IA na Saúde: Regulação e Riscos Jurídicos no Brasil

Por SAFIE · 24 de abril de 2026 · 4 min de leitura

A MIT Technology Review Brasil trouxe, em abril de 2026, uma análise sobre como a inteligência artificial está transformando o setor de saúde: dados em tempo real, modelos preditivos e cuidado contínuo estão substituindo a lógica tradicional de atendimento apenas quando o paciente já está doente. A mudança é estrutural, não cosmética.

Para startups e healthtechs, a oportunidade é evidente. O mercado global de IA em saúde deve atingir US$ 187 bilhões até 2030, segundo a Grand View Research (2024). No Brasil, o setor movimenta bilhões em planos de saúde, hospitais e clínicas, e a digitalização acelerou após a pandemia.

O que muitos founders e CTOs subestimam é que essa mesma transformação tecnológica exige um mapa jurídico detalhado. No Brasil, operar IA na saúde sem compreender LGPD, regulação da ANS, normas da ANVISA e o cenário legislativo em curso é assumir um risco calculado da forma errada.

Contexto jurídico e regulatório

O que a lei brasileira já exige hoje

A Lei Geral de Proteção de Dados (Lei 13.709/2018, a LGPD) é o ponto de partida obrigatório. Dados de saúde são classificados como dados sensíveis (art. 11), o que impõe restrições mais severas ao tratamento. A base legal principal para healthtechs é o consentimento específico do titular ou a tutela da saúde, prestada por profissional habilitado ou entidade sanitária (art. 11, II, f).

Na prática, isso significa que um aplicativo de monitoramento preventivo que coleta dados de frequência cardíaca, padrões de sono ou glicemia precisa de consentimento granular, política de privacidade clara e, dependendo do volume e da natureza do tratamento, um Relatório de Impacto à Proteção de Dados Pessoais (RIPD). A Autoridade Nacional de Proteção de Dados (ANPD) já sinalizou, em sua Agenda Regulatória 2025-2026, que o setor de saúde é área prioritária de fiscalização.

A ANVISA regula software como dispositivo médico (SaMD, na sigla em inglês) por meio da RDC 657/2022. Sistemas de IA que auxiliam diagnóstico, triagem ou prescrição podem ser enquadrados como dispositivos médicos de classe II, III ou IV, exigindo registro sanitário antes da comercialização. Ignorar essa exigência caracteriza infração sanitária com multas que chegam a R$ 1,5 milhão por infração (Lei 6.437/1977).

O PL 2.338/2023 e o que muda para IA em saúde

O Projeto de Lei 2.338/2023, o chamado Marco Brasileiro de IA, tramita no Senado Federal e classifica sistemas de IA usados em saúde como de alto risco. Isso implica, quando aprovado, obrigações de transparência, avaliação de impacto algorítmico, supervisão humana obrigatória e documentação técnica detalhada dos modelos utilizados.

A classificação de alto risco não proíbe o uso, mas cria responsabilidade objetiva para o fornecedor do sistema em caso de dano ao paciente, independentemente de culpa. Startups que hoje desenvolvem modelos preditivos sem documentação adequada do processo de treinamento, dos dados utilizados e das limitações do modelo estão construindo passivos que poderão ser cobrados retroativamente após a aprovação da lei.

A ANS, por sua vez, já exige que operadoras de planos de saúde que utilizam algoritmos para negar ou restringir cobertura informem os critérios técnicos utilizados (Resolução Normativa 566/2022). Startups que fornecem tecnologia para operadoras tornam-se parte dessa cadeia de responsabilidade.

Impacto prático

Para founders e CTOs de healthtechs, o primeiro movimento prático é mapear se o produto é um SaMD segundo os critérios da ANVISA. Essa análise deve ocorrer antes do lançamento, não depois da primeira notificação. O registro sanitário pode levar de 60 dias a mais de um ano, dependendo da classe de risco, e esse prazo precisa entrar no roadmap do produto.

Do ponto de vista contábil, os custos de conformidade regulatória em saúde precisam ser provisionados como despesas operacionais recorrentes, não como evento extraordinário. Isso inclui honorários de consultoria regulatória, custos de auditoria de algoritmos, seguros de responsabilidade civil profissional e eventual contratação de um Data Protection Officer (DPO), que, embora não seja exigência legal expressa para todas as empresas, é recomendação formal da ANPD para operações com dados sensíveis em escala.

Investidores em deep tech e healthtech devem incluir due diligence regulatória específica nos processos de investimento. Startups sem registro ANVISA adequado, sem gestão documentada de consentimentos LGPD e sem preparação para o PL 2.338/2023 representam risco de portfólio que vai além do risco de mercado tradicional. Em uma eventual saída (M&A ou IPO), passivos regulatórios ocultos têm derrubado valuations em até 30%, segundo análises de transações no setor de saúde digital publicadas pela Rock Health (2024).

