·
Technology Adoption
Saúde
Healthcare IT / CIO
Regulamentação da UE sobre IA na saúde: MDR, RGPD e Lei da IA
Navegue pelas regulamentações da UE para IA clínica. Compreenda os requisitos de dispositivos médicos do MDR, a proteção de dados do RGPD e as obrigações de conformidade da Lei da IA para organizações de saúde

A IA na saúde na Europa não se enquadra num único quadro regulamentar. Enquadra-se em três simultaneamente, cada um com a sua própria autoridade, obrigações de conformidade e mecanismos de aplicação. Uma ferramenta clínica de IA que apoia decisões de diagnóstico pode necessitar de marcação CE como dispositivo médico, deve tratar dados de doentes em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) e é provável que seja classificada como de alto risco ao abrigo da Lei da IA da UE. Estes quadros não se aplicam de forma sequencial. Aplicam-se em paralelo e interagem de formas que nem sempre são diretas. Para as organizações de saúde que avaliam ou implementam IA, compreender este panorama regulamentar é pré-requisito para uma aquisição responsável e uma utilização clínica segura.
Os três pilares regulamentares que todas as empresas de IA na saúde devem compreender
Três quadros distintos da UE regem a implementação de IA clínica, cada um com uma preocupação primária diferente.
O Regulamento (UE) 2017/745 relativo aos Dispositivos Médicos (RDM) rege a segurança e o desempenho. O seu foco está em saber se um produto, incluindo software, é seguro para o seu propósito clínico pretendido e se foi validado para funcionar conforme declarado.
O RGPD rege a privacidade. O seu foco está em como os dados pessoais, particularmente os dados de saúde, são recolhidos, processados, armazenados e partilhados, e em garantir que os indivíduos mantêm direitos significativos sobre a sua informação.
A Lei da IA da UE (Regulamento (UE) 2024/1689, em vigor desde 1 de agosto de 2024) rege o risco sistémico. O seu foco está em saber se os sistemas de IA são transparentes, responsáveis e sujeitos a supervisão humana adequada, especialmente quando esses sistemas afetam direitos fundamentais ou decisões críticas para a segurança.
Como confirmaram em 2025 as perguntas frequentes conjuntas do Grupo de Coordenação dos Dispositivos Médicos (MDCG) e do Conselho da IA da UE (MDCG 2025-6), os sistemas de IA que se qualificam como dispositivos médicos devem cumprir simultaneamente o RDM/RDIV e a Lei da IA. A conformidade com um quadro não substitui a conformidade com outro.
Quando é que a IA na saúde se qualifica como dispositivo médico ao abrigo do RDM
Ao abrigo do RDM 2017/745, a questão central é se uma ferramenta de software tem uma finalidade médica pretendida. Ou seja, se o seu fabricante a destina a ser utilizada no diagnóstico, prevenção, monitorização, previsão, prognóstico, tratamento ou alívio de doenças. O software que cumpre esta definição é classificado como Software como Dispositivo Médico (SaMD) e deve cumprir o regime completo do RDM.
A finalidade pretendida é o fator determinante. Uma ferramenta de documentação que transcreve notas clínicas sem interpretar ou influenciar decisões clínicas encontra-se numa posição regulamentar diferente de um sistema de IA que assinala achados anormais, sugere diagnósticos ou prioriza a triagem de doentes. Este último tem muito mais probabilidade de ser classificado como SaMD.
Quando uma ferramenta é classificada como dispositivo médico, o fabricante deve:
Realizar uma avaliação de conformidade adequada à classificação de risco do dispositivo (Classe I a III)
Produzir e manter documentação técnica abrangente
Implementar um sistema de gestão da qualidade (SGQ)
Obter marcação CE antes de colocar o dispositivo no mercado da UE
Manter vigilância pós-comercialização e notificar incidentes graves
A análise da King & Spalding sobre a orientação MDCG 2025-6 identifica cinco áreas operacionais fundamentais onde as obrigações do RDM e da Lei da IA convergem: sistemas de gestão, governação de dados, documentação técnica, transparência e supervisão humana, e cibersegurança e precisão. Os fabricantes devem tratar estes aspetos como requisitos integrados e não como listas de verificação paralelas.
