O CONSELHO FEDERAL DE MEDICINA, no uso das atribuições conferidas pela Lei nº 3.268, de 30 de setembro de 1957, regulamentada pelo Decreto nº 44.045, de 19 de julho de 1958, considerando as deliberações tomadas na 5ª Sessão Plenária Extraordinária, realizada em 11 de fevereiro de 2026, resolve:

CAPÍTULO I - DAS DEFINIÇÕES, FUNDAMENTOS E PRINCÍPIOS GERAIS

Art. 1º Esta resolução estabelece normas para a pesquisa, o desenvolvimento, a governança, a auditoria, o monitoramento, a capacitação e o uso responsável de soluções que adotem modelos, sistemas e aplicações de Inteligência Artificial (IA) na área da medicina, com o objetivo de promover o desenvolvimento tecnológico e a eficiência dos serviços médicos de modo seguro, transparente, isonômico e ético, em benefício dos pacientes e com estrita observância de seus direitos fundamentais.

§ 1º A governança dos modelos, sistemas e aplicações de IA na medicina deverá respeitar a autonomia dos médicos e das instituições médicas, permitindo o desenvolvimento e a implementação de soluções inovadoras localmente ajustadas aos contextos específicos de cada serviço médico, desde que observados os padrões de auditoria, monitoramento e transparência definidos nesta resolução.

§ 2º A auditoria e o monitoramento dos modelos, sistemas e aplicações de IA serão realizados com base em critérios proporcionais ao impacto, garantindo que os modelos, sistemas e aplicações sejam auditáveis ou monitoráveis de forma prática e acessível, respeitando o segredo industrial e comercial.

§ 3º A transparência no uso de IA será promovida por indicadores científicos comprobatórios da acurácia, eficácia e segurança, e relatórios acessíveis que informem o uso desses modelos, sistemas e aplicações de maneira compreensível e em linguagem simples, garantindo que os pacientes, médicos e gestores interajam com a IA de forma responsável.

§ 4º As instituições médicas deverão priorizar o desenvolvimento cooperativo de modelos, sistemas e aplicações de IA promovendo a interoperabilidade e a disseminação de tecnologias, códigos, bases de dados e boas práticas com outros órgãos e entidades do setor médico sem prejuízo do sigilo.

Art. 2º Para os fins desta resolução, consideram-se as seguintes definições de acordo com o anexo I.

CAPÍTULO II - DOS DIREITOS E DEVERES DOS MÉDICOS NA UTILIZAÇÃO DE IA NA MEDICINA

Art. 3º São direitos do médico, na utilização de sistemas de Inteligência Artificial (IA) aplicados à medicina:

I - utilizar ferramentas de IA como instrumento de apoio à prática médica, à decisão clínica, à gestão em saúde, à pesquisa científica e à educação médica continuada, respeitados os limites éticos e legais da profissão;

II - ter acesso a informações claras, transparentes e compreensíveis sobre o funcionamento, as finalidades, as limitações, os riscos e o grau de evidência científica dos sistemas de IA utilizados;

III - recusar a utilização de sistemas de IA que não apresentem validação científica adequada, certificação regulatória pertinente ou que contrariem princípios éticos, técnicos ou legais da medicina;

IV - preservar sua autonomia profissional, não podendo ser obrigado a seguir, de forma automática ou acrítica, recomendações geradas por sistemas de IA;

V - ser protegido contra responsabilização indevida por falhas atribuíveis exclusivamente a sistemas de IA, desde que comprovado o uso diligente, crítico e ético dessas ferramentas.

Art. 4º Constituem deveres do médico na utilização de sistemas de Inteligência Artificial na medicina:

I - empregar a IA exclusivamente como ferramenta de apoio, mantendo-se como responsável final pelas decisões clínicas, diagnósticas, terapêuticas e prognósticas;

II - exercer julgamento crítico sobre as informações e recomendações fornecidas pela IA, avaliando sua coerência com o quadro clínico, as evidências científicas disponíveis e as boas práticas médicas;

III - manter-se atualizado quanto às capacidades, limitações, riscos e vieses conhecidos dos sistemas de IA utilizados;

IV - utilizar apenas sistemas de IA que atendam às normas éticas, técnicas, legais e regulatórias vigentes no território nacional;

V - registrar no prontuário do paciente o uso de sistemas de IA como apoio à decisão médica.

