmente relevante para radiologia. A resolução exige análise estratificada por população — ou seja, o sistema não pode ter desempenho pior para determinados grupos demográficos sem que isso seja detectado e corrigido. Este é um requisito que já estava no nosso radar: publicamos em janeiro uma análise sobre viés em modelos vision-language para radiologia.

7. Registro, Rastreabilidade e Auditoria (Art. 19-20)

Os artigos 19 e 20 exigem que todo uso de IA na assistência médica seja registrado e rastreável. Isso inclui:

• Registro em prontuário de que IA foi utilizada
• Documentação das sugestões da IA e da decisão médica final
• Logs de auditoria imutáveis e acessíveis
• Rastreabilidade temporal de cada interação com o sistema

Para laudos radiológicos, isso significa que cada laudo precisa ter um rastro claro: o que a IA sugeriu, o que o médico decidiu, quando decidiu, e por quê. Sistemas que não oferecem essa rastreabilidade estarão automaticamente fora de conformidade.

8. Contexto Global: Brasil Se Alinha à Regulação Internacional

A Resolução 2.454 não existe no vácuo. Ela se alinha a um movimento global de regulamentação da IA médica:

O Brasil se posiciona ao lado da Europa ao exigir classificação de risco e supervisão humana, enquanto adota uma abordagem mais pragmática que o FDA americano ao integrar diretamente os requisitos de LGPD e responsabilidade ética do profissional na mesma resolução.

9. O Que Muda na Prática: Checklist Para Radiologia

Aqui está o que cada serviço de radiologia precisa fazer nos próximos 180 dias para estar em conformidade:

10. O Duplo Vínculo do Radiologista: Não Usar IA É Risco. Usar Sem Rastreabilidade Também É.

A Resolução 2.454 consolida algo que a literatura já sinalizava: o padrão de cuidado em radiologia está mudando. O radiologista de 2026 enfrenta um duplo vínculo:

A saída desse duplo vínculo é uma só: usar IA com rastreabilidade total, documentação automática e supervisão humana estruturada. Exatamente o que um software de laudo bem projetado oferece nativamente.

11. Como a LAUDOS.Ai Já Atende à Resolução 2.454

Construímos a LAUDOS.Ai desde o início com o princípio de que IA médica sem rastreabilidade não é IA médica — é risco. Cada funcionalidade foi desenhada pensando em compliance regulatório:

Referências

1. Conselho Federal de Medicina. Resolução CFM n.º 2.454, de 27 de fevereiro de 2026. Regulamenta o uso de inteligência artificial na prática médica.
2. Bernstein MH, et al. AI-Detected Abnormalities and Radiologist Liability: A Mock Jury Study. NEJM AI, 2025. DOI: 10.1056/AIoa2400785.
3. Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho (EU AI Act). Jornal Oficial da União Europeia, 2024.
4. Brasil. Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).
5. Brasil. Projeto de Lei n.º 2.338/2023 — Marco Legal da Inteligência Artificial.