Voltar aos artigos
IA na saude 2026: INFARMED, SNS e escolha de arquitetura em Portugal
IA Saude INFARMED SNS RGPD

IA na saude 2026: INFARMED, SNS e escolha de arquitetura em Portugal

Hichem AMMAR-BOUDJELAL
Hichem AMMAR-BOUDJELALCEO & Cofundador da DPLIANCE
· Atualizado em 14 min de leitura

Quick Answer: IA de saude em Portugal em 2026

Toda IA que trate dados de saude identificaveis em Portugal deve cumprir cumulativamente varios quadros:

  • RGPD e Lei 58/2019 (Lei de Execucao do RGPD) — artigo 9 RGPD, EIPD obrigatoria na quase totalidade dos casos clinicos.
  • Lei 12/2005 sobre informacao genetica pessoal e informacao de saude — define o conceito de dados de saude e regras de confidencialidade.
  • Lei 18/2011 sobre interconexao de dados e sistemas de informacao na saude — rege a interoperabilidade.
  • Lei 95/2019 do Servico Nacional de Saude.
  • Lei 46/2018 da Ciberseguranca e regulamentacao do CNCS — Centro Nacional de Ciberseguranca.
  • Regulamento (UE) 2017/745 (MDR) com transposicao nacional — INFARMED autoridade competente, marcacao CE para Dispositivo Medico Software (SaMD).
  • Plataforma de Dados da Saude (PDS) e Registo de Saude Eletronico (RSE) geridos pela SPMS — integracao via HL7 FHIR PT.
  • AI Act (Regulamento (UE) 2024/1689) — IA na saude regularmente IA de risco elevado (artigo 6 e anexo III).
  • CNPD — Comissao Nacional de Protecao de Dados emite guias e fiscaliza ativamente o setor.

Operadores cloud defensaveis 2026: Claranet Portugal Saude, IP Telecom (CTT), NOS Cloud, Altice Empresas Cloud Portugal, OVHcloud Estrasburgo (ISO 27018, residencia UE), Microsoft Azure West Europe, AWS Lisboa Region, Google Cloud Madrid Region. Para soberania maxima: Claranet Portugal, IP Telecom, NOS Cloud.

Arquiteturas possiveis para IA clinica:

  • On-premise no centro de processamento de dados do hospital, sobre infraestrutura conforme com a Lei 46/2018 — controlo maximo, capex elevado.
  • Cloud soberana portuguesa (Claranet Portugal, IP Telecom, NOS) — recomendada para 2026.
  • Hyperscaler em Portugal ou UE proxima (Azure West Europe, AWS Lisboa) — funcional, risco residual CLOUD Act.
  • Operadores privados de saude: CUF (Jose de Mello Saude), Lusiadas Saude (Amil), Luz Saude (Fidelidade), Hospital Beatriz Angelo, Trofa Saude — cada um com requisitos contratuais paralelos.
  • Mutualidades: Multicare (Fidelidade), Medis (Ageas Portugal), Advancecare, SAMS (servicos de assistencia medico-social bancarios), ADSE (subsistema da funcao publica).

Casos de uso operacionais 2026: ambient scribing para medicos (Whisper + LLM em portugues), redacao assistida de relatorios, RAG sobre normas DGS e protocolos hospitalares, leitura assistida de imagens radiologicas (CE marcadas), triagem administrativa de Saude 24, apoio a investigacao clinica.

Casos a evitar em autonomia: diagnostico autonomo, prescricao automatica, decisao terapeutica. Supervisao humana nao negociavel — Codigo Deontologico da Ordem dos Medicos, AI Act artigo 14, MDR.


Porque a IA de saude explode em Portugal em 2026

Tres viragens cumulativas.

Viragem 1 — Maturidade dos modelos em portugues clinico. Mistral Large, GPT-4o, Claude 3.7 e Gemini 2.0 atingem em 2026 qualidade clinicamente utilizavel sobre documentacao medica em portugues europeu (Normas da Direcao-Geral da Saude, Prontuario Terapeutico, Indice Nacional de Saude). Benchmarks independentes do INSA Doutor Ricardo Jorge, da Faculdade de Medicina da Universidade de Lisboa e do Champalimaud Clinical Centre demonstram qualidade de extracao e sintese comparavel a um interno do segundo ano em tarefas nao decisionais.

