- Dados de pacientes são dados de categoria especial do Artigo 9, o nível mais alto de proteção do GDPR, com condições rígidas de tratamento
- Sistemas de IA usados em tomada de decisão clínica são classificados como alto risco pelo Anexo III da Lei de IA da UE
- Uma DPIA é obrigatória antes de implantar qualquer ferramenta de IA que trate dados de categoria especial em escala
- Se sua DPIA identificar alto risco residual, é obrigatório consultar a autoridade supervisora nacional antes da implantação
- Ferramentas de IA baseadas nos EUA criam obrigações de transferência de dados sob o Capítulo V do GDPR. Contratos isolados podem não ser suficientes
O risco real: dados de saúde e IA são uma combinação específica
Dados de saúde são dados de categoria especial nos termos do Artigo 9 do GDPR. Seu tratamento requer uma base legal segundo o Artigo 6 e uma condição separada nos termos do Artigo 9(2). As condições são mais restritas do que a maioria das organizações supõe. O interesse legítimo, a base mais flexível para dados pessoais comuns, não está disponível para dados de categoria especial. São necessários consentimento explícito, obrigação legal, interesses vitais ou uma base específica de prestação de serviços de saúde.
Isso importa para a IA porque muitas ferramentas processam dados de formas que não são óbvias pela interface do usuário. Uma ferramenta de resumo clínico recebe notas de pacientes. Uma IA de agendamento pode processar códigos de diagnóstico para otimizar horários. Um chatbot administrativo pode armazenar o histórico de conversas contendo sintomas ou informações sobre medicamentos. Cada um desses casos constitui tratamento de dados de saúde de categoria especial, e cada um exige uma condição válida do Artigo 9(2) e uma base legal documentada antes que a ferramenta entre em operação.
Ferramentas de IA de terceiros amplificam esse risco. Quando sua organização usa um produto de IA SaaS, o fornecedor trata dados em seu nome como subcontratante. Isso significa que você, como responsável pelo tratamento, permanece responsável pela legalidade do tratamento. A política de privacidade de um fornecedor que declara "não usamos seus dados para treinar nossos modelos" não substitui sua própria avaliação da base legal.
A classificação da Lei de IA da UE para IA na saúde
A Lei de IA da UE entrou em vigor em agosto de 2024, com a maioria das disposições aplicando-se a partir de agosto de 2026. As organizações de saúde que implantam IA precisam compreender como a Lei classifica suas ferramentas agora, porque as etapas de conformidade exigidas antes da implantação levam tempo.
Sistemas de IA utilizados em contextos clínicos são classificados como alto risco pelo Anexo III da Lei. Isso abrange sistemas destinados a serem utilizados como dispositivos médicos, sistemas que auxiliam no diagnóstico clínico e sistemas que influenciam decisões de tratamento. Sistemas de IA de alto risco exigem avaliação de conformidade antes de serem colocados no mercado ou em serviço, mantêm documentação técnica detalhada, implementam mecanismos de supervisão humana e devem ser registrados na base de dados da UE para sistemas de IA de alto risco.
Sistemas de IA utilizados exclusivamente para tarefas administrativas, como agendamento, RH ou gestão financeira dentro de uma organização de saúde, podem não se enquadrar na categoria de alto risco da Lei de IA. A distinção importa porque a carga de conformidade é substancialmente menor para sistemas não classificados como alto risco. No entanto, as obrigações do GDPR aplicam-se independentemente da classificação da Lei de IA. Uma IA administrativa que trata dados de saúde ainda necessita de base legal válida e DPIA.
Uma ferramenta que o fornecedor comercializa como "IA para administração de saúde" pode ou não ser de alto risco nos termos da Lei de IA, dependendo se influencia decisões clínicas. A descrição de marketing não é o teste jurídico. A questão é se o resultado do sistema provavelmente será usado para tomar ou influenciar decisões sobre a saúde de um paciente. Em caso afirmativo, é alto risco independentemente de como o fornecedor a posiciona.
Cinco perguntas a fazer antes de implantar qualquer ferramenta de IA
Aplique estas perguntas a cada ferramenta de IA em avaliação. Valem tanto para ferramentas adquiridas de fornecedores quanto para funcionalidades de IA incorporadas em plataformas de software existentes (cada vez mais comuns em prontuários eletrônicos, agendamento e sistemas de comunicação).
