Log auditável deixou de ser detalhe técnico em 2026. A Resolução CFM 2.454/2026 transformou-o em pré-requisito do exercício profissional quando IA é usada na produção do laudo. A LGPD já exigia rastreabilidade de tratamento de dado pessoal sensível. Acreditações como ONA e HIMSS sempre cobraram, mas ficavam num plano técnico. Agora, o log auditável é assunto clínico — o radiologista que assina precisa poder responder, sob pergunta, o que o sistema fez no exame dele.
Mas "log" virou termo abusado. Qualquer arquivo de texto com timestamp é chamado de log. Auditor sério não aceita isso. Este artigo destrincha as sete propriedades que separam log auditável de log decorativo — e dá um método para medir o seu antes que um auditor faça por você.
Por que o log virou requisito clínico.
A 2.454/2026 exige que o uso de IA no laudo seja identificável, que o modelo (nome e versão) usado em cada análise seja registrado e que a trilha de ações do médico sobre as sugestões automatizadas seja preservada. Em paralelo, a LGPD garante ao paciente o direito de acessar dados pessoais sensíveis tratados sobre ele e de exercer correção, portabilidade e eliminação. Esses dois textos juntos transformam o log de IA radiológica em obrigação clínica e civil — não só boa engenharia.
O custo de um log inadequado vem em três frentes. Regulatório: serviços que não conseguem demonstrar trilha podem perder acreditação, ter contratos cancelados ou enfrentar processos administrativos. Civil: radiologista pode responder por laudo automatizado sem trilha, mesmo que a culpa seja do fabricante. Operacional: incidente sem log é incidente sem aprendizado — você não consegue corrigir o que não consegue medir.
Propriedade 1 — completude.
Todo evento clinicamente relevante precisa estar registrado. Para IA radiológica, isso significa: abertura do exame (timestamp, usuário, modalidade, identificador do paciente conforme política institucional), sugestão da IA (modelo, versão, prompt ou input quando aplicável, conteúdo sugerido, timestamp, confiança quando reportada), edições do médico (diff entre proposto e final), eventos de comparação com exame anterior, marcação de achado crítico, comunicação CRIT (registro de ciência, destinatário, canal), revisão pré-assinatura, assinatura digital (hash do conteúdo, timestamp, identidade).
Completude não é registrar tudo. É registrar o que pode ser auditado. Mover-de-coluna, scroll, zoom-in-imagem — irrelevante para auditoria. Mas "radiologista aceitou sugestão de impressão sem editar" é absolutamente relevante.
Propriedade 2 — integridade.
Log auditável não pode ser silenciosamente reescrito. Se foi alterado, a alteração precisa ser detectável. Engenharia mínima: hash chain (cada entrada nova carrega o hash da anterior), append-only storage (write-once, read-many — bucket S3 com Object Lock, Postgres com triggers que bloqueiam update/delete), assinatura criptográfica das entradas críticas (assinatura do laudo, comunicação CRIT).
Engenharia robusta: replicação cross-region, snapshot diário imutável, verificação periódica de integridade (background job que recalcula hashes e alerta em divergência). Para serviços enterprise: time-stamping de terceiro confiável (RFC 3161) nas assinaturas críticas — adiciona uma testemunha externa que ninguém na cadeia pode reescrever.
Propriedade 3 — ordenação.
Timeline confiável é trivial em teoria, complicada na prática. Timestamps locais de cliente não são confiáveis (relógio do navegador pode estar errado, fuso horário pode confundir). Timestamps do servidor são melhores, mas precisam ser monotônicos e sincronizados (NTP) em todos os serviços. Para sistemas distribuídos, vector clocks ou sequence numbers globais resolvem ambiguidade.
Auditoria sem ordenação confiável vira disputa de "mas isso aconteceu antes ou depois daquilo?". Ordenação resolve isso de antemão.
Propriedade 4 — identidade.
Cada evento precisa estar amarrado a uma identidade verificável. Para usuário humano: identidade autenticada (SSO/SAML institucional, MFA quando aplicável), CRM ou identificador profissional na sessão clínica, IP de origem para detecção de uso fora de padrão. Para sistema (a IA): identidade do modelo (nome, versão exata, hash do arquivo de modelo quando possível), identidade do serviço/microserviço que invocou, request ID de correlação.
Identidade fraca ("sistema" sem detalhe, usuário sem MFA, sessão compartilhada) destrói metade do valor do log. Para CFM 2.454/2026, a identidade do modelo é especialmente importante: se a versão do modelo mudar depois e gerar comportamento diferente sobre o mesmo exame, o auditor precisa conseguir reproduzir o estado da época.
Propriedade 5 — contexto.
Log sem contexto é difícil de interpretar mesmo quando completo. Contexto inclui: qual modalidade, qual protocolo, qual paciente (com o nível de identificação compatível com a política), qual exame específico no paciente, qual modelo de IA estava ativo nesse instante (importante quando há A/B test interno ou rollout gradual), qual versão da aplicação (release tag), qual ambiente (produção/staging) — para garantir que dados de teste não contaminem auditoria real.
