IA e Proteção de Dados na Saúde: Interseções Regulatórias

A inteligência artificial avança rapidamente no setor de saúde, mas a proteção de dados sensíveis dos pacientes impõe limites regulatórios que exigem atenção redobrada de profissionais e instituições.

O Avanço da Inteligência Artificial no Setor de Saúde

Vivemos um momento de transformação profunda na forma como os serviços de saúde são prestados, organizados e fiscalizados. A inteligência artificial já está presente em diversas etapas da cadeia de cuidados, desde sistemas de triagem automatizada em prontos-socorros até algoritmos de apoio ao diagnóstico por imagem, passando por plataformas de telemedicina que utilizam processamento de linguagem natural para orientar pacientes. Essa presença crescente traz consigo uma série de questões regulatórias que não podem ser ignoradas, especialmente quando consideramos que os dados envolvidos nessas operações são, em sua grande maioria, dados pessoais sensíveis.

Quando analisamos o cenário brasileiro, percebemos que a legislação não foi construída prevendo especificamente o uso de inteligência artificial na saúde. A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) estabeleceu um marco regulatório amplo para o tratamento de dados pessoais, incluindo disposições específicas sobre dados sensíveis, categoria na qual se enquadram os dados de saúde. No entanto, a aplicação dessas normas ao contexto da inteligência artificial demanda uma interpretação cuidadosa, que leve em conta as particularidades técnicas dos sistemas algorítmicos e os riscos específicos que eles apresentam para os titulares dos dados.

Verificamos que hospitais, clínicas, laboratórios e operadoras de planos de saúde estão cada vez mais interessados em adotar soluções baseadas em inteligência artificial. Essa adoção, porém, precisa ser acompanhada de uma análise jurídica robusta, que considere não apenas a LGPD, mas também as normas setoriais aplicáveis, como as resoluções do Conselho Federal de Medicina, as regulamentações da Agência Nacional de Vigilância Sanitária (Anvisa) e as diretrizes da Agência Nacional de Saúde Suplementar (ANS).

Dados Sensíveis de Saúde e as Bases Legais para Tratamento por IA

A LGPD classifica dados de saúde como dados pessoais sensíveis (art. 5º, II), submetendo-os a um regime de proteção mais rigoroso. O tratamento desses dados somente pode ocorrer nas hipóteses previstas no art. 11 da lei, que é mais restritivo do que o art. 7º aplicável aos dados pessoais comuns. Essa distinção é fundamental quando pensamos em sistemas de inteligência artificial que processam prontuários eletrônicos, resultados de exames, históricos de tratamentos e informações genéticas.

Entre as bases legais disponíveis para o tratamento de dados sensíveis de saúde por sistemas de IA, destacamos a tutela da saúde (art. 11, II, “f”) e a proteção da vida (art. 11, II, “e”). No entanto, essas bases legais não são carta branca para qualquer tipo de tratamento. É necessário que o tratamento seja realizado exclusivamente por profissionais de saúde, serviços de saúde ou autoridade sanitária, conforme exige a própria lei. Isso significa que uma empresa de tecnologia que desenvolve um algoritmo de diagnóstico não pode, por si só, invocar a tutela da saúde como base legal. A questão se torna ainda mais complexa quando consideramos modelos de negócio nos quais os dados transitam entre diferentes agentes de tratamento.

O consentimento do titular (art. 11, I) também pode ser utilizado como base legal, mas apresenta desafios práticos significativos no contexto da inteligência artificial. Exige-se que o consentimento seja livre, informado, inequívoco e específico, o que levanta a questão de como explicar ao paciente, de forma compreensível, que seus dados serão processados por um algoritmo cujo funcionamento interno pode ser opaco até mesmo para os desenvolvedores. A transparência algorítmica, nesse sentido, não é apenas uma boa prática, mas um requisito regulatório implícito na exigência de consentimento informado.

Outro ponto que merece atenção é o direito à revisão de decisões automatizadas, previsto no art. 20 da LGPD. Quando um sistema de inteligência artificial emite um parecer sobre o diagnóstico de um paciente ou sobre a cobertura de um procedimento por um plano de saúde, o titular tem o direito de solicitar a revisão dessa decisão. A Autoridade Nacional de Proteção de Dados (ANPD) já se manifestou sobre a importância de garantir que essa revisão seja efetiva, o que implica a necessidade de manter registros adequados sobre a lógica utilizada pelos algoritmos.

A proteção de dados sensíveis de saúde não é obstáculo à inovação tecnológica, mas sim um requisito estruturante para que a inteligência artificial seja adotada de forma responsável e juridicamente segura no setor.

Regulação Setorial: Anvisa, CFM e as Normas Específicas para IA na Saúde

Além da LGPD, o uso de inteligência artificial na saúde está sujeito a um conjunto de normas setoriais que criam camadas adicionais de regulação. A Anvisa, por exemplo, é responsável por regulamentar softwares utilizados como dispositivos médicos (Software as a Medical Device, ou SaMD). Quando um algoritmo de inteligência artificial é utilizado para fins diagnósticos ou terapêuticos, ele pode ser classificado como dispositivo médico e, portanto, estar sujeito a registro e fiscalização pela agência. A RDC nº 657/2022 atualizou as regras para registro de dispositivos médicos no Brasil e é um dos marcos normativos relevantes nesse contexto.

