3 elementos fundamentales: Controles, Validación y Archivado

Además de suministrar sistemas de validación y monitorización, a menudo profundizamos en cuestiones que surgen de nuestros clientes cuando interpretan las normas y las guías. Recibimos muchas preguntas sobre el Título 21 del CFR Parte 11 y el Anexo 11. En este artículo ofrecemos información general sobre los tres puntos fundamentales tanto de la Parte 11 como del Anexo 11, por ejemplo: Controles del sistema, validación y Archivado.

Es importante destacar que la Parte 11 es un requisito en los EE. UU., mientras que el Anexo 11 es un documento guía en la UE.

Tanto la Parte 11 como el Anexo 11 incluyen los siguientes elementos:

• Validación
• Copias legibles para las personas
• Protección y conservación de los registros
• Registros para auditorías
• Acceso restringido para usuarios autorizados únicamente
• Verificaciones de autoridad
• Comprobaciones de dispositivos
• Capacitación
• Procedimientos escritos
• Documentación del sistema

Una mirada a la lista muestra que cada elemento es, en parte, un método para controlar la función y los resultados de un sistema.

En el 21 CFR Parte 11, “Controles para sistemas cerrados” indica lo siguiente:
(b) “La habilidad de generar copias de registros exactas y completas tanto de forma legible humana como electrónica adecuada para inspección, revisión y copia por parte de la agencia”.

El hecho de que exista una norma específica sobre las copias legibles para las personas demuestra el grado de evolución de la tecnología. Sería difícil imaginar un sistema fácil de usar que no permitiera la impresión de documentos y datos.

Para la mayoría de los sistemas de monitoreo, los registros de interés son los valores de monitorización históricos reales. Y crear una copia legible para las personas probablemente signifique que los datos históricos y los registros de eventos puedan imprimirse en un formato seguro.

En el 21 CFR Parte 11 (e), en el artículo 11.10, Controles para sistemas cerrados, se lee los siguiente:

“El uso de registros para auditorías seguros, generados por computadora y con sellos de tiempo para registrar de manera independiente la fecha y hora de las entradas y acciones del operador que creen, modifiquen o eliminen registros electrónicos. Los cambios en los registros no deben ocultar la información registrada previamente. Dicha documentación de registros para auditorías se debe conservar durante un período, al menos el requerido, para los registros electrónicos y debe estar disponible para su revisión y copia por parte de la agencia”.

En términos de sus aplicaciones de monitorización ambiental, esto significa simplemente que, para que sus registros permanezcan en cumplimiento, los registros electrónicos (datos y eventos) no pueden ser modificables ni eliminables de forma manual.

Además, el registro para auditorías de su sistema debe capturar todos los cambios, desde metadatos (cronogramas y plantillas de informes) hasta datos de configuración, sin ocultar los registros anteriores. Si su sistema no permite cambios en los valores una vez registrados, esto quiere decir que cumple con los artículos de la Parte 11 y el Anexo 11.

Al ser un sistema cerrado, su sistema de monitorización debe limitar el acceso solo a las “personas autorizadas”. Así lo establece el ítem (d) del Artículo 11.10 de la Parte 11. Por lo general, esto significa que todos aquellos con acceso al sistema cuentan con un nombre de usuario y una contraseña segura. A menudo el sistema se integrará con la autenticación del sistema operativo, para aprovechar las herramientas de administración de contraseñas preexistentes y de uso habitual

Con respecto a la validación, la Parte 11 establece la necesidad de la validación en el primer ítem del Artículo 11.10: “Controles para sistemas cerrados”:

(a) “Validación de los sistemas para asegurar la precisión, la confiabilidad, el rendimiento esperado coherente y la posibilidad de discernir entre registros no válidos o modificados”.

En el Anexo 11, la sección “Fase del proyecto” abarca la validación en ocho puntos breves y directos:

• Use la evaluación de riesgo para justificar los estándares, protocolos, criterios de aceptación, procedimientos y registros
• Use la práctica de documentación de control de cambios correcta para informar desviaciones
• Mantenga un inventario de sus sistemas informáticos con descripciones, interfaces, procesos, software y hardware
• Use la evaluación de riesgo para evaluar el impacto sobre las buenas prácticas de fabricación de las Especificaciones de los Requisitos del Usuario
• Audite los sistemas de Gestión de Calidad de los proveedores
• La validación de los sistemas informáticos abarca todo el ciclo de vida del sistema
• Documente las pruebas
• Valide las transferencias de datos

Vemos que el Anexo 11 es más explícito en recomendaciones para la validación.

Para los sistemas de Vaisala, proporcionamos un conjunto de IQOQ de protocolos y, si el cliente lo desea, también lo ejecutamos.

La protección y conservación de los registros, según se describe en la Parte 11 Artículo 11.10 (c) significa que los datos producidos por el sistema no deben modificarse. Además, para cumplir con el requisito de “rápida recuperación durante todo el período de conservación de registros”, los datos deben archivarse de tal manera que puedan accederse de manera conveniente, sin hacer esperar al auditor.

Si los datos se almacenan de manera permanente dentro de la base de datos, esta debe diseñarse de tal modo que el rendimiento del sistema no se degrade a medida que la base de datos se amplíe a lo largo del tiempo. La manera de cumplir con este requisito del 21 CFR Parte 11 puede tener tanto que ver con el diseño de su sistema, como con sus políticas de administración del sistema en cuanto al archivado.

En el Anexo 11, bajo “Almacenamiento de datos”, se recomienda que los datos se almacenen de forma segura, que se respalden tanto de manera física como electrónica y que, además, se verifique periódicamente su accesibilidad, legibilidad y precisión. En el Anexo 11 también se menciona la necesidad de capacidades de restauración de los datos de validación del sistema.

La Parte 11 y el Anexo 11 se introdujeron para abordar las diferencias clave entre los sistemas computarizados y los sistemas manuales, y para lograr que los registros electrónicos sean equivalentes a los registros en papel, como evidencia de la ejecución del proceso de calidad. Hoy en día, la mayoría de los sistemas de monitorización ambiental utilizados en organizaciones que cumplen con las buenas prácticas están inherentemente alineados con los requisitos de la Parte 11 y el Anexo 11. Sin embargo, el riesgo no es resultado de los sistemas en sí mismos, sino de la forma en que se implementan y mantienen.

Aunque su sistema de monitorización probablemente incluía manuales del usuario y del administrador y CD de fácil integración en su sistema de gestión de documentos, los procedimientos que controlan la documentación siguen estando bajo su responsabilidad. Independientemente de lo bueno que sea su sistema de monitorización (y si tiene Vaisala, es excelente), únicamente los procedimientos de su sistema de calidad lo mantienen en cumplimiento con la Parte 11/Anexo 11.

No abarcamos las firmas electrónicas porque eso es una función de software especializado. Existe software empresarial de especialidad para implementar firmas electrónicas dentro de un sistema de gestión de documentos electrónicos (EDMS). Para la solución de monitorización de Vaisala, usamos un sistema “híbrido”, lo que significa que usa registros electrónicos en combinación con firmas manuscritas, donde los resultados en PDF se pueden importar en el EDMS.

Aquí tiene el Informe técnico: “Cumplimiento de sistema de monitoreo continuo de Vaisala con los requisitos del 21 CFR Parte 11 y el Anexo 11”, remítase a nuestra base de conocimiento para ver más documentos normativos adicionales y notas de aplicación.