Muitos hospitais brasileiros estão pensando neste processo de forma equivocada. Implementam a IA primeiro. Depois tentam encaixá-la à conformidade. Esse raciocínio custa caro.
A Resolução CFM 2.454, promulgada em fevereiro de 2026, não é apenas um conjunto de requisitos técnicos. É a expressão regulatória de um princípio arquitetural maior: a Compliance by Design. Para entender isso, é útil começar por Privacy by Design, seu conceito-irmão.
Privacy by Design, desenvolvido originalmente para proteção de dados, funciona assim: a privacidade não é adicionada depois que o sistema está pronto. É embarcada na concepção. Proteção de dados é padrão, não exceção. A transparência é componente essencial, não afterthought.
Compliance by Design amplia essa lógica. Significa que a conformidade, a ética e a governança são pensadas desde o primeiro dia do projeto, não depois que surgem problemas. Para um hospital que quer implementar IA na medicina, isso muda tudo.
Veja o exemplo da autonomia médica. A CFM é cristalina: o médico decide. A IA é ferramenta de apoio, jamais substitui o julgamento clínico. Um hospital que desenha seu sistema de IA já respeitando essa soberania médica evita conflitos legais depois. Um que implementa e depois tenta “remover a autonomia da IA” enfrenta redesenho custoso.
O mesmo vale para detecção de viés. Um sistema que incorpora controles de viés desde a concepção (em treinamento, em validação, em produção) custa menos do que corrigir viés descoberto após seis meses de operação. É prevenção versus remediação.
Aqui entra o papel da ISO 42001, norma de gestão de IA. Ela oferece o framework prático para operacionalizar Compliance by Design na medicina. Não é burocracia adicional; é o caminho que transforma princípios regulatórios em controles concretos, auditáveis, sustentáveis.
A CFM não cita ISO 42001 em seus textos. Mas qualquer instituição que implemente IA respeitando Privacy by Design, Compliance by Design e ISO 42001 simultaneamente sai na frente. Não apenas em conformidade. Em competitividade. Em confiança de pacientes. Em defesa legal.
Não podemos esquecer que o deadline regulatório chega em breve. Mas a janela estratégica é agora. Hospitais que já iniciaram a jornada de Compliance by Design em IA estarão em posição muito mais confortável. Os que esperam descobrirão que governança não é um problema que se resolve com um projeto de remediação de três meses.
Não podemos negar que a medicina brasileira está em um divisor de águas com a CFM 2.454.
Deixo aqui uma pergunta simples a ser feita:
Vamos desenhar a IA observando conformidade desde o início, ou vamos construir e depois tentar consertar?
Compliance by Design não atrasa o negócio. Acelera. E torna a inovação sustentável.
GovernançaDeIA #ISO42001 #ISO27001 #SaúdeDigital #IAnaSaúde #GestãoDeRiscos #Compliance #CyberCompass #healthcare #AIGovernance