IA na Saúde — Regulação no Brasil: ANS, ANVISA e LGPD

A saúde é um dos setores de maior risco regulatório para IA no Brasil. Ela combina dados pessoais sensíveis (LGPD art. 11), regulação setorial de produtos médicos (ANVISA), vigilância de planos (ANS) e o impacto direto do PL 2338 — que classificará sistemas de IA em diagnóstico, triagem e gestão de saúde como alto risco.

ANVISA — RDC 657 e softwares como dispositivo médico

A Resolução RDC 657/2022 da ANVISA regulamenta softwares que são dispositivos médicos (SaMD — Software as a Medical Device). IA usada para diagnóstico, prognóstico, triagem ou recomendação clínica se enquadra como SaMD e exige:

• Registro na ANVISA antes da comercialização
• Classificação de risco (Classe I a IV baseada no impacto clínico)
• Documentação técnica: dados de treinamento, validação clínica, desempenho do modelo
• Processo de pós-comercialização: monitoramento de eventos adversos e degradação de performance

Modelos de IA que apenas auxiliam o médico (sem tomar decisão) têm tratamento diferente de modelos que emitem laudos de forma autônoma. A linha divisória ainda está sendo consolidada pela ANVISA.

ANS — Planos de saúde e IA em autorizações

A ANS não publicou regulamento específico sobre IA, mas a Resolução Normativa 566/2022 sobre avaliação de tecnologias em saúde cria exigências indiretas. O uso de IA para negar autorizações de procedimentos (ex: pré-autorização por algoritmo) sem revisão humana documentada é uma área de altíssimo risco regulatório e de imagem.

LGPD — Dados sensíveis de saúde

Dados de saúde são dados pessoais sensíveis (LGPD art. 5º, II). O tratamento por IA exige base legal do art. 11 — mais restritiva que o art. 7º para dados comuns. As bases legais viáveis são: consentimento explícito do titular, tutela da saúde (por profissional de saúde ou entidade sanitária), ou pesquisa científica com anonimização.

Decisões automatizadas que afetam o acesso do paciente a tratamentos se enquadram diretamente no art. 20 da LGPD — com direito de revisão humana e explicabilidade obrigatória.

PL 2338 — Alto risco no setor de saúde

O texto aprovado no Senado classifica explicitamente como alto risco sistemas de IA usados em diagnóstico, prognóstico, triagem de pacientes e recomendação de tratamentos. As obrigações incluem AIA (Avaliação de Impacto Algorítmico), supervisão humana efetiva e registro no MCTI.

Checklist para healthtechs e hospitais

• Mapeamento de todos os sistemas de IA que afetam decisões clínicas ou acesso a tratamentos
• Verificação de necessidade de registro ANVISA (SaMD) para sistemas de diagnóstico
• Base legal LGPD art. 11 documentada para tratamento de dados de saúde
• Audit log das decisões automatizadas com retenção mínima de 20 anos (prazo de guarda de prontuário)
• Processo de revisão humana para negativas de autorização de procedimento
• Preparação para AIA do PL 2338 (sistemas de triagem e diagnóstico)