Art. 5º O médico deverá assegurar que o uso de modelos, sistemas e aplicações de inteligência artificial não comprometam a relação médico-paciente, a escuta qualificada, a empatia, a confidencialidade e o respeito à dignidade da pessoa humana.

§ 1º O paciente tem o direito de ser informado, de forma clara e acessível, quando modelos, sistemas e aplicações de IA forem utilizados como apoio relevante em seu cuidado, diagnóstico ou tratamento.

§ 2º É vedado ao médico delegar à IA a comunicação de diagnósticos, prognósticos ou decisões terapêuticas, sem a devida mediação humana.

§ 3º O médico deverá respeitar a autonomia do paciente, inclusive quanto à recusa informada do uso de modelos, sistemas e aplicações de IA.

Art. 6º O médico deverá zelar pela confidencialidade, integridade e segurança dos dados de saúde utilizados por modelos, sistemas e aplicações de IA, em conformidade com a legislação vigente.

§ 1º É dever do médico assegurar que o compartilhamento de dados pessoais dos pacientes, sobretudo os sensíveis, com modelos, sistemas e aplicações de IA ocorra de forma adequada às finalidades informadas aos titulares ou a seus representantes legais ou convencionais, e apenas quando estritamente necessário, observando-se as bases legais idôneas.

§ 2º O uso de dados pessoais para treinamento, validação ou aprimoramento de modelos, sistemas e aplicações de IA deve observar princípios éticos, científicos e proteção geral de dados pessoais.

§ 3º É vedado ao médico utilizar modelos, sistemas e aplicações de IA que não garantam padrões mínimos de segurança da informação compatíveis com os dados pessoais sensíveis.

Art. 7º No campo da responsabilidade ético-profissional, o médico permanece integralmente responsável pelos atos médicos por ele praticados mediante a utilização de modelos, sistemas e aplicações de IA.

§ 1º A utilização da IA não exime o médico do cumprimento do Código de Ética Médica e demais normas emanadas do Conselho Federal de Medicina.

§ 2º É dever do médico comunicar às instâncias competentes eventuais falhas, riscos relevantes ou usos inadequados de modelos, sistemas e aplicações de IA que possam comprometer a segurança do paciente ou a qualidade da assistência.

§ 3º O uso de modelos, sistemas e aplicações de IA aplicados à medicina com finalidade mercantil, publicitária ou promocional deve observar rigorosamente as normas éticas relativas à publicidade médica.

Art. 8º O descumprimento dos deveres previstos nesta resolução sujeita o médico às sanções éticas cabíveis, sem prejuízo das responsabilidades civil e penal aplicáveis.

Parágrafo único. A adoção e uso de modelos, sistemas e aplicações de Inteligência Artificial na medicina devem sempre se orientar pelos princípios da beneficência, da não maleficência, da autonomia, da justiça e da centralidade do cuidado humano.

CAPÍTULO III - DO RESPEITO AOS DIREITOS FUNDAMENTAIS, À ÉTICA MÉDICA E À BIOÉTICA

Art. 9º No desenvolvimento, na validação, na implantação e no uso de modelos, sistemas e aplicações de inteligência artificial na medicina, deverá ser observada a compatibilidade desses modelos, sistemas e aplicações com os direitos fundamentais e com os princípios éticos e bioéticos aplicáveis.

§ 1º A verificação de compatibilidade com os direitos fundamentais, com a ética médica e com a bioética deverá ocorrer em todas as fases do ciclo de vida dos modelos, sistemas e aplicações de IA - incluindo o design, o desenvolvimento, a fase de testes, a implantação, as atualizações e eventuais retreinamentos dos modelos, sistemas e aplicações.

§ 2º As instituições médicas deverão implementar mecanismos de auditoria especializada e monitoramento contínuos.

Art. 10. A introdução de sistemas de modelos, sistemas e aplicações de IA da medicina não afasta a aplicação dos direitos dos pacientes previstos na legislação e nas normas éticas, incluindo, mas não se limitando aos seguintes direitos:

I - direito à informação clara sobre seu estado de saúde e opções de tratamento;

II - direito à obtenção de segunda opinião;

III - direito de não ser submetido a intervenções experimentais sem consentimento específico; e

IV - direito à privacidade e confidencialidade de seus dados pessoais.