Uma complicação prática é a escassez de Organismos Notificados designados, as organizações independentes de avaliação de conformidade necessárias para classificações de dispositivos de maior risco. A Baker McKenzie observou que este estrangulamento, combinado com uma lacuna significativa nas normas harmonizadas para riscos específicos da IA, como o viés algorítmico e a deriva do modelo, cria atrasos reais para os fabricantes que procuram acesso ao mercado.
RGPD e IA clínica: o que conta como dados de categoria especial e porque é importante
Os dados de saúde processados por sistemas de IA são classificados como dados de categoria especial ao abrigo do artigo 9.º do RGPD, atraindo o mais alto nível de proteção disponível ao abrigo da legislação de proteção de dados da UE. Esta classificação aplica-se independentemente de o sistema de IA ser o responsável pelo tratamento de dados primário ou um subcontratante a jusante. A natureza dos dados, e não o papel do subcontratante, determina a classificação.
Para implementações de IA clínica, isto tem várias implicações diretas.
Fundamento jurídico. O tratamento de dados de saúde de categoria especial requer tanto um fundamento jurídico ao abrigo do artigo 6.º como uma condição adicional ao abrigo do artigo 9.º. Em contextos clínicos, as condições do artigo 9.º mais frequentemente aplicáveis são: tratamento necessário para diagnóstico médico ou prestação de cuidados de saúde (artigo 9.º, n.º 2, alínea h)), tratamento por razões de interesse público em saúde pública (artigo 9.º, n.º 2, alínea i)) e, quando nenhuma se aplica, consentimento explícito (artigo 9.º, n.º 2, alínea a)). O consentimento raramente é o fundamento mais adequado em contextos clínicos, dado o desequilíbrio de poder inerente entre doentes e prestadores de cuidados de saúde.
Minimização de dados e limitação da finalidade. Os sistemas de IA devem processar apenas os dados necessários para a sua finalidade específica. Esses dados não podem ser reutilizados sem um novo fundamento jurídico. Isto cria uma tensão particular quando os fornecedores desejam utilizar dados clínicos para treino ou melhoria de modelos, uma utilização que é tipicamente distinta da finalidade clínica original.
Direitos dos titulares dos dados. Os doentes mantêm direitos de acesso, retificação e, em certas circunstâncias, apagamento, mesmo quando os seus dados foram processados por sistemas de IA. As organizações de saúde devem ser capazes de responder a estes pedidos em relação aos dados detidos ou processados por fornecedores de IA terceiros.
Uma revisão dos quadros de privacidade e governação para dispositivos de saúde baseados em IA destacou que a conformidade com o RGPD em contextos clínicos habilitados por IA requer não apenas controlos técnicos, mas também estruturas de governação contínuas, incluindo avaliações de impacto sobre a proteção de dados (AIPD), registos de atividades de tratamento e acordos de subcontratação de dados claramente definidos.
Residência de dados e fluxos de dados transfronteiriços na IA de saúde da UE
O RGPD impõe restrições rigorosas à transferência de dados pessoais para fora do Espaço Económico Europeu (EEE). Para os fornecedores de IA clínica, isto significa que, quando os dados de doentes são processados ou armazenados em infraestruturas localizadas fora do EEE, incluindo em plataformas de nuvem alojadas nos EUA ou noutros locais, devem estar em vigor mecanismos de transferência específicos.
Os principais mecanismos são:
Decisões de adequação, quando a Comissão Europeia determina que um país terceiro proporciona um nível equivalente de proteção de dados (atualmente abrangendo um número limitado de jurisdições)
Cláusulas Contratuais-Tipo (CCT), que impõem obrigações contratuais tanto ao exportador como ao importador de dados
Regras Vinculativas das Empresas (RVE), utilizadas principalmente dentro de grupos empresariais multinacionais
Para as organizações de saúde, a questão prática não é simplesmente se um fornecedor assinou CCT, mas onde os dados são efetivamente processados e armazenados. A residência de dados na UE significa que os dados dos doentes são processados e armazenados em infraestruturas fisicamente localizadas no EEE. Isto elimina a necessidade de mecanismos de transferência transfronteiriça e simplifica consideravelmente a conformidade com o RGPD. As organizações de saúde devem exigir que os fornecedores especifiquem isto na documentação contratual.
