Resolución CFM N.º 2.454/2026: IA y protección de datos en medicina en Brasil

En el entorno sanitario contemporáneo, en el que las soluciones digitales se integran a los flujos asistenciales y administrativos a gran escala, el uso de sistemas de IA, incluidos los modelos de lenguaje y las herramientas de IA generativa, viene creciendo con rapidez. En paralelo, también aumenta la expectativa regulatoria e institucional de que estas tecnologías se adopten con gobernanza, trazabilidad y controles proporcionales al riesgo, especialmente cuando operan sobre datos de salud, reconocidos como datos personales sensibles.

En Brasil, este debate adquirió un hito relevante con la reciente publicación, por parte del Consejo Federal de Medicina, de la Resolución CFM N.º 2.454/2026, que establece normas para la investigación, desarrollo, gobernanza, auditoría, monitoreo, capacitación y uso responsable de modelos, sistemas y aplicaciones de IA en la medicina.

El CFM es el órgano nacional responsable de normativizar la ética profesional médica en el país, actuando en conjunto con los Consejos Regionales de Medicina, que ejercen la fiscalización y la investigación de infracciones éticas en la jurisdicción correspondiente. En este contexto, las resoluciones del CFM funcionan como referencia normativa para la práctica médica y para la organización de servicios bajo dirección técnica médica, con repercusiones concretas en la supervisión y el control ético-profesional.

Por ello, aun sin ser una ley general, la Resolución opera como un estándar sectorial de diligencia para el uso de IA en la medicina, influyendo en políticas internas, diseño de flujos asistenciales y, de manera creciente, en criterios de contratación, validación y monitoreo de proveedores.

Sobre la Resolución: finalidad y enfoque — ciclo de vida, proporcionalidad y transparencia

La Resolución tiene como objetivo promover el desarrollo tecnológico y la eficiencia de los servicios médicos de manera segura, transparente, equitativa y ética, en beneficio del paciente y con observancia de los derechos fundamentales. Para ello, adopta un enfoque de ciclo de vida, previendo que las verificaciones y controles acompañen al sistema desde la concepción y las pruebas hasta su implementación, actualizaciones, reentrenamientos y monitoreo en producción.

El texto busca equilibrar dos vectores. Por un lado, preserva la autonomía del médico y de las instituciones; por otro, exige auditoría y monitoreo proporcionales al impacto, además de transparencia en lenguaje accesible, con indicadores e informes que permitan comprender finalidades, limitaciones, riesgos y desempeño del sistema.

Autonomía médica, transparencia hacia el paciente y supervisión humana

La norma refuerza que la IA debe utilizarse como instrumento de apoyo, sin sustituir la autoridad clínica. De este modo, el médico mantiene la responsabilidad final por las decisiones clínicas y debe ejercer un juicio crítico sobre las recomendaciones o resultados producidos por sistemas de IA.

Asimismo, al exigir el registro del uso de IA en la historia clínica cuando se emplee como apoyo, la Resolución introduce una dimensión de trazabilidad: el uso deja de ser meramente “tecnológico” y pasa a integrarse en la documentación clínica.

En lo que respecta a la relación médico-paciente, la norma establece la necesidad de información clara y accesible cuando la IA se utilice como apoyo relevante en la atención. Además, prohíbe delegar en la IA la comunicación de diagnósticos, pronósticos o decisiones terapéuticas sin mediación humana y prevé el respeto a la autonomía del paciente, incluso en lo relativo a la negativa informada al uso de IA. Para las organizaciones, estos mandatos tienen impacto directo, ya que exigen el diseño de procesos: cuándo y cómo informar, cómo registrar y cómo gestionar situaciones de negativa sin comprometer la atención.

Clasificación de riesgo como eje de gobernanza

Uno de los aspectos más estructurales es la obligación de realizar una evaluación preliminar de riesgo para las instituciones que desarrollen o utilicen soluciones de IA, con clasificación en niveles bajo, medio, alto o inaceptable. La norma orienta que la evaluación considere factores como la criticidad del contexto de uso, el grado de autonomía del modelo, el nivel de intervención humana, el potencial impacto en la salud y en los derechos fundamentales, además de la cantidad y sensibilidad de los datos utilizados.

La lógica es de proporcionalidad: las aplicaciones de menor riesgo no quedan exentas de revisión, pero la intensidad de la validación, auditoría y monitoreo tiende a aumentar a medida que crece la criticidad y el potencial de daño. En la práctica, la norma convierte la adopción de IA en un proceso formal de habilitación: antes de entrar en operación, el sistema debe ser evaluado y clasificado en cuanto al riesgo, con registro de los supuestos, límites y controles; y, a lo largo del tiempo, esta evaluación debe actualizarse ante cambios en el contexto de uso, en el modelo o en los objetivos de la aplicación.

