A inteligência artificial aplicada à saúde ganhou destaque recente em uma reportagem da MIT Technology Review Brasil sobre o tratamento multidisciplinar da Doença de Huntington. O texto mostra como equipes especializadas, com suporte de tecnologia, melhoram a qualidade de vida de pacientes com doenças raras.
O caso é ilustrativo: sistemas de IA que auxiliam diagnósticos, recomendam protocolos terapêuticos ou coordenam equipes clínicas são exatamente o tipo de aplicação que reguladores brasileiros têm no radar. Não por acaso, a regulação de IA no Brasil trata aplicações em saúde como categoria de alto risco.
Este artigo usa esse contexto como ponto de partida para mapear o cenário regulatório atual, as obrigações jurídicas concretas e os impactos financeiros e operacionais para empresas de tecnologia que desenvolvem ou comercializam sistemas de IA no país.
Contexto jurídico e regulatório
O marco regulatório em construção
O principal instrumento regulatório em tramitação é o PL 2.338/2023, aprovado pelo Senado Federal em dezembro de 2024 e encaminhado à Câmara dos Deputados. O texto é inspirado no AI Act europeu, mas adaptado à realidade brasileira, com classificação de sistemas por nível de risco: mínimo, limitado, alto e inaceitável.
Sistemas de IA aplicados à saúde, educação, crédito, segurança pública e processos seletivos são classificados automaticamente como alto risco. Para essas categorias, o PL exige documentação técnica detalhada, avaliação de impacto algorítmico, registro junto ao órgão competente e mecanismos de supervisão humana.
A autoridade responsável pela fiscalização ainda não foi definitivamente designada. O texto menciona a criação de uma Autoridade Nacional de Inteligência Artificial (ANIA), mas enquanto a lei não for promulgada, a ANPD (Autoridade Nacional de Proteção de Dados) tem atuado como referência regulatória, especialmente quando o sistema de IA envolve tratamento de dados pessoais, o que é praticamente universal em aplicações de saúde.
LGPD e IA: a intersecção já vigente
A Lei Geral de Proteção de Dados (Lei 13.709/2018) já é aplicável hoje. O artigo 20 da LGPD garante ao titular o direito de revisão de decisões tomadas exclusivamente por meios automatizados, incluindo definição de perfis. Esse dispositivo é diretamente relevante para sistemas de IA em saúde que recomendam tratamentos ou triagem de pacientes.
Empresas que utilizam IA para processar dados sensíveis, como informações genéticas, de saúde ou biométricos, precisam de base legal específica (artigo 11 da LGPD), consentimento expresso ou outra hipótese legal expressa. A ausência de conformidade expõe a empresa a multas de até 2% do faturamento no Brasil, limitadas a R$ 50 milhões por infração, conforme o artigo 52 da LGPD.
A ANPD publicou em 2024 o Regulamento de Comunicação de Incidentes de Segurança (Resolução CD/ANPD nº 15/2024), que impõe prazos específicos para notificação de vazamentos envolvendo dados sensíveis. Sistemas de IA em saúde são alvo direto dessa norma.
Responsabilidade civil e o Código de Defesa do Consumidor
O PL 2.338/2023 adota responsabilidade objetiva para fornecedores de sistemas de IA de alto risco: basta comprovar o dano e o nexo causal com o sistema, sem necessidade de provar culpa. Isso representa mudança significativa em relação ao regime geral do Código Civil (artigo 927), que exige culpa para responsabilização.
O CDC (Lei 8.078/1990) também incide quando o usuário final é consumidor. O artigo 14 do CDC já prevê responsabilidade objetiva por defeito na prestação de serviços, o que inclui serviços digitais baseados em IA. Startups B2C de saúde, por exemplo, já estão sujeitas a esse regime hoje, independentemente do PL ser aprovado.
Impacto prático
Para founders e CTOs de startups que desenvolvem IA para saúde, o primeiro passo prático é mapear os dados processados e classificar o sistema conforme os critérios do PL 2.338/2023. Esse exercício, conhecido como avaliação de impacto algorítmico, precisa estar documentado antes do lançamento do produto, não depois de um incidente.
Do ponto de vista contábil, os custos de conformidade devem ser provisionados como despesas operacionais recorrentes. Incluem: consultoria jurídica especializada, auditorias técnicas de algoritmos, contratação de DPO (encarregado de dados, obrigatório para processadores de dados sensíveis em escala) e desenvolvimento de documentação técnica exigida por lei. Empresas em fase de captação devem incluir esses custos no planejamento financeiro apresentado a investidores, pois due diligences em deep tech já verificam conformidade regulatória.
Investidores e fundos de venture capital voltados a healthtech e AI têm aumentado a exigência de compliance reports antes de fechar rodadas. Startups sem governança de dados estruturada e sem documentação técnica dos sistemas de IA têm enfrentado dificuldades em processos de due diligence, especialmente quando o destino do capital é mercados regulados como Europa e Estados Unidos, onde o AI Act europeu e o Executive Order norte-americano de 2023 já estão em vigor.
Considerações finais
A regulação de IA no Brasil não é uma ameaça futura: é uma realidade presente, construída sobre a LGPD vigente, a jurisprudência do CDC e um PL com alto grau de maturidade técnica. Esperar a promulgação da lei para iniciar a adequação é um erro estratégico que pode custar contratos, rodadas de investimento e, em casos extremos, a própria continuidade operacional da empresa.
O caso da IA aplicada ao tratamento de doenças raras, como Huntington, ilustra bem o potencial transformador dessas tecnologias. Mas esse potencial só se realiza de forma sustentável quando acompanhado de governança sólida, responsabilidade técnica e conformidade jurídica. Empresas que tratam regulação como vantagem competitiva, e não como custo, saem na frente.