IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
PB-2026-016

Governança de IA para o Sistema Único de Saúde: Guia Prático para Gestores do SUS

Thiago Almeida, André NakamuraMarço 2026IBGIA Working Paper Series

Governança de IA para o Sistema Único de Saúde: Guia Prático para Gestores do SUS

Autores: Thiago Almeida, André Nakamura Série: IBGIA Policy Brief Series Número: PB-2026-016 Data: Maio 2026

Sumário Executivo

O SUS atende 160 milhões de brasileiros e enfrenta pressões crescentes de capacidade, financiamento e qualidade. A IA pode ser uma aliada poderosa — mas apenas se implementada com governança adequada. Diferentemente do setor privado, o SUS opera com obrigações constitucionais de universalidade e equidade que tornam os riscos de IA particularmente graves: um algoritmo que piora o acesso para populações vulneráveis viola não apenas a LGPD, mas princípios fundamentais do sistema de saúde brasileiro.

Este policy brief é um guia prático para gestores do SUS — secretários municipais e estaduais de saúde, diretores de hospitais públicos e servidores responsáveis por sistemas de informação — que precisam tomar decisões sobre adoção, contratação e operação de sistemas de IA em contexto de saúde pública.

Recomendações principais:

  1. Nenhum sistema de IA de impacto clínico deve ser contratado pelo SUS sem Avaliação de Impacto Algorítmico (AIA) prévia
  2. Dados de saúde do SUS são patrimônio público — contratos com BigTechs devem proibir uso secundário
  3. Priorizar soluções desenvolvidas por FIOCRUZ, DATASUS e universidades públicas sobre soluções proprietárias
  4. Garantir canal de revisão humana para todas as decisões algorítmicas que afetem acesso a serviços do SUS

1. IA no SUS: Estado Atual

1.1 Usos Existentes

Sistemas de triagem e regulação:

  • SISREG (Sistema Nacional de Regulação): plataforma federal de regulação de consultas e internações, com componentes de priorização algorítmica em alguns estados
  • Central de Regulação de SP: usa análise de dados para priorização de leitos em UTI
  • Telediagnóstico: sistemas de interpretação de imagens (raio-X, ECG) com apoio de IA em regiões remotas

Vigilância epidemiológica:

  • Sistema de Monitoramento de Arboviroses (InfoDengue/Fiocruz): modelos preditivos de surtos de dengue, zika e chikungunya
  • SIVEP-Gripe: análise preditiva de síndromes respiratórias
  • Laboratórios Centrais (LACENs): análise de padrões em exames laboratoriais para detecção precoce de surtos

Atenção Básica:

  • Prontuário Eletrônico do Cidadão (PEC) com módulos de análise de dados populacionais
  • Estratégia Saúde da Família: identificação algorítmica de populações de alto risco para busca ativa
  • Algumas SMS municipais usam machine learning para identificar gestantes com risco de pré-eclâmpsia

Gestão hospitalar:

  • Previsão de demanda de leitos (hospitais de ensino e hospitais estaduais de maior porte)
  • Otimização de escalas de profissionais
  • Detecção de Infecções Relacionadas à Assistência à Saúde (IRAS) por análise de prontuário

1.2 Riscos Específicos do Contexto SUS

Desigualdade amplificada: O SUS existe para garantir acesso universal e equânime. Qualquer sistema de IA que priorize algoritmicamente atendimentos cria risco de perpetuar ou amplificar desigualdades existentes — especialmente se treinado em dados históricos que refletem acesso desigual.

Baixa capacidade de governança: Municípios que são o principal ponto de atenção do SUS têm, na maioria, capacidade técnica muito limitada para avaliar sistemas de IA. Secretarias de saúde com menos de 5 servidores de TI são comuns — muitas vezes nenhum com formação em ciência de dados.

Dependência de fornecedores: Muitos sistemas do SUS são fornecidos por empresas privadas via contratos de longo prazo. A rescisão é cara e tecnicamente complexa. Isso cria lock-in que dificulta correção de vieses ou problemas identificados.

Dados de alto valor e risco de uso secundário: Os dados de saúde do SUS — com 160 milhões de pacientes, dados de décadas, granularidade clínica excepcional — são extremamente valiosos para pesquisa e para fins comerciais. O risco de uso secundário não autorizado por fornecedores é real.