O Conselho Federal de Medicina também tem se posicionado sobre o tema. A telemedicina, regulamentada pela Resolução CFM nº 2.314/2022, frequentemente incorpora ferramentas de inteligência artificial, seja para apoio ao diagnóstico, seja para gestão de fluxos de atendimento. As normas do CFM reforçam que a responsabilidade pelo ato médico permanece com o profissional de saúde, mesmo quando auxiliado por sistemas automatizados. Isso significa que o médico não pode transferir ao algoritmo a responsabilidade por uma decisão clínica, devendo sempre exercer seu julgamento profissional de forma autônoma.

Analisamos também a interseção entre a regulação de dados e a regulação sanitária no contexto dos ensaios clínicos e da pesquisa em saúde. Quando sistemas de inteligência artificial são desenvolvidos ou treinados com dados de pacientes brasileiros, é necessário observar tanto as normas da LGPD quanto as resoluções do Conselho Nacional de Saúde sobre pesquisa envolvendo seres humanos, notadamente a Resolução nº 466/2012. Essa dupla vinculação cria um cenário regulatório complexo, no qual o compliance exige a articulação de diferentes marcos normativos que nem sempre dialogam de forma clara entre si.

A questão da interoperabilidade de dados também merece destaque. O Ministério da Saúde tem investido na Rede Nacional de Dados em Saúde (RNDS), que busca integrar informações de diferentes sistemas de saúde em uma plataforma unificada. A utilização de inteligência artificial sobre essa base de dados integrada levanta questões sobre compartilhamento de dados entre entes públicos e privados, finalidade do tratamento e segurança da informação que precisam ser cuidadosamente endereçadas.

Governança de Dados e Boas Práticas para Instituições de Saúde

Diante desse cenário regulatório complexo, as instituições de saúde que desejam adotar soluções de inteligência artificial precisam implementar programas robustos de governança de dados. O primeiro passo é a realização de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no art. 38 da LGPD. Esse documento deve mapear os fluxos de dados envolvidos no sistema de inteligência artificial, identificar os riscos para os titulares e propor medidas de mitigação adequadas.

Recomendamos que as instituições adotem o princípio da minimização de dados (art. 6º, III, da LGPD) de forma rigorosa no contexto da inteligência artificial. Isso significa que os algoritmos devem ser projetados para utilizar apenas os dados estritamente necessários para a finalidade proposta, evitando a coleta e o processamento excessivos. Técnicas como anonimização, pseudonimização e privacidade diferencial podem ser empregadas para reduzir os riscos associados ao tratamento de dados sensíveis.

A transparência é outro pilar fundamental da governança de dados em inteligência artificial na saúde. As instituições devem ser capazes de explicar, em linguagem acessível, como os sistemas de inteligência artificial utilizam os dados dos pacientes, quais decisões são influenciadas por esses sistemas e quais mecanismos de controle estão em vigor. Essa transparência não se limita ao cumprimento de obrigações legais, mas também contribui para a construção de confiança entre pacientes, profissionais de saúde e instituições.

A segurança da informação é igualmente crítica. Dados de saúde são alvos frequentes de ataques cibernéticos, e a incorporação de sistemas de inteligência artificial pode ampliar a superfície de ataque se não forem implementadas medidas de segurança adequadas. Criptografia, controle de acesso granular, monitoramento contínuo e planos de resposta a incidentes são elementos indispensáveis de qualquer estratégia de segurança para sistemas de IA na saúde.

Destacamos ainda a importância de estabelecer processos claros de auditoria algorítmica. As instituições devem ser capazes de verificar periodicamente se os sistemas de inteligência artificial estão operando conforme o esperado, sem vieses discriminatórios e em conformidade com as normas aplicáveis. Essa auditoria deve abranger tanto os aspectos técnicos (acurácia, robustez, explicabilidade) quanto os aspectos jurídicos (adequação às bases legais, respeito aos direitos dos titulares, conformidade setorial).

Perspectivas Regulatórias e o Marco Legal da Inteligência Artificial

O Brasil caminha para a aprovação de um marco legal específico para a inteligência artificial. O Projeto de Lei nº 2.338/2023, que tramita no Congresso Nacional, propõe a criação de um sistema de regulação baseado em riscos, no qual os sistemas de inteligência artificial utilizados na saúde tendem a ser classificados como de alto risco. Essa classificação implica obrigações adicionais para desenvolvedores e operadores, incluindo avaliações de impacto, documentação técnica detalhada e mecanismos de supervisão humana.

Observamos que o cenário internacional também influencia a regulação brasileira. O Regulamento Europeu de Inteligência Artificial (AI Act), aprovado em 2024, classifica expressamente os sistemas de IA utilizados em contextos de saúde como de alto risco e estabelece requisitos rigorosos de conformidade. Embora a legislação europeia não se aplique diretamente ao Brasil, ela serve como referência para o debate regulatório nacional e pode influenciar a redação final do marco legal brasileiro.

A ANPD tem desempenhado um papel relevante na construção de orientações sobre o tratamento de dados pessoais por sistemas de inteligência artificial. Os guias e notas técnicas publicados pela autoridade fornecem subsídios importantes para a interpretação da LGPD no contexto da IA, embora ainda não exista uma regulamentação específica sobre o tema. Acompanhamos com atenção a agenda regulatória da ANPD, que inclui a inteligência artificial entre seus temas prioritários.

Para as instituições de saúde, o momento atual exige uma postura proativa. Não é prudente aguardar a aprovação de um marco legal específico para iniciar a adequação dos sistemas de inteligência artificial às normas de proteção de dados. As obrigações da LGPD já são aplicáveis e a tendência regulatória é de aumento das exigências, não de flexibilização. Investir em governança de dados, transparência algorítmica e segurança da informação desde agora é uma estratégia que protege tanto os pacientes quanto as próprias instituições.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.