Art. 11. Qualquer utilização de IA deverá ser comunicada e explicada aos pacientes, reforçando-se que tais sistemas servem de apoio ao médico, mas não substituem a autoridade e a decisão final humana sobre o cuidado.

CAPÍTULO IV - DA CLASSIFICAÇÃO E CATEGORIZAÇÃO DOS RISCOS

Art. 12. As instituições médicas, públicas ou privadas, que desenvolverem ou utilizarem modelos, sistemas e aplicações de IA deverão realizar uma avaliação preliminar com a finalidade de definir seu grau de risco. Parágrafo único. A avaliação preliminar basear-se-á na categorização e nos critérios previstos neste capítulo e em eventuais diretrizes complementares, levando em conta fatores como o potencial impacto nos direitos fundamentais e na saúde dos pacientes, a criticidade do contexto de uso, a complexidade e grau de autonomia do modelo, a finalidade pretendida e as finalidades potenciais, o nível de intervenção humana no resultado, e a quantidade e sensibilidade dos dados utilizados.

Art. 13. Para os fins desta resolução, os modelos, sistemas e aplicações de IA na medicina serão categorizados, quanto ao risco, nos níveis baixo, médio, alto ou inaceitável, conforme definido no anexo II, e deverão ser informados ao usuário.

CAPÍTULO V - DA GOVERNANÇA DAS SOLUÇÕES DE IA NA MEDICINA

Art. 14. A instituição médica ou o médico que desenvolver ou contratar um modelo, sistema e/ou aplicações de IA deverá estabelecer processos internos de governança aptos a garantir a segurança, a qualidade e a ética, incluindo as seguintes medidas contidas no Anexo III.

Parágrafo único. Em instituições de saúde que adotarem sistemas próprios de IA é necessária a criação de uma Comissão de IA e Telemedicina sob a coordenação médica e subordinada a diretoria técnica cuja função é assegurar o cumprimento do anexo III e garantir o uso ético do sistema e dos usuários.

Art. 15. As atividades de supervisão e fiscalização do cumprimento desta resolução serão exercidas, no âmbito de suas competências, pelo Conselho Regional de Medicina da jurisdição, na forma de suas atribuições.

Parágrafo único. As soluções apresentadas pelos modelos, sistemas e aplicações de IA não são soberanas, sendo obrigatória a supervisão humana.

CAPÍTULO VI - DA PROTEÇÃO E DA QUALIDADE DOS DADOS MÉDICOS

Art. 16. Os dados utilizados no desenvolvimento, treinamento, validação e implementação de modelos, sistemas e aplicações de IA na medicina devem ser tratados observando rigorosamente a Lei Geral de Proteção de Dados Pessoais (LGPD), bem como as normativas específicas de segurança da informação em saúde.

Art. 17. Os dados, modelos, sistemas e aplicações de IA e ambientes computacionais envolvidos no processo de desenvolvimento e implementação na medicina devem ser protegidos de forma eficaz contra riscos de destruição acidental ou intencional, perda, alteração, acessos não autorizados ou vazamentos. Parágrafo único. Devem ser implementadas medidas técnicas e administrativas de segurança compatíveis com o estado da arte e com a criticidade dos dados e sistemas, o previsto no anexo III.

CAPÍTULO VII - DO CONTROLE E DA AUTONOMIA DOS MÉDICOS

Art. 18. Os modelos, sistemas e aplicações de IA na medicina deverão ser concebidos e implantados de modo a assegurar a autonomia dos médicos.

§ 1º Em nenhum momento os modelos, sistemas e aplicações de IA na medicina poderão restringir ou substituir a autoridade final do médico.

§ 2º A decisão sobre diagnóstico, prognóstico, prescrição, ou qualquer ato médico, caberá sempre ao médico, que pode acolher ou rejeitar as sugestões da IA conforme seu julgamento.

Art. 19. A autonomia do médico também consiste no implica seu direito de não utilizar ou de desligar modelos, sistemas e aplicações de IA aplicados à medicina que julgar inadequados em dada situação, assumindo a responsabilidade por essa tal decisão.

§ 1º Nenhum médico será penalizado por optar em não seguir a orientação de uma solução de IA, desde que atue de acordo com os preceitos técnicos e éticos.

