Seguimos para mais alguns achados sobre a Resolução CFM nº 2.454/2026.
Nos posts anteriores, apresentei que a discussão sobre IA na saúde deixou de ser sobre inovação e adoção tecnológica. Ela passa a ser sobre responsabilidade institucional estruturada.
Na prática, a norma exige que organizações consigam demonstrar:
• quais sistemas de IA utilizam e qual o risco de cada um
• quem supervisiona decisões algorítmicas
• como essas decisões podem ser auditadas
• que existe governança formal documentada e responsável
Isso muda completamente a pergunta sobre IA nos hospitais.
Antes: “Qual tecnologia vamos adotar?”
Agora: “Quem governa essa tecnologia, e como prova isso?”
Aqui surge um problema que poucas instituições ainda perceberam.
Muitas organizações não possuem sequer um inventário claro dos sistemas de IA que utilizam.
Sem inventário, não existe gestão de risco, supervisão estruturada, auditoria confiável nem governança real. É um ponto cego institucional que a resolução agora torna inaceitável.
É exatamente esse tipo de lacuna que a ISO/IEC 42001 foi desenvolvida para resolver.
A norma propõe algo simples, mas profundo: tratar IA como sistema de gestão organizacional, não apenas como tecnologia. Processos, responsabilidades, avaliação de risco, monitoramento contínuo e transparência decisória.
A lógica é muito semelhante ao que aconteceu com segurança da informação quando a ISO/IEC 27001 começou a ganhar relevância. No início, era vista como um esforço de TI. Com o tempo, tornou-se infraestrutura de confiança institucional.
Como auditor líder da ISO 42001, tenho observado que a principal dificuldade não é técnica. É organizacional. As instituições sabem que precisam governar IA. Poucas sabem por onde começar.
Três perguntas que deveriam estar na pauta de qualquer gestor de saúde agora:
• Sua organização possui um inventário formal dos sistemas de IA que utiliza?
• Existe responsável claro pela governança dessas soluções?
• As decisões algorítmicas podem ser auditadas se algo der errado?
Nos próximos anos, essas perguntas deixarão de ser estratégicas.
Elas passarão a ser regulatórias.