Uma análise comparativa de políticas sobre a regulamentação da cibersegurança na saúde digital nos EUA, UE e Índia observou que a abordagem da UE à soberania de dados na saúde é significativamente mais prescritiva do que noutras jurisdições, um fator que afeta a forma como os fornecedores globais de IA arquitetam os seus produtos para os mercados europeus.
Como a Lei da IA da UE classifica a IA na saúde e o que significa alto risco na prática
A Lei da IA da UE estabelece um sistema de classificação baseado em risco com quatro níveis: risco inaceitável (proibido), alto risco, risco limitado e risco mínimo. A maioria das ferramentas clínicas de IA, incluindo sistemas de apoio ao diagnóstico, ferramentas de triagem e assistentes de documentação clínica que influenciam percursos de cuidados, provavelmente se enquadrará na categoria de alto risco.
Ao abrigo do artigo 6.º, n.º 1, e do Anexo I da Lei da IA, os sistemas de IA que são regulados como dispositivos médicos ao abrigo do RDM ou RDIV são automaticamente classificados como sistemas de IA de alto risco. O SaMD com marcação CE está sujeito tanto aos requisitos de conformidade do RDM como ao regime completo de conformidade da Lei da IA para alto risco.
A análise da Hunton Andrews Kurth sobre a aplicação da Lei da IA aos dispositivos médicos estabelece as principais obrigações para sistemas de IA de alto risco:
Documentação técnica: Registos detalhados do design do sistema, dados de treino, metodologia de validação e limitações conhecidas
Gestão de risco: Um sistema contínuo de gestão de risco que abrange riscos específicos da IA, incluindo viés algorítmico e deriva do modelo
Governação de dados: Requisitos relativos a conjuntos de dados de treino, validação e teste, incluindo deteção de viés e controlos de qualidade de dados
Transparência e instruções de utilização: Documentação clara para que os implementadores e utilizadores possam compreender as capacidades e limitações do sistema
Supervisão humana: Medidas técnicas e organizacionais que garantam que os humanos podem efetivamente monitorizar, anular e intervir nos resultados da IA
Avaliação de conformidade: Avaliação formal antes da colocação no mercado, com monitorização pós-comercialização contínua
Registo: Os sistemas de IA de alto risco devem ser registados na base de dados da UE para sistemas de IA
A Lei da IA também introduz obrigações de literacia em IA, em vigor desde fevereiro de 2025, exigindo que os fornecedores e implementadores garantam que o pessoal que trabalha com sistemas de IA tenha compreensão suficiente das capacidades e limitações da tecnologia. A Taylor Wessing observa que esta obrigação se aplica às organizações de saúde que implementam ferramentas de IA, não apenas aos fornecedores.
Onde o RDM, o RGPD e a Lei da IA se sobrepõem e onde entram em conflito
Os três quadros partilham vários pontos em comum. Todos exigem transparência sobre como um sistema funciona, que dados utiliza e quais são as suas limitações. Todos exigem gestão de risco documentada. Todos impõem obrigações de monitorização pós-comercialização ou contínua. Quando o RDM exige vigilância pós-comercialização e a Lei da IA exige monitorização pós-comercialização, estas obrigações podem, em princípio, ser abordadas através de um processo unificado.
Uma análise revista por pares publicada em 2025 que examina o nexo regulamentar entre a Lei da IA e o RDM/RDIV confirmou que o SGQ exigido ao abrigo do RDM pode servir de base para a conformidade com a Lei da IA, e que os requisitos de documentação técnica ao abrigo de ambos os quadros podem ser integrados em vez de duplicados. O artigo 8.º da Lei da IA contempla explicitamente esta integração para dispositivos médicos de IA.
Existem, no entanto, tensões genuínas.
Retenção de dados vs. minimização de dados. A Lei da IA encoraja e, em alguns casos, exige a retenção de dados de treino, conjuntos de dados de validação e registos para fins de auditoria e responsabilização. Os princípios de minimização de dados e limitação do armazenamento do RGPD apontam na direção oposta. Os fornecedores devem gerir esta tensão de forma explícita, tipicamente através de calendários de retenção específicos por finalidade e anonimização quando viável.