Considerações finais

A convergência entre IA e saúde preventiva é uma das transformações mais relevantes da última década. No Brasil, ela acontece em paralelo à construção do arcabouço regulatório, o que cria tanto oportunidade quanto responsabilidade. Empresas que tratarem compliance como diferencial competitivo, e não como obstáculo, estarão melhor posicionadas quando a fiscalização intensificar.

O conselho prático é direto: mapeie seu produto contra a RDC 657/2022 da ANVISA, revise sua base legal na LGPD, prepare sua documentação técnica pensando no PL 2.338/2023 e provisione os custos de conformidade no seu modelo financeiro. Regulação na saúde não é opcional, e o custo de ignorá-la é sempre maior do que o custo de endereçá-la preventivamente.

Perguntas frequentes

Meu aplicativo de saúde com IA precisa de registro na ANVISA?

Depende da funcionalidade. Se o aplicativo auxilia diagnóstico, triagem, monitoramento clínico ou recomendação de conduta terapêutica, muito provavelmente é classificado como Software como Dispositivo Médico (SaMD) pela RDC 657/2022 e exige registro sanitário antes da comercialização. Aplicativos de bem-estar geral, sem finalidade diagnóstica ou terapêutica, ficam fora dessa exigência, mas a linha entre as categorias é técnica e exige avaliação caso a caso.

Como a LGPD se aplica a dados de saúde coletados por IA?

Dados de saúde são dados sensíveis pela LGPD (art. 11). O tratamento exige base legal específica: consentimento expresso e destacado do titular, ou enquadramento em hipóteses como tutela da saúde por profissional habilitado. A empresa deve manter registros de consentimento, elaborar Política de Privacidade clara e, para operações em escala, produzir um Relatório de Impacto à Proteção de Dados (RIPD). A ANPD tem saúde como área prioritária de fiscalização em 2025-2026.

O que o PL 2.338/2023 muda para startups de IA na saúde?

O projeto classifica sistemas de IA em saúde como de alto risco, impondo obrigações de transparência algorítmica, supervisão humana obrigatória e documentação técnica dos modelos. A principal mudança é a responsabilidade objetiva do fornecedor do sistema em caso de dano ao paciente, sem necessidade de comprovação de culpa. Startups devem começar a documentar seus processos de desenvolvimento e as limitações dos modelos desde agora, antes da aprovação da lei.

Quem é responsável se um algoritmo de IA causar dano a um paciente?

A responsabilidade pode ser compartilhada entre o desenvolvedor do sistema (startup ou fornecedor de IA), o prestador de serviço de saúde que o utilizou e, em alguns casos, a operadora de plano de saúde. O Código de Defesa do Consumidor permite responsabilidade solidária na cadeia de fornecimento. Com o PL 2.338/2023, a responsabilidade objetiva do fornecedor do sistema de alto risco tende a ser positivada, facilitando ações de indenização.

Como provisionar contabilmente os custos de conformidade regulatória em saúde com IA?

Os custos de compliance regulatório devem ser tratados como despesas operacionais recorrentes, não como eventos extraordinários. Isso inclui: honorários de consultoria regulatória, auditoria de algoritmos, custos de registro ANVISA, seguro de responsabilidade civil e infraestrutura de gestão de consentimentos. No planejamento financeiro, recomenda-se reservar entre 5% e 10% do budget de tecnologia para conformidade, valor que varia conforme o nível de risco regulatório do produto.

Fontes e referências

MIT Technology Review Brasil - Fonte original: MIT Technology Review Brasil (https://mittechreview.com.br/podcast-ia-e-saude/) - Lei Geral de Proteção de Dados (LGPD) - Lei 13.709/2018 (https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) - ANVISA - RDC 657/2022 - Regulamentação de Software como Dispositivo Médico (https://www.in.gov.br/en/web/dou/-/resolucao-rdc-n-657-de-20-de-dezembro-de-2022) - Senado Federal - PL 2.338/2023 - Marco Brasileiro de Inteligência Artificial (https://www25.senado.leg.br/web/atividade/materias/-/materia/157233) - ANS - Resolução Normativa 566/2022 (https://www.ans.gov.br/component/legislacao/?view=legislacao&task=TextoLei&format=raw&id=NDAzNg==) - ANPD - Agenda Regulatória 2025-2026 (https://www.gov.br/anpd/pt-br) - Grand View Research - AI in Healthcare Market Report 2024 (https://www.grandviewresearch.com/industry-analysis/artificial-intelligence-ai-healthcare-market) - Rock Health - Digital Health Funding Report 2024 (https://rockhealth.com/insights/) - Lei 6.437/1977 - Infrações à legislação sanitária federal (https://www.planalto.gov.br/ccivil_03/leis/l6437.htm)