Viragem 2 — Pressao sobre o SNS. O relatorio do Conselho Economico e Social 2025 documenta listas de espera record (mais de 1,1 milhao de utentes em consulta de especialidade), envelhecimento da forca de trabalho clinica e migracao de medicos para o privado e para o estrangeiro. A IA e percebida como alavanca para libertar tempo assistencial — nao para substituir o medico.

Viragem 3 — Quadro juridico finalmente navegavel. Entre 2023 e 2026 publicaram-se: deliberacoes da CNPD sobre IA em saude, revisao da Lei 12/2005 e da Lei 18/2011, regulamentacao da Lei 46/2018 da Ciberseguranca, posicionamento do INFARMED sobre dispositivos medicos software, atualizacoes da SPMS sobre PDS e webservices, lancamento da Estrategia Nacional para a IA 2030. O terreno juridico e navegavel — e os lideres (Champalimaud, IPO Porto, Hospital da Luz Lisboa, CUF Tejo, ULS Santa Maria, ULS Sao Joao Porto, Hospital Beatriz Angelo) avancam rapido.

Concretamente: em 2026 cada grande operador de saude portugues, ULS, IPO e grupo privado tem pelo menos uma iniciativa de IA em producao. Ficar de fora e perda de competitividade mensuravel.

O triangulo de conformidade IA na saude em Portugal

INFARMED e Dispositivos Medicos Software

Quando uma IA participa numa decisao clinica (diagnostico, triagem, escolha terapeutica, scoring de risco, monitorizacao), passa a ser Dispositivo Medico Software (SaMD) ao abrigo do Regulamento (UE) 2017/745 (MDR). Autoridade competente: o INFARMED — Autoridade Nacional do Medicamento e Produtos de Saude, I.P. — equivalente portugues da AEMPS espanhola, da BfArM alema ou da ANSM francesa.

Classes de risco MDR:

  • Classe I: software simples sem impacto na decisao clinica.
  • Classe IIa: triagem, ambient scribing, scoring simples.
  • Classe IIb: apoio diagnostico, scoring de risco especifico de patologia.
  • Classe III: diagnostico ou tratamento autonomo — autorizacao restritiva.

Marcacao CE por organismo notificado (em Portugal: APCER, Bureau Veritas Portugal, TUEV Sud Portugal) obrigatoria antes do uso clinico. Sancoes: retirada do mercado, coimas ate 1 M EUR, processo crime para dispositivo sem marcacao.

CNPD e o quadro de protecao de dados

A Comissao Nacional de Protecao de Dados (CNPD) e a autoridade de controlo nacional do RGPD em Portugal e fiscaliza ativamente o setor da saude. Ja emitiu deliberacoes especificas sobre:

  • Telemedicina e teleconsulta (deliberacoes 2020–2024).
  • IA em saude e tratamentos automatizados (orientacoes 2023–2026).
  • Plataforma de Dados da Saude e RSE (parecer 2023 e seguintes).

Pontos operacionais chave:

  • EIPD obrigatoria antes do inicio do projeto IA em saude.
  • Registo de tratamentos detalhado para cada fluxo de dados para a IA.
  • Designacao obrigatoria do DPO para todos os responsaveis pelo tratamento na saude.
  • Informacao reforcada: o utente deve ser informado do uso da IA na sua prestacao de cuidados.
  • Supervisao humana documentada (artigo 22 RGPD e AI Act artigo 14).

Sancoes da CNPD na saude entre 2023 e 2026 documentadas entre 25.000 e varios milhoes de euros consoante a gravidade.

Lei 12/2005 e Lei 18/2011

A Lei 12/2005 sobre informacao genetica pessoal e informacao de saude estabelece:

  • Definicao de dados de saude e dados geneticos.
  • Regras de confidencialidade reforcadas.
  • Direitos especificos do utente sobre os seus dados clinicos.
  • Regime especial para investigacao genetica.

A Lei 18/2011 sobre interconexao de dados e sistemas de informacao na saude estabelece:

  • Principios de interoperabilidade entre sistemas hospitalares e de cuidados primarios.
  • Regras de acesso e auditoria.
  • Articulacao com a SPMS e a PDS.

Ambas se aplicam cumulativamente com o RGPD e a Lei 58/2019 a qualquer projeto de IA em saude.

