IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
PB-2026-015

Governança de IA para o Setor de Saúde Suplementar: Guia de Conformidade para Operadoras e Prestadores

Thiago Almeida, André NakamuraMarço 2026IBGIA Working Paper Series

Governança de IA para o Setor de Saúde Suplementar: Guia de Conformidade para Operadoras e Prestadores

Autores: Thiago Almeida, André Nakamura Série: IBGIA Policy Brief Series Número: PB-2026-015 Data: Maio 2026

Sumário Executivo

Operadoras de planos de saúde, hospitais e clínicas estão adotando IA em escala acelerada: desde sistemas de autorização prévia automatizada até algoritmos de triagem de sinistros e modelos preditivos de utilização. O setor de saúde suplementar brasileiro — com 50 milhões de beneficiários e R$ 280 bilhões de receita anual — enfrenta uma confluência de regulações que poucos gestores compreendem plenamente: LGPD, PL 2338/2023, resoluções da ANS e normas do CFM.

Este policy brief oferece um guia prático de conformidade para gestores de operadoras de saúde, hospitais e prestadores de serviços de saúde que utilizem ou pretendam adotar sistemas de IA — organizando as obrigações legais, os riscos mais críticos e um checklist de implementação por tipo de uso.

1. Usos de IA na Saúde Suplementar: Panorama

1.1 Principais Aplicações

Autorização prévia e gestão de sinistros:

  • Sistemas de autorização prévia automatizada para procedimentos (cirurgias, exames, internações)
  • Algoritmos de detecção de fraude em sinistros
  • Modelos preditivos de custo por beneficiário para precificação e provisionamento

Diagnóstico e apoio clínico:

  • IA de interpretação de imagens médicas (radiologia, patologia, dermatologia)
  • Sistemas de apoio à decisão clínica (clinical decision support — CDS)
  • Algoritmos de estratificação de risco para gestão de populações

Atendimento ao beneficiário:

  • Chatbots e assistentes virtuais para atendimento 24h
  • Triagem automatizada de sintomas com encaminhamento
  • Plataformas de telemedicina com análise de dados do paciente

Recursos humanos e operações:

  • Algoritmos de escalonamento de profissionais
  • Sistemas de avaliação de desempenho de prestadores
  • IA para detecção de burnout e absenteísmo

1.2 Riscos Documentados no Setor

Negação algorítmica de cobertura: Em 2024, investigação do IDEC e da Defensoria Pública de SP revelou que ao menos 4 operadoras de médio porte utilizavam sistemas automatizados de negação de autorização prévia sem revisão médica obrigatória — em violação à Resolução Normativa ANS 465/2021. Pacientes com diagnóstico de câncer tiveram quimioterapia negada algoritmicamente por "fora de protocolo" sem que o médico auditor revisasse o pedido.

Discriminação preditiva na precificação: Operadoras que usam dados de wearables e apps de saúde para precificação de planos individuais criam incentivos perversos: beneficiários com piores indicadores de saúde pagam mais, reduzindo o princípio de mutualismo que sustenta o modelo de saúde suplementar.

Alucinações em CDS: Sistemas de clinical decision support baseados em LLMs têm produzido recomendações clínicas incorretas. Em 3 casos documentados no Brasil em 2025, sugestões de dosagem geradas por IA foram seguidas por prescritores sem verificação independente, resultando em eventos adversos.

2. Marco Regulatório Aplicável

2.1 Confluência de Normas

| Norma | Aplica-se a | Obrigações-chave para IA | |---|---|---| | LGPD | Todos que tratam dados de saúde | Consentimento específico para dados de saúde (art. 11), DPO, RIPD | | PL 2338/2023 | Sistemas de IA de alto risco | AIA, explicabilidade, canal de contestação | | RN ANS 465/2021 | Operadoras | Revisão médica obrigatória em negações | | CFM Resolução 2.314/2022 | Médicos e sistemas de apoio | IA como ferramenta auxiliar, responsabilidade médica | | LGPD + CFM | Telemedicina | Sigilo, armazenamento, responsabilidade |

