A ausência de regulação clara sobre algoritmos diagnósticos não protege instituições de saúde: ela apenas acumula passivo jurídico até o primeiro litígio de grande repercussão chegar ao Judiciário.
O art. 14 do Código de Defesa do Consumidor estabelece a responsabilidade objetiva do fornecedor de serviços pelos danos causados ao consumidor por defeitos na prestação, independentemente da existência de culpa. Hospitais e clínicas são fornecedores de serviços nos termos do CDC, e a jurisprudência do TJDFT já aplica esse entendimento à relação entre instituições de saúde e pacientes, distinguindo a responsabilidade institucional da culpa pessoal do médico apenas quando a falha é estritamente técnica e autônoma, sem qualquer participação do ambiente hospitalar na cadeia causal do dano. A introdução de sistemas de inteligência artificial no fluxo diagnóstico desfaz essa distinção com uma precisão que nenhum contrato de licença de software consegue absorver.
A tese que orienta esta análise é direta: quando um hospital ou clínica incorpora um algoritmo diagnóstico ao seu protocolo assistencial, ele deixa de ser mero locador de infraestrutura para se tornar coparticipante da decisão clínica. Essa participação, ainda que mediada por código computacional, é suficiente para atrair a responsabilidade objetiva da instituição nos termos do art. 14 do CDC, independentemente de qualquer culpa do médico que assina o laudo.
O cenário regulatório atual agrava esse risco em vez de mitigá-lo. A Anvisa publicou, entre 2021 e 2023, as primeiras diretrizes para enquadramento de softwares como dispositivos médicos, com destaque para a RDC nº 657/2022, que estabelece os requisitos de regularização para Softwares como Dispositivos Médicos (SaMD), incluindo exigências de registro sanitário e validação clínica para aqueles com função diagnóstica ou de apoio à decisão terapêutica. O problema é que a norma regula o produto, não a responsabilidade do usuário institucional. O hospital que utiliza um SaMD registrado e validado segundo os critérios da Anvisa pode acreditar, equivocadamente, que a conformidade regulatória transfere o risco jurídico ao fabricante. Não transfere.
O que está em julgamento, nos casos concretos que chegam ao Judiciário, é se a tecnologia foi utilizada dentro de protocolo adequado, se o profissional recebeu treinamento suficiente para interpretar e, quando necessário, questionar a saída do algoritmo, e se a instituição mantinha mecanismos de supervisão clínica sobre as recomendações geradas automaticamente. Nenhum desses requisitos está endereçado pela RDC nº 657/2022, e nenhum deles está sendo sistematicamente documentado pelas instituições que já utilizam IA diagnóstica em radiologia, patologia, cardiologia e dermatologia.
O paralelo com o que ocorreu nos Estados Unidos é instrutivo. A Food and Drug Administration havia autorizado 950 dispositivos com tecnologia de inteligência artificial ou aprendizado de máquina até 7 de agosto de 2024, segundo base de dados da própria agência analisada pelo MedTech Dive. Em 2023 sozinho, foram 221 autorizações, ante apenas seis em 2015. O volume de litígios relacionados a erros mediados por algoritmos diagnósticos cresceu de forma consistente nesse mesmo período, não porque os dispositivos fossem descertificados, mas porque os hospitais não conseguiram demonstrar que sua implementação seguia protocolos documentados de supervisão humana. A diferença entre o mercado americano e o brasileiro não está na maturidade tecnológica: está na velocidade com que o Judiciário brasileiro, altamente ativado em matéria de responsabilidade médica e de planos de saúde, converge sobre o mesmo vetor de risco.
O Conselho Federal de Medicina, por meio da Resolução CFM nº 2.314/2022, que regulamentou a telemedicina em caráter permanente, reafirmou que o médico responde integralmente pelos atos praticados com suporte tecnológico, vedada a transferência de responsabilidade ao sistema ou à plataforma utilizada. Esse princípio, embora formulado no contexto da telemedicina, é amplamente aplicado pela doutrina como referência para qualquer modalidade de decisão clínica mediada por tecnologia, incluindo algoritmos diagnósticos. Quando o algoritmo recomenda e o médico homologa sem registro de análise crítica independente, o hospital que estruturou esse fluxo como procedimento padrão responde solidariamente. A distinção que o CFM traça entre decisão médica e apoio tecnológico, na prática do contencioso judicial, raramente favorece a instituição que não documentou o processo.
A fragmentação do setor representa um fator adicional de risco. Diferentemente de grandes redes hospitalares com departamentos de assuntos regulatórios e jurídico interno, a maior parte das clínicas de diagnóstico, centros de especialidades e pequenos hospitais privados adota tecnologias de IA por meio de contratos com healthtechs ou fornecedores de equipamentos que integram o software ao hardware, sem que haja uma análise formal do enquadramento regulatório, dos limites de responsabilidade contratual e dos requisitos de supervisão clínica. Nesses casos, a exposição é integral e o passivo jurídico, invisível até que o primeiro evento adverso materialize a cadeia causal.
O argumento mais recorrente contra a urgência dessa análise sustenta que o ambiente regulatório ainda está em formação, que a Anvisa não concluiu o arcabouço normativo completo para IA em saúde e que antecipar medidas de compliance seria investir em incerteza. Esse argumento subestima a forma como o Judiciário brasileiro opera em matéria de responsabilidade civil: os tribunais não aguardam regulamentação setorial para imputar responsabilidade. Eles aplicam os princípios gerais do CDC, o conceito de defeito do serviço e o dever de cuidado institucional. A lacuna regulatória não cria um porto seguro; ela cria um ambiente em que a instituição não tem sequer o argumento da conformidade normativa para apresentar em sua defesa.
A posição analítica que emerge desse cenário é que o risco de passividade já supera o custo de antecipação. Instituições que documentarem hoje seus protocolos de supervisão clínica sobre sistemas de IA, que mapearem os SaMD em uso segundo os critérios da RDC nº 657/2022, que formalizarem os limites contratuais de responsabilidade com fornecedores de tecnologia e que treinarem equipes médicas para registrar o processo de validação humana das recomendações algorítmicas estarão em posição substancialmente melhor quando o primeiro litígio de referência sobre IA diagnóstica for julgado no Brasil, o que, dada a trajetória de judicialização do setor, é questão de prazo, não de probabilidade.
O que muda para o setor
Presidentes e diretores de hospitais, clínicas de diagnóstico e redes de especialidades precisam, com urgência, mapear todos os sistemas de inteligência artificial em uso assistencial, verificar se estão enquadrados como SaMD sob a RDC nº 657/2022 da Anvisa e auditar os contratos com fornecedores de tecnologia para identificar se os limites de responsabilidade estão formalmente definidos. A ausência de registro de supervisão clínica sobre saídas algorítmicas, em caso de litígio, será interpretada como falha organizacional da instituição nos termos do art. 14 do CDC, não como culpa exclusiva do médico ou do fabricante do software.
Para as healthtechs e desenvolvedores de software médico que fornecem algoritmos diagnósticos a instituições de saúde, o risco é simétrico: contratos que não discriminam com precisão o escopo da responsabilidade pelo desempenho do algoritmo em condições reais de uso, fora dos cenários de validação clínica apresentados à Anvisa, expõem ambas as partes a litígios de difícil resolução. A revisão das minutas contratuais e a elaboração de protocolos de onboarding institucional com documentação de treinamento e supervisão clínica não são iniciativas de inovação; são instrumentos de gestão de passivo jurídico, e devem ser tratadas como tal no planejamento estratégico de curto prazo.
Por Letícia Medina/Notícias DataPolicy