A norma deontológica do CFM exige conformidade com a proteção de dados pessoais no treinamento de modelos de IA em saúde. Mas a LGPD não tem base legal clara para esse uso. O que healthtechs e desenvolvedores precisam fazer antes de agosto de 2026.
1. O problema em uma frase
A maioria das healthtechs e desenvolvedores de IA em saúde que operam no Brasil utiliza dados de pacientes para treinar, validar ou aprimorar seus modelos. A Resolução CFM 2.454/2026 exige que esse uso esteja em conformidade com a proteção geral de dados pessoais. A LGPD, que é a lei de proteção de dados aplicável, não possui base legal explícita e suficientemente clara para essa finalidade quando se trata de dados sensíveis de saúde. Esse é o gap regulatório que o setor precisa endereçar agora.
Não se trata de uma lacuna abstrata. Trata-se de exposição regulatória concreta: uma organização que usa dados de pacientes para treinar IA sem base legal adequada está sujeita a sanções da ANPD, à responsabilização civil perante titulares e, agora, à responsabilização deontológica dos médicos que empregam seus sistemas.
2. O que a Resolução CFM 2.454/2026 determina
O art. 6º, §2º da resolução é direto: ‘o uso de dados pessoais para treinamento, validação ou aprimoramento de modelos, sistemas e aplicações de IA deve observar princípios éticos, científicos e proteção geral de dados pessoais’.
Dois elementos dessa redação merecem atenção técnica. Primeiro, a resolução usa a expressão ‘proteção geral de dados pessoais’ — e não ‘LGPD’. Essa escolha foi deliberada: sinaliza abertura para regulamentações setoriais específicas que possam surgir, sem vincular o texto normativo à literalidade de uma lei cuja adequação ao contexto de IA ainda está em construção.
Segundo, a norma cria um dever de conformidade que recai sobre o médico (que não pode utilizar sistemas que não atendam às normas de proteção de dados — art. 4º, IV) e, por extensão, sobre a instituição médica que contrata ou desenvolve esses sistemas (art. 14). O desenvolvedor da plataforma não é destinatário direto da norma deontológica — mas é o agente técnico que precisa garantir que o produto entregue ao cliente médico seja legalmente utilizável.
Em termos práticos: se o sistema de IA de uma healthtech foi treinado com dados de pacientes sem base legal adequada, o hospital que o utiliza estará em descumprimento da resolução. E o contrato entre eles definirá quem responde — ou se ambos respondem.
3. O que a LGPD diz sobre dados de saúde
A LGPD classifica dados referentes à saúde como dados pessoais sensíveis (art. 5º, II). Esse enquadramento tem consequência direta: o tratamento de dados sensíveis exige base legal qualificada, listada taxativamente no art. 11.
Para o contexto clínico e assistencial direto — diagnóstico, tratamento, gestão do cuidado do próprio paciente —, as bases legais são relativamente acessíveis: tutela da saúde (art. 11, II, f), interesse vital do titular (art. 11, II, e) e, para operações de saúde pública, a base do art. 11, II, g.
O problema surge quando o dado de saúde é utilizado para uma finalidade distinta do cuidado direto do paciente — especificamente, o treinamento de modelos de IA. Essa é uma nova finalidade, não abrangida automaticamente pelas bases legais do tratamento clínico original. A doutrina brasileira de proteção de dados ainda não chegou a um consenso sobre qual base legal sustenta esse uso.
As opções em análise são:
■ Consentimento específico (art. 11, I LGPD): base legal mais segura, mas operacionalmente complexa. Exige que o paciente tenha consentido, de forma inequívoca, ao uso de seus dados especificamente para treinamento de IA — não apenas para seu tratamento médico. Consentimentos genéricos de atendimento não atendem esse requisito.
■ Pesquisa científica (art. 11, II, c LGPD): possível para projetos estruturados como pesquisa, com aprovação por Comitê de Ética em Pesquisa (CEP/CONEP) e adoção de anonimização sempre que possível. Não se aplica ao desenvolvimento comercial contínuo de produtos de IA.
■ Legítimo interesse (art. 10 LGPD): a LGPD veda expressamente o uso de dados sensíveis com base apenas em legítimo interesse. Para dados de saúde, essa base não é aplicável.
■ Anonimização prévia: dados genuinamente anonimizados não são dados pessoais e saem do escopo da LGPD. Porém, a anonimização de dados médicos é tecnicamente desafiadora — a ANPD já sinalizou que critérios rigorosos devem ser aplicados para que o processo seja considerado irreversível.
4. O cenário hipotético: a healthtech que não mapeou suas bases legais
Uma healthtech desenvolve um sistema de IA para apoio diagnóstico em cardiologia. Desde 2023, utiliza dados de prontuários de pacientes de hospitais parceiros para treinar e refinar seu modelo. Os contratos com os hospitais preveem compartilhamento de dados ‘para fins de melhoria dos serviços’. Os pacientes assinaram termos de atendimento padrão — sem menção específica ao uso de seus dados para treinamento de IA.
Com a vigência da Resolução CFM 2.454/2026, os hospitais parceiros estarão em descumprimento da norma deontológica ao manter contratos que não garantam conformidade com a proteção de dados pessoais (art. 4º, IV e art. 14). Os médicos que utilizam o sistema responderão perante o CRM.
Para a healthtech, o cenário é de múltipla exposição: rescisão de contratos com hospitais que busquem adequação; ação da ANPD por tratamento de dados sensíveis sem base legal; responsabilidade civil perante titulares; e, dependendo da estrutura contratual, litígio com os próprios hospitais parceiros.