2.2 Classificação de Alto Risco

O PL 2338/2023, se aprovado com o texto atual, classifica automaticamente como sistemas de IA de alto risco aqueles que realizam:

  • Tomada de decisão em saúde com impacto significativo no acesso a serviços
  • Triagem e priorização de atendimento

Implicações práticas: Sistemas de autorização prévia automatizada, algoritmos de negação de sinistros e ferramentas de estratificação de risco que direcionem recursos de saúde devem cumprir as obrigações de alto risco do PL 2338:

  • Avaliação de Impacto Algorítmico (AIA) antes do deployment
  • Documentação técnica abrangente
  • Canal de contestação com revisão humana
  • Registro na autoridade competente

2.3 Dados de Saúde como Dados Sensíveis

A LGPD (art. 11) classifica dados de saúde como dados sensíveis, sujeitos a regime mais restritivo:

  • Tratamento permitido apenas com consentimento específico e destacado OU para tutela da saúde (art. 11, II, f)
  • Compartilhamento com terceiros exige justificativa específica
  • RIPD (Relatório de Impacto à Proteção de Dados) obrigatório para tratamento de dados sensíveis em larga escala

Atenção: Dados inferidos de comportamento (padrões de uso de app, geolocalização, wearables) que permitam inferir condição de saúde também são tratados como sensíveis pela ANPD.

3. Checklist por Tipo de Sistema

3.1 Sistemas de Autorização Prévia Automatizada

Obrigações legais:

  • [ ] Revisão médica obrigatória para todas as negações (RN ANS 465/2021 + CRM local)
  • [ ] Canal de recurso com médico auditor humano em até 24h para casos urgentes
  • [ ] Registro em log de todas as decisões automáticas com identificação do algoritmo e versão
  • [ ] AIA publicada (se PL 2338 aprovado) OU RIPD (LGPD, já obrigatório)
  • [ ] Informação ao beneficiário sobre uso de IA na decisão
  • [ ] Taxa de negação automática monitorada e reportada à ANS anualmente

Boas práticas adicionais:

  • [ ] Auditoria semestral da taxa de falsos positivos por tipo de procedimento
  • [ ] Revisão humana obrigatória para procedimentos oncológicos, psiquiátricos e pediátricos
  • [ ] Treinamento do médico auditor sobre como contestar decisões do algoritmo

Riscos críticos:

  • Negação sem revisão médica: infração grave à RN 465/2021, multa ANS + responsabilidade civil
  • Uso de dados sensíveis sem consentimento para treinamento do modelo: violação da LGPD, multa até 2% do faturamento

3.2 Sistemas de Diagnóstico por Imagem (Radiologia/Patologia/Dermatologia)

Obrigações legais:

  • [ ] Validação pelo CFM como ferramenta auxiliar — laudo final assinado por médico responsável
  • [ ] Registro do sistema como software de uso médico na ANVISA (RDC 40/2015 e IN 63/2021)
  • [ ] Treinamento e validação em dataset representativo da população brasileira
  • [ ] Documentação de limitações conhecidas do sistema (tipos de imagem, populações)

Boas práticas adicionais:

  • [ ] Validação específica para populações negras e indígenas (desempenho diferenciado documentado)
  • [ ] Segunda opinião humana obrigatória para casos borderline (inconclusivos)
  • [ ] Registro de casos de discordância médico-IA para retroalimentação do modelo

Riscos críticos:

  • Laudo emitido por IA sem assinatura médica: exercício ilegal da medicina (CP art. 282)
  • Sistema não registrado na ANVISA: infração sanitária, multa e interdição

3.3 Chatbots e Triagem Automatizada de Sintomas

Obrigações legais:

  • [ ] Identificação clara ao usuário de que está interagindo com sistema automatizado
  • [ ] Proibição de diagnóstico definitivo ou prescrição — apenas triagem e encaminhamento
  • [ ] Protocolo obrigatório de crise para sintomas de emergência (dor no peito, AVC, ideação suicida)
  • [ ] Encaminhamento imediato a humano quando sistema não puder responder adequadamente
  • [ ] Armazenamento de logs com acesso pelo CFM em caso de investigação

