A Resolução nº 2454 do Conselho Federal de Medicina desafiará as estruturas de governança das chamadas “instituições médicas”. Embora tenham como objetivo principal assegurar que o desenvolvimento, a implementação e o uso da IA respeitem direitos e deveres ético-profissionais que já existiam, as novas regras exigem que empresas e outras entidades prestadoras de serviços médicos e de assistência à saúde adotem “processos internos de governança” que, até aqui, ainda não eram obrigatórios.

A partir do início da vigência da nova resolução, não bastará que hospitais, clínicas e outras instituições médicas criem políticas e promovam atividades de treinamento e conscientização dos profissionais quanto aos cuidados e às melhores práticas para a implementação e o uso da IA na medicina. Isso continuará sendo fundamental, mas não será suficiente para assegurar a conformidade das instituições às normas do CFM, uma vez que ficarão obrigadas a implementar processos mais robustos com finalidades mais específicas e aptidão para garantir a segurança, a qualidade e o uso ético de modelos, sistemas e aplicações de IA desenvolvidos e contratados, além de  “mecanismos de auditoria especializada e monitoramento contínuos” capazes de assegurar que o uso de IA nas atividades de sua responsabilidade observe as diretrizes da resolução, incluindo o respeito aos direitos dos pacientes e os deveres e prerrogativas dos médicos.

As previsões introdutórias e mais gerais da resolução já dão uma ideia do seu impacto e alcance. O art. 1º dispõe que o seu objetivo é estabelecer normas “para a pesquisa, o desenvolvimento, a governança, a auditoria, o monitoramento, a capacitação e o uso responsável de soluções que adotem modelos, sistemas e aplicações de Inteligência Artificial (IA) na área da medicina”. Quanto a isso, o Anexo I esclarece que são consideradas aplicações de IA na medicina quaisquer atividades que incluam “a utilização concreta de um sistema de IA em contexto assistencial, pericial, de ensino médico, pesquisa clínica ou gestão em saúde, integrada a processos, fluxos de trabalho, produtos ou serviços de saúde, com finalidade clínica, diagnóstica, terapêutica, prognóstica, de triagem, de monitorização, de reabilitação, de vigilância em saúde ou de apoio administrativo, capaz de impactar, direta ou indiretamente, a tomada de decisão de profissionais, a condução de pesquisas ou os resultados em saúde de indivíduos ou populações”. Como se vê, até mesmo atividades de “apoio administrativo” podem ficar sujeitas à resolução, se forem utilizados sistemas de IA que possam influenciar, ainda que apenas indiretamente, a decisão de profissionais de saúde e os “resultados em saúde em indivíduos ou populações”. Diante disso e considerando a rápida disseminação do uso da IA, é improvável que escape da aplicação e das obrigações da resolução qualquer instituição cujas atividades envolvam médicos ou afetem o exercício da medicina.

Quando a IA for desenvolvida, contratada ou utilizada pela própria instituição médica, deverão ser estabelecidos “processos internos de governança aptos a garantir a segurança, a qualidade e a ética” de suas aplicações, incluindo procedimentos formais e estruturados para avaliação e categorização dos riscos implicados, para garantia da transparência e para a prevenção e mitigação de vieses discriminatórios ilegais ou antiéticos (arts. 12, 13, 14, caput, e Anexo III). E se, para além disso, a instituição de saúde desenvolver um sistema próprio, deverá criar uma Comissão de IA e Telemedicina, sob coordenação médica e subordinada à diretoria técnica, com a função de assegurar uma boa governança e garantir o uso ético da IA. Em todas essas hipóteses, a resolução prevê que o Diretor Técnico da instituição será o responsável pela fiscalização e pelas diretrizes de segurança, ética e transparência no uso da IA.