A questão não é se o dado foi tratado com segurança técnica. A questão é se havia autorização jurídica para aquela finalidade específica. Segurança da informação e legalidade do tratamento são requisitos independentes — e ambos precisam estar presentes.
5. O que o PL 2338/2023 acrescenta
O Marco Legal de IA brasileiro, em tramitação no Senado, endereça parcialmente esse gap ao prever, para sistemas de IA de alto risco — categoria em que se enquadram a maioria dos sistemas de apoio diagnóstico —, a exigência de Avaliação de Impacto sobre Proteção de Dados (AIPD). Essa avaliação se somaria ao regime da LGPD, não o substituindo.
O PL também prevê a possibilidade de bases legais específicas para pesquisa e inovação em saúde, mas a redação atual ainda é genérica e não resolve o problema do treinamento contínuo de modelos comerciais com dados de pacientes. Enquanto o marco não é aprovado, o regime aplicável é o da LGPD — com todas as suas limitações para esse caso de uso.
6. Matriz de risco por modelo de negócio
O grau de exposição regulatória varia conforme o modelo de negócio da healthtech. A tabela abaixo organiza os principais perfis:
Modelo de dados centralizados com prontuários de terceiros
Exposição máxima. Dados sensíveis de pacientes de múltiplos hospitais, tratados para finalidade (treinamento de IA) distinta do cuidado clínico original. Exige consentimento específico ou reestruturação completa para base de pesquisa com CEP.
Modelo federado com dados anonimizados
Exposição reduzida, desde que a anonimização seja tecnicamente robusta e auditável. Requer protocolo formal de anonimização, com documentação que demonstre irreversibilidade do processo.
Modelo com dados proprietários da própria instituição
Exposição intermediária. A base legal de tutela da saúde ou de pesquisa científica pode ser suficiente, desde que o uso esteja documentado e alinhado com a finalidade informada aos pacientes.
Modelo de aprendizado por reforço com dados sintéticos
Exposição mínima quanto à LGPD, se os dados sintéticos forem genuinamente desvinculados de titulares reais. Exige documentação do processo de geração e validação dos dados.
7. Recomendações práticas para healthtechs
■ Auditar a origem e a base legal de todos os dados utilizados no treinamento dos modelos. Para cada conjunto de dados, identificar: (i) qual base legal da LGPD foi utilizada; (ii) se a finalidade informada ao titular abrangia o treinamento de IA; (iii) se há documentação que comprove a conformidade.
■ Revisar contratos com hospitais e clínicas parceiras. Incluir cláusulas que descrevam com precisão as finalidades do tratamento de dados, as bases legais aplicáveis, as responsabilidades de cada parte e os direitos dos titulares. Cláusulas genéricas de ‘melhoria dos serviços’ não atendem ao padrão da LGPD para dados sensíveis.
■ Avaliar a viabilidade técnica da anonimização. Para modelos que podem operar com dados anonimizados, implementar protocolos formais de anonimização — com documentação auditável que demonstre a irreversibilidade do processo.
■ Estruturar projetos de pesquisa com aprovação ética para uso da base de pesquisa científica. Para casos em que o consentimento retroativo é inviável e a anonimização é tecnicamente impossível, a base de pesquisa científica (art. 11, II, c LGPD) pode ser uma alternativa — desde que o projeto seja aprovado por CEP/CONEP.
■ Documentar a Avaliação de Impacto Algorítmico (AIA) e o Relatório de Impacto à Proteção de Dados (RIPD). Ambos os instrumentos são exigidos para sistemas de IA de alto risco em saúde — o primeiro pela Resolução CFM (Anexo I, XIII), o segundo pela LGPD (art. 38). Não são substitutos: são complementares.
■ Preparar a documentação técnica exigida pela Resolução CFM para os sistemas fornecidos a clientes médicos. Hospitais e médicos que utilizam sistemas de IA precisarão demonstrar ao CRM que os sistemas que empregam atendem às exigências da norma. Healthtechs que anteciparem essa demanda estarão em posição competitiva superior.
8. A pergunta que cada healthtech precisa responder
Existe uma questão estratégica que estrutura toda a análise acima: qual é a base legal que sustenta o uso de dados de pacientes nos modelos que sua empresa opera?
Se a resposta for ‘consentimento’, é necessário verificar se esse consentimento foi obtido de forma específica para o treinamento de IA — e não apenas para o tratamento médico. Se a resposta for ‘anonimização’, é necessário demonstrar que o processo é tecnicamente robusto e auditável. Se a resposta for ‘não sabemos’, a prioridade imediata é mapear essa exposição antes de agosto de 2026.
A Resolução CFM 2.454/2026 não cria o problema — ela torna a sua ausência de solução indefensável.
Referências normativas
Resolução CFM n.º 2.454, de 11 de fevereiro de 2026. DOU 27/02/2026.
Lei n.º 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD). Arts. 5º, II; 7º; 11; 38.
PL 2338/2023 — Marco Legal de Inteligência Artificial (em tramitação no Senado Federal).
ANPD. Nota Técnica sobre Anonimização de Dados Pessoais, 2023.
Resolução CFM n.º 2.217/2018 — Código de Ética Médica.
Este artigo foi elaborado pela equipe de Regulação & Tecnologia da DMS Advogados e tem caráter exclusivamente informativo. Não constitui parecer jurídico nem estabelece relação de clientela.