Transparência vs. confidencialidade comercial. Tanto a Lei da IA como o RGPD exigem transparência significativa sobre como os sistemas de IA processam dados e alcançam resultados. Na prática, os fornecedores podem resistir a divulgar arquiteturas de modelos proprietárias. Os quadros não resolvem totalmente esta tensão.
Viés algorítmico e o princípio de equidade do RGPD. O RGPD exige que o tratamento automatizado seja equitativo, mas não especifica como a equidade deve ser medida em sistemas de IA. A Lei da IA introduz requisitos de governação de dados mais específicos em torno da deteção de viés, mas comentários académicos observaram que nenhum dos quadros fornece orientação metodológica definitiva para os programadores de IA na saúde.
O próprio panorama regulamentar está em evolução. Duas propostas legislativas concorrentes da UE, o Omnibus Digital (liderado pela DG CONNECT) e a alteração RDM/RDIV da DG SANTE, procuram simplificar a sobreposição Lei da IA/RDM. A análise do Petrie-Flom Center da Harvard Law School levanta preocupações de que os esforços de simplificação possam inadvertidamente enfraquecer as salvaguardas de supervisão humana, particularmente para clínicos e doentes. O resultado destas propostas permanece incerto em meados de 2026.
Quem é responsável ao abrigo de cada quadro: o fornecedor, o hospital ou ambos
A responsabilidade regulamentar ao abrigo dos três quadros é distribuída, e a atribuição difere dependendo de qual quadro se aplica.
Ao abrigo do RDM, a obrigação primária recai sobre o fabricante, tipicamente o fornecedor de IA. O fabricante é responsável pela avaliação de conformidade, marcação CE, documentação técnica e vigilância pós-comercialização. Uma organização de saúde que implementa um SaMD com marcação CE sem modificação está geralmente a atuar como operador e não como fabricante, com obrigações mais limitadas.
Ao abrigo do RGPD, a atribuição depende de quem determina as finalidades e os meios do tratamento. Uma organização de saúde que implementa um sistema de IA para processar registos de doentes é tipicamente o responsável pelo tratamento de dados, tendo a responsabilidade primária pelo fundamento jurídico, direitos dos doentes e obrigações de AIPD. O fornecedor de IA, processando dados em nome da organização, é normalmente o subcontratante, vinculado por um acordo de subcontratação de dados (ASD) que especifica o âmbito e as condições do tratamento.
Ao abrigo da Lei da IA da UE, é feita uma distinção entre fornecedores (aqueles que desenvolvem ou colocam sistemas de IA no mercado) e implementadores (aqueles que utilizam sistemas de IA num contexto profissional). Os fornecedores suportam o principal encargo de conformidade para sistemas de IA de alto risco, cobrindo documentação técnica, avaliação de conformidade e registo. Os implementadores têm as suas próprias obrigações: implementar medidas de supervisão humana, garantir literacia em IA entre o pessoal, monitorizar o desempenho do sistema em uso e suspender a utilização quando surgirem preocupações de segurança.
A análise da White & Case sobre o panorama pós-Diretiva de Responsabilidade da IA, após a retirada dessa diretiva em fevereiro de 2025, confirma que a Diretiva de Responsabilidade do Produto revista faz agora parte do quadro de responsabilidade para dispositivos médicos baseados em IA, com implicações tanto para fabricantes como para implementadores quando resulta dano de um sistema de IA defeituoso.
Um hospital que implementa uma ferramenta clínica de IA não pode presumir que a conformidade regulamentar é inteiramente da responsabilidade do fornecedor. A clareza contratual sobre papéis, obrigações e atribuição de responsabilidade é essencial antes da implementação.
O que as organizações de saúde devem perguntar aos fornecedores de IA antes da implementação
As equipas de aquisição e os responsáveis clínicos que avaliam ferramentas de IA para implementação clínica devem procurar respostas claras e documentadas às seguintes questões.
Sobre o RDM e o estatuto de dispositivo médico:
Este produto está classificado como dispositivo médico ao abrigo do RDM 2017/745 da UE?