Gobernanza institucional, auditoría y monitoreo

La Resolución exige que la institución (o el médico) que desarrolle o contrate soluciones de IA establezca procesos internos de gobernanza orientados a la seguridad, la calidad y el uso ético de estas herramientas. Para las instituciones que adopten sistemas propios, prevé la creación de una Comisión de IA y Telemedicina, bajo coordinación médica y vinculada a la dirección técnica.

El Anexo III del documento, que enumera medidas de gobernanza y transparencia, detalla expectativas cercanas a las prácticas de gestión de producto y gestión de riesgos, incluyendo informes de transparencia, prevención y mitigación de sesgos, revisión periódica de sistemas en producción, control de actualizaciones e incentivo a la interoperabilidad.

Además, contempla, cuando corresponda, la disponibilidad de evidencias e informes a las autoridades competentes, reforzando una lógica de rendición de cuentas y supervisión compatible con la criticidad del contexto sanitario.

Intersecciones con la LGPD: por qué la protección de datos se sitúa en el centro del debate

Aunque la Resolución es un instrumento de ética y regulación profesional, se conecta directamente con la Ley General de Protección de Datos al tratar el uso de datos de salud como elemento central del ciclo de vida de los sistemas de IA.

En este sentido, el texto exige la observancia de la LGPD y refuerza que el intercambio de datos personales sensibles con soluciones de IA debe realizarse de manera compatible con las finalidades informadas y limitado a lo estrictamente necesario, lo que tiene relevancia práctica para distinguir el uso de datos para la asistencia de aquellos destinados al entrenamiento, validación, reentrenamiento y mejora continua, incluso cuando intervienen proveedores.

Otro punto de contacto directo con la privacidad es el énfasis en la seguridad: al exigir confidencialidad, integridad y protección frente a accesos no autorizados y filtraciones, así como al prohibir el uso de soluciones que no garanticen estándares mínimos compatibles con datos sensibles. En este sentido, la norma eleva el estándar de diligencia esperado en compras, integraciones y gestión de terceros.

Asimismo, al incorporar conceptos de privacidad por diseño y por defecto, refuerza la expectativa de controles incorporados desde la concepción y mediante configuraciones por defecto, con gobernanza de acceso, retención y trazabilidad adecuada al riesgo.

Existe además un efecto práctico relevante: al exigir auditoría y monitoreo proporcionales al riesgo, la Resolución convierte la trazabilidad en un requisito estructural. Esto incrementa la necesidad de evidencias verificables, como registros, control de versiones y pistas de auditoría, capaces de sustentar revalidaciones, investigación de incidentes y rendición de cuentas.

Este refuerzo de la responsabilidad proactiva puede, sin embargo, tensionar principios de minimización y limitación de la retención propios de los regímenes de protección de datos. En la práctica, ello exige una gobernanza deliberada que defina, de forma documentada, qué debe registrarse, con qué finalidad, durante cuánto tiempo y bajo qué salvaguardas. Entre estas salvaguardas, cobran relevancia los controles de acceso, la segregación, la seudonimización cuando sea aplicable y las medidas de seguridad técnica compatibles con datos sensibles.

De forma correlativa, la obligación de prevenir y mitigar sesgos tiende a requerir análisis de desempeño por segmentos poblacionales. En determinados escenarios, esto implica el tratamiento de atributos sensibles o la inferencia indirecta de dichos atributos, lo que amplía la necesidad de justificaciones formales, restricción de acceso y medidas de mitigación proporcionales al riesgo.

Vigencia y alcance

La Resolución prevé su entrada en vigor 180 días después de su publicación, con aplicación también a soluciones en desarrollo o ya en uso en la fecha de vigencia. En el calendario, esto establece el 26 de agosto de 2026 como hito de efectividad práctica, orientando el período de transición hacia el inventario de sistemas, la clasificación de riesgos y los ajustes de gobernanza, procesos y contratos.

Conclusión

Para un público internacional, la Resolución CFM N.º 2.454/2026 puede leerse como un hito sectorial brasileño que aproxima el uso de IA en el cuidado de la salud a un modelo de cumplimiento orientado por la gestión de riesgos, la supervisión humana, la transparencia y la rendición de cuentas.

Al hacer referencia expresa a la LGPD e imponer estándares de finalidad, necesidad y seguridad para datos sensibles a lo largo del ciclo de vida, el texto contribuye a consolidar un entendimiento práctico: en el ámbito sanitario, la gobernanza de la IA y la protección de datos pasan a operar como dimensiones inseparables de un mismo programa de gobernanza.