Regulação de IA em Dispositivos Médicos

A inteligência artificial já está presente em dispositivos médicos que diagnosticam doenças, monitoram pacientes e auxiliam cirurgias, mas o marco regulatório brasileiro ainda enfrenta desafios para acompanhar essa revolução tecnológica.

O avanço da inteligência artificial na área de saúde e seus impactos regulatórios

Nos últimos anos, presenciamos uma transformação significativa no setor de saúde com a incorporação de sistemas de inteligência artificial em dispositivos médicos. Equipamentos capazes de analisar imagens radiológicas, identificar padrões em exames laboratoriais e até mesmo auxiliar em procedimentos cirúrgicos robóticos passaram a fazer parte da realidade hospitalar brasileira. Essa evolução tecnológica trouxe consigo uma questão jurídica fundamental: como regulamentar adequadamente dispositivos que aprendem e se adaptam continuamente, diferentemente dos equipamentos médicos tradicionais?

Quando analisamos o cenário regulatório atual, verificamos que a Agência Nacional de Vigilância Sanitária (Anvisa) é o órgão responsável pela aprovação e fiscalização de dispositivos médicos no Brasil, conforme estabelecido pela Lei nº 6.360/1976 e suas atualizações posteriores. O enquadramento regulatório dos dispositivos médicos segue a classificação de risco prevista na RDC nº 185/2001, que os categoriza em classes I, II, III e IV, de acordo com o potencial de risco ao paciente. Contudo, essa classificação foi originalmente pensada para dispositivos estáticos, cujas funcionalidades não se alteram após a aprovação regulatória.

O desafio que identificamos reside justamente na natureza adaptativa dos algoritmos de inteligência artificial. Um software baseado em aprendizado de máquina pode modificar seu comportamento à medida que processa novos dados, o que levanta questionamentos sobre a validade contínua de uma aprovação regulatória concedida com base nas características originais do dispositivo. Essa particularidade exige uma abordagem regulatória diferenciada, que considere não apenas o produto no momento de sua aprovação, mas também sua capacidade de evolução ao longo do tempo.

O enquadramento jurídico do software como dispositivo médico (SaMD)

Um conceito central nessa discussão é o de Software as a Medical Device (SaMD), traduzido como Software como Dispositivo Médico. Trata-se de programas de computador que, por si mesmos, desempenham funções médicas sem estarem necessariamente vinculados a um hardware específico. A Anvisa reconhece essa categoria e publicou orientações por meio de guias regulatórios que auxiliam fabricantes e desenvolvedores na compreensão dos requisitos aplicáveis.

Quando examinamos a regulamentação internacional, constatamos que o International Medical Device Regulators Forum (IMDRF) desenvolveu diretrizes específicas para a classificação de SaMD, considerando a gravidade da condição de saúde envolvida e a relevância da informação fornecida pelo software para a decisão clínica. Essas diretrizes têm servido como referência para diversos países, inclusive o Brasil, na construção de seus arcabouços regulatórios para softwares médicos baseados em inteligência artificial.

No âmbito nacional, a Anvisa tem trabalhado no aprimoramento de suas normas para acomodar as especificidades dos dispositivos com IA. A agência reconhece a necessidade de avaliar não apenas a segurança e eficácia do produto final, mas também a qualidade dos dados utilizados no treinamento dos algoritmos, a transparência dos processos decisórios automatizados e a rastreabilidade das modificações realizadas no software ao longo de seu ciclo de vida. Esses requisitos são particularmente relevantes quando consideramos que decisões clínicas baseadas em recomendações de sistemas de IA podem ter consequências diretas na saúde e na vida dos pacientes.

Outro aspecto que merece atenção é a responsabilidade civil decorrente de falhas em dispositivos médicos com IA. O Código de Defesa do Consumidor (Lei nº 8.078/1990) estabelece a responsabilidade objetiva do fornecedor por danos causados por defeitos em produtos e serviços. No caso de dispositivos médicos inteligentes, a identificação do defeito e a atribuição de responsabilidade podem se tornar significativamente mais complexas, uma vez que o comportamento do sistema pode variar conforme os dados que recebe e processa.

A regulação de inteligência artificial em dispositivos médicos exige um equilíbrio delicado entre a proteção do paciente e o estímulo à inovação tecnológica no setor de saúde.

Proteção de dados pessoais e IA em saúde

A utilização de inteligência artificial em dispositivos médicos envolve, necessariamente, o tratamento de grandes volumes de dados pessoais sensíveis. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) classifica dados relativos à saúde como dados pessoais sensíveis, submetendo-os a um regime de proteção mais rigoroso. Verificamos que essa intersecção entre a regulação de dispositivos médicos e a proteção de dados pessoais cria um cenário regulatório complexo, no qual fabricantes e operadores de saúde precisam observar simultaneamente as exigências da Anvisa e da Autoridade Nacional de Proteção de Dados (ANPD).

