Guía completa sobre el cumplimiento de la norma 21 CFR Parte 11 y cómo lograrlo

Si estás relacionado de alguna manera con el sector de las ciencias de la vida, es posible que hayas oído hablar del cumplimiento de la norma 21 CFR Parte 11. Si no es así, en esta guía te explicaremos todo lo que hay que saber al respecto.

Empecemos por explicar por qué se introdujo.

A partir de 1990, las organizaciones comenzaron a pasar de los sistemas en papel a los sistemas digitales para el almacenamiento de datos. Sin embargo, la confianza no se trasladó con la misma facilidad. Los datos pueden modificarse, eliminarse o utilizarse indebidamente si no se controlan adecuadamente. Por lo tanto, la principal preocupación jurídica de estas organizaciones es cómo gestionar correctamente los registros electrónicos.

Como solución, la FDA (Administración de Alimentos y Medicamentos) introdujo en 1997 la normativa 21 CFR Parte 11. En ella se define con exactitud cómo deben gestionarse los registros electrónicos y las firmas electrónicas para que se consideren válidos, fiables y legalmente equivalentes a los documentos en papel.

Si te equivocas, te enfrentarás a cartas de advertencia, auditorías fallidas o retenciones de productos. Si lo haces bien, todo tu sistema de calidad se sustentará sobre una base en la que la FDA pueda confiar.

Ahora, veamos la definición de la Parte 11 del Título 21 del Código de Regulaciones Federales (21 CFR) y cómo aplicarla.

¿Qué es la norma 21 CFR Parte 11 y quiénes deben cumplirla?

La norma 21 CFR Parte 11 es una norma internacional promulgada por la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) que establece los criterios para el uso de registros electrónicos y firmas electrónicas en entornos regulados. Establece que los registros en papel pueden sustituirse por registros electrónicos, pero solo cuando un sistema digital garantice la exactitud, la integridad y la trazabilidad de los datos.

La norma 21 CFR Parte 11 se divide en tres subpartes:

• La subparte A establece el ámbito de aplicación del reglamento.
• La subparte B contiene normas para el almacenamiento de registros electrónicos en sistemas digitales.
• La subparte C contiene normas relativas a las firmas electrónicas.

Esta normativa se aplica a cualquier organización sujeta a la supervisión de la FDA, ya sea del sector farmacéutico, biotecnológico, de dispositivos médicos o de investigación clínica, y que utilice sistemas electrónicos para sus actividades relacionadas con las buenas prácticas (GxP).

Requisitos de la Parte 11 del Título 21 del CFR: controles fundamentales que debe implementar

La norma 21 CFR Parte 11 no es una simple casilla que hay que marcar. Se trata de un conjunto de requisitos y controles que se aplican para garantizar la seguridad de los registros electrónicos.

Estos son algunos de los controles fundamentales que debes implementar:

• Validación del sistema (punto 11.10(a)): Todo sistema utilizado para almacenar registros electrónicos debe someterse a pruebas y documentarse para demostrar que funciona según lo previsto, de forma fiable y sin fallos.
• Requisitos de la FDA en materia de registro de cambios (Parte 11.10(e)): Cuando se realice cualquier modificación en un registro, el sistema deberá registrar quién la ha realizado, incluyendo la fecha y la hora. El registro deberá generarse automáticamente y no introducirse manualmente.
• Controles de acceso (apartado 11.10(d)): El sistema debe contar con un sistema de autorización seguro. Solo los usuarios autorizados deben poder modificar registros o firmar registros electrónicos.
• Firmas electrónicas (Parte 11, Subparte C): Cada firma electrónica debe ser única y estar asignada exclusivamente a un usuario concreto. Debe indicar el nombre completo del firmante, la marca de tiempo de la firma y la finalidad de la misma. Además, las firmas deben ser exclusivas de cada persona y estar vinculadas al registro.
• Conservación y recuperación de registros (punto 11.10(c)): Cada registro debe conservarse de tal manera que los miembros autorizados del equipo puedan acceder a él siempre que sea necesario.
• Comprobaciones de dispositivos y sistemas (punto 11.10 h)): Los dispositivos de entrada y salida deben funcionar correctamente para evitar la introducción de datos erróneos o errores de procesamiento.

¿Quieres saber más sobre el título 21 del CFR, parte 11? Lee aquí las preguntas frecuentes.

Cómo cumplir con la norma 21 CFR Parte 11 paso a paso

Ahora, veamos paso a paso el proceso para implementar los controles de cumplimiento de la norma 21 CFR Parte 11 mencionados en la sección anterior.

1. Definir el alcance e identificar los datos regulados

La Parte 11 no se aplica a todos los sistemas de su organización. Solo se aplica a los sistemas relacionados con actividades reguladas por la FDA. Por lo tanto, identifique los sistemas que se utilizan para crear y gestionar registros. Puede tratarse de un sistema de gestión de documentos, una plataforma de gestión de ensayos, una plataforma de gestión de requisitos, etc.

Establecer unos límites claros desde el principio permite ahorrar tiempo y recursos.

2. Validar el sistema con pruebas documentadas

A continuación, valide el sistema y prepare pruebas documentadas que demuestren que funciona de forma precisa, segura y constante en condiciones reales de trabajo.

Los equipos pueden aplicar los protocolos de cualificación adecuados, como la cualificación de la instalación (IQ) y la cualificación operativa (OQ), para cada sistema. Además, deben considerar la validación como un proceso dinámico, lo que significa que cualquier actualización significativa del sistema debe dar lugar a una nueva validación.

3. Controlar el acceso y garantizar la rendición de cuentas

Además, sea cual sea el sistema digital que utilices, debe incluir una función que asigne permisos basados en roles a cada usuario, de modo que solo puedan acceder a lo que necesitan. Cada usuario debe tener un nombre de usuario y una contraseña únicos para acceder a los registros, y cada acción realizada en un registro —como editar, revisar, aprobar, etc.— debe estar vinculada a una persona concreta.

4. Habilitar los registros de auditoría y los flujos de trabajo de firmas

Debe asegurarse de que cada cambio se registre automáticamente con los datos de los usuarios y las marcas de tiempo a través del ordenador, y no se permite el registro manual. A continuación, configure las firmas electrónicas para las etapas de revisión y aprobación. El sistema digital debe vincular las firmas directamente al registro editado y reflejar la intención, como la aprobación o la revisión.

5. Establecer procedimientos operativos estándar y mantener a los equipos coordinados

El hecho de que el sistema digital o el software que utiliza para gestionar los registros cumpla con la norma 21 CFR Parte 11 no significa que su proceso también lo haga. También debe formar a su equipo sobre cómo utilizar los sistemas en el trabajo diario. Para ello, elabore procedimientos operativos estándar (SOP) basados en funciones que abarquen los pasos necesarios para realizar la introducción de datos, la revisión, las modificaciones o la gestión de incidencias. 

Deficiencias habituales en el cumplimiento de la norma 21 CFR Parte 11 y cómo evitarlas

Seguir el proceso descrito en la sección anterior no es fácil de llevar a cabo, sino que plantea los siguientes retos:

• Documentación fragmentada: cuando los documentos de requisitos, las pruebas de pruebas, las aprobaciones y los registros se gestionan en diferentes sistemas, resulta difícil presentar un registro de auditoría completo. Para superar este reto, mantén todos los registros en un único sistema controlado.
• Flujos de trabajo de aprobación manuales: los equipos utilizan el correo electrónico o documentos en papel para realizar revisiones sin un registro sistemático de quién ha aprobado qué, lo que les complica las cosas en caso de auditoría. Para solucionar esto, los equipos deben utilizar una herramienta que les permita realizar revisiones con firma electrónica y gestionar los registros en un mismo lugar.
• Falta de trazabilidad entre los requisitos: cuando se redactan los requisitos, pero no se sabe cómo se relacionan con los casos de prueba y otros registros, los equipos tienen dificultades para evaluar el impacto de los cambios y pueden perder registros importantes.
• Cuentas de usuario y datos de acceso compartidos: La Parte 11 exige una identificación única para cada usuario. Cuando varias personas utilizan los mismos datos de acceso, no hay forma de atribuir una acción a una persona concreta.

Una solución para superar todos estos retos es utilizar únicamente software que cumpla con la Parte 11 para la gestión de registros durante el desarrollo de productos.

Cómo Modern Requirements4DevOps facilita el cumplimiento de la norma 21 CFR Parte 11

Modern Requirements4DevOps, una plataforma de gestión de requisitos que funciona dentro de Azure DevOps, ayuda a los equipos a gestionar el cumplimiento de la Parte 11 como parte de su trabajo diario, y no como una actividad independiente.

Permite almacenar todos los registros regulados con control de versiones en un único sistema. Esto reduce el riesgo de que falten archivos y facilita la presentación de registros completos durante las auditorías.

La plataforma también admite revisiones estructuradas con firmas electrónicas. Los equipos pueden revisar el contenido, aportar comentarios y dar su aprobación directamente en el sistema. Cada acción se vincula a un usuario y a una marca de tiempo, lo que permite crear un historial de aprobaciones claro.

Con Modern Requirements4DevOps, los equipos pueden mantener la trazabilidad en todos los elementos de trabajo de Azure DevOps y demostrar el cumplimiento normativo durante las inspecciones. Además, la herramienta permite a los equipos llevar a cabo una gestión controlada de los cambios, lo que les ayuda a estar preparados para las auditorías.

Lo más importante es que se pueden asignar permisos basados en roles a cada usuario. Cada usuario tiene una identidad única, lo que refuerza la rendición de cuentas y se ajusta a los requisitos de control de acceso de la Parte 11.