E se o Brasil já tivesse uma base razoável para regular o uso da inteligência artificial na saúde — e o maior desafio agora não fosse começar do zero, mas alinhar as novas propostas às estruturas que já estão em funcionamento? E se o futuro da IA no SUS já estivesse em construção, com avanços concretos, e o verdadeiro risco fosse não aproveitá-los de forma coordenada, consistente e realista?

Essa talvez seja a melhor maneira de ler o momento atual.

O Projeto de Lei nº 2.338/2023, em discussão no Congresso Nacional, busca instituir o Marco Legal da Inteligência Artificial no Brasil [1]. O texto parte de princípios fundamentais — direitos humanos, transparência, não discriminação, supervisão humana — e propõe uma estrutura regulatória inspirada no AI Act europeu, incluindo classificação por risco, obrigações proporcionais e um sistema nacional de governança. Para os sistemas de IA aplicados à saúde, a proposta prevê o enquadramento como “alto risco”, exigindo medidas mais rigorosas como avaliação de impacto algorítmico, registro técnico, explicabilidade, documentação auditável e supervisão ativa.

Na teoria, isso soa como proteção. Na prática, há risco de que essa proteção se transforme em bloqueio.

O Brasil não está começando do zero. A Lei Geral de Proteção de Dados (LGPD) já garante proteção aos dados pessoais e dados pessoais sensíveis (que inclui dados de saúde), impõe base legal específica, determina obrigações de anonimização, prestação de contas, governança e direito à revisão de decisões automatizadas [2]. A Anvisa, por sua vez, regula os softwares como dispositivos médicos, por meio da RDC nº 657/2022 [3] e da RDC nº 751/2022 [4], exigindo validação clínica, rastreabilidade, evidência técnica e supervisão contínua — inclusive para algoritmos adaptativos e sistemas de aprendizado de máquina.

Esses são alguns dos marcos que compõem um conjunto relevante de obrigações para aplicações de IA em saúde. E mais: estão em vigor, são aplicáveis, e vêm sendo operacionalizados em diferentes contextos. O desafio, agora, é não criar uma nova camada normativa que sobreponha, duplique ou colida com essas regras — especialmente sem considerar as capacidades reais das instituições públicas que operam o SUS.

É nesse ponto que a regulação, se mal calibrada, pode falhar não por omissão, mas por excesso.

A Autoridade Nacional de Proteção de Dados (ANPD), definida como a autoridade competente para coordenar o sistema de governança da IA, terá papel central. Embora represente um avanço em relação a versões anteriores do projeto, essa definição traz consigo um desafio importante: a ANPD já carrega o peso de regular, orientar e fiscalizar a aplicação da LGPD em todos os setores da economia. Adicionar a ela a tarefa de coordenar transversalmente a regulação de IA sem definir com clareza as fronteiras entre sua atuação e a das agências setoriais como Anvisa e ANS — pode comprometer sua efetividade.

É possível e desejável que a ANPD exerça esse papel coordenador. Mas é preciso dotá-la de meios institucionais, técnicos e políticos para isso. E, acima de tudo, é necessário que a regulação da IA seja construída de forma coordenada com os órgãos reguladores já existentes, respeitando suas competências, aprendizados e estruturas técnicas [5][6].

Nesse cenário, um instrumento ganha especial relevância: o sandbox regulatório.

Previsto nos artigos 53 e 54 do PL [1], o sandbox é uma ferramenta fundamental para permitir que novas soluções em IA sejam testadas em ambiente supervisionado, com regras temporariamente ajustadas, avaliação contínua e foco em segurança. A proposta é bem-vinda. No entanto, da forma como está redigido, o texto não oferece a segurança jurídica necessária para que a inovação floresça com tranquilidade [7].

Primeiro, o texto não esclarece quais obrigações podem ser flexibilizadas no contexto do sandbox — e quais permanecerão obrigatórias. Segundo, não há previsão clara de limitação de responsabilidade civil para agentes públicos ou privados durante o período de teste, o que, na prática, pode inibir a adesão de atores que justamente mais precisam da ferramenta: gestores públicos, startups, universidades e pequenos municípios.

Terceiro, o PL não detalha como será feita a supervisão dos testes, como serão tratados os dados sensíveis utilizados nas soluções experimentais, e quais efeitos jurídicos terão os resultados do sandbox — inclusive no caso de falhas ou riscos não antecipados. Em vez de oferecer um ambiente de segurança para inovação, o sandbox descrito no texto atual pode se transformar em um campo de areia movediça regulatória, em vez de um ambiente seguro para inovação.

O risco de inovação sem proteção é real — mas o risco de não inovar por medo jurídico também é.
E isso seria uma perda estratégica.

Em um país de dimensões continentais, com alto grau de desigualdade e um sistema de saúde universal como o SUS, o sandbox pode ser a ponte entre regulação e realidade, especialmente para soluções desenvolvidas por atores públicos, centros de pesquisa e startups com baixo capital inicial. Com regras claras, proteção jurídica e apoio técnico, ele pode ajudar o país a testar novas rotas de cuidado, triagem, vigilância e gestão com IA — respeitando os direitos fundamentais, mas sem sufocar a inovação.