§ 2º As instituições não devem impor metas ou políticas que subordinem as condutas dos médicos.

CAPÍTULO VIII - DO DESENVOLVIMENTO, DA PESQUISA E DA VALIDAÇÃO CIENTÍFICA EM IA APLICADA À MEDICINA

Art. 20. A realização de pesquisas, estudos ou projetos-piloto envolvendo IA na medicina deve ser alinhada aos princípios éticos da pesquisa e do cuidado.

Art. 21. As disposições desta resolução aplicam-se também aos modelos, sistemas e aplicações de IA em desenvolvimento ou em uso nas instituições médicas na data da vigência.

Art. 22. As dúvidas de interpretação referentes a esta resolução, que venham a ser suscitadas pelos Conselhos Regionais de Medicina, serão dirimidos pelo Conselho Federal de Medicina.

Parágrafo único. A decisão do CFM que dirimir dúvida suscitada por CRM, estabelecendo interpretação ou orientação nova sobre norma desta resolução, impondo novo dever ou novo condicionamento de direito, deverá prever regime de transição quando indispensável para que o novo dever ou condicionamento de direito seja cumprido de modo proporcional, equânime e eficiente e sem prejuízo aos interesses gerais.

Art. 23. Esta resolução entra em vigor após decorridos 180 (cento e oitenta) dias da data de sua publicação.

JOSÉ HIRAN DA SILVA GALLO

Presidente do Conselho

ALEXANDRE DE MENEZES RODRIGUES

Secretário-Geral

ANEXO I

I. Modelos de Inteligência Artificial (IA): componente computacional de um sistema de inteligência artificial, constituído por arquiteturas algorítmicas, parâmetros (incluídos pesos e demais variáveis treinadas) e procedimentos de inferência, concebido a partir de modelos matemáticos, métodos estatísticos ou técnicas de aprendizagem de máquina, que, a partir de dados de entrada, é capaz de representar relações ou padrões e produzir saídas (como classificações, segmentações, predições, recomendações ou conteúdos gerados), servindo de núcleo lógico computacional do sistema de IA em saúde;

Parágrafo único. Os modelos de inteligência artificial podem ser de finalidade geral ou específica, ser pré treinados, ajustados (fine tuning) ou combinados entre si, podendo ser reutilizados em diferentes sistemas e aplicações em saúde, desde que observados os requisitos éticos, técnicos e regulatórios aplicáveis.

II. Sistema de Inteligência Artificial (IA): o sistema baseado em máquina que, com diferentes níveis de autonomia e para objetivos explícitos ou implícitos, processa dados ou informações fornecidas, gerando resultados (decisões, recomendações, predições ou conteúdos) que possam influenciar ambientes ou processos físicos, virtuais ou sociais relacionados à saúde. Incluem-se nessa definição tanto os algoritmos de apoio à decisão clínica, quanto os sistemas embarcados em dispositivos médicos e as plataformas de IA utilizadas na gestão em saúde;

III. Aplicação em inteligência artificial na medicina (aplicação em IA): utilização concreta de um sistema de inteligência artificial em contexto assistencial, pericial, de ensino médico, pesquisa clínica ou gestão em saúde, integrada a processos, fluxos de trabalho, produtos ou serviços de saúde, com finalidade clínica, diagnóstica, terapêutica, prognóstica, de triagem, de monitorização, de reabilitação, de vigilância em saúde ou de apoio administrativo, capaz de impactar, direta ou indiretamente, a tomada de decisão de profissionais, a condução de pesquisas ou os resultados em saúde de indivíduos ou populações;

IV. Ciclo de vida: a série de fases que compreende a concepção, o planejamento, o desenvolvimento, o treinamento, o retreinamento, os testes, a validação, a implantação, o monitoramento, as eventuais modificações ou adaptações de um sistema de IA incluindo sua descontinuação quando for o caso, bem como o acompanhamento de seus impactos após a implantação;

V. Desenvolvedor de sistema de IA: a pessoa natural ou jurídica (pública ou privada) que desenvolve ou encomenda o desenvolvimento de um sistema de IA, com a finalidade de colocá-lo no mercado ou aplicá-lo em serviço por conta própria, sob seu nome ou marca, a título oneroso ou gratuito;