Essas são as exigências mais rigorosas e que tendem, portanto, a ser aplicadas somente nos casos de uso oficial ou desenvolvimento de sistemas de IA pela própria instituição médica. Mas, ainda que a responsabilidade da instituição se restrinja ao uso da IA em seus processos ou no âmbito de suas atividades, a resolução do CFM prevê que deverão ser implementados “mecanismos de auditoria especializada e monitoramento contínuos” (art. 9º, § 2º). Isso quer dizer, por exemplo, que nenhuma instituição médica poderá fechar os olhos para a prática de shadow AI, que é o uso não oficial ou não autorizado de inteligência artificial nos processos e atividades exercidas sob sua responsabilidade. Afinal, a exigência de implementação de mecanismos de auditoria e monitoramento significa que as instituições terão que adotar processos estruturados para o mapeamento do uso da IA e a identificação de toda e qualquer forma de utilização sobre a qual possam ter qualquer responsabilidade. E sempre que detectarem que alguma aplicação da IA possa infringir ou estar infringindo a ética médica ou os direitos dos médicos ou pacientes, a instituição terá o dever de agir, sob pena de responsabilidade por omissão ou negligência, já que a obrigação de auditar e monitorar, prevista pelo art. 9º, consubstancia um dever de vigilância e se conecta, como meio, ao fim previsto pelo caput desse mesmo artigo, que é o de garantir que o desenvolvimento, a validação, a implantação e o uso da IA na medicina, em todas as fases do seu ciclo de vida, seja compatível “com os direitos fundamentais e com os princípios éticos e bioéticos aplicáveis”.

Além disso, se a resolução condiciona a implementação e o uso da IA na medicina ao respeito aos deveres dos médicos e aos direitos dos profissionais e seus pacientes, é evidente que a governança da IA nas instituições médicas terá que assegurar que o exercício da medicina, em suas atividades e sob sua responsabilidade, se dê sempre em conformidade àqueles deveres e direitos. Então será indispensável que as instituições médicas implementem programas de governança aptos a assegurar essa conformidade. Isso abrange, dentre outras coisas, a garantia de que a autonomia dos médicos e pacientes será respeitada, de que a IA não será empregada na assistência médica sem mediação e supervisão humana, de que só serão usados sistemas de IA que atendam às normas éticas, técnicas, legais e regulatórias aplicáveis, de que os pacientes e médicos serão informados quanto às aplicações da IA e quanto às suas capacidades, limitações, riscos e vieses, de que serão protegidas a confidencialidade, a integridade e a segurança dos dados de saúde dos pacientes, de que os médicos comuniquem às instâncias competentes eventuais falhas, riscos relevantes ou usos inadequados que possam comprometer a segurança do paciente ou a qualidade da assistência, e, ainda, de que o uso da IA na medicina se oriente, sempre, pelos princípios da beneficência e da não maleficência.

Como se vê, a governança da IA na medicina não será desafiada apenas nas hipóteses em que as instituições de saúde desenvolvam ou contratem as suas próprias soluções de IA. Ainda que o risco se restrinja à prática de shadow AI, por colaboradores ou por outros profissionais atuando sob sua responsabilidade, as instituições médicas não poderão deixar de implementar processos de governança aptos a garantir o respeito à ética médica e aos deveres e direitos dos médicos e dos pacientes. E se a nova resolução do CFM tem um grande mérito, é, precisamente, o de traduzir e explicitar quais são os cuidados necessários e o que, na prática, precisa ser feito para assegurar esse respeito e a promoção do uso responsável da IA na saúde.

---

Fábio Cardoso Machado: Sócio responsável pela prática de Governança, Compliance e Investigações no Andrade Maia Advogados. Possui mais de 20 anos de experiência em diversos setores econômicos e intensa atuação em fusões e aquisições (M&A) e outras operações societárias, governança corporativa, cooperativismo, contratos comerciais, direito regulatório, concessão de serviços públicos, licitações, compliance, investigações corporativas internas, litígios de alta complexidade e arbitragem.