Se sim, qual é a sua classificação de risco e foi obtida a marcação CE?
Pode fornecer a Declaração de Conformidade e o resumo de segurança e desempenho clínico?
Como é realizada a vigilância pós-comercialização e como são notificados os incidentes?
Sobre o RGPD e o tratamento de dados:
Onde são processados e armazenados os dados dos doentes? A residência de dados na UE está garantida?
Irá assinar um Acordo de Subcontratação de Dados em conformidade com o artigo 28.º do RGPD?
Está disponível uma Avaliação de Impacto sobre a Proteção de Dados para revisão?
Os dados dos doentes são utilizados para treino ou melhoria de modelos? Se sim, com que fundamento jurídico?
Como são tratados os direitos dos titulares dos dados (acesso, apagamento, retificação)?
Sobre a Lei da IA da UE:
Este sistema está classificado como sistema de IA de alto risco ao abrigo da Lei da IA da UE?
Que avaliação de conformidade foi concluída, ou está planeada, ao abrigo da Lei da IA?
Que documentação técnica está disponível cobrindo dados de treino, validação e limitações conhecidas?
Que mecanismos de supervisão humana estão integrados no sistema?
O sistema está registado na base de dados de sistemas de IA da UE?
Sobre segurança e auditoria:
A organização detém certificação ISO 27001 e está atualizada?
Que capacidades de trilha de auditoria o sistema fornece?
Como são identificadas e abordadas as vulnerabilidades de cibersegurança após a implementação?
Sobre literacia em IA:
Que formação ou documentação é fornecida para apoiar as obrigações de literacia em IA ao abrigo da Lei da IA?
Respostas incompletas ou evasivas a estas questões devem ser tratadas como um sinal de risco significativo na aquisição.
Como o panorama regulamentar está a evoluir: o que observar até 2026 e além
A Lei da IA da UE entrou em vigor em 1 de agosto de 2024, mas as suas obrigações aplicam-se num calendário faseado. Os marcos principais incluem:
Fevereiro de 2025: Aplicam-se as proibições sobre sistemas de IA de risco inaceitável. Entram em vigor as obrigações de literacia em IA para fornecedores e implementadores.
Agosto de 2026: As obrigações de sistemas de IA de alto risco ao abrigo do Capítulo III aplicam-se na íntegra, incluindo as relativas a dispositivos médicos de IA ao abrigo do Anexo I.
Agosto de 2027: Aplicabilidade total em todas as disposições restantes.
O guia de conformidade da MDX CRO observa que existem disposições transitórias para sistemas de IA já legalmente no mercado antes de agosto de 2026, mas estas disposições são limitadas no tempo e não isentam os fabricantes da conformidade total eventual.
Dois desenvolvimentos adicionais merecem atenção especial.
O Regulamento do Espaço Europeu de Dados de Saúde (EEDS) entrou em vigor em 26 de março de 2025. O EEDS cria um quadro para a utilização secundária de dados de saúde, incluindo para desenvolvimento e investigação de IA, nos Estados-Membros da UE. A orientação oficial da Comissão Europeia sobre IA na saúde identifica o EEDS como um facilitador fundamental do desenvolvimento responsável de IA clínica, mas a sua interação com o princípio de limitação da finalidade do RGPD exigirá clarificação contínua à medida que a implementação prossegue.
As propostas de simplificação concorrentes, o Omnibus Digital e a alteração RDM/RDIV da DG SANTE, procuram reduzir o encargo de conformidade na interseção RDM/Lei da IA. Como observou o Petrie-Flom Center da Harvard Law School, o resultado destas propostas pode alterar significativamente o panorama de conformidade para IA clínica, seja simplificando os requisitos de conformidade dupla ou, se as disposições de supervisão humana forem enfraquecidas, criando novos riscos para a segurança do doente.
A incerteza sobre a legalidade da utilização de IA em contextos clínicos específicos permanece um desafio genuíno para os prestadores de cuidados de saúde, mesmo quando existem quadros. A conformidade regulamentar na IA clínica não é uma caixa de verificação única na aquisição. Requer monitorização contínua de um ambiente regulamentar que continua a desenvolver-se, e uma estrutura de governação capaz de responder à medida que as obrigações evoluem.
