Impactos Regulatórios da Resolução CFM nº 2.454/2026 e da RDC ANVISA nº 657/2022 sobre o Ecossistema de Tecnologia em Saúde
- Augusto Geller
- 8 de jun.
- 8 min de leitura
Atualizado: 24 de jun.

A transformação digital da saúde brasileira evoluiu. Após anos de investimentos em infraestrutura de TI, implementação de prontuários eletrônicos e busca por interoperabilidade entre sistemas de gestão hospitalar, as healthtechs e os estabelecimentos de saúde enfrentam um desafio mais sofisticado com a incorporação da Inteligência Artificial nos processos clínicos, administrativos e de apoio à tomada de decisão.
O cenário atual não se resume mais à digitalização de processos anteriormente analógicos, mas à construção de mecanismos de governança capazes de garantir o uso seguro, ético e legalmente adequado de sistemas automatizados em um ambiente altamente regulado. O marco normativo que delimita essa nova etapa é composto, principalmente, pela Resolução CFM nº 2.454/2026, que estabelece critérios éticos para a utilização da IA na prática médica, e pela Resolução da Diretoria Colegiada (RDC) ANVISA nº 657, de 2022, que regulamenta os softwares classificados como dispositivos médicos.
Paralelamente, o Congresso Nacional também avança na discussão de um marco regulatório geral para a IA no Brasil. O debate legislativo busca estabelecer diretrizes transversais de governança, responsabilidade civil, transparência e gestão de riscos aplicáveis a diferentes setores econômicos, incluindo a saúde. Ainda em construção, esse movimento indica uma tendência de consolidação de um ambiente regulatório mais integrado, capaz de dialogar com normas setoriais já existentes e influenciar diretamente o desenvolvimento e a adoção de soluções baseadas em IA.
Para compreender o alcance operacional e comercial dessas normas, os dados da Pesquisa sobre o Uso das Tecnologias de Informação e Comunicação nos Estabelecimentos de Saúde Brasileiros (TIC Saúde 2025), conduzida pelo CETIC.br, demonstram que a infraestrutura tecnológica necessária para a adoção de soluções inteligentes já se encontra disseminada no setor. A convergência desses elementos evidencia uma mudança significativa de paradigma, em que o debate passa a se concentrar na responsabilidade regulatória, na governança de dados e na supervisão dos sistemas baseados em algoritmos.
A Infraestrutura Digital consolidada pela TIC Saúde 2025
A pesquisa TIC Saúde 2025 revela que o ambiente assistencial brasileiro vem consolidando-se como um ecossistema amplamente informatizado. Os indicadores de conectividade e digitalização apontam que a maioria dos estabelecimentos de saúde dispõe de sistemas informatizados de gestão e acesso à internet, criando condições favoráveis para a utilização de computação em nuvem, interoperabilidade e processamento de dados em tempo real.
No que se refere especificamente à IA, o levantamento do CETIC.br apresenta indicadores relevantes para o planejamento estratégico das empresas de tecnologia. Segundo a pesquisa, 18% dos estabelecimentos de saúde já utilizam alguma ferramenta de IA em suas rotinas clínicas ou administrativas. Entre hospitais com mais de 50 leitos de internação, esse percentual alcança 31%. E estes números não param de crescer.
Entre as instituições que adotam a tecnologia, a IA generativa e os modelos de linguagem (LLMs) figuram entre as aplicações mais utilizadas (76%), especialmente para automação de registros clínicos, sumarização de informações médicas e otimização de fluxos assistenciais. Esses dados demonstram que existe um mercado receptivo à adoção de soluções inteligentes. Ao mesmo tempo, evidenciam que a responsabilidade técnica e regulatória das fornecedoras de software tornou-se um fator cada vez mais relevante para a sustentabilidade dessas iniciativas.
Quando o software se torna um Dispositivo Médico
Diante desse cenário de maturidade digital, um dos principais temas que as equipes de produto, desenvolvimento e compliance precisam compreender é a RDC ANVISA nº 657, de 2022. A norma disciplina os chamados Software as a Medical Device (SaMD), ou softwares que possuem finalidade médica própria e desempenham funções diagnósticas, preventivas, terapêuticas ou de monitoramento sem depender necessariamente de um equipamento médico físico.
Quando uma plataforma, aplicativo ou solução baseada em IA passa a executar funções destinadas a diagnosticar, prevenir, monitorar, tratar ou auxiliar na condução clínica de pacientes, ela pode deixar de ser apenas um Sistema de Registro Eletrônico em Saúde (SRES) e enquadrar-se como dispositivo médico sujeito à regulamentação sanitária.
Esse cenário foi recentemente confirmado pela própria ANVISA por manifestação oficial em resposta ao questionamento sobre o enquadramento de prontuários eletrônicos dotados de inteligência artificial. A agência reguladora esclareceu que os softwares destinados unicamente a organizar, armazenar ou apresentar informações clínicas permanecem fora do escopo de regulação dos dispositivos médicos. No entanto, o órgão foi categórico ao afirmar que os sistemas que realizam análise de dados, emitem alertas ou recomendam condutas de forma a interferir ou induzir (ainda que de forma auxiliar) no processo diagnóstico ou terapêutico atraem a necessidade de enquadramento como SaMD (Software as a Medical Device).
