La norma deontológica de la CFM exige el cumplimiento de la protección de datos personales en el entrenamiento de modelos de IA en sanidad. Pero la LGPD no existe una base jurídica clara para este uso. Qué deben hacer las tecnologías sanitarias y los desarrolladores antes de agosto de 2026.
1. El problema en una frase
La mayoría de las empresas de tecnología sanitaria y desarrolladores de IA sanitaria que operan en Brasil utilizan datos de pacientes para entrenar, validar o mejorar sus modelos. La Resolución 2.454/2026 de la CFM exige que este uso cumpla con la protección general de datos personales. La LGPD, que es la ley de protección de datos aplicable, no tiene una base legal explícita y suficientemente clara para este fin cuando se trata de datos sensibles de salud. Esta es la laguna normativa que el sector debe resolver ya.
No se trata de una laguna abstracta. Se trata de una exposición regulatoria concreta: una organización que utiliza datos de pacientes para entrenar IA sin una base legal adecuada está sujeta a sanciones de la ANPD, responsabilidad civil hacia los interesados y, ahora, responsabilidad deontológica para los médicos que emplean sus sistemas.
2. Qué determina la Resolución CFM 2.454/2026
El artículo 6.2 de la resolución es claro: ‘el uso de datos personales para el entrenamiento, la validación o la mejora de modelos, sistemas y aplicaciones de inteligencia artificial debe respetar los principios éticos y científicos y la protección general de los datos personales’.
Dos elementos de esta redacción merecen atención técnica. En primer lugar, la resolución utiliza la expresión ‘protección general de datos personales’, no ‘LGPD’. Esta elección fue deliberada: indica apertura a las regulaciones sectoriales específicas que puedan surgir, sin vincular el texto normativo a la literalidad de una ley cuya idoneidad para el contexto de la IA está aún en construcción.
En segundo lugar, la norma crea un deber de conformidad que recae sobre el doctor (que no puede utilizar sistemas que no cumplan las normas de protección de datos - art. 4, IV) y, por extensión, sobre la institución médica quien contrata o desarrolla estos sistemas (art. 14). El desarrollador de la plataforma no es el destinatario directo de la norma deontológica, pero sí es el agente técnico que debe garantizar que el producto entregado al cliente médico es legalmente utilizable.
En términos prácticos: si el sistema de IA de una tecnología sanitaria se ha entrenado con datos de pacientes sin una base jurídica adecuada, el hospital que lo utilice estará incumpliendo la resolución. Y el contrato entre ambos definirá quién es responsable, o si ambos lo son.
3. Qué dice la LGPD sobre los datos sanitarios
La LGPD clasifica los datos de salud como datos personales sensibles (art. 5, II). Esta clasificación tiene una consecuencia directa: el tratamiento de datos sensibles requiere una base jurídica cualificada, enumerada exhaustivamente en el art. 11.
Para el contexto clínico y asistencial directo -diagnóstico, tratamiento, gestión de los cuidados del propio paciente- las bases jurídicas son relativamente accesibles: protección de la salud (art. 11, II, f), interés vital del titular (art. 11, II, e) y, para las operaciones de salud pública, la base del art. 11, II, g.
El problema surge cuando los datos sanitarios se utilizan con un fin distinto de la atención directa al paciente: en concreto, el entrenamiento de modelos de IA. Se trata de una nueva finalidad, no cubierta automáticamente por las bases jurídicas del tratamiento clínico original. La doctrina brasileña de protección de datos aún no ha llegado a un consenso sobre qué base jurídica respalda este uso.
Las opciones analizadas son:
Consentimiento específico (art. 11, I LGPD): Una base jurídica más segura, pero operativamente compleja. Requiere que el paciente haya consentido inequívocamente el uso de sus datos específicamente para el entrenamiento en IA, no sólo para su tratamiento médico. Los formularios de consentimiento genéricos no cumplen este requisito.
Investigación científica (art. 11, II, c LGPD): posible para proyectos estructurados como investigación, con la aprobación de un Comité de Ética de la Investigación (CEP/CONEP) y la adopción de la anonimización siempre que sea posible. No se aplica al desarrollo comercial en curso de productos de IA.
Interés legítimo (art. 10 LGPD): La LGPD prohíbe expresamente el uso de datos sensibles basándose únicamente en el interés legítimo. En el caso de los datos sanitarios, esta base no es aplicable.
Anonimización previa: Los datos realmente anonimizados no son datos personales y quedan fuera del ámbito de aplicación de la LGPD. Sin embargo, la anonimización de datos médicos es un reto técnico: la ANPD ya ha señalado que deben aplicarse criterios estrictos para que el proceso se considere irreversible.
4. El escenario hipotético: una tecnología sanitaria que no ha definido sus bases jurídicas
Una empresa de tecnología sanitaria está desarrollando un sistema de IA de ayuda al diagnóstico en cardiología. Desde 2023, utiliza datos de historiales de pacientes de hospitales asociados para entrenar y perfeccionar su modelo. Los contratos con los hospitales prevén el intercambio de datos ‘con el fin de mejorar los servicios’. Los pacientes firmaron unas condiciones de servicio estándar, en las que no se menciona específicamente el uso de sus datos para entrenar la IA.
Con la Resolución 2.454/2026 del CFM en vigor, los hospitales asociados incumplirán la norma deontológica al mantener contratos que no garanticen el cumplimiento de la protección de datos personales (art. 4, IV y art. 14). Los médicos que utilicen el sistema serán responsables ante el CRM.
Para las empresas de tecnología sanitaria, el escenario es de múltiples riesgos: cancelación de contratos con hospitales que tratan de cumplir la normativa; acción de la ANPD por tratamiento de datos sensibles sin base legal; responsabilidad civil frente a los interesados; y, dependiendo de la estructura contractual, litigios con los propios hospitales asociados.