Perguntas frequentes
Que quadros regulamentares se aplicam à IA clínica na Europa
Três quadros da UE aplicam-se simultaneamente à IA clínica. O Regulamento relativo aos Dispositivos Médicos (RDM) 2017/745 rege a segurança e o desempenho. O Regulamento Geral sobre a Proteção de Dados (RGPD) rege como os dados dos doentes são recolhidos, processados e armazenados. A Lei da IA da UE (Regulamento (UE) 2024/1689), em vigor desde 1 de agosto de 2024, rege a transparência, responsabilização e supervisão humana. As perguntas frequentes conjuntas do Grupo de Coordenação dos Dispositivos Médicos e do Conselho da IA da UE confirmaram em 2025 que a conformidade com um quadro não substitui a conformidade com outro.
Quando é que uma ferramenta clínica de IA se qualifica como dispositivo médico ao abrigo do RDM da UE
Uma ferramenta clínica de IA qualifica-se como dispositivo médico quando o seu fabricante a destina a ser utilizada no diagnóstico, prevenção, monitorização, previsão, prognóstico, tratamento ou alívio de doenças. O software que cumpre esta definição é classificado como Software como Dispositivo Médico (SaMD). Uma ferramenta de documentação que transcreve notas clínicas sem influenciar decisões clínicas encontra-se numa posição regulamentar diferente de um sistema de IA que assinala achados anormais ou prioriza a triagem de doentes. Este último tem muito mais probabilidade de ser classificado como SaMD e deve obter marcação CE antes de ser colocado no mercado da UE.
Como se aplica o RGPD aos dados de saúde processados por sistemas de IA
Os dados de saúde processados por sistemas de IA são classificados como dados de categoria especial ao abrigo do artigo 9.º do RGPD, atraindo o mais alto nível de proteção disponível ao abrigo da legislação de proteção de dados da UE. O seu tratamento requer tanto um fundamento jurídico ao abrigo do artigo 6.º como uma condição adicional ao abrigo do artigo 9.º. Em contextos clínicos, as condições mais frequentemente aplicáveis são o tratamento necessário para diagnóstico médico ou prestação de cuidados de saúde, e o tratamento por razões de interesse público em saúde pública. Os sistemas de IA também devem aplicar a minimização de dados, o que significa que só podem processar dados necessários para a sua finalidade específica, e esses dados não podem ser reutilizados sem um novo fundamento jurídico.
O que significa residência de dados na UE para fornecedores de IA clínica
A residência de dados na UE significa que os dados dos doentes são processados e armazenados em infraestruturas fisicamente localizadas no Espaço Económico Europeu (EEE). O RGPD impõe restrições rigorosas à transferência de dados pessoais para fora do EEE, pelo que, quando um fornecedor processa dados em infraestruturas localizadas nos EUA ou noutros locais, devem estar em vigor mecanismos de transferência específicos, como as Cláusulas Contratuais-Tipo. A residência de dados na UE elimina a necessidade destes mecanismos e simplifica consideravelmente a conformidade com o RGPD. As organizações de saúde devem exigir que os fornecedores especifiquem os acordos de residência de dados na documentação contratual.
Como é que a Lei da IA da UE classifica as ferramentas de IA na saúde
A Lei da IA da UE estabelece um sistema de classificação baseado em risco com quatro níveis: risco inaceitável (proibido), alto risco, risco limitado e risco mínimo. A maioria das ferramentas clínicas de IA, incluindo sistemas de apoio ao diagnóstico, ferramentas de triagem e assistentes de documentação clínica que influenciam percursos de cuidados, provavelmente se enquadrará na categoria de alto risco. Ao abrigo do artigo 6.º, n.º 1, e do Anexo I da Lei da IA, os sistemas de IA regulados como dispositivos médicos ao abrigo do RDM são automaticamente classificados como sistemas de IA de alto risco, tornando-os sujeitos tanto aos requisitos de conformidade do RDM como ao regime completo de conformidade da Lei da IA para alto risco.