O consentimento do titular dos dados, embora seja uma das bases legais previstas na LGPD, apresenta limitações práticas quando aplicado ao contexto de dispositivos médicos com IA. Em muitas situações, o paciente pode não compreender plenamente como seus dados serão utilizados para treinar ou aprimorar algoritmos, o que compromete a qualidade do consentimento informado. Outras bases legais, como a proteção da vida e a tutela da saúde, podem ser mais adequadas em determinados contextos, mas sua aplicação requer uma análise cuidadosa caso a caso.

Além disso, o princípio da minimização de dados, previsto na LGPD, pode entrar em tensão com a necessidade de grandes conjuntos de dados para o treinamento eficaz de algoritmos de aprendizado de máquina. Essa tensão exige que desenvolvedores adotem técnicas como a anonimização e a pseudonimização dos dados, bem como abordagens de aprendizado federado, que permitem o treinamento de modelos sem a centralização dos dados pessoais dos pacientes.

Observamos também que a transferência internacional de dados, comum em projetos de IA desenvolvidos por empresas multinacionais, adiciona uma camada extra de complexidade regulatória. A LGPD estabelece condições específicas para a transferência de dados pessoais para outros países, e o compartilhamento de dados de saúde de pacientes brasileiros com servidores no exterior deve observar rigorosamente essas disposições legais.

A Lei de Inteligência Artificial brasileira e seus reflexos nos dispositivos médicos

O Brasil tem avançado na construção de um marco legal específico para inteligência artificial. O Projeto de Lei nº 2.338/2023, que tramita no Congresso Nacional, propõe uma regulação baseada em riscos, seguindo modelo semelhante ao adotado pela União Europeia com o AI Act. Quando analisamos as disposições desse projeto de lei, constatamos que os sistemas de IA aplicados à área de saúde tendem a ser classificados como de alto risco, o que implicaria requisitos mais rigorosos de transparência, governança, supervisão humana e avaliação de impacto.

Essa classificação como alto risco significa, na prática, que os desenvolvedores e operadores de dispositivos médicos com IA deverão implementar mecanismos robustos de gestão de riscos ao longo de todo o ciclo de vida do sistema. Isso inclui a documentação técnica detalhada, a manutenção de registros de operação, a realização de testes periódicos de desempenho e segurança, e a garantia de que um profissional humano possa supervisionar e, quando necessário, corrigir as decisões automatizadas.

A exigência de explicabilidade dos sistemas de IA representa outro desafio relevante para o setor de dispositivos médicos. Muitos algoritmos de aprendizado profundo (deep learning) operam como “caixas-pretas”, produzindo resultados precisos sem que seja possível explicar de forma clara o raciocínio subjacente. Na área médica, onde profissionais de saúde precisam compreender e validar as recomendações recebidas antes de tomar decisões clínicas, essa opacidade algorítmica pode representar um obstáculo significativo tanto do ponto de vista regulatório quanto ético.

Verificamos que a convergência entre a futura lei de IA, a LGPD e as normas da Anvisa criará um ambiente regulatório multicamadas para os dispositivos médicos inteligentes. As empresas do setor precisarão desenvolver programas de conformidade integrados, capazes de atender simultaneamente às exigências de diferentes marcos normativos. A criação de sandboxes regulatórios, prevista em algumas propostas legislativas, pode representar uma alternativa interessante para permitir a experimentação controlada de novas tecnologias sem comprometer a segurança dos pacientes.

Perspectivas e recomendações para o setor

Diante desse cenário regulatório em construção, identificamos algumas recomendações relevantes para os diversos atores envolvidos na cadeia de dispositivos médicos com inteligência artificial. Para os fabricantes e desenvolvedores, a adoção de práticas de “privacy by design” e “safety by design” desde as fases iniciais do desenvolvimento é fundamental. Isso significa incorporar considerações de proteção de dados e segurança do paciente na própria arquitetura do sistema, e não apenas como ajustes posteriores.

Para os operadores de saúde (hospitais, clínicas e laboratórios), recomendamos a implementação de protocolos internos de avaliação e monitoramento dos dispositivos médicos com IA utilizados em suas instalações. Esses protocolos devem incluir a verificação periódica do desempenho dos algoritmos, a documentação de eventuais falhas ou resultados inesperados, e a capacitação contínua dos profissionais de saúde que interagem com esses sistemas.

No âmbito da responsabilidade profissional, é importante que médicos e demais profissionais de saúde compreendam que a utilização de sistemas de IA não os exime de sua responsabilidade sobre as decisões clínicas. A inteligência artificial deve ser entendida como uma ferramenta de apoio à decisão, e não como substituta do julgamento profissional. Essa compreensão é essencial tanto do ponto de vista ético quanto jurídico, uma vez que os conselhos profissionais e os tribunais tendem a avaliar a conduta do profissional considerando o padrão de diligência esperado para a especialidade.

Por fim, consideramos que o diálogo entre os diferentes atores regulatórios (Anvisa, ANPD, Conselho Federal de Medicina e futura autoridade de IA) será determinante para a construção de um ambiente regulatório coerente e eficaz. A fragmentação regulatória pode criar inseguranças jurídicas e barreiras desnecessárias à inovação, enquanto uma abordagem coordenada pode assegurar que os benefícios da inteligência artificial em saúde sejam aproveitados de forma segura e responsável.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.