Introdução
Poucos setores combinam tanto potencial e tanto risco quanto saúde.
IA pode apoiar triagem, gestão, pesquisa, educação médica, análise de imagens, organização de prontuários, apoio à decisão clínica, previsão de demanda, regulação de filas e melhoria de serviços. Ao mesmo tempo, saúde envolve dados sensíveis, sigilo profissional, responsabilidade técnica, fornecedores especializados, interoperabilidade, incidentes de segurança e impactos diretos sobre pacientes.
Em fevereiro de 2026, o Conselho Federal de Medicina publicou a Resolução CFM nº 2.454/2026, que normatiza o uso da inteligência artificial na medicina. A norma trata de pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e uso responsável de soluções de IA, com foco em segurança, transparência, ética, direitos dos pacientes e responsabilidade profissional.
Também em 2026, a ANPD manteve inteligência artificial, tratamento de alto risco e dados sensíveis de saúde em sua agenda regulatória. Em junho, informou participação na atualização de padrões ibero-americanos de proteção de dados, incorporando IA, neurodados e proteção de crianças e adolescentes. Em fevereiro, a Polícia Federal deflagrou operação envolvendo comercialização indevida de dados sensíveis de pacientes do SUS, em investigação ligada a ferramenta baseada em IA.
O recado para advogados é direto: IA em saúde não pode ser tratada como ferramenta genérica.
A tecnologia pode ser parte da solução. Mas só quando vem acompanhada de governança, contrato, segurança, validação, revisão profissional e rastreabilidade.
Por que saúde é uma área de alto cuidado jurídico
Dados de saúde são dados pessoais sensíveis pela LGPD. Isso significa que o tratamento exige cuidado reforçado quanto a finalidade, base legal, necessidade, segurança, transparência, compartilhamento, retenção e direitos dos titulares.
Além disso, a saúde envolve relação profissional regulada, prontuário, responsabilidade civil, sigilo médico, decisões clínicas, consentimento, fornecedores de tecnologia, sistemas integrados e, muitas vezes, dados de crianças, idosos ou pessoas em situação de vulnerabilidade.
Quando IA entra nesse ambiente, algumas perguntas ficam inevitáveis:
- qual é a finalidade da ferramenta?
- ela apoia decisão ou substitui etapa crítica?
- quem validou cientificamente?
- há certificação ou regularidade aplicável?
- quais dados são tratados?
- existe contrato com o fornecedor?
- onde os dados são armazenados?
- há transferência internacional?
- quem acessa o sistema?
- como o paciente é informado?
- a decisão final é supervisionada por profissional habilitado?
- há registro para auditoria?
Essas perguntas não são burocracia. Elas estruturam a segurança jurídica.
O que a Resolução CFM nº 2.454/2026 sinaliza
Fato confirmado: a Resolução CFM nº 2.454/2026 estabelece normas para pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e uso responsável de soluções de IA na medicina.
A notícia do CFM destaca que a IA pode ser usada como apoio à decisão clínica, gestão em saúde, pesquisa científica e educação médica continuada, desde que respeitados limites éticos e legais. Também destaca que a palavra final sobre decisões diagnósticas, terapêuticas e prognósticas será do médico.
Interpretação editorial: a norma não fecha a porta para IA. Ao contrário, reconhece o uso possível da tecnologia. Mas coloca a IA dentro de um fluxo profissional supervisionado.
Essa é a leitura correta para a JuristIA e para a categoria de IA responsável: usar IA sem método é arriscado; usar IA com governança, validação, revisão e rastreabilidade pode melhorar o trabalho.
Contratos com fornecedores de IA em saúde
Um dos pontos mais importantes para advogados é o contrato com fornecedores.
Hospitais, clínicas, operadoras, healthtechs e profissionais não devem avaliar apenas preço e funcionalidade. O contrato precisa tratar de:
- escopo da solução;
- finalidade do tratamento de dados;
- responsabilidades das partes;
- proteção de dados pessoais e sensíveis;
- segurança da informação;
- retenção e exclusão de dados;
- logs e trilhas de auditoria;
- suboperadores;
- transferência internacional;
- propriedade intelectual;
- explicabilidade e documentação técnica;
- suporte, atualização e monitoramento;
- resposta a incidentes;
- limitação de uso dos dados para treinamento;
- deveres de confidencialidade;
- encerramento contratual e portabilidade.