VI. Usuário: a pessoa que utiliza o sistema de IA e exerce controle sobre suas funcionalidades, podendo esse controle ser regulado ou limitado conforme o usuário seja interno ou externo à instituição de saúde;

VII. Usuário interno: o profissional de saúde (médico, e conforme o caso outros profissionais da equipe multiprofissional) ou gestor de instituição médica que utilize o sistema inteligente no desempenho de suas atividades, podendo enquadrar-se em diferentes perfis conforme sua função e área de atuação dentro da instituição;

VIII. Usuário externo: a pessoa externa à instituição de saúde que interaja diretamente com o sistema de IA incluindo pacientes, familiares ou responsáveis legais, alunos de medicina em contato com ferramentas educacionais de IA, pesquisadores externos, bem como o público leigo que utilize aplicações de IA em saúde disponibilizadas diretamente a consumidores;

IX. Distribuidor: a pessoa natural ou jurídica, pública ou privada, que disponibiliza e distribui um sistema de IA para que terceiro o opere, a título oneroso ou gratuito (por exemplo, uma empresa que fornece a um hospital uma plataforma de IA para este utilizá-la em seus serviços);

X. Inteligência Artificial Generativa (IA generativa ou IAGen): o sistema de IA especificamente destinado a gerar ou modificar significativamente conteúdo de variados tipos - incluindo texto, imagens, áudio, vídeo ou código de software - a partir de prompts (entradas) dados pelo usuário, utilizando modelos de aprendizagem treinados em grandes volumes de dados. Exemplos incluem modelos de linguagem de larga escala capazes de produzir relatos médicos ou responder perguntas, e algoritmos geradores de imagens médicas sintéticas;

XI. Modelo de linguagem de larga escala (LLM): subclassificação de IA generativa consistente em modelos de processamento de linguagem natural treinados em bases extensas de textos, capazes de compreender e gerar linguagem em formato escrito. Aplicações na medicina incluem assistentes virtuais para profissionais e pacientes, ferramentas de síntese de literatura científica e auxílio na redação de documentos clínicos;

XII. Avaliação preliminar de risco: o processo de avaliação de um sistema de IA, conduzido pela instituição de saúde desenvolvedora ou contratante, antes de sua utilização ou entrada em produção no contexto clínico ou administrativo, com o objetivo de definir sua classificação de risco e atender às obrigações desta Resolução relacionadas à gestão de riscos;

XIII. Avaliação de impacto algorítmico (AIA): a análise contínua dos impactos de um sistema de IA sobre direitos e interesses dos pacientes, profissionais e demais envolvidos, identificando medidas preventivas, mitigadoras de danos e formas de maximizar impactos positivos. A AIA deve ser documentada e atualizada periodicamente, sem violar segredos industriais ou propriedade intelectual da solução de IA utilizada;

XIV. Viés discriminatório ilegal ou abusivo: resultado indevidamente discriminatório produzido por um sistema de IA que cria, agrava ou reforça preconceitos ou exclusões, derivado ou não dos dados utilizados ou de falhas de modelagem, e que resulte em tratamento injustificado diferenciado entre indivíduos ou grupos em contexto médico (por exemplo, negar ou retardar tratamentos com base em raça, gênero ou outra característica alheia aos critérios clínicos aceitáveis);

XV. Privacy by design: a incorporação, desde a concepção de qualquer projeto ou serviço de IA, de medidas e critérios para preservação da privacidade dos dados pessoais em todo o ciclo de vida do sistema, inclusive mediante anonimização e criptografia de dados sensíveis, de modo a minimizar a exposição de informações identificáveis de pacientes;

XVI. Privacy by default: a configuração padrão de qualquer sistema de IA deve garantir o nível mais alto de privacidade e confidencialidade de dados, de forma automática, sem requerer ações adicionais do usuário para proteção das informações pessoais;

XVII. Prompt: entrada de texto em linguagem natural fornecida a um sistema de IA generativa para a execução de uma tarefa específica. Em contexto médico, o prompt pode ser, por exemplo, uma pergunta clínica formulada pelo médico a um assistente de IA, ou uma solicitação para que o modelo redija um resumo de caso;