A regulamentação alcança ainda, entre outras tecnologias:
Sistemas de apoio ao diagnóstico por imagem;
Algoritmos para interpretação de exames laboratoriais e eletrocardiográficos;
Plataformas inteligentes de monitoramento clínico contínuo em ambiente hospitalar ou domiciliar;
Ferramentas preditivas de apoio à decisão terapêutica;
Sistemas de classificação de risco e triagem automatizada de pacientes.
A RDC nº 657, de 2022, estabelece que softwares enquadrados como dispositivos médicos devem passar pelo processo de regularização sanitária aplicável à sua respectiva classificação de risco. Dependendo das características do produto, essa regularização poderá ocorrer por meio de notificação ou registro junto à ANVISA.
A disponibilização de soluções sujeitas à regulamentação sanitária sem a devida regularização pode ensejar a aplicação das medidas administrativas previstas na legislação sanitária, incluindo recolhimento de produtos, interdição, cancelamento da regularização e imposição de multas, sem prejuízo da eventual responsabilização civil decorrente de defeitos no produto ou no serviço.
O conceito de Suporte à Decisão e a Medicina Baseada em Evidências
Enquanto a ANVISA concentra sua atuação na segurança e na regularização dos produtos de saúde, a Resolução CFM nº 2.454/2026, dirige-se à utilização dessas tecnologias no exercício profissional da medicina.
Embora se trate de uma norma voltada à ética médica, seus reflexos alcançam diretamente a arquitetura dos sistemas desenvolvidos pelas empresas de tecnologia em saúde.
A regulamentação reforça o princípio internacional conhecido como human-in-the-loop, segundo o qual a Inteligência Artificial deve atuar como ferramenta de apoio à atividade médica, sem substituir a avaliação profissional humana. Nesse modelo, a responsabilidade ética e profissional pelas decisões clínicas permanece atribuída ao médico regularmente inscrito no CRM.
Para as equipes de desenvolvimento, isso implica mudanças relevantes na concepção dos produtos. Sistemas que forneçam recomendações clínicas sem mecanismos mínimos de explicabilidade, rastreabilidade ou auditabilidade tendem a enfrentar maiores desafios regulatórios, éticos e de adoção pelo mercado.
Nesse contexto, ganha relevância a adoção de soluções alinhadas aos princípios da Medicina Baseada em Evidências. As recomendações produzidas por sistemas inteligentes devem, em regra, estar associadas a referências clínicas confiáveis, protocolos reconhecidos e literatura científica atualizada, permitindo que o profissional de saúde exerça seu julgamento clínico de forma consciente e fundamentada.
A IA, portanto, deve ser concebida como um instrumento de apoio tecnicamente qualificado, e não como um substituto da decisão médica.
O Prontuário Eletrônico como Ativo Estratégico e Infraestrutura da IA
Os resultados da TIC Saúde 2025 também evidenciam uma transformação relevante na função estratégica do Prontuário Eletrônico do Paciente. Tradicionalmente concebido como um repositório digital de informações clínicas, o prontuário passou a desempenhar papel central na alimentação e sustentação de sistemas baseados em IA.
Modelos de aprendizado de máquina e outras tecnologias analíticas dependem de dados consistentes, estruturados, padronizados e interoperáveis para produzir resultados confiáveis.
Essa realidade amplia os riscos que devem ser gerenciados pelas empresas desenvolvedoras de software. A preocupação, para além da LGPD, passa a abranger também a governança da qualidade dos dados. Nesse aspecto, a adoção contínua de processos de curadoria clínica das informações utilizadas no treinamento, na validação e no monitoramento dos modelos, conduzidos por profissionais qualificados, pode fazer toda a diferença.
Não obstante, é sempre importante atentar para o fato de que possíveis falhas de integração, a ausência de padronização terminológica, problemas de interoperabilidade semântica ou inconsistências em metadados podem comprometer a qualidade das inferências produzidas pelos sistemas inteligentes, resultando em recomendações inadequadas, enviesadas ou estatisticamente pouco confiáveis. Logo, a qualidade da infraestrutura informacional constitui elemento essencial para a segurança, a eficácia e a confiabilidade dos sistemas de IA utilizados na assistência à saúde.
O fenômeno do Shadow AI
Entre os desafios emergentes da saúde digital destaca-se o fenômeno conhecido como Shadow AI. A expressão refere-se à utilização não supervisionada de ferramentas de Inteligência Artificial por profissionais de saúde sem a validação, contratação ou governança formal da instituição em que atuam.
Na prática, médicos, enfermeiros e outros profissionais podem recorrer a plataformas públicas de IA generativa para resumir históricos clínicos, elaborar relatórios, redigir documentos ou interpretar informações médicas, sem que existam mecanismos institucionais adequados de controle e auditoria.