A verdade é que o Brasil já está inovando. Há experiências públicas relevantes em andamento. A Fiocruz, por exemplo, desenvolveu sistema para automação do registro de pesquisas na Plataforma Brasil, utilizando IA para leitura e extração de dados estruturados e não estruturados [8 e a EBSERH (Empresa Brasileira de Serviços Hospitalares) tem investido em algoritmos para análise de resistência antimicrobiana [9].

No âmbito do Hospital das Clínicas da Faculdade de Medicina da USP, o InovaHC coordena diferentes frentes de uso de IA, com destaque para o In.Lab. O espaço integra pesquisas e desenvolvimentos com foco em soluções assistenciais baseadas em inteligência artificial, como sistemas de apoio à decisão clínica, triagem automatizada de exames de imagem e mineração de achados incidentais — iniciativas voltadas a melhorar desfechos clínicos e a gestão do cuidado em larga escala [10].

Essas experiências não devem ser tratadas como exceção, mas como ponto de partida. O papel da regulação é reconhecer esses avanços, criar instrumentos para protegê-los e permitir que se desenvolvam com responsabilidade.

O Marco Legal da IA pode ser um avanço relevante — se for construído com escuta institucional, coerência normativa e realismo jurídico. Ele precisa conversar com a LGPD, com as RDCs da Anvisa, com políticas do Ministério da Saúde, como a estratégia de saúde digital já em curso, e com a prática viva de quem inova no cotidiano das políticas públicas.

Importa dizer que esse debate já tem contado com contribuições técnicas qualificadas dentro e fora do Congresso Nacional. Há pesquisadoras, servidores públicos, especialistas e instituições comprometidas em fazer da regulação da IA um instrumento efetivo de proteção e estímulo à inovação.

A boa regulação não começa do zero — ela nasce da escuta, do reconhecimento das experiências institucionais e da coragem de abrir caminhos novos.

O desafio agora é seguir construindo uma regulação que seja sensível ao contexto, firme na proteção de direitos e aberta à experimentação responsável. Porque o que está em jogo não é apenas o texto de uma lei, mas a capacidade do Brasil de ser produtor — e não apenas consumidor — de inteligência artificial pensada para as nossas realidades.

Referências

1. BRASIL. Senado Federal. Projeto de Lei nº 2.338, de 2023. Institui o Marco Legal da Inteligência Artificial no Brasil. Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/161177. Acesso em: 4 mai. 2025.

2. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965/2014 (Lei Geral de Proteção de Dados Pessoais – LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.

3. AGÊNCIA NACIONAL DE VIGILÂNCIA SANITÁRIA (ANVISA). Resolução da Diretoria Colegiada – RDC nº 657, de 24 de fevereiro de 2022. Dispõe sobre softwares como dispositivos médicos (SaMDs). Diário Oficial da União, Brasília, DF, 25 fev. 2022.

4. AGÊNCIA NACIONAL DE VIGILÂNCIA SANITÁRIA (ANVISA). Resolução da Diretoria Colegiada – RDC nº 751, de 15 de setembro de 2022. Dispõe sobre a classificação de risco e os regimes de regularização de dispositivos médicos. Diário Oficial da União, Brasília, DF, 16 set. 2022.

5. FUNDAÇÃO GETULIO VARGAS (FGV). Caminhos para a implementação da autoridade competente para IA no Brasil. Núcleo de Direito, Internet e Sociedade (LAPIN/FGV), 2024.

6. INSTITUTO DE TECNOLOGIA E SOCIEDADE (ITS Rio). Panorama regulatório de Inteligência Artificial no Brasil. Rio de Janeiro, 2022.

7. COMISSÃO TEMPORÁRIA INTERNA SOBRE INTELIGÊNCIA ARTIFICIAL (CTIA). Relatório Preliminar. Senado Federal, 06 set. 2024 e 11 out. 2024.

8. FIOCRUZ BRASÍLIA. Fiocruz lança a primeira IA para registro de pesquisa clínica do mundo. 2024. Disponível em: https://www.fiocruzbrasilia.fiocruz.br/fiocruz-lanca-primeira-ia-para-registro-de-pesquisa-clinica-do-mundo/. Acesso em: 4 mai. 2025.

9. INSTITUTO DE TECNOLOGIA E SOCIEDADE (ITS Rio). Privacidade na era da inteligência artificial. Rio de Janeiro, 2023.
   
10. SIEMENS HEALTHINEERS. In.Lab – Siemens Healthineers e Instituto de Radiologia do Hospital das Clínicas inauguram espaço de Inovação e AI. 24 set. 2020. Disponível em: https://www.siemens-healthineers.com/br/press-room/press-releases/inlab-espaco-de-inovacao-e-ai.html. Acesso em: 4 mai. 2025.