La cuestión no es si los datos se procesaron con seguridad técnica. La cuestión es si existía autorización legal para ese fin específico. La seguridad de la información y la legalidad del tratamiento son requisitos independientes, y ambos deben estar presentes.
5. Qué añade el PL 2338/2023
El marco jurídico brasileño de la IA, actualmente en trámite en el Senado, colma parcialmente esta laguna al prever una evaluación del impacto de la protección de datos (EIPD) para los sistemas de IA de alto riesgo, categoría en la que entran la mayoría de los sistemas de ayuda al diagnóstico. Esta evaluación se añadiría al régimen de la LGPD, no lo sustituiría.
El proyecto de ley prevé también la posibilidad de bases jurídicas específicas para la investigación y la innovación sanitarias, pero la redacción actual es aún genérica y no resuelve el problema de la formación continua de modelos comerciales con datos de pacientes. Hasta que se apruebe el marco, el régimen aplicable es el de la LGPD. con todas sus limitaciones para ese caso de uso.
6. Matriz de riesgos por modelo de negocio
El grado de exposición regulatoria varía según el modelo de negocio de la tecnología sanitaria. La tabla siguiente organiza los principales perfiles:
Modelo de datos centralizado con historias clínicas de terceros
Exposición máxima. Datos sensibles de pacientes de múltiples hospitales, tratados con un fin (formación en IA) distinto de la atención clínica original. Requiere consentimiento específico o reestructuración completa para base de investigación con CEP.
Modelo federado con datos anónimos
Exposición reducida, siempre que la anonimización sea técnicamente sólida y auditable. Requiere un protocolo formal de anonimización, con documentación que demuestre la irreversibilidad del proceso.
Modelo con datos propios de la institución
Exposición intermedia. La base jurídica de la protección de la salud o la investigación científica puede ser suficiente, siempre que el uso esté documentado y se ajuste a la finalidad informada a los pacientes.
Modelo de aprendizaje por refuerzo con datos sintéticos
Exposición mínima al RGPD si los datos sintéticos están realmente desvinculados de los interesados reales. Requiere documentación del proceso de generación y validación de los datos.
7. Recomendaciones prácticas para las tecnologías sanitarias
■ Auditar el origen y la base jurídica de todos los datos utilizados para entrenar los modelos. Para cada conjunto de datos, identifique: (i) qué base jurídica de la LGPD se utilizó; (ii) si la finalidad informada al interesado cubría la formación en materia de IA; (iii) si existe documentación que demuestre su cumplimiento.
Revisar los contratos con los hospitales y clínicas asociados. Incluya cláusulas que describan con precisión los fines del tratamiento de datos, las bases jurídicas aplicables, las responsabilidades de cada parte y los derechos de los interesados. Las cláusulas genéricas de ‘mejora del servicio’ no cumplen la norma de la LGPD sobre datos sensibles.
Evaluar la viabilidad técnica de la anonimización. Para los modelos que puedan funcionar con datos anonimizados, aplique protocolos formales de anonimización, con documentación auditable que demuestre la irreversibilidad del proceso.
Estructurar proyectos de investigación con aprobación ética para el uso de la base de investigación científica. Para los casos en que el consentimiento retroactivo sea inviable y la anonimización sea técnicamente imposible, la base de investigación científica (art. 11, II, c LGPD) puede ser una alternativa, siempre que el proyecto cuente con la aprobación del CEP/CONEP.
■ Documentar la Evaluación de Impacto Algorítmico (EIA) y el Informe de Impacto en la Protección de Datos (IPPD). Ambos instrumentos son necesarios para los sistemas de IA de alto riesgo en la asistencia sanitaria: el primero por la Resolución MFC (anexo I, XIII), el segundo por la LGPD (art. 38). No son sustitutivos: son complementarios.
■ Elaborar la documentación técnica exigida por la Resolución CFM para los sistemas suministrados a los clientes médicos. Los hospitales y médicos que utilicen sistemas de IA tendrán que demostrar al CRM que los sistemas que emplean cumplen los requisitos de la norma. Las tecnologías sanitarias que se anticipen a esta demanda estarán en una posición competitiva superior.
8. La pregunta que toda tecnología sanitaria debe responder
Hay una pregunta estratégica que estructura todo el análisis anterior: ¿cuál es la base jurídica que respalda el uso de los datos de los pacientes en los modelos en los que opera su empresa?
Si la respuesta es ‘consentimiento’, es necesario verificar que este consentimiento se obtuvo específicamente para la formación en IA, y no sólo para el tratamiento médico. Si la respuesta es ‘anonimización’, es necesario demostrar que el proceso es técnicamente sólido y auditable. Si la respuesta es ‘no lo sabemos’, la prioridad inmediata es cartografiar esta exposición antes de agosto de 2026.
La Resolución 2.454/2026 de la CFM no crea el problema, sino que hace indefendible su falta de solución.
Referencias normativas
Resolución CFM nº 2.454, de 11 de febrero de 2026. DOU 27/02/2026.
Ley nº 13.709/2018 - Ley General de Protección de Datos Personales (LGPD). Arts. 5, II; 7; 11; 38.
PL 2338/2023 - Marco jurídico de la inteligencia artificial (actualmente en el Senado Federal).
ANPD. Nota técnica sobre la anonimización de datos personales, 2023.
Resolución CFM Nº 2.217/2018 - Código de ética médica.
Este artículo ha sido elaborado por el equipo de Regulación y Tecnología de DMS Advogados y tiene carácter meramente informativo. No constituye asesoramiento jurídico ni establece una relación de clientela.