Para IA: o input do modelo (não necessariamente a imagem inteira por questão de tamanho, mas pelo menos os hashes/IDs que permitem reconstruir a query) e o output bruto (antes de qualquer pós-processamento). Para alguns casos, isso significa armazenar o prompt e a resposta literais — com cuidado de não capturar PHI fora do escopo.
Propriedade 6 — legibilidade humana.
Log que ninguém consegue ler é log que não vai ser auditado quando importar. Engenharia mínima: estrutura consistente (JSON com schema bem definido, ou banco relacional com tabelas e índices), exportação para CSV/PDF para auditor que não vai aprender SQL, painel administrativo legível para o radiologista que quer ver o que aconteceu no laudo dele, motor de busca por exame/paciente/usuário/intervalo de tempo.
Legibilidade humana inclui interpretação semântica: o painel não pode mostrar "event_type: model_invocation" — precisa mostrar "IA gerou sugestão de impressão para o exame X em 14:23". Isso é trabalho de produto, não só engenharia.
Propriedade 7 — retenção e exportação.
Quanto tempo retém: prontuário médico no Brasil tem retenção mínima de 20 anos (Lei 13.787/2018, CFM). Log de IA associado a laudo deve seguir a mesma cadência. Mais que isso (50+ anos) faz sentido em pediatria, pesquisa e ensino, conforme política institucional.
Como exporta: para auditor regulatório (CRM, vigilância sanitária, Justiça), o log precisa sair em formato amigável, com índice cronológico, identificação do paciente compatível com a ordem judicial/intimação, e sem mistura de dados de outros pacientes. Para paciente que exerça direito LGPD de acesso/portabilidade: exportação dos dados clínicos pessoais associados a ele, incluindo registro de uso de IA — em formato estruturado (JSON/CSV) ou em PDF legível conforme a solicitação.
Política de retenção precisa estar documentada e implementada — não basta retenção indefinida "para não correr risco". Retenção excessiva também é violação LGPD (princípio da necessidade).
O que NÃO é log auditável.
- Planilha de Excel com timestamps manuais — sem integridade, sem identidade, sem hash chain.
- Screenshots de tela do laudo arquivados em pasta — não é log, é evidência avulsa.
- E-mail com cópia do laudo enviado — fluxo de comunicação não substitui trilha.
- Backup diário do banco — backup é restore-de-emergência, não auditoria. Sem ordem cronológica, sem identidade, sem busca.
- Console logs descartáveis (sem retenção, sem busca, sem export) — apenas para debug de engenharia, irrelevantes para auditoria.
Como medir o seu — auditoria interna em 30 minutos.
- Pegue um laudo aleatório dos últimos 30 dias. Pergunte ao seu sistema: qual modelo de IA foi usado? Qual versão? Qual conteúdo a IA propôs? O que o radiologista editou? Quanto tempo levou da abertura à assinatura?
- Se conseguir responder tudo em < 5 minutos sem chamar engenharia, propriedade 1 (completude) está OK.
- Pegue um laudo de 6 meses atrás. Tente reproduzir a sugestão da IA da época. Se o modelo mudou de versão e você não consegue saber qual era a versão antiga, propriedade 4 (identidade) está com falha.
- Tente alterar diretamente um log antigo (no banco, no storage). Se conseguir sem deixar rastro, propriedade 2 (integridade) está com falha.
- Peça a exportação do log de um paciente específico (cenário LGPD). Se demorar mais que 1 dia útil ou exigir engenharia customizada, propriedade 7 (retenção/exportação) está com falha.
- Mostre o painel de log a um auditor externo (advogado, compliance). Se ele não conseguir entender sem treinamento, propriedade 6 (legibilidade) está com falha.
Log auditável não é virtude. É infraestrutura — e em 2026 é regulamentar.
Implementação Laudos.AI.
A trilha de auditoria da Laudos.AI cobre as sete propriedades por construção. Por exame: registro do modelo e versão, conteúdo sugerido pela IA, diff de edição do radiologista, eventos de comparação com exame anterior, marcação de achado crítico, eventos CRIT (registro de ciência, destinatário, canal), revisão pré-assinatura, hash assinado da versão final, timestamp do servidor sincronizado e ordenado.
Por usuário: autenticação institucional (SSO/SAML opcional no Enterprise), identidade do radiologista assinante com CRM quando aplicável, IP e dispositivo. Por modelo: nome, versão exata, política de atualização (changelog público), modo de invocação. Storage append-only com replicação cross-region, política de retenção parametrizada por serviço (20 anos default no Brasil), exportação em JSON e PDF, painel legível para o radiologista e para o auditor institucional. Verificação periódica de integridade com alerta em divergência.
Para serviços Enterprise: integração com o sistema de gestão de incidentes institucional, time-stamping de terceiro (RFC 3161), SSO com IdP corporativo, política de retenção customizada conforme contrato, exportação programada para o storage institucional.
Se você está adotando IA radiológica hoje, faça a auditoria interna de 30 minutos descrita acima antes de assinar o contrato. Log auditável é mais barato de cobrar antes — e muito caro de implementar depois, quando o auditor já está na porta.