Boas práticas adicionais:

  • [ ] Teste com usuários com baixa literacia digital antes do deployment
  • [ ] Avaliação de desempenho em português com regionalismo (sintomas descritos de forma informal)
  • [ ] Limitação de coleta de dados ao estritamente necessário para a triagem

Riscos críticos:

  • Diagnóstico emitido por chatbot sem médico: exercício ilegal da medicina
  • Falha no protocolo de crise para ideação suicida: responsabilidade civil grave

3.4 Modelos Preditivos de Risco e Precificação

Obrigações legais:

  • [ ] Vedação ao uso de dados sensíveis (saúde, raça, religião) como variáveis de precificação discriminatória
  • [ ] Consentimento específico para uso de dados de wearables e apps de saúde na precificação
  • [ ] Transparência ao beneficiário sobre variáveis que influenciam seu prêmio
  • [ ] AIA para modelos que afetam acesso a cobertura

Boas práticas adicionais:

  • [ ] Auditoria independente anual para detecção de proxy discrimination (variáveis neutras que funcionam como proxies de raça/gênero)
  • [ ] Limitação de personalização de prêmio por comportamento — preservação do mutualismo
  • [ ] Canal de contestação para beneficiários que considerem precificação injusta

Riscos críticos:

  • Uso de dados de saúde para negar cobertura a beneficiários existentes: vedado pelo CDC (art. 51) e LGPD
  • Proxy discrimination em precificação: responsabilidade civil coletiva + ação do MPF

3.5 Sistemas de Clinical Decision Support (CDS)

Obrigações legais:

  • [ ] Registro na ANVISA como software de uso médico de Classe II ou III
  • [ ] Responsabilidade médica pela decisão final — documentar que IA é auxiliar
  • [ ] Validação clínica em população brasileira antes do uso em produção
  • [ ] Documentação de limitações (populações, condições, interações medicamentosas)

Boas práticas adicionais:

  • [ ] Treinamento obrigatório de prescritores antes do acesso ao sistema
  • [ ] Alerta explícito quando sistema opera fora de sua faixa de validação
  • [ ] Mecanismo de reporte de discordâncias médico-sistema ao fornecedor e ao CFM

Riscos críticos:

  • Evento adverso decorrente de recomendação de IA seguida sem verificação: responsabilidade solidária hospital + médico + fornecedor
  • Sistema não validado em população pediátrica usado em crianças: risco clínico e regulatório

4. Estrutura de Governança Recomendada

4.1 Comitê de IA em Saúde (CIS)

Operadoras com > 100 mil beneficiários ou hospitais com > 200 leitos devem constituir um Comitê de IA em Saúde com:

Composição mínima:

  • Diretor médico ou médico auditor sênior (presidente)
  • DPO ou responsável pela proteção de dados
  • Representante de TI/dados
  • Advogado com expertise em saúde suplementar
  • Representante de beneficiários (em operadoras com canal de ouvidoria ativo)

Atribuições:

  • Aprovação de novos sistemas de IA antes do deployment
  • Revisão semestral do RIPD/AIA de sistemas em operação
  • Análise de incidentes relacionados a IA
  • Reporte ao Conselho de Administração/Diretoria

4.2 Documentação Mínima por Sistema

Para cada sistema de IA em operação, manter:

  1. Ficha técnica: fornecedor, versão, data de implantação, tipo de dado processado, decisões impactadas
  2. Fundamento legal: base legal LGPD + justificativa regulatória ANS/CFM
  3. RIPD ou AIA: conforme aplicável
  4. Registro de incidentes: data, natureza, impacto, ação corretiva
  5. Métricas de desempenho: acurácia, taxa de falsos positivos/negativos, performance por subgrupo
  6. Treinamentos realizados: profissionais treinados, data, conteúdo

4.3 Protocolo de Incidente

Quando ocorrer erro ou comportamento inesperado de sistema de IA com impacto em beneficiário:

