La reciente aprobación de la Resolución CFM n.º 2.454/2026 en Brasil constituye un hito jurídico de enorme relevancia en la intersección entre inteligencia artificial, práctica médica y protección de datos personales. No se trata únicamente de una norma sectorial dictada por el Consejo Federal de Medicina, sino de una auténtica arquitectura normativa que anticipa, con notable sofisticación, los debates que en Europa apenas comienzan a consolidarse bajo el prisma del Reglamento de Inteligencia Artificial y el RGPD. Desde una perspectiva académica, y particularmente desde el Derecho internacional privado, esta resolución ofrece un campo de análisis privilegiado para comprender cómo se están configurando los nuevos estándares globales de diligencia en el tratamiento de datos sensibles en entornos tecnológicos complejos.
El elemento más significativo de la norma brasileña reside en su enfoque basado en el riesgo y en el ciclo de vida de los sistemas de inteligencia artificial. La regulación no se limita a imponer obligaciones ex post, sino que introduce una lógica de cumplimiento continuo que abarca desde el diseño hasta la implementación, monitorización y actualización de los sistemas. Este planteamiento, claramente alineado con tendencias regulatorias internacionales, refuerza la idea de que la gobernanza de la inteligencia artificial no puede desligarse de la protección de datos, especialmente cuando se trata de información sanitaria, considerada por su propia naturaleza como dato personal sensible .
Desde el punto de vista material, la resolución establece principios esenciales que recuerdan de forma evidente a los pilares del RGPD europeo: limitación de la finalidad, minimización de datos, seguridad y responsabilidad proactiva. Sin embargo, introduce un matiz particularmente interesante: la exigencia de que estos principios se proyecten a lo largo de todo el ciclo de vida del sistema de IA, incluyendo fases como el entrenamiento, reentrenamiento o validación, lo que tiene implicaciones directas en la contratación tecnológica y en la relación con proveedores . Este aspecto resulta especialmente relevante en contextos transfronterizos, donde los datos pueden circular entre distintas jurisdicciones con niveles de protección dispares.
La dimensión ética y profesional de la norma también merece atención. El texto reafirma la primacía del juicio clínico humano y prohíbe la sustitución del médico por sistemas automatizados en decisiones críticas, consolidando así un modelo de “IA asistencial” y no sustitutiva. Además, impone obligaciones de transparencia frente al paciente, incluyendo el deber de informar sobre el uso de inteligencia artificial y de respetar incluso la negativa del paciente a su utilización. Este enfoque introduce una capa adicional de complejidad jurídica, al entrelazar el consentimiento informado con el uso de tecnologías avanzadas, lo que plantea interrogantes sobre su reconocimiento y eficacia en escenarios internacionales.
Ahora bien, el verdadero interés de esta resolución emerge cuando se analiza desde la óptica del Derecho internacional privado. En un contexto en el que los sistemas de inteligencia artificial suelen desarrollarse en una jurisdicción, desplegarse en otra y procesar datos de múltiples países, surge inevitablemente la cuestión de la ley aplicable y de la competencia judicial. La norma brasileña, aunque de naturaleza sectorial, actúa como estándar de diligencia que puede influir en la determinación de la lex artis y, por tanto, en la valoración de la responsabilidad civil o profesional en litigios con elemento extranjero.
Asimismo, la vinculación expresa con la Ley General de Protección de Datos brasileña refuerza la idea de que nos encontramos ante un modelo normativo híbrido, en el que convergen derecho profesional, regulación tecnológica y protección de datos. Este fenómeno es particularmente relevante para el Derecho internacional privado, en la medida en que dificulta la tradicional distinción entre normas sustantivas y normas de policía, abriendo la puerta a la aplicación extraterritorial de estándares regulatorios bajo la lógica de la protección de intereses fundamentales.
En este sentido, la resolución brasileña puede interpretarse como una manifestación más del proceso de fragmentación y, al mismo tiempo, de convergencia del derecho global de la tecnología. Fragmentación, porque cada jurisdicción desarrolla sus propios instrumentos normativos; convergencia, porque todos ellos tienden a estructurarse en torno a principios comunes como el enfoque basado en riesgo, la transparencia y la supervisión humana. Para el jurista especializado en Derecho internacional privado, este escenario exige repensar categorías clásicas como el orden público, la ley aplicable o la eficacia extraterritorial de las normas.
Finalmente, no debe perderse de vista que esta resolución fija también un calendario de adaptación que obliga a las instituciones sanitarias a inventariar sus სისტემas de IA, clasificar riesgos y revisar sus procesos internos antes de su entrada en vigor efectiva en agosto de 2026 . Este elemento temporal introduce una presión regulatoria que, previsiblemente, tendrá efectos más allá de Brasil, especialmente en operadores internacionales que trabajen con datos de salud o colaboren con entidades brasileñas.
En conclusión, la Resolución CFM n.º 2.454/2026 no es únicamente una norma técnica, sino un verdadero laboratorio jurídico que anticipa el futuro de la regulación de la inteligencia artificial en sectores sensibles. Su análisis desde el Derecho internacional privado revela no solo los desafíos derivados de la globalización tecnológica, sino también la necesidad de construir marcos jurídicos capaces de garantizar, de forma efectiva, la protección de los derechos fundamentales en un entorno cada vez más interconectado y algorítmico.