XVIII. Auditabilidade: a capacidade de um sistema de IA ser submetido a avaliação independente de seus algoritmos, dados, processos de concepção ou resultados, sempre que tecnicamente possível e permitido por normas, de forma a verificar sua conformidade com critérios de desempenho, ética e legalidade;

XIX. Explicabilidade: a possibilidade de se compreender de modo claro - sempre que tecnicamente possível - como um sistema de IA chegou a determinada decisão ou resultado, tornando transparentes os critérios ou fatores de influência relevantes no processo algorítmico;

XX. Contestabilidade: a possibilidade de questionamento e revisão dos resultados gerados pela IA, seja por intervenção humana direta (revisão pelo profissional responsável) ou por mecanismos formais de recurso, de modo que nenhuma decisão derivada de IA seja absolutamente definitiva sem possibilidade de correção.

ANEXO II

I - Soluções de baixo risco: aplicações de IA cujo potencial de causar consequências negativas à saúde, aos direitos fundamentais ou à segurança de pacientes e profissionais é mínimo ou inexistente. Caracterizam-se por não exercer influência decisória direta em diagnósticos ou tratamentos individuais, atuando tipicamente em funções administrativas, operacionais ou de apoio de baixo impacto. Exemplos: sistemas de IA para agendamento de consultas, gestão logística de insumos hospitalares, chatbots fornecendo informações gerais de saúde (sem personalizar aconselhamento clínico), ferramentas de tradução de prontuários ou de sumarização de literatura médica para uso interno. As soluções de baixo risco, se mal calibradas, tendem a causar no máximo atrasos ou inconvenientes administrativos, sem prejudicar a integridade física ou direitos dos pacientes.

II - Soluções de médio risco: aplicações de IA cujo uso envolve algum potencial de impacto adverso, porém mitigável via supervisão humana ativa e controles de segurança. Enquadram-se aqui sistemas que apoiam decisões clínicas ou operacionais importantes, mas não as executam de forma autônoma, de modo que erros do algoritmo possam ser detectados e corrigidos pelo profissional antes de causarem dano. Em tais casos, embora um mau funcionamento possa acarretar decisões inadequadas, presume-se que a intervenção do médico responsável e mecanismos de controle impeçam a efetivação de um desfecho lesivo, razão pela qual o risco é considerado moderado.

III - Soluções de alto risco: aplicações de IA em saúde que podem acarretar alto potencial de danos físicos, psíquicos ou morais a indivíduos, ou impactos significativos à saúde pública, caso funcionem de modo indevido ou sem controle. Incluem-se nesta categoria sistemas que influenciam diretamente decisões médicas críticas ou executam ações automatizadas com consequências clínicas relevantes, especialmente quando envolvem pacientes em estado vulnerável ou questões de vida ou morte. As soluções de alto risco demandam os mais rigorosos processos de validação, auditorias regulares e monitoramento contínuo, dada a gravidade das consequências potenciais aos direitos fundamentais, à saúde e à vida.

§ 1° As soluções classificadas como de baixo risco deverão ser monitoradas e revisadas periodicamente, para assegurar que continuem dentro dos parâmetros dessa categoria e que eventuais mudanças tecnológicas ou contextuais não alterem sua classificação de risco. Caso uma solução inicialmente de baixo risco passe, com o tempo ou mudanças, a apresentar potenciais impactos mais graves, sua reclassificação para médio ou alto risco deverá ser avaliada e procedida conforme o caso.

§ 2° As soluções de médio risco, por sua natureza intermediária, ficarão sujeitas a procedimentos de controle proporcionais: exigirão monitoramento regular (embora não necessariamente contínuo como nos casos de alto risco) e avaliação de desempenho/bias em intervalos apropriados, devendo ser reavaliadas se houver indícios de aumento ou redução significativa de risco. Se uma solução de médio risco evoluir no sentido de maior criticidade (por exemplo, aumentando seu grau de autonomia ou sendo aplicada em contexto mais sensível), poderá ser reclassificada como de alto risco, seguindo os protocolos desta Resolução. Da mesma forma, uma solução de médio risco que demonstre alta robustez e passe a ser utilizada apenas em contexto de baixo impacto poderá ter sua classificação revista para baixo risco.