  1. Até 24h: registro interno do incidente, suspensão do sistema se risco grave
  2. Até 72h: notificação ao DPO, avaliação de impacto em outros beneficiários
  3. Até 5 dias úteis: notificação à ANS (se impacto em cobertura) e/ou ANPD (se vazamento de dados)
  4. Até 15 dias úteis: relatório de causa raiz e plano de ação corretiva
  5. Contínuo: monitoramento de beneficiários afetados e canal de atendimento prioritário

5. Recomendações

Para Operadoras de Saúde

  1. Realizar inventário completo de todos os sistemas com componente de IA em operação nos próximos 60 dias
  2. Priorizar conformidade dos sistemas de autorização prévia com RN 465/2021 antes de qualquer outra adequação
  3. Constituir Comitê de IA em Saúde com participação do diretor médico
  4. Incluir cláusulas de auditabilidade, explicabilidade e portabilidade em novos contratos com fornecedores de IA

Para Hospitais e Prestadores

  1. Verificar registro na ANVISA de todos os softwares de diagnóstico por imagem com componente de IA
  2. Implementar protocolo de treinamento obrigatório para prescritores que usam sistemas de CDS
  3. Criar mecanismo formal de reporte de discordâncias médico-IA para retroalimentação dos sistemas

Para a ANS

  1. Publicar resolução normativa específica sobre uso de IA em autorização prévia, complementando a RN 465/2021
  2. Criar canal de denúncia específico para beneficiários afetados por decisões algorítmicas de operadoras
  3. Exigir declaração anual de uso de IA nos processos assistenciais das operadoras (similar ao relatório de sustentabilidade)

Para o CFM

  1. Publicar resolução específica sobre uso de CDS baseado em LLMs — critérios de validação e responsabilidade
  2. Atualizar a Resolução 2.314/2022 (telemedicina) para incluir diretrizes sobre IA generativa em consultas

6. Conclusão

A saúde suplementar brasileira está diante de uma transformação irreversível impulsionada por IA. Os gestores que agirem agora para estruturar sua governança terão vantagem competitiva, menor exposição regulatória e, mais importante, menos incidentes que prejudiquem beneficiários.

O checklist deste policy brief não é uma lista de burocracia: é um mapa dos riscos reais que operadoras, hospitais e prestadores enfrentam. Negação algorítmica sem revisão médica, alucinações em CDS e discriminação preditiva na precificação não são cenários hipotéticos — já aconteceram no Brasil, com consequências jurídicas e humanas concretas.

O IBGIA disponibiliza modelos de AIA setorial para saúde e de cláusulas contratuais para fornecedores de IA médica mediante solicitação em [email protected].

Referências

  • ANS. Resolução Normativa 465/2021 — Dispõe sobre o processo de regulação assistencial. Brasília: ANS, 2021.
  • CFM. Resolução CFM 2.314/2022 — Telemedicina. Brasília: CFM, 2022.
  • ANVISA. RDC 40/2015 — Softwares como produtos para a saúde. Brasília: ANVISA, 2015.
  • ANVISA. IN 63/2021 — Requisitos mínimos para softwares como produtos para a saúde. Brasília: ANVISA, 2021.
  • IDEC/DPSP. Relatório: Negação Algorítmica de Cobertura em Operadoras de Saúde. São Paulo: IDEC, 2024.
  • IBGIA. Diagnóstico de Uso de IA na Saúde Suplementar Brasileira 2025. São Paulo: IBGIA, 2025.
  • ANPD. Nota Técnica sobre Tratamento de Dados de Saúde. Brasília: ANPD, 2024.
  • CFM. Nota de Esclarecimento sobre Inteligência Artificial em Medicina. Brasília: CFM, 2025.

PB-2026-015 | IBGIA Policy Brief Series | Maio 2026 Instituto Brasileiro de Governança em IA — ibgia.org

CompartilharLinkedInWhatsApp

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoRelatóriosPanorama 2026: tendências em governança de IA no mundoUm mapeamento das principais tendências globais em governança de IA para 2026: regulação, padrões técnicos, governança c...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para Working Papers