IA na Saúde: Regulamentação de Diagnósticos Automatizados

A inteligência artificial já auxilia médicos em diagnósticos, mas a ausência de regulamentação específica para sistemas automatizados na saúde expõe pacientes a riscos jurídicos e éticos sem precedentes.

O avanço da inteligência artificial no diagnóstico médico

Nos últimos anos, presenciamos uma transformação significativa na forma como a medicina utiliza ferramentas tecnológicas para identificar doenças e condições clínicas. Algoritmos de aprendizado de máquina passaram a analisar exames de imagem, laudos laboratoriais e históricos clínicos com uma velocidade que supera a capacidade humana de processamento. Essa realidade, que parecia distante há uma década, já faz parte do cotidiano de hospitais e clínicas em diversos países, incluindo o Brasil.

Quando analisa-se o cenário atual, identifica-se que sistemas de IA são empregados na detecção precoce de cânceres por meio de mamografias e tomografias, na triagem de retinopatia diabética através de imagens de fundo de olho e na identificação de padrões em eletrocardiogramas que poderiam passar despercebidos em uma avaliação convencional. Essas aplicações representam ganhos reais em eficiência e precisão, mas também levantam questões fundamentais sobre responsabilidade civil, proteção de dados sensíveis e autonomia do paciente.

O ponto central que aborda-se neste artigo é justamente a lacuna regulatória que envolve esses diagnósticos automatizados. Embora existam normas gerais aplicáveis (como a Lei Geral de Proteção de Dados e o Código de Defesa do Consumidor), ainda não dispomos de uma legislação específica que discipline de forma detalhada o uso de IA em decisões clínicas, estabelecendo critérios claros de validação, transparência algorítmica e responsabilização em caso de erro.

O marco legal brasileiro e as lacunas na regulamentação de IA em saúde

O Brasil possui um arcabouço normativo que, embora não tenha sido concebido especificamente para a inteligência artificial na saúde, oferece bases relevantes para a discussão. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) classifica dados de saúde como dados pessoais sensíveis, exigindo consentimento específico e destacado para seu tratamento, além de impor obrigações reforçadas quanto à segurança e à finalidade do uso dessas informações. Quando um sistema de IA processa exames e prontuários para gerar um diagnóstico, todo esse fluxo de dados está sujeito às disposições da LGPD.

O artigo 20 da LGPD merece atenção especial, pois garante ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. Esse dispositivo, aplicado ao contexto de diagnósticos por IA, significa que o paciente pode exigir que um profissional humano reavalie a conclusão gerada pelo algoritmo. Trata-se de uma salvaguarda importante, porém insuficiente quando considera-se a complexidade das decisões clínicas e as consequências potencialmente irreversíveis de um diagnóstico equivocado.

O Marco Legal da Inteligência Artificial (Lei nº 14.338/2024) trouxe princípios gerais para o desenvolvimento e uso de sistemas de IA no Brasil, incluindo a exigência de transparência, a prevenção de discriminação algorítmica e a necessidade de supervisão humana em aplicações de alto risco. A saúde foi expressamente reconhecida como área de alto risco, o que implica obrigações adicionais para desenvolvedores e operadores desses sistemas. Contudo, a regulamentação detalhada, que deveria ser elaborada por autoridades setoriais, ainda está em construção.

A Agência Nacional de Vigilância Sanitária (ANVISA) já publicou diretrizes para o registro de softwares como dispositivos médicos (a chamada categoria SaMD, do inglês “Software as a Medical Device”), exigindo evidências de segurança e eficácia antes da comercialização. Verifica-se, porém, que esse processo regulatório ainda não acompanha a velocidade com que novos modelos de IA são desenvolvidos e atualizados. Um algoritmo que recebe atualizações contínuas (aprendizado incremental) pode apresentar comportamentos diferentes daquele originalmente validado, criando um desafio para o modelo tradicional de registro e certificação.

A regulamentação de diagnósticos automatizados não é apenas uma questão técnica: é uma exigência ética para proteger a vida e a dignidade dos pacientes diante de decisões tomadas por algoritmos.

O Conselho Federal de Medicina, por sua vez, mantém o entendimento de que a decisão diagnóstica final deve sempre ser de responsabilidade do médico, conforme os princípios do Código de Ética Médica. Essa posição reforça a ideia de que a IA deve funcionar como ferramenta de apoio, não como substituta do julgamento clínico. Na prática, entretanto, observa-se situações em que a confiança excessiva no resultado algorítmico pode levar profissionais a abdicar de sua análise crítica, fenômeno conhecido como “viés de automação”.

Responsabilidade civil por erros em diagnósticos realizados por IA

Uma das questões jurídicas mais complexas que enfrentamos nesse campo diz respeito à atribuição de responsabilidade quando um diagnóstico gerado por inteligência artificial se revela incorreto e causa dano ao paciente. O ordenamento jurídico brasileiro oferece caminhos interpretativos, mas nenhum deles foi concebido para lidar com a cadeia de agentes envolvida em um sistema de IA aplicado à medicina.

Considera-se, em primeiro lugar, a responsabilidade do profissional de saúde que utiliza a ferramenta. Se o médico adota o resultado do algoritmo sem exercer seu próprio juízo clínico e o paciente sofre um dano, é possível enquadrar a situação como negligência ou imperícia, nos termos do Código Civil. O profissional tem o dever de utilizar a IA como instrumento auxiliar, mantendo sua capacidade de questionamento e verificação. A mera delegação da decisão diagnóstica a um sistema automatizado não o exime de responsabilidade.