2. Marco Legal e Obrigações dos Gestores

2.1 Constituição Federal e Lei 8.080/1990

Os princípios do SUS (universalidade, integralidade, equidade) são normas constitucionais. Gestores que adotem sistemas de IA que violem equidade — por exemplo, priorizando sistematicamente pacientes de determinados bairros ou perfis — podem ser responsabilizados por improbidade administrativa.

Dever de diligência: O gestor público não pode alegar desconhecimento técnico para justificar contratação de sistema de IA sem avaliação adequada. A lei de responsabilidade do gestor público exige diligência na contratação de qualquer serviço de impacto em direitos.

2.2 LGPD Aplicada ao SUS

O SUS é tratador de dados sensíveis (dados de saúde) em larga escala. Obrigações principais:

  • Base legal: tratamento de dados de saúde pelo SUS se enquadra em "proteção da saúde" (art. 11, II, f) — não exige consentimento individual mas exige finalidade específica
  • Compartilhamento: dados do SUS só podem ser compartilhados com terceiros (incluindo fornecedores de IA) para finalidades compatíveis com a prestação do serviço de saúde
  • Vedação de uso secundário: uso de dados do SUS para fins comerciais por fornecedores é ilegal mesmo que contratualmente permitido — cláusula seria nula por violação da LGPD
  • RIPD obrigatório: qualquer tratamento de dados de saúde em larga escala por sistema de IA exige Relatório de Impacto à Proteção de Dados (RIPD)

2.3 Lei de Licitações (Lei 14.133/2021)

A Nova Lei de Licitações exige que contratações de sistemas de IA com impacto em saúde incluam:

  • Especificação técnica detalhada incluindo requisitos de desempenho e equidade
  • Critérios de aceitação e recusa do sistema
  • Penalidades por descumprimento de métricas definidas em contrato

Atenção: contratar por "menor preço" sistemas de IA para uso clínico sem critérios de qualidade e equidade pode constituir prejuízo ao erário se o sistema causar danos evitáveis.

3. Checklist para Gestores do SUS

3.1 Antes de Contratar: Avaliação Prévia

Sobre o sistema:

  • [ ] O sistema tem registro na ANVISA como software de uso médico (se aplicação clínica)?
  • [ ] O fornecedor tem comprovação de validação em população brasileira/SUS?
  • [ ] O sistema foi treinado com dados que representam a diversidade racial e socioeconômica do Brasil?
  • [ ] Quais variáveis o sistema usa? Alguma é proibida por lei (raça, religião, dados não relacionados à saúde)?
  • [ ] O sistema foi avaliado para equidade entre grupos (raça, gênero, faixa etária, região)?
  • [ ] O fornecedor tem DPO designado e política de dados publicada?

Sobre o contrato:

  • [ ] O contrato proíbe explicitamente o uso dos dados do SUS para treinamento de modelos comerciais?
  • [ ] O contrato garante portabilidade dos dados ao encerrar?
  • [ ] O contrato prevê auditoria técnica pelo contratante ou empresa indicada?
  • [ ] O contrato inclui penalidades por desempenho abaixo de métricas definidas?
  • [ ] O contrato exige notificação em 24h em caso de incidente de segurança?
  • [ ] Os dados ficam armazenados em território nacional?

Processo interno:

  • [ ] Foi realizado RIPD (Relatório de Impacto à Proteção de Dados)?
  • [ ] Foi consultado o DPO da secretaria/autarquia?
  • [ ] Há responsável técnico designado para supervisão do sistema após implantação?
  • [ ] Os profissionais de saúde que usarão o sistema foram consultados no processo de seleção?

3.2 Durante a Operação: Monitoramento Contínuo

Desempenho e equidade:

  • [ ] Há monitoramento mensal de métricas de desempenho do sistema?
  • [ ] As métricas são desagregadas por raça, gênero, faixa etária e região sempre que possível?
  • [ ] Existe mecanismo para que profissionais de saúde reportem discordâncias ou comportamentos inesperados?
  • [ ] Há revisão semestral formal do sistema por equipe técnica da secretaria?

