37
21 CFR Part11
Introdução
Recentemente entrou em vigor a nova RDC 17/2010 da ANVISA que substitui a antiga RDC 210/2003 e pas-sa a exigir a Validação de Sistemas Computadorizados. Neste artigo, o 21 CFR Part11 será abordado de forma geral, com ênfase nas áreas preocupadas com o Controle de Contaminação.
Em uma leitura rápida poderíamos entender que as normas 21 CFR Part11 e a RDC 17/2010 são muito dife-rentes, entretanto as duas têm o mesmo objetivo: desen-volvimento, produção e armazenamento de fármacos com a qualidade que hoje a sociedade exige.
Como análise prévia, podemos dizer que, apesar de todas as vantagens do uso de sistemas computadoriza-dos, não podemos introduzir desvantagens em proces-sos que manualmente já alcançaram um alto grau de maturidade no seu tratamento frente a orgão reguladores e a sociedade. Apesar da RDC 17/2010 tratar de forma mais abrangente a questão dos sistemas computadori-zados que a CFR, não podemos deixar de atentar que lendo o § 1o e § 2o da RDC 17/2010 estaremos, também, atendendo a CFR (U.S.FDA) e o GUIA DE VALIDAÇÃO DE SISTEMAS COMPUTADORIZADOS (ANVISA). § 1o Quando sistemas computadorizados substituírem
operações manuais, não pode haver impacto na qua-lidade do produto.
§ 2o Deve-se considerar o risco de perder aspectos de
qualidade do sistema anterior pela redução do envol-vimento dos operadores.
Tanto as normas americanas como as brasileiras, assim como os Guide lines das agências reguladoras não dizem como fazer para atingirmos o resultado, mas
sim, o que deve ser feito. Fica claro, também, que novos
Roney Rietschel
Autor: Eng. Roney Ritschel, diretor técnico da
Microblau
Contato: roney.rts@microblau.com.br
processos (neste caso, sistemas computadorizados) não podem ter um resultado pior, em nenhum aspecto, do que os anteriores (processos manuais). Boas normas ajudam a acelerar a implantação com menor risco e tornam explícitas as condutas, eliminando as interpreta-ções particulares.
O que quer dizer
O 21 CFR Part11 é uma legislação decretada pelo United States Food and Drug Administration (U.S. FDA), que regula o uso de registros e assinaturas eletrônicas para áreas farmacêuticas. Estes registros devem ser in-violáveis, incorrompíveis e indeletáveis. Ou seja, garan-tem que o dado é armazenado de forma absolutamente confiável e deve ser aplicado em todas as etapas do medicamento desde o seu desenvolvimento até o pós venda.
Glossário
CFR - Code of Federal Regulations são as legislações
americanas relacionadas às agências regulatórias.
21 - Título do CFR que trata especificamente do FDA; Part 11 - Capítulo do título 21 que estabelece os
requisi-tos em relação a Registros Eletrônicos e Assinaturas Eletrônicas em sistemas computadorizados.
Registros eletrônicos - Registros eletrônicos podem
ser definidos como qualquer combinação de texto, gráficos, dados, sons e/ou esquemas representados em forma digital, que sejam criados, modificados, mantidos, arquivados, recuperados ou distribuídos por um sistema computadorizado.
38
ARtIGO téCnICO
Os registros eletrônicos são guardados em bancos de dados com campos contendo chaves que são ge-radas na hora do registro. Esta chave tem conexão com todos os dados contidos naquele registro assim como nos registros anteriores e posteriores, o que torna impossível a sua quebra, garantindo a confiabi-lidade do sistema como uma todo.
Assinaturas Eletrônicas - Compilação dos dados
computadorizados ou qualquer símbolo ou série de símbolos executados, adaptados ou autorizados por uma pessoa para ser legalmente vinculado como equivalente a sua assinatura manuscrita. Também conhecida como assinatura digital, se baseia nos métodos criptográficos de autenticação computado-rizada para verificar a identidade de quem assina e a integridade da informação. As assinaturas eletrôni-cas incluem aquelas que são usadas para documen-tar que certos eventos ou ações ocorreram de acor-do com os requerimentos regulatórios específicos, por exemplo: aprovações, revisões ou verificações. As assinaturas eletrônicas são um registro com uso de criptografia o qual mantém um link entre um nome único no sistema com cada usuário, sem no entanto revelar a sua senha. Processos mais seguros como validação biométrica, impressão digital, íris, etc tam-bém são usados separados ou junto com senhas como forma de aumentar a confiabilidade dos siste-mas.
Não existe a necessidade de “escanear” uma assina-tura manuscrita para depois inseri-la no documento eletrônico.
Benefícios à sociedade
Todos sabem o risco envolvido, por exemplo, em uma cirurgia crítica, onde a eficácia de um medicamento ou anestésico pode significar a vida do paciente. Em uma doença grave não é diferente, e mesmo um medicamen-to mais simples, mas produzido com algum desvio, pode levar o paciente a sofrer sérias consequências.
A solução clássica seria um aumento brutal da fisca-lização para garantir o cumprimento de normas e boas práticas, uma vez que estão envolvidos grandes valores nestes processos. O que, por sua vez, pode estimular fraudes e corrupção; e por consequência significar
maio-res custos para o consumidor sem necessariamente mi-tigar os riscos.
Os registros eletrônicos confiáveis passam, então, a ser a solução mais ampla, garantida e de menor custo, ajudando a fiscalização no o cumprimento das normas.
A 21 CFR Part11 no Brasil
Em princípio não existe nenhuma obrigatoriedade no Brasil da aplicação da 21 CFR Part11, porém as subsi-diárias de empresas americanas, ou principalmente as que exportam aos Estados Unidos, podem ser obriga-dos a adotar a norma. Entretanto, com a publicação da RDC 17/2010, podemos entender que possuímos uma norma equivalente a 21 CFR Part11, e que um processo de implantação bem planejado pode atender a ambas qualificações.Muitos dos processos, hoje, na indústria farmacêu-tica são computadorizados, porém se não estiverem de acordo com a 21 CFR Part11 ou a RDC17, poderá existir a necessidade de transferência destes dados digitais para ‘papel’ para que haja assinatura e arquivamento manuais. E gerar toda esta documentação, no formato citado, tem um custo muito elevado, dificultando traba-lhos futuros, como por exemplo, o tempo de recupera-ção da informarecupera-ção arquivada. Por outro lado, o uso de um dado digital, que não seguiu um padrão rigoroso de armazenamento, pode inserir riscos em processos pos-teriores que utilizarão o registro arquivado.
Analisando este cenário, podemos perceber que as indústrias podem aproveitar o uso intensivo de sistemas computadorizados como um trampolim para aumento de sua eficiência e qualidade na adoção da 21 CFR Part11 e da RDC 17/2010.
Análise e comentários da norma
Para facilitar o entendimento da norma iremos co-mentar a aplicação de alguns itens:11.10 Controle para Sistemas Fechados
(a) Validação de sistemas para garantir a precisão, con-fiabilidade, consistência do desempenho pretendido, bem como a capacidade de discernir registros inválidos ou alterados.
39
Os procedimentos para validação de sistemas detodos os registros coletados (manualmente ou eletro-nicamente), devem garantir a precisão, confiabilidade, desempenho consistente, bem como a capacidade de discernir registros inválidos ou alterados, isto é, o sis-tema deve garantir que somente pessoas autorizadas tenham acesso ao processo, sem risco de adulterações, mantendo a rastreabilidade através de assinaturas invio-láveis e autênticas.
Atendendo a padrões rigorosos de segurança, a se-nha não pode ser gravada, por isso deve haver um link, absolutamente confiável para assinaturas digitais, onde o nome do usuário é registrado e único no sistema.
(b) Capacidade para gerar cópias precisas e completas dos registros, legíveis por humanos ou em formato ele-trônico para inspeção, revisão e cópia pela agência. As pessoas deverão contatar a agência se houver alguma dúvida quanto à capacidade da mesma em realizar tal revisão e cópia dos registros eletrônicos.
(c) Proteção de registros para possibilitar a sua recupe-ração precisa e imediata durante o período de retenção dos registros.
A principal preocupação deve ser a garantia de aces