Em segundo lugar, analisa-se a responsabilidade do desenvolvedor do software. Quando o sistema de IA é fornecido como produto ao hospital ou clínica, aplicam-se as disposições do Código de Defesa do Consumidor relativas a defeitos de produto. Se o algoritmo apresenta falhas que comprometem a precisão diagnóstica (seja por dados de treinamento enviesados, por erros de programação ou por falta de validação adequada), o fabricante pode ser responsabilizado objetivamente, independentemente de comprovação de culpa.

Existe ainda a figura do hospital ou da clínica que adquire e implementa o sistema. Essa instituição tem o dever de avaliar a adequação da ferramenta, garantir que os profissionais recebam treinamento para utilizá-la corretamente e monitorar os resultados ao longo do tempo. A omissão nesses cuidados pode configurar responsabilidade solidária em caso de dano ao paciente.

O que torna essa cadeia particularmente desafiadora é a opacidade de muitos modelos de IA (o chamado problema da “caixa-preta”). Quando não é possível explicar de forma compreensível por que o algoritmo chegou a determinada conclusão diagnóstica, a produção de provas em um eventual processo judicial torna-se extremamente difícil. Como demonstrar que o erro decorreu de uma falha no software, e não de uma limitação inerente à medicina? Essa dificuldade probatória reforça a necessidade de regulamentação que exija transparência e explicabilidade dos sistemas de IA utilizados em saúde.

Proteção de dados sensíveis e consentimento informado na era dos algoritmos

Quando aborda-se o uso de IA em diagnósticos, não é possível dissociar a discussão da proteção dos dados pessoais sensíveis dos pacientes. Os sistemas de inteligência artificial dependem de volumes massivos de dados clínicos para treinamento e operação. Prontuários eletrônicos, resultados de exames, imagens médicas e informações genéticas alimentam algoritmos que, por sua natureza, extraem padrões e correlações que vão muito além do que foi originalmente coletado para fins assistenciais.

A LGPD estabelece que o tratamento de dados sensíveis de saúde pode ocorrer com base no consentimento do titular ou, em hipóteses específicas, para a tutela da saúde em procedimento realizado por profissionais de saúde ou autoridades sanitárias. Verifica-se, contudo, que na prática hospitalar o consentimento para o uso de dados em sistemas de IA raramente é obtido de forma específica e destacada, como exige a lei. Muitas vezes, o paciente sequer é informado de que seus dados serão processados por um algoritmo.

Esse cenário levanta preocupações sérias sobre o consentimento informado. O paciente tem o direito de saber que um sistema automatizado participará de seu processo diagnóstico, de compreender (em linguagem acessível) como esse sistema funciona e de recusar o uso da ferramenta se assim desejar. A regulamentação setorial precisa estabelecer padrões claros para essa comunicação, definindo o nível de detalhamento exigido e os mecanismos de recusa que devem ser disponibilizados.

Outro aspecto relevante envolve o compartilhamento de dados entre instituições e desenvolvedores de tecnologia. Quando um hospital envia dados clínicos para uma empresa de tecnologia aprimorar seu algoritmo, está-se diante de uma operação de tratamento que exige base legal própria e medidas de segurança reforçadas. A anonimização dos dados, frequentemente apresentada como solução, nem sempre é suficiente, pois estudos demonstram que dados de saúde podem ser reidentificados quando cruzados com outras bases de informação.

Nesse contexto, defende-se que a regulamentação específica para IA na saúde deve contemplar a criação de ambientes controlados para o compartilhamento de dados (“sandboxes regulatórios”), a obrigatoriedade de avaliações de impacto à proteção de dados antes da implementação de novos sistemas e a definição de padrões mínimos de segurança da informação para toda a cadeia de tratamento.

Caminhos para uma regulamentação eficaz e equilibrada

Ao observarmos as experiências internacionais, identifica-se abordagens que podem servir de referência para o Brasil. A União Europeia, por meio do AI Act (Regulamento de Inteligência Artificial), classificou sistemas de IA na saúde como de alto risco e estabeleceu requisitos rigorosos de conformidade, incluindo avaliação prévia de riscos, documentação técnica detalhada, supervisão humana obrigatória e monitoramento pós-comercialização. A Food and Drug Administration (FDA) dos Estados Unidos, por sua vez, desenvolveu um framework específico para softwares médicos baseados em IA, prevendo mecanismos de aprovação que consideram atualizações algorítmicas contínuas.

Para o cenário brasileiro, entende-se que uma regulamentação eficaz deve equilibrar a promoção da inovação com a proteção dos direitos dos pacientes. Alguns princípios que considera-se essenciais incluem a exigência de validação clínica independente antes da implementação de qualquer sistema de diagnóstico automatizado, com critérios adaptados ao nível de risco da aplicação; a obrigatoriedade de explicabilidade algorítmica, garantindo que profissionais de saúde e pacientes possam compreender os fatores que influenciaram o resultado diagnóstico; e a definição clara de responsabilidades ao longo da cadeia (desenvolvedor, integrador, instituição de saúde, profissional), evitando zonas cinzentas que prejudiquem o paciente na busca por reparação.

Também considera-se fundamental a criação de mecanismos de vigilância pós-comercialização, semelhantes aos existentes para medicamentos e dispositivos médicos tradicionais, que permitam identificar e corrigir rapidamente falhas nos sistemas de IA após sua implementação em ambiente clínico real. A notificação obrigatória de eventos adversos relacionados a diagnósticos automatizados seria um componente importante desse sistema de vigilância.

Esse assunto tem relação direta com dados de wearables de saúde, tema que aborda-se em artigo específico.

Esse assunto tem relação direta com cookies e rastreamento online, tema que aborda-se em artigo específico.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.