Direitos dos pacientes:

  • [ ] Pacientes são informados quando decisões sobre seu atendimento envolvem sistemas de IA?
  • [ ] Há canal para revisão humana de decisões algorítmicas que o paciente conteste?
  • [ ] O prazo de resposta a contestações é razoável (máximo 5 dias úteis para não-urgentes, 24h para urgentes)?

Segurança:

  • [ ] Logs de acesso ao sistema são mantidos por pelo menos 5 anos?
  • [ ] Há plano de contingência para falha do sistema (protocolo manual)?
  • [ ] Testes de penetração foram realizados antes do go-live?

3.3 Situações de Alerta: Quando Suspender o Sistema

Suspenda ou restrinja imediatamente o sistema de IA se:

  • Profissionais de saúde relatarem recomendações clinicamente absurdas em mais de 3 casos no mesmo mês
  • Taxa de negação de acesso a serviço aumentar > 20% sem explicação clínica evidente
  • Disparidade racial ou de gênero nos resultados for detectada em auditoria
  • Ocorrer vazamento de dados de pacientes
  • Fornecedor não responder a solicitação de esclarecimento em 72h

4. Cláusulas Contratuais Obrigatórias

Todo contrato de IA com impacto clínico ou de regulação de acesso no SUS deve incluir:

Cláusula 1 — Finalidade exclusiva: "Os dados de pacientes e usuários do SUS processados pelo sistema são de titularidade do ente público contratante e da pessoa natural a quem se referem, sendo vedado ao contratado utilizá-los para qualquer finalidade além da prestação do serviço objeto deste contrato, incluindo treinamento de modelos comerciais, venda, licenciamento ou compartilhamento com terceiros."

Cláusula 2 — Auditabilidade: "O contratado deve permitir, mediante solicitação com prazo mínimo de 15 dias, auditoria técnica do sistema por equipe indicada pelo contratante, incluindo acesso a documentação técnica, métricas de desempenho e histórico de versões do modelo."

Cláusula 3 — Métricas de equidade: "O contratado deve fornecer semestralmente relatório de desempenho do sistema desagregado por raça autodeclarada, gênero, faixa etária e macrorregião de atendimento, demonstrando ausência de disparidades estatisticamente significativas entre grupos."

Cláusula 4 — Revisão humana: "O sistema não pode substituir a decisão clínica de profissional de saúde habilitado. Toda decisão algorítmica com impacto direto em acesso a serviços de saúde deve ter canal de revisão humana acessível ao paciente sem custo adicional."

Cláusula 5 — Incidentes: "O contratado notificará o contratante, a ANPD e a ANVISA (se aplicável) em prazo máximo de 24 horas após identificação de incidente de segurança ou erro sistemático com potencial de impacto em mais de 100 pacientes."

Cláusula 6 — Soberania de dados: "Todos os dados processados pelo sistema serão armazenados exclusivamente em território nacional, em servidores certificados pelo Governo Federal, sendo vedada transferência internacional sem autorização expressa do contratante e da ANPD."

5. Prioridades por Esfera de Gestão

5.1 Municípios

Prioridade imediata:

  • Inventariar todos os sistemas com componente de IA em operação nas UBSs, UPAs e regulação
  • Para sistemas contratados sem as cláusulas acima: renegociar no primeiro aditamento disponível

Prioridade de médio prazo:

  • Aderir à Rede Nacional de Governança de IA em Saúde (proposta seção 6)
  • Capacitar ao menos um servidor em cada SMS para avaliação básica de sistemas de IA

5.2 Estados

Prioridade imediata:

  • Definir política estadual de IA em saúde com critérios de contratação
  • Auditar os maiores contratos de TI em saúde para identificar componentes de IA não declarados

Prioridade de médio prazo:

  • Criar centro de excelência estadual em dados de saúde com capacidade de avaliação de sistemas de IA
  • Compartilhar análises de contratos com municípios do estado para evitar duplicação de esforço

5.3 Ministério da Saúde / DATASUS

Prioridade imediata:

  • Publicar política nacional de IA em saúde pública com os critérios deste guia como base
  • Tornar obrigatório RIPD para qualquer sistema do DATASUS com componente algorítmico

Prioridade de médio prazo:

  • Desenvolver plataforma nacional de avaliação de sistemas de IA em saúde em parceria com FIOCRUZ
  • Criar repositório público de contratos de IA em saúde (com cláusulas sensíveis retiradas) para referência de gestores

6. Proposta: Rede Nacional de Governança de IA em Saúde (RNGIAS)

Propomos a criação de uma Rede Nacional de Governança de IA em Saúde (RNGIAS), coordenada pelo Ministério da Saúde com participação de estados, municípios, FIOCRUZ, CONASS e CONASEMS:

Funções:

  1. Avaliação e certificação de sistemas de IA para uso no SUS
  2. Biblioteca de contratos-modelo e cláusulas padrão
  3. Capacitação de gestores (cursos online gratuitos)
  4. Central de denúncias sobre comportamento inadequado de sistemas
  5. Pesquisa e desenvolvimento de soluções nacionais de IA para saúde pública

Financiamento:

  • Fundo Nacional de Saúde: 0,5% das transferências fundo-a-fundo condicionado a critérios de governança de IA para municípios acima de 50 mil habitantes
  • BNDES: linha específica para projetos de IA em saúde pública com requisitos de governança

7. Recomendações

Para Gestores Municipais

  1. Não contratar sistema de IA de impacto clínico sem RIPD e sem as cláusulas contratuais deste guia
  2. Exigir do fornecedor comprovação de validação em população semelhante à atendida pelo município
  3. Aderir à RNGIAS assim que constituída

Para Secretários Estaduais de Saúde

  1. Publicar resolução estadual tornando obrigatório o checklist deste guia para contratações estaduais
  2. Criar polo regional de governança de IA em saúde para apoiar municípios do estado

Para o Ministério da Saúde

  1. Publicar Portaria ministerial instituindo a Política Nacional de IA em Saúde Pública
  2. Constituir a RNGIAS como grupo de trabalho permanente com representação de todos os entes federativos
  3. Exigir que o DATASUS publique inventário de todos os sistemas com componente de IA em operação

Para o Congresso Nacional

  1. Incluir saúde pública como setor de alto risco com obrigações específicas no PL 2338/2023
  2. Destinar recursos do Fundo Nacional de Saúde para capacitação em governança de IA

8. Conclusão

O SUS é uma das maiores conquistas da democracia brasileira. Garantir que a IA no SUS sirva aos princípios constitucionais de universalidade e equidade — e não os subverta — é uma responsabilidade dos gestores públicos que não pode ser delegada a fornecedores de tecnologia.

Este guia oferece ferramentas concretas: checklist de contratação, cláusulas contratuais, indicadores de monitoramento e critérios para suspensão de sistemas. O que os gestores fazem com essas ferramentas determinará se a IA no SUS será um instrumento de justiça em saúde ou um novo mecanismo de exclusão.

Referências

  • MS/DATASUS. Nota Técnica sobre Uso de Inteligência Artificial nos Sistemas de Informação em Saúde. Brasília: MS, 2025.
  • FIOCRUZ. Inteligência Artificial e Saúde Pública: Oportunidades e Desafios para o SUS. Rio de Janeiro: Fiocruz, 2025.
  • CONASS. Nota de Posicionamento sobre IA em Saúde. Brasília: CONASS, 2025.
  • ANPD. Guia de Boas Práticas: Proteção de Dados no Setor Público de Saúde. Brasília: ANPD, 2025.
  • IBGIA. Diagnóstico de Uso de IA no SUS: Mapeamento Nacional. São Paulo: IBGIA, 2025.
  • CFM. Resolução CFM 2.314/2022 — Telemedicina e IA. Brasília: CFM, 2022.
  • WHO. Ethics and Governance of Artificial Intelligence for Health. Geneva: WHO, 2021.
  • BRASIL. Lei 8.080/1990 — Lei Orgânica da Saúde. Brasília: Congresso Nacional, 1990.

PB-2026-016 | IBGIA Policy Brief Series | Maio 2026 Instituto Brasileiro de Governança em IA — ibgia.org

CompartilharLinkedInWhatsApp

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoRelatóriosPanorama 2026: tendências em governança de IA no mundoUm mapeamento das principais tendências globais em governança de IA para 2026: regulação, padrões técnicos, governança c...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para Working Papers