Essa utilização informal pode gerar riscos relevantes, tais como:
Compartilhamento indevido de dados pessoais sensíveis;
Violação do sigilo profissional e do segredo médico;
Ausência de registros auditáveis das interações realizadas;
Utilização de conteúdos produzidos por sistemas que não foram validados para finalidades clínicas específicas.
A Resolução CFM nº 2.454, de 2026, contribui para enfrentar esse cenário ao reforçar a necessidade de supervisão profissional, transparência e utilização responsável das ferramentas de IA no contexto assistencial.
Para as empresas de tecnologia, esse movimento abre espaço para o desenvolvimento de soluções corporativas capazes de oferecer controles de segurança, anonimização de dados, rastreabilidade e conformidade regulatória adequados às exigências do setor.
O paradoxo da Infraestrutura Madura e da Governança em Construção
A análise integrada da TIC Saúde 2025, da RDC ANVISA nº 657, de 2022, e da Resolução CFM nº 2.454, de 2026, revela um paradoxo relevante para o setor de saúde brasileiro.
O país dispõe, em grande medida, da infraestrutura tecnológica necessária para sustentar a expansão da Inteligência Artificial em larga escala. Os estabelecimentos encontram-se conectados, os dados estão progressivamente digitalizados e as soluções baseadas em IA já se encontram disponíveis no mercado.
Entretanto, a maturidade institucional necessária para governar adequadamente os riscos associados a essas tecnologias ainda se encontra em processo de consolidação.
Esse cenário demonstra que o principal desafio das healthtechs não está apenas na capacidade de desenvolver soluções tecnologicamente sofisticadas, mas na capacidade de fazê-lo de forma auditável, transparente, segura e compatível com o ordenamento jurídico vigente.
A conformidade regulatória passa a integrar o núcleo estratégico dos modelos de negócio. Hospitais, operadoras de saúde e gestores clínicos tendem a valorizar cada vez mais soluções capazes de reduzir riscos jurídicos, operacionais e reputacionais.
Conclusão
A regulamentação sanitária estabelecida pela RDC ANVISA nº 657, de 2022, assim como os parâmetros éticos definidos pela Resolução CFM nº 2.454, de 2026, não devem ser interpretados como obstáculos à inovação tecnológica, mas como elementos estruturantes de um mercado cada vez mais sofisticado e regulado.
A infraestrutura digital da saúde brasileira alcançou um nível de maturidade que permite a expansão consistente das aplicações de IA. O desafio agora consiste em assegurar que essa evolução ocorra dentro de padrões adequados de segurança, governança e responsabilidade.
Para as healthtechs, o sucesso sustentável dependerá da incorporação dos princípios de compliance by design desde as etapas iniciais de concepção dos produtos. Sistemas explicáveis, auditáveis, baseados em evidências científicas e alinhados às exigências regulatórias tendem a reunir melhores condições para conquistar a confiança de instituições, profissionais e pacientes. Da mesma forma, soluções concebidas com participação ativa de profissionais da saúde na curadoria dos dados, na validação clínica dos modelos e na governança contínua dos algoritmos tendem a apresentar maior robustez técnica, aderência assistencial e segurança regulatória.
A governança da Inteligência Artificial tornou-se obrigatória em um setor em que a confiança é um ativo essencial, a capacidade de demonstrar segurança institucional, conformidade e responsabilidade tecnológica poderá representar uma das principais vantagens estratégicas das organizações que atuam na saúde digital.
Referências
Para saber mais sobre os dispositivos mencionados, acesse a legislação e os materiais institucionais na íntegra:
Resolução CFM nº 2.454, de 2026 – Dispõe sobre princípios éticos e diretrizes para o uso de Inteligência Artificial na prática médica.
Resolução da Diretoria Colegiada (RDC) ANVISA nº 657, de 2022 – Regulamenta softwares classificados como dispositivos médicos (Software as a Medical Device – SaMD).
Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).
Pesquisa TIC Saúde 2025 – Pesquisa sobre o Uso das Tecnologias de Informação e Comunicação nos Estabelecimentos de Saúde Brasileiros, CETIC.br / NIC.br.
Sobre o autor: Augusto Geller (OAB/RS 141.235) é Advogado com formação multidisciplinar, é graduado em Direito e Administração, possui especialização em Direito Digital, Cybersecurity e Inteligência Artificial pela FMP, MBA Executivo em Direito – Gestão e Business Law pela FGV, além de MBAs em áreas de gestão. É certificado como DPO pela Assespro-RS, com foco em governança, privacidade e conformidade regulatória. Sua atuação integra análise jurídica e visão organizacional, com ênfase na prevenção de riscos, estruturação de rotinas e apoio à tomada de decisões.
Nota de Conformidade Ética e Temporal: Este conteúdo possui caráter meramente informativo e pedagógico, redigido com base na legislação e jurisprudência vigentes em 24 de junho de 2026. O leitor deve estar ciente de que o ordenamento jurídico é dinâmico; portanto, este artigo não considera alterações legislativas, revogações ou novos entendimentos de tribunais superiores ocorridos após esta data. A aplicação prática destes institutos exige análise casuística por advogado devidamente inscrito nos quadros da OAB.