ANEXO III

I. Transparência do emprego e da governança da IA: divulgação de informações básicas sobre o funcionamento das soluções de IA, suas finalidades, os tipos de dados utilizados e os mecanismos de supervisão adotados. Essa transparência pode se dar por meio da publicação de relatórios regulares que descrevam, em nível gerencial e em linguagem clara, o desempenho do sistema, suas limitações conhecidas, eventuais vieses identificados e as medidas de mitigação implementadas. Sempre que possível, as instituições devem tornar públicas essas informações, resguardados os segredos comerciais e dados confidenciais, para prestar contas à sociedade sobre o uso de IA em serviços de saúde;

II. Prevenção e mitigação de vieses discriminatórios ilegais ou antiéticos: implementação de procedimentos de monitoramento contínuo dos outputs da IA, com análise de resultados estratificados para identificar possíveis vieses (por exemplo, diferenças de acurácia entre grupos populacionais). Havendo detecção de viés indevido, deverão ser adotadas de imediato medidas corretivas, como o ajuste do modelo, retreinamento com dados mais balanceados ou restrição de uso, garantindo-se também a revisão periódica dos modelos de IA para prevenção de recorrência de padrões discriminatórios. Em casos graves em que o viés não possa ser eliminado, o sistema deverá ser descontinuado conforme disposto no art. 10, §2º;

III. Mecanismos de governança interna: O Diretor Técnico da instituição será o responsável pela fiscalização, pelas diretrizes de segurança, ética e transparência no uso da IA.

IV. Interoperabilidade e colaboração: priorização do desenvolvimento ou contratação de soluções de IA interoperáveis, que possam ser integradas a diferentes sistemas de informação em saúde e eventualmente compartilhadas com outras instituições, evitando a duplicação de esforços e aumentando a eficiência coletiva. Deve-se buscar o uso de padrões abertos de integração (como APIs abertas e protocolos reconhecidos no setor saúde) sempre que possível;

V. Flexibilidade e adaptabilidade das soluções: adoção preferencial de soluções de IA de código aberto ou comerciais que permitam customização e adaptação ao contexto local, desde que atendidas as diretrizes de segurança, transparência e proteção de dados pessoais. Ao contratar produtos de IA, as instituições devem dar preferência àqueles que ofereçam acesso a parametrizações, possibilidade de treinamento adicional com dados locais e interfaces auditáveis, em detrimento de sistemas totalmente fechados que não possibilitem ajustes necessários às peculiaridades do ambiente clínico;

VI. Gestão do ciclo de vida como produto: tratamento das soluções de IA com práticas de gestão de produto, incluindo fases definidas de levantamento de requisitos, desenvolvimento, validação/testes, implantação, suporte e melhorias contínuas. Deverão ser estabelecidas rotinas de revisão periódica do sistema em produção, contemplando atualização de modelos (retreino com novos dados se aplicável), correção de bugs, e inclusão de novas funcionalidades de forma controlada, de modo a garantir a evolução segura dessas soluções e a mitigação de riscos associados;

VII. Desenvolvimento de interfaces de interoperabilidade: incentivo à criação de interfaces de programação de aplicações (APIs) e outros mecanismos de integração que permitam a comunicação direta das soluções de IA com sistemas de informação de saúde de outras instituições (por exemplo, sistemas do SUS, registros nacionais, bases de pesquisa), garantindo-se a celeridade, a segurança e a integridade dos dados compartilhados. Essa prática visa evitar retrabalho e possibilitar que diferentes entes do sistema de saúde se beneficiem mutuamente das inovações, respeitando-se normas de segurança e consentimento para compartilhamento de dados;

VIII. Acesso de órgãos de controle e entidades externas: garantia de acesso apropriado a relatórios de auditoria, de monitoramento e a informações de configuração dos sistemas de IA, por parte de órgãos legitimamente interessados, como Conselhos de Medicina, Comissão Nacional de Ética em Pesquisa (quando envolver pesquisa), Ministério Público e outros órgãos de fiscalização, bem como entidades de defesa dos direitos dos pacientes, conforme o caso. Deve-se prover, sempre que solicitado por autoridade competente, transparência sobre parâmetros e métricas de desempenho do sistema, de forma a viabilizar a supervisão independente. (Exemplo: se um órgão regulador solicitar auditoria de um sistema de IA de alto risco usado num hospital, a instituição deverá colaborar plenamente, fornecendo acesso aos documentos e evidências necessários, dentro dos limites legais).