Por meio da prática jurídica junto a empresas de tecnologia e instituições de saúde, foi possível acompanhar, em número significativo de casos, a chegada de produtos digitais ao mercado sem que seus desenvolvedores tivessem, em momento algum do processo de criação, consultado o arcabouço regulatório que os governa.
A descoberta ocorre, invariavelmente, tarde: no momento em que o produto já está estruturado, o investimento captado e qualquer alteração na arquitetura do sistema implica custos que comprometem o cronograma e, não raro, a viabilidade do negócio.
Essa experiência motivou a reflexão que orienta este artigo: não sobre a ausência de normas, pois o Brasil dispõe de um conjunto regulatório sofisticado para softwares de saúde, mas sobre o momento em que essas normas chegam ao processo de inovação. Ou, mais precisamente, sobre o fato de que, na maioria dos casos, não chegam.
O equívoco mais comum é tratar a regulação como etapa final de verificação. Trata-se de um erro estrutural, dado que o ecossistema normativo que incide sobre softwares de saúde no Brasil não é linear nem unificado: é composto por ao menos três camadas que se sobrepõem sem necessariamente dialogar entre si, cada uma com lógicas, temporalidades e instâncias de fiscalização distintas.
A primeira camada é sanitária. A RDC (Resolução da Diretoria Colegiada) 657/2022 da Agência Nacional de Vigilância Sanitária (ANVISA) estabeleceu, pela primeira vez, um regime específico para softwares como dispositivos médicos, os chamados SaMDs (Software as a Medical Device), superando a inadequação da RDC 185/2001, norma concebida para equipamentos físicos. O regramento adota lógica proporcional ao risco: softwares de classes I e II submetem-se a notificação; os de classes III e IV, ao registro, com exigências de validação clínica, arquitetura de segurança e conformidade com normas internacionais.
Embora o avanço seja inegável, a norma deixa em aberto uma das questões mais frequentes na prática: onde termina o software de gestão e onde começa o dispositivo médico? Um sistema de prontuário eletrônico que apenas armazena dados não é SaMD. O mesmo sistema, se incorporar módulo que sugere condutas com base no histórico clínico, pode ser. E se utilizar inteligência artificial generativa para redigir evoluções clínicas? A norma não responde de forma inequívoca, e o mercado avança mais velozmente do que a regulação consegue acompanhar.
A segunda camada é deontológica. Em fevereiro de 2026, com a publicação das Resoluções CFM (Conselho Federal de Medicina) 2.453 e 2.454/2026, ambas com vigência prevista para agosto deste ano, o CFM consolidou um marco regulatório específico para o uso de inteligência artificial na medicina. As obrigações recaem não apenas sobre os médicos, mas sobre instituições e fornecedores de tecnologia que integram essa cadeia.
A norma classifica sistemas de inteligência artificial (IA) em níveis de risco, do baixo ao inaceitável, exige a criação de Comissões de IA e Telemedicina em instituições que adotem sistemas próprios, sob coordenação médica, e veda expressamente que algoritmos comuniquem diagnósticos ou decisões terapêuticas ao paciente sem mediação de um profissional. Mais do que limitações éticas, essas são decisões de produto: definem fluxos, interfaces, arquiteturas de dados e estruturas contratuais.
A terceira camada é a da proteção de dados. A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) classifica dados de saúde como sensíveis, impondo exigências quanto à base legal do tratamento, à finalidade e à segurança técnica e administrativa. A interseção entre a LGPD e as normas sanitárias e deontológicas é, ainda hoje, campo de incerteza interpretativa, especialmente quanto a dados utilizados para treinamento de modelos de inteligência artificial. Quem é o controlador dos dados clínicos que alimentam um algoritmo diagnóstico: o desenvolvedor, a instituição contratante, ou ambos? A norma do CFM não resolve, por si só, essa alocação de responsabilidades.
Para além da ausência de diálogo normativo, constata-se que prevalece no mercado de healthtech um modelo que trata a conformidade regulatória como verificação posterior ao produto, e não como variável estruturante de seu desenho, o que produz consequências relevantes.
A primeira é de ordem técnica. Requisitos como explicabilidade algorítmica, auditabilidade e contestabilidade não são atributos que se adicionam a um produto pronto. São decisões de arquitetura. Um modelo desenvolvido sem esses requisitos não se torna explicável com a adição de um aviso na interface, assim como não é possível garantir auditabilidade sobre um processo decisório não projetado para ser auditado.
A segunda consequência é contratual, já que a cadeia de responsabilidade envolve o desenvolvedor, a instituição contratante e o profissional que utiliza o sistema. A resolução reafirma que a responsabilidade final pelas decisões clínicas é do médico, mas não isenta o fornecedor de tecnologia das obrigações que lhe incumbem por contrato, pela LGPD e pelas normas de proteção ao consumidor. Contratos que não alocam com precisão essas responsabilidades, especialmente em situações de falha com impacto sobre a conduta clínica, representam risco jurídico subapreciado pelo mercado.
O cenário está, porém, longe de se estabilizar. A publicação das resoluções do CFM ocorre paralelamente à tramitação do Marco Legal da Inteligência Artificial no Brasil, aprovado pelo Senado em dezembro de 2024 e em discussão na Câmara dos Deputados, que terá hierarquia normativa superior às resoluções dos conselhos profissionais. Em outras palavras, empresas adequadas apenas ao regramento deontológico atual poderão precisar revisitar contratos e arquiteturas de produto quando a lei federal for promulgada.
Questiona-se, diante desse cenário, se o modelo predominante de assessoria jurídica em inovação em saúde, reativo e concentrado na fase de lançamento, é compatível com a complexidade das exigências regulatórias que se impõem ao setor. A hipótese que orienta a prática aqui descrita é a de que não. A conformidade estrutural, aquela que decorre de decisões tomadas no momento do desenho do produto, não é apenas mais eficiente do ponto de vista econômico. É a única que oferece segurança jurídica real a desenvolvedores, instituições e pacientes.
*Nota de transparência: a autora atua profissionalmente na análise e adequação de tecnologias em saúde junto a empresas e instituições do setor, o que fundamenta diretamente as observações práticas descritas neste artigo.