SPMS, PDS e Registo de Saude Eletronico

Os Servicos Partilhados do Ministerio da Saude (SPMS, EPE) operam:

  • Plataforma de Dados da Saude (PDS) — plataforma central que liga sistemas hospitalares (SONHO, Glintt HS, ALERT, MaximaCare, b-simple), centros de saude (SClinico CSP), hospitais (SClinico Hospitalar), e os utentes via Portal do Utente e app MySNS.
  • Registo de Saude Eletronico (RSE) — informacao clinica acessivel ao utente atraves do Portal do Utente.
  • Receita sem Papel — integracao SI Farmacia.
  • Vias Verdes — Saude 24, AVC, sepsis, coronarias.
  • eSIM Saude e SI Vacinas.

Para 2026, qualquer projeto de IA serio integra-se via webservices oficiais SPMS sobre HL7 FHIR PT.

Lei 46/2018 da Ciberseguranca e CNCS

A Lei 46/2018 transpoe a Diretiva NIS e estabelece o Quadro Nacional de Referencia para a Ciberseguranca, fiscalizado pelo CNCS — Centro Nacional de Ciberseguranca. A saude e setor critico ao abrigo do anexo da lei. Operadores de servicos essenciais na saude (hospitais EPE, ULS, IPO, principais grupos privados) sao obrigados a notificar incidentes ao CNCS, manter politicas de seguranca documentadas e submeter-se a auditorias.

Em 2026, este enquadramento e em vias de ser reforcado pela transposicao da Diretiva NIS 2 (Lei prevista 2025–2026), que alarga o ambito e os deveres das entidades de saude.

Articulacao ULS, hospitais publicos e privados

Portugal tem desde 2024 um modelo dominante de Unidades Locais de Saude (ULS) que integram cuidados primarios, hospitalares e continuados num unico operador regional. Em 2026 existem 39 ULS, complementadas por:

  • IPO Lisboa e IPO Porto (oncologia).
  • Hospitais EPE restantes (alguns servicos especializados).
  • Setor privado: CUF (Jose de Mello Saude), Lusiadas Saude (Amil), Luz Saude (Fidelidade), Hospital Beatriz Angelo, Trofa Saude, HPA Algarve.
  • Mutualidades e seguros: Multicare (Fidelidade), Medis (Ageas Portugal), Advancecare, SAMS, ADSE (subsistema da funcao publica).

Cada um tem o seu DPO, os seus contratos quadro e os seus criterios de homologacao.

Casos de uso de IA na saude operacionais em Portugal 2026

1. Ambient scribing clinico e redacao automatica de relatorios

Whisper ou ASR medico em portugues europeu mais LLM redige a nota de consulta e a carta de alta. O medico valida, edita e assina. Resultados documentados na CUF, Hospital da Luz Lisboa, Champalimaud, IPO Porto: 30–45 % de reducao do tempo de documentacao.

Arquitetura conforme: Whisper na Claranet Portugal Saude ou IP Telecom CTT, ou on-premise sobre cluster GPU do hospital. LLM Mistral Large via OVHcloud Estrasburgo ou Claranet Portugal. EIPD positiva, contrato de subcontratante, certificacao alinhada com CNCS.

2. RAG sobre normas DGS e protocolos hospitalares

Indexacao das normas e orientacoes da Direcao-Geral da Saude (DGS), do Prontuario Terapeutico, dos protocolos internos do hospital, das recomendacoes das Sociedades Cientificas portuguesas. Veja o nosso guia de arquitetura RAG empresa.

Arquitetura conforme: LLM e base vetorial (Qdrant ou pgvector) na Claranet Portugal ou IP Telecom CTT. Sem dados de utentes no indice — apenas normas publicadas. EIPD mais leve por ausencia de tratamento artigo 9.

3. IA radiologica e patologica

Modelos especializados (nao LLM genericos) para radiografia toracica, mamografia, lamina anatomopatologica. Sao dispositivos medicos CE marcados Classe IIa ou IIb. Em producao em hospitais portugueses 2026: Aidoc neuroradiologia, Annalise.ai torax, Quibim, fornecedores nacionais como First Solver e Nepheme.

Aquisicao via marcacao CE registada no INFARMED, conformidade Lei 46/2018, integracao DICOM e HL7 FHIR PT em PACS e RIS.

4. Saude 24 e triagem administrativa

Chatbots de triagem associados a Saude 24 (linha 808 24 24 24), agendamento via MySNS, classificacao de mensagens ao Centro de Atendimento, automacao de reembolsos para mutualidades. Quadro juridico: sem obrigacao MDR para tarefas administrativas puras, mas EIPD e Lei 46/2018 sempre aplicaveis. Veja o nosso guia de automacao de faturas IA para o contexto de mutualidades como Multicare ou Medis.