Quando uma DPIA é obrigatória (e por que a maioria está sendo ignorada)
Uma Avaliação de Impacto sobre a Proteção de Dados é obrigatória pelo Artigo 35 do GDPR antes de iniciar um tratamento que "provavelmente resulte em alto risco" para os direitos e liberdades dos indivíduos. As diretrizes do Grupo de Trabalho do Artigo 29 (agora EDPB) especificam nove critérios para acionar uma DPIA obrigatória. O tratamento de dados de saúde em escala satisfaz o critério um e o critério dois: dados sensíveis e tratamento em larga escala. Qualquer ferramenta de IA na saúde implantada em uma operação clínica quase certamente está dentro do território de DPIA obrigatória.
O problema prático é que as DPIAs levam tempo: tipicamente de duas a seis semanas quando realizadas adequadamente. Os prazos de aquisição e a pressão para implantar ferramentas de IA rapidamente levam muitas organizações a pular a avaliação ou a conduzir uma versão superficial que não aborda os riscos reais. As autoridades supervisoras conhecem este padrão. A AP (Autoriteit Persoonsgegevens) holandesa e o ICO do Reino Unido publicaram orientações especificamente sobre IA e proteção de dados, e ambas incluem os requisitos de DPIA como verificação de conformidade primária.
Uma DPIA para uma ferramenta de IA na saúde precisa cobrir: a finalidade e necessidade do tratamento, fluxos de dados e retenção, riscos para os direitos dos pacientes (incluindo o risco de discriminação caso a IA produza resultados tendenciosos), medidas de segurança e o papel do fornecedor como subcontratante. Também precisa abordar explicitamente a questão da tomada de decisão automatizada do Artigo 22.
Se sua DPIA identificar alto risco residual que não pode ser mitigado, é obrigatório consultar a autoridade supervisora antes de prosseguir. A consulta prévia é um processo formal, não uma conversa informal. Incorporar tempo adequado para a DPIA nas decisões de aquisição de IA evita a situação em que uma ferramenta já foi contratada antes de você descobrir que a consulta prévia é necessária.
Como é uma implantação segura na prática
Três escolhas estruturais determinam se sua implantação de IA cria risco ou o gerencia.
Minimização de dados. Avalie quais dados a ferramenta realmente precisa para funcionar. Muitas ferramentas de IA estão configuradas por padrão para receber mais dados do que o necessário. Uma ferramenta de resumo clínico que exige registros completos de pacientes para resumir uma nota de consulta deve ser questionada: pode funcionar apenas com o conteúdo da consulta, sem outros identificadores? Quanto menos dados de saúde fluírem para um sistema de terceiros, menor será sua exposição.
Implantação local versus API em nuvem. Ferramentas de IA que processam dados localmente na sua infraestrutura, em vez de enviá-los para uma API em nuvem, reduzem substancialmente o risco de subcontratante terceirizado. Isso é mais relevante para IA administrativa do que para ferramentas clínicas SaaS, onde a implantação local raramente é uma opção. Para ferramentas de IA internas sendo construídas ou configuradas pela sua equipe, a implantação de modelo local deve ser a consideração padrão para qualquer coisa que envolva dados de saúde.
Mecanismos de supervisão humana. A Lei de IA da UE exige que sistemas de IA de alto risco incluam recursos que permitam supervisão humana, incluindo a capacidade de um humano intervir, substituir ou parar o sistema. Construa sua arquitetura de implantação em torno deste requisito. Um sistema de IA que produz resumos clínicos para revisão está em conformidade. O mesmo sistema, configurado para atualizar automaticamente registros de pacientes sem revisão, pode não estar.
A IA na saúde oferece valor operacional mensurável, e o objetivo é estruturar a implantação de forma que sua organização esteja protegida. Organizações que realizam a DPIA, documentam a base legal e incorporam mecanismos de supervisão estão em posição sólida perante os reguladores. As que implantam primeiro e avaliam depois enfrentam exposição a ações de fiscalização.
A Lei de IA da UE está publicada em EUR-Lex (Regulamento 2024/1689). As orientações da Comissão Europeia sobre classificação de IA de alto risco e avaliação de conformidade para aplicações de saúde estão disponíveis nas páginas de política de IA da UE.