IA na Saúde: Regulação e Riscos no

Por SAFIE · 29 de abril de 2026 · 4 min de leitura

A MIT Technology Review Brasil publicou uma análise direta: as ferramentas de IA chegaram à assistência à saúde, mas ainda não temos evidências robustas de que elas melhoram os resultados para os pacientes. A precisão técnica de um modelo, seja em diagnóstico por imagem, triagem ou prescrição assistida, não se traduz automaticamente em benefício clínico mensurável.

Esse ponto é crítico para o mercado brasileiro. Startups de healthtech com componentes de IA, hospitais que licenciam essas soluções e operadoras de planos de saúde que as adotam estão tomando decisões de negócio e de compliance com base em benchmarks técnicos que podem não refletir o que acontece na prática assistencial real.

O problema não é apenas científico. É jurídico, regulatório e contábil. No Brasil, a ausência de um marco setorial específico para IA na saúde cria um ambiente de responsabilidade compartilhada e pouco definida, com riscos que já deveriam estar no radar de qualquer founder ou CTO que opere nesse segmento.

Contexto jurídico e regulatório

O vazio regulatório e o que já existe

O Brasil não possui ainda uma lei específica para IA na saúde. O Projeto de Lei 2.338/2023, aprovado pelo Senado e em tramitação na Câmara dos Deputados, estabelece princípios gerais para sistemas de IA, incluindo transparência, responsabilização e proteção de grupos vulneráveis. Mas ele não desce ao nível setorial da saúde.

Enquanto o marco geral não é promulgado, o setor opera sob um conjunto fragmentado de normas. A Lei Geral de Proteção de Dados (Lei 13.709/2018) é a principal referência: dados de saúde são classificados como sensíveis pelo artigo 11 e exigem consentimento específico ou base legal robusta para tratamento. O uso de IA que processe prontuários, exames ou histórico clínico está sujeito a esse regime desde 2020.

A Resolução CFM 2.217/2018 (Código de Ética Médica) e a Resolução CFM 1.821/2007 regulam o prontuário eletrônico e a responsabilidade do médico sobre decisões clínicas. O entendimento dominante é que a IA pode assistir, mas a responsabilidade final pela decisão é do profissional de saúde. Isso significa que sistemas de IA que emitem recomendações clínicas sem supervisão médica explícita podem expor desenvolvedores e contratantes a ações por exercício ilegal da medicina.

A Agência Nacional de Saúde Suplementar (ANS) e a Agência Nacional de Vigilância Sanitária (Anvisa) também entram nessa equação. A Anvisa já publicou o Guia de Boas Práticas em Inteligência Artificial para Produtos para a Saúde (2021) e enquadra softwares com finalidade diagnóstica ou terapêutica como Softwares como Dispositivo Médico (SaMD), exigindo registro ou notificação. Startups que desenvolvem ferramentas de IA clínica sem verificar esse enquadramento incorrem em risco sanitário e comercial relevante.

Impacto prático

Para founders e CTOs de healthtech, o cenário exige atenção em três frentes simultâneas. Primeiro, mapear se o produto se enquadra como SaMD perante a Anvisa, o que determina o nível de regulamentação aplicável e o prazo para regularização. Segundo, revisar os contratos com hospitais e operadoras para deixar explícita a alocação de responsabilidade em caso de dano decorrente de recomendação gerada pela IA. Terceiro, garantir que o tratamento de dados de saúde está lastreado em base legal adequada sob a LGPD, com documentação de consentimento ou de legítimo interesse devidamente registrada.

Do ponto de vista contábil, startups que recebem investimento ou que se preparam para rodadas precisam provisionar riscos regulatórios no balanço. Passivos contingentes relacionados a autuações da Anvisa, ações por dano ao paciente ou multas da ANPD podem ser materiais e precisam ser divulgados em notas explicativas conforme o CPC 25. Fundos de venture capital e investidores de deep tech já começam a incluir due diligence regulatória de IA como etapa padrão antes de aportes em healthtech.

O ponto levantado pela MIT Technology Review, de que precisão técnica não garante resultado clínico, tem impacto direto também em contratos de SLA e em cláusulas de performance. Empresas que vendem soluções de IA médica com promessas de melhora de desfechos clínicos sem evidência científica publicada estão expostas a litígios por publicidade enganosa sob o Código de Defesa do Consumidor (Lei 8.078/1990) e a responsabilização contratual por resultado.

Considerações finais

A chegada da IA à saúde no Brasil não esperou a regulação. As ferramentas estão sendo usadas agora, em hospitais, clínicas e operadoras, sob um arcabouço jurídico incompleto. Para startups e seus investidores, isso não é argumento para postergar o compliance, mas sim para estruturá-lo de forma proativa, antes que as agências reguladoras e o Poder Judiciário definam o padrão no pior momento possível: depois de um incidente.

Acompanhar o PL 2.338/2023, manter diálogo com a Anvisa sobre o enquadramento do produto e estruturar contratos com alocação clara de responsabilidade são ações que qualquer empresa de IA na saúde deveria ter concluído ou iniciado. O custo de fazer isso agora é menor do que o custo de explicar para um juiz, ou para um fundo de investimento, por que não foi feito.

Perguntas frequentes

Minha startup de IA para saúde precisa de registro na Anvisa?

Depende da finalidade do software. Se a ferramenta de IA tem finalidade diagnóstica, terapêutica ou de monitoramento clínico, ela pode ser enquadrada como Software como Dispositivo Médico (SaMD) pela Anvisa, exigindo notificação ou registro antes de ser comercializada. O Guia de Boas Práticas de IA para Produtos para a Saúde da Anvisa (2021) é o ponto de partida para essa análise.

Quem responde civilmente se uma IA médica causar dano ao paciente?

A responsabilidade pode recair sobre o desenvolvedor da IA, o hospital ou clínica que a utilizou, e o médico responsável pela decisão final. O CFM entende que a decisão clínica é do médico, mas isso não exclui a responsabilidade objetiva do fornecedor do software com defeito, conforme o artigo 14 do Código de Defesa do Consumidor. A alocação contratual de responsabilidade entre as partes é essencial para reduzir exposição.

O tratamento de dados de saúde por sistemas de IA exige consentimento do paciente?

Sim, em regra. Dados de saúde são dados sensíveis sob o artigo 11 da LGPD e exigem consentimento específico e destacado, ou outra base legal prevista no mesmo artigo, como tutela da saúde ou obrigação legal. Sistemas de IA que treinam modelos com prontuários ou dados clínicos sem base legal adequada expõem o controlador a multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração, conforme a ANPD.

O PL 2.338/2023 já impõe obrigações para empresas de IA na saúde?

O PL 2.338/2023 ainda tramita na Câmara dos Deputados e não está em vigor. Mas ele já sinaliza obrigações relevantes, como transparência algorítmica, avaliação de impacto para sistemas de alto risco e responsabilização de fornecedores. Aplicações de IA em saúde tendem a ser classificadas como alto risco nesse projeto, o que implicará requisitos mais rígidos assim que a lei for promulgada.

Como provisionar riscos regulatórios de IA na saúde no balanço da startup?

Conforme o CPC 25, passivos contingentes devem ser provisionados quando a saída de recursos for provável e estimável. Riscos de autuação da Anvisa, multas da ANPD e litígios por dano ao paciente se enquadram nessa categoria quando há processos em andamento ou quando a empresa opera sem regularização. A não divulgação desses riscos em notas explicativas pode configurar omissão relevante para investidores e auditores.