Sem esses pontos, o risco jurídico fica escondido atrás da promessa tecnológica.
IA na saúde não é só LGPD
LGPD é central, mas não esgota o tema.
Também entram:
- ética profissional;
- normas do CFM;
- regulação sanitária quando aplicável;
- Código de Defesa do Consumidor em serviços de saúde;
- responsabilidade civil;
- contratos de prestação de serviços;
- normas de segurança da informação;
- regras de prontuário;
- auditoria e governança clínica;
- obrigações com operadoras e setor público.
O erro comum é tratar IA em saúde apenas como "problema de dados". Dados são parte do problema. A outra parte é responsabilidade profissional e segurança do paciente.
Incidentes envolvendo dados de saúde: o que aprender
A Operação Glycon, deflagrada pela Polícia Federal em fevereiro de 2026, investigou acesso, tratamento e comercialização indevida de dados sensíveis de pacientes do SUS. A notícia da PF informa que a investigação teve início após notificação do Ministério da Saúde/DATASUS sobre incidente envolvendo ferramenta comercializada a profissionais de saúde e baseada em IA.
Esse caso deve ser lido com cuidado. Ele não demonstra que IA em saúde é ruim. Demonstra que dados sensíveis, fornecedores e segurança precisam de controle robusto.
Para advogados, o aprendizado é prático:
- avaliar fornecedor antes da contratação;
- limitar acesso a dados;
- registrar finalidade;
- exigir logs;
- prever auditoria;
- estabelecer resposta a incidentes;
- documentar papéis de controlador e operador;
- revisar treinamento de modelos;
- mapear bases utilizadas;
- manter evidências de governança.
Em saúde, ausência de documentação pode ser tão grave quanto falha técnica.
Como IA jurídica responsável pode apoiar o jurídico da saúde
IA jurídica responsável pode ajudar escritórios e departamentos jurídicos que atuam em saúde.
Ela pode apoiar:
- triagem de contratos de fornecedores;
- identificação de cláusulas sobre dados sensíveis;
- organização de matrizes de risco;
- comparação entre políticas de privacidade;
- checklist de conformidade com LGPD e normas setoriais;
- resumo de pareceres e documentos técnicos;
- organização de evidências em incidentes;
- elaboração de perguntas para áreas de tecnologia, compliance e assistência;
- controle de versões de documentos;
- preparação de relatórios para diretoria.
O ponto central é que a ferramenta deve ajudar o profissional a revisar melhor, não a delegar decisão sensível.
Cautelas: o que não afirmar
Não afirmar que IA pode substituir médico, diagnóstico, tratamento ou decisão clínica. A Resolução CFM reforça a responsabilidade profissional e a palavra final do médico nas decisões clínicas.
Não afirmar que toda ferramenta de IA em saúde é irregular. O uso pode ser legítimo quando há finalidade adequada, governança, segurança, validação, transparência e supervisão.
Não afirmar que consentimento resolve todos os tratamentos de dados de saúde. A base legal depende do contexto e precisa ser analisada.
Não afirmar que contrato padrão basta para fornecedores de IA em saúde. O risco exige cláusulas específicas e revisão técnica.
Não transformar o artigo em medo contra IA. A mensagem correta é: saúde digital precisa de IA responsável, com método, validação, revisão e rastreabilidade.
Checklist prático para o jurídico revisar IA em saúde
Antes de aprovar ou revisar uma solução de IA em saúde, cheque:
- Finalidade da ferramenta.
- Dados tratados.
- Dados sensíveis envolvidos.
- Papel das partes na LGPD.
- Base legal ou hipótese aplicável.
- Validação técnica/científica.
- Regularidade regulatória.
- Supervisão profissional.
- Registro de decisões.
- Logs e auditoria.
- Segurança da informação.
- Suboperadores.
- Transferência internacional.
- Uso de dados para treinamento.
- Resposta a incidentes.
- Revisão contratual periódica.