Onde é que o RDM, o RGPD e a Lei da IA da UE se sobrepõem ou entram em conflito
Os três quadros exigem transparência, gestão de risco documentada e obrigações de monitorização contínua. Uma análise revista por pares publicada em 2025 confirmou que o sistema de gestão da qualidade exigido ao abrigo do RDM pode servir de base para a conformidade com a Lei da IA, e que os requisitos de documentação técnica ao abrigo de ambos os quadros podem ser integrados em vez de duplicados. Existem, no entanto, tensões genuínas. A Lei da IA encoraja a retenção de dados de treino e registos para fins de auditoria, enquanto os princípios de minimização de dados e limitação do armazenamento do RGPD apontam na direção oposta. Os fornecedores devem gerir esta tensão de forma explícita, tipicamente através de calendários de retenção específicos por finalidade e anonimização quando viável.
Quem é responsável pela conformidade regulamentar: o fornecedor de IA ou a organização de saúde
A responsabilidade é distribuída pelos três quadros, e a atribuição difere dependendo de qual quadro se aplica. Ao abrigo do RDM, a obrigação primária recai sobre o fabricante, tipicamente o fornecedor de IA, que é responsável pela marcação CE, documentação técnica e vigilância pós-comercialização. Ao abrigo do RGPD, a organização de saúde que implementa o sistema de IA é tipicamente o responsável pelo tratamento de dados, tendo a responsabilidade primária pelo fundamento jurídico e direitos dos doentes, enquanto o fornecedor atua como subcontratante. Ao abrigo da Lei da IA da UE, os fornecedores suportam o principal encargo de conformidade para sistemas de IA de alto risco, mas as organizações implementadoras têm as suas próprias obrigações, incluindo implementar supervisão humana e garantir literacia em IA do pessoal. Um hospital que implementa uma ferramenta clínica de IA não pode presumir que a conformidade regulamentar é inteiramente da responsabilidade do fornecedor.
Que questões devem as organizações de saúde colocar aos fornecedores de IA antes da implementação
As equipas de aquisição devem pedir aos fornecedores que confirmem se o produto detém marcação CE como dispositivo médico e qual é a sua classificação de risco. Sobre proteção de dados, devem perguntar onde os dados dos doentes são processados e armazenados, se a residência de dados na UE está garantida, e se os dados dos doentes são utilizados para treino de modelos e com que fundamento jurídico. Sobre a Lei da IA da UE, devem perguntar se o sistema está classificado como de alto risco, que avaliação de conformidade foi concluída e que mecanismos de supervisão humana estão integrados. Sobre segurança, devem perguntar se o fornecedor detém certificação ISO 27001 atualizada. Respostas incompletas ou evasivas devem ser tratadas como um sinal de risco significativo na aquisição.
Quando é que as obrigações da Lei da IA da UE para sistemas clínicos de IA de alto risco entram em pleno vigor
A Lei da IA da UE entrou em vigor em 1 de agosto de 2024, mas as suas obrigações aplicam-se num calendário faseado. As proibições sobre sistemas de IA de risco inaceitável e as obrigações de literacia em IA para fornecedores e implementadores entraram em vigor em fevereiro de 2025. As obrigações de sistemas de IA de alto risco ao abrigo do Capítulo III, incluindo as relativas a dispositivos médicos de IA, aplicam-se na íntegra a partir de agosto de 2026. A aplicabilidade total em todas as disposições restantes segue-se em agosto de 2027. Existem disposições transitórias para sistemas de IA já legalmente no mercado antes de agosto de 2026, mas estas são limitadas no tempo e não isentam os fabricantes da conformidade total eventual.
O que é o Espaço Europeu de Dados de Saúde e como afeta a IA clínica
O Regulamento do Espaço Europeu de Dados de Saúde (EEDS) entrou em vigor em 26 de março de 2025. Cria um quadro para a utilização secundária de dados de saúde, incluindo para desenvolvimento e investigação de IA, nos Estados-Membros da UE. A Comissão Europeia identifica o EEDS como um facilitador fundamental do desenvolvimento responsável de IA clínica. A sua interação com o princípio de limitação da finalidade do RGPD, que restringe a reutilização de dados sem um novo fundamento jurídico, exigirá clarificação contínua à medida que a implementação prossegue.