5. Apoio a investigacao clinica

LLM extrai dados de ensaios clinicos, resume revisoes Cochrane, apoia submissoes a CEIC (Comissao de Etica para a Investigacao Clinica) e dossies INFARMED. Base juridica: artigo 9.2.j RGPD, Lei 21/2014 sobre investigacao clinica.

Casos a evitar em autonomia

  • Diagnostico autonomo sem assinatura medica — viola o Codigo Deontologico da Ordem dos Medicos.
  • Prescricao automatizada — substituicao ilicita do ato medico.
  • Decisao terapeutica sem validacao do especialista.
  • Comunicacao direta ao utente sobre o diagnostico sem mediacao clinica.

AI Act artigo 14, Ordem dos Medicos e MDR convergem: a IA aumenta o medico, nao o substitui.

Arquitetura de referencia para uma ULS ou um grande grupo de saude

Para uma ULS de Lisboa ou Porto, ou um grupo privado como CUF, Lusiadas ou Luz, que despliega varios casos de uso IA em 2026:

Camada 1 — Infraestrutura: Claranet Portugal Saude, IP Telecom CTT ou NOS Cloud para hosting soberano portugues alinhado com CNCS. Cluster GPU on-premise no centro de processamento de dados do hospital para workloads ultra-sensiveis (psiquiatria, infetologia, pediatria).

Camada 2 — Modelos: Mistral Large ou Mistral Small 3 implantados via vLLM em cluster GPU. Modelos de imagem medica especializados (CE marcados) integrados ao PACS. Whisper Large v3 para transcricao em portugues europeu.

Camada 3 — Base vetorial: Qdrant ou pgvector self-hosted sobre a mesma infraestrutura.

Camada 4 — Orquestracao: LangChain ou orquestracao propria mais API interna fortificada. Autenticacao via Cartao de Cidadao, Chave Movel Digital ou tokens internos do hospital.

Camada 5 — Integracao PDS e RSE: HL7 FHIR PT, webservices oficiais SPMS, conectores para SONHO, Glintt HS, ALERT, MaximaCare, SClinico Hospitalar e SClinico CSP.

Camada 6 — Governacao: DPO, comissao de etica institucional, comissao de farmacia e terapeutica, registo CNCS, EIPD para a CNPD, dossier AI Act, plano de farmacovigilancia digital.

Para enquadrar tais projetos, DPLIANCE entrega solucoes de IA em saude a medida alinhadas com INFARMED, CNPD, CNCS, SPMS e RGPD.


O que recusamos prometer

Tres antipadroes que rejeitamos sistematicamente ao definir IA na saude em Portugal.

„Vamos lancar ChatGPT Enterprise no hospital.” Falso sobre dados identificaveis. ChatGPT Enterprise tem DPA mas por defeito esta alojado em Azure global. Sem pinning Azure West Europe, sem alinhamento CNCS para o workload especifico, sem marcacao CE INFARMED para uso clinico, a solucao nao passa o teste da CNPD nem do MDR. As opcoes defensaveis sao: on-premise sobre a infraestrutura do hospital alinhada com a Lei 46/2018, Mistral via Claranet Portugal Saude ou IP Telecom CTT, ou Azure OpenAI West Europe com configuracao alinhada CNCS auditada. Qualquer outra escolha expoe a sancoes CNPD acumuladas, exclusao de concursos publicos da SPMS e exposicao penal por dispositivo medico sem CE.

„A IA pode diagnosticar, vimos as demonstracoes.” Falso na realidade clinica. A IA propoe, o medico decide. Sempre. MDR, Codigo Deontologico da Ordem dos Medicos, AI Act artigo 14 e artigo 22 RGPD convergem: uma decisao medica nao pode ser delegada a um sistema automatizado fora do estreito perimetro MDR Classe III, autorizado caso a caso pelo INFARMED. A promessa „IA que diagnostica” e juridica e eticamente insustentavel em Portugal em 2026 fora desse perimetro.

„E um piloto, podemos saltar a EIPD.” Falso. A IA na saude e por defeito tratamento de risco elevado ao abrigo do artigo 35 RGPD e da lista da CNPD. A EIPD e obrigatoria antes do inicio do piloto, nao a posteriori. Lancar um piloto sem EIPD documentada e violacao direta do artigo 35, alvo prioritario de fiscalizacao da CNPD e motivo de exclusao de concursos publicos da SPMS.

A DPLIANCE e produtora de software, nao consultoria. Quando entregamos uma solucao de IA em saude a medida cobrimos toda a pilha: escolha do hosting portugues (Claranet Portugal, IP Telecom, NOS Cloud, on-premise), integracao Mistral ou Azure OpenAI, conexao PDS via HL7 FHIR PT, autenticacao via Cartao de Cidadao ou Chave Movel Digital, documentacao alinhada CNCS, modelo de EIPD para o DPO.


FAQ

O que e o INFARMED e qual o seu papel para a IA em saude?

O INFARMED e o organismo do Ministerio da Saude responsavel pelos medicamentos e dispositivos medicos em Portugal. Quando uma IA participa numa decisao clinica, passa a ser Dispositivo Medico Software ao abrigo do MDR. A marcacao CE e obrigatoria.

O que e a SPMS e qual o seu papel?

Os Servicos Partilhados do Ministerio da Saude (SPMS, EPE) sao a entidade publica que opera os sistemas de informacao centrais do SNS portugues — RSE, PDS, receita sem papel, telemedicina, agendamento. Para qualquer projeto de IA que toque dados de utentes do SNS, a integracao passa pela SPMS via HL7 FHIR PT.

Quais leis especificas regem os dados de saude em Portugal alem do RGPD?

Tres leis nucleares: Lei 12/2005 (informacao genetica pessoal e informacao de saude), Lei 18/2011 (interconexao de dados e sistemas de informacao na saude), Lei 95/2019 (SNS). A Lei 58/2019 (Lei de Execucao do RGPD) e a Lei 46/2018 (Ciberseguranca) completam o quadro. A CNPD fiscaliza ativamente o setor.

O que e a Plataforma de Dados da Saude e como se aplica a IA?

A PDS, gerida pela SPMS, e a plataforma central que liga os sistemas de informacao hospitalar, os centros de saude e os utentes. Para 2026, qualquer IA que aceda a dados clinicos do SNS portugues integra-se via PDS atraves dos webservices oficiais. EIPD obrigatoria, base juridica do artigo 9.2.h RGPD, supervisao humana.

Como e que ULS, hospitais publicos e privados se articulam?

Portugal tem desde 2024 um modelo dominante de Unidades Locais de Saude (ULS), que integram cuidados primarios, hospitalares e continuados num unico operador regional. Existem 39 ULS, complementadas por IPO Lisboa e Porto, hospitais EPE e os principais grupos privados (CUF, Lusiadas, Luz, Hospital Beatriz Angelo, Trofa, HPA).

Posso usar ChatGPT ou Mistral SaaS sobre dados de utentes em Portugal?

ChatGPT Enterprise tem DPA mas por defeito esta alojado em Azure global. Para tratar dados identificaveis no SNS portugues e necessario alojamento qualificado, idealmente em Portugal ou UE. Mistral via Claranet Portugal ou OVHcloud e a opcao soberana mais solida.

Quais sancoes reais por IA de saude nao conforme em Portugal?

Muito elevadas. Cumulativas: CNPD (coimas RGPD ate 20 M EUR ou 4 % do volume de negocios mundial), INFARMED (retirada do mercado, coimas ate 1 M EUR), exclusao de concursos publicos da SPMS, exposicao penal para responsaveis.


Fontes: RGPD; Lei 58/2019 (Lei de Execucao do RGPD); Lei 12/2005; Lei 18/2011; Lei 95/2019 (SNS); Lei 46/2018 (Ciberseguranca); Regulamento (UE) 2017/745 (MDR); deliberacoes da CNPD sobre saude e IA; documentacao oficial SPMS sobre PDS e RSE; orientacoes do CNCS; Codigo Deontologico da Ordem dos Medicos; Regulamento (UE) 2024/1689 (AI Act).

Para enquadrar um projeto de IA em saude conforme com INFARMED, CNPD e SPMS — escolha do hosting, arquitetura LLM/RAG, EIPD, AI Act — veja o nosso guia de IA soberana, o nosso guia de IA conforme RGPD, o nosso guia de LLM local em empresa, ou contacte-nos atraves das nossas solucoes de IA a medida.