Impacto prático para advogados e departamentos jurídicos
Para escritórios, o tema abre demanda em contratos, LGPD, saúde suplementar, responsabilidade civil, defesa médica, healthtechs, fornecedores de software, pesquisa clínica, incidentes e due diligence.
Para departamentos jurídicos de hospitais, clínicas e operadoras, a prioridade é criar fluxo de aprovação de ferramentas. Nem toda área pode contratar solução de IA de forma isolada sem revisão jurídica, segurança e proteção de dados.
Para healthtechs, o desafio é documentar produto, finalidade, segurança, governança e limites de uso de modo claro para clientes e reguladores.
Em todos os casos, a pergunta decisiva é: se houver questionamento, conseguimos explicar o que a ferramenta faz, quais dados usa, quem revisa e qual documentação comprova o controle?
Como JuristIA se conecta com esse tema
JuristIA pode apoiar esse tipo de trabalho como infraestrutura de organização jurídica.
Em saúde, documentos são muitos: contratos, políticas, termos, pareceres, relatórios técnicos, prontuários, notificações, logs, atas, matrizes de risco e evidências de incidentes. O jurídico precisa trabalhar com versões, fontes e revisão humana.
A JuristIA pode ajudar a manter esse trabalho mais organizado, rastreável e produtivo, sem substituir profissionais de saúde, advogados ou responsáveis técnicos.
Perguntas frequentes
IA pode ser usada na medicina?
Sim, desde que respeitados limites éticos, legais, técnicos e profissionais. A Resolução CFM nº 2.454/2026 disciplina o uso responsável de IA na medicina.
Dados de saúde exigem cuidado especial?
Sim. Dados de saúde são dados pessoais sensíveis pela LGPD e exigem proteção reforçada, finalidade clara, segurança e governança.
O médico pode delegar decisão clínica à IA?
Não se deve tratar IA como substituta da decisão médica. A notícia do CFM destaca que a palavra final sobre decisões diagnósticas, terapêuticas e prognósticas será do médico.
O que advogados devem revisar em fornecedores de IA em saúde?
Contratos, finalidade, dados tratados, segurança, logs, suboperadores, transferência internacional, uso para treinamento, resposta a incidentes e responsabilidades.
Como JuristIA ajuda nesse contexto?
JuristIA pode apoiar organização de contratos, documentos, matrizes de risco, fontes e revisão humana, dando mais rastreabilidade ao trabalho jurídico.
Fontes consultadas
- Conselho Federal de Medicina. Resolução CFM nº 2.454/2026. Publicada em 27/02/2026. https://sistemas.cfm.org.br/normas/arquivos/resolucoes/BR/2026/2454_2026.pdf
- CFM. "CFM normatiza uso da IA na medicina". Publicado em 27/02/2026. https://portal.cfm.org.br/noticias/cfm-normatiza-uso-da-ia-na-medicina/
- ANPD. "ANPD participa de encontro na Colômbia para atualização de padrões ibero-americanos de proteção de dados". Publicado em 02/06/2026. https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-participa-de-encontro-na-colombia-para-atualizacao-de-padroes-ibero-americanos-de-protecao-de-dados
- ANPD. "ANPD publica Agenda Regulatória 2025-2026". Publicado em 11/12/2024. https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-agenda-regulatoria-2025-2026
- Ministério da Saúde. "Chamamento Público nº 01/2026 — Secretaria de Informação e Saúde Digital". Atualizado em 29/04/2026. https://www.gov.br/saude/pt-br/acesso-a-informacao/participacao-social/chamamentos-publicos/2026/chamamento-publico-no-01-2026-seidigi
- Polícia Federal. "PF deflagra Operação Glycon contra comercialização ilegal de dados sensíveis de pacientes do SUS". Publicado em 04/02/2026. https://www.gov.br/pf/pt-br/assuntos/noticias/2026/02/pf-deflagra-operacao-glycon-contra-comercializacao-ilegal-de-dados-sensiveis-de-pacientes-do-sus
- ANPD. "Brasil e União Europeia reconhecem adequação mútua em matéria de proteção de dados pessoais". Publicado em 23/01/2026. https://www.gov.br/anpd/pt-br/assuntos/noticias/brasil-e-uniao-europeia-reconhecem-adequacao-mutua-em-protecao-de-dados-pessoais