Resolução CFM 2454/2026 na prática: o que muda pra clínica pequena

O Conselho Federal de Medicina publicou em fevereiro de 2026 a primeira norma brasileira dedicada exclusivamente ao uso de inteligência artificial na medicina. A Resolução CFM 2.454/2026 entra em vigor em 26 de agosto de 2026 — 180 dias depois da publicação no Diário Oficial.

Para a maioria dos donos de clínica pequena, a notícia chegou assim: um colega comentou no grupo do WhatsApp, ou um fornecedor de software mandou um e-mail vago sobre “adequação regulatória”. O texto da resolução tem 20 artigos, dois anexos e linguagem de norma técnica. Resultado: quase ninguém leu. Quase ninguém sabe o que precisa fazer de verdade.

Este post traduz o que a resolução exige na prática para clínicas de 1 a 5 médicos. Sem juridiquês, com o que realmente importa.

O que a Resolução CFM 2454/2026 regula — em uma frase

A CFM 2454/2026 regula o uso responsável de inteligência artificial na medicina: define o que o médico pode e não pode delegar para IA, o que a clínica precisa documentar, e como proteger o paciente quando sistemas automatizados entram no fluxo de cuidado.

Ela não proíbe o uso de IA. Ela exige que o uso seja conhecido, governado e supervisionado por médico responsável. Qualquer ferramenta de IA que toque dado de saúde ou influencie decisão clínica está no escopo — de chatbot de agendamento a sistema de auxílio diagnóstico por imagem.

Por que clínica pequena também está no escopo

Existe uma interpretação equivocada circulando: “isso é coisa de hospital grande”. Não é.

A resolução se aplica a qualquer médico que use IA na prática clínica e a qualquer instituição que adote sistemas de IA em saúde — independente do porte. A diferença é que as exigências são proporcionais ao nível de risco e ao tamanho da operação.

Para um hospital com sistema próprio de auxílio diagnóstico, a resolução exige Comissão de IA e Telemedicina com composição multidisciplinar, auditoria contínua, classificação formal de risco por sistema, e processos de homologação tecnológica. Para um consultório com 2 médicos usando um software de transcrição automática de consulta, as exigências são menores — mas existem e precisam ser documentadas.

A linha que define o mínimo para clínicas pequenas é clara: governança enxuta, mas não inexistente.

O que o médico precisa fazer — obrigações individuais

A resolução cria deveres diretos para o médico, não apenas para a instituição:

1. Responsabilidade final permanece com o médico. IA é ferramenta de apoio. O médico não pode delegar a decisão clínica — diagnóstico, terapêutica, prognóstico — para um sistema automatizado. Isso inclui não seguir recomendação de IA sem exercer julgamento próprio.

2. Registrar no prontuário o uso de IA. Quando um sistema de IA apoiar uma decisão clínica, o médico precisa registrar: qual sistema foi usado, para qual finalidade, em que etapa do cuidado, e qual decisão foi adotada. O padrão mínimo de anotação é simples, mas precisa existir.

3. Informar o paciente quando relevante. A CFM 2454/2026 garante ao paciente o direito de saber quando IA foi usada de forma relevante em seu cuidado. “De forma relevante” não significa informar sobre o software de agendamento — significa informar quando IA influenciou diagnóstico, triagem de risco, ou recomendação terapêutica.

4. Recusar sistemas sem validação adequada. O médico tem o direito — e o dever — de recusar o uso de sistemas de IA que não atendam padrões éticos, técnicos, legais e regulatórios. Isso é importante: a resolução não apenas autoriza o médico a questionar o software, ela faz disso uma obrigação.

O que a clínica precisa fazer — checklist de adequação mínima

Para clínicas de 1 a 5 médicos, o mínimo para estar em conformidade até 26 de agosto de 2026:

Antes de junho de 2026 — levantamento:

• Mapear todos os sistemas de IA em uso (inclua software de prontuário com funcionalidade de IA, transcrição, chatbot de agendamento, qualquer ferramenta que use “inteligência artificial” na descrição)
• Classificar cada sistema por nível de risco: baixo (administrativo, sem contato com dado clínico), médio (processamento de dado de saúde sem apoio diagnóstico), alto (auxílio diagnóstico, triagem clínica)
• Verificar contratos com fornecedores: o fornecedor documenta como protege os dados? Há cláusula de auditabilidade?

Antes de agosto de 2026 — governança mínima:

• Designar um responsável pela governança de IA na clínica (pode ser o próprio médico ou um profissional da equipe treinado)
• Criar política escrita de uso de IA — uma página é suficiente, mas precisa existir: quais sistemas são autorizados, quem pode usar, o que nunca pode ser delegado à IA
• Estabelecer protocolo de registro em prontuário para uso de IA em decisão clínica
• Treinar a equipe nos sistemas aprovados e nos limites do que a IA pode fazer

Contínuo após agosto de 2026:

• Monitorar desempenho dos sistemas em uso
• Revisar a lista de ferramentas quando adotar novos sistemas
• Manter canais de informação ao paciente quando IA apoiar o cuidado

Onde a maioria das clínicas pequenas vai errar

Com base nas obrigações da resolução e no que vemos na prática, há três armadilhas recorrentes:

Armadilha 1: Achar que software médico certificado já resolve tudo. Não resolve. A certificação do sistema é responsabilidade do fornecedor. A governança do uso — quem acessa, o que registra, como informa o paciente — é responsabilidade da clínica. São coisas diferentes.

Armadilha 2: Usar IA informalmente sem documentação. Transcrição automática de consulta é IA. Resumo de prontuário gerado por software é IA. Chatbot que responde dúvida de paciente é IA. Se esses sistemas estão em uso e não estão no inventário da clínica, a clínica já está em não conformidade antes mesmo de a resolução entrar em vigor.

Armadilha 3: Contratar fornecedor sem verificar proteção de dado. A CFM 2454/2026 se apoia na LGPD para proteção de dado sensível. Um sistema de IA que envia dado clínico para servidor fora do país — sem contrato de processamento adequado, sem cláusula LGPD — cria exposição dupla: violação da resolução do CFM e violação da lei de proteção de dados. A multa da ANPD para dado sensível pode chegar a 2% do faturamento com teto de R$50 milhões.

Como a Inteligência Avançada ajuda nesse caso

A Inteligência Avançada estrutura ambientes de TI para clínicas médicas que precisam usar IA com segurança e conformidade. Na prática, isso significa:

• Diagnóstico de compliance: auditamos os sistemas de IA em uso na clínica, mapeamos riscos conforme a CFM 2454/2026 e a LGPD, e entregamos um relatório de adequação com prioridades
• Infra AI-ready para saúde: montamos a infraestrutura para rodar ferramentas de IA dentro da própria clínica ou em ambiente controlado — dado do paciente não sai para servidor de terceiro sem contrato adequado
• Proteção e compliance de dados: configuramos controle de acesso, criptografia, audit trail e backup testado — o nível de segurança que dado sensível de saúde exige
• Governança documentada: ajudamos a criar a política de uso de IA, os registros de prontuário, e o fluxo de informação ao paciente — tudo que a resolução exige e que a maioria das clínicas ainda não tem

Se quiser entender o que sua clínica precisa fazer especificamente, fale com nossa equipe. Fazemos o diagnóstico sem compromisso.

Conclusão

A Resolução CFM 2454/2026 não é mais uma norma abstrata para ignorar. É regulamentação com prazo: 26 de agosto de 2026. Para clínica pequena, as exigências são proporcionais — mas existem, precisam ser documentadas, e o risco de não conformidade é real.

O ponto de partida é simples: mapear quais ferramentas de IA sua clínica já usa hoje. Provavelmente são mais do que você pensa. A partir daí, a adequação é um processo de 3 a 4 meses — viável se começar agora, complicado se deixar para julho.

Perguntas frequentes sobre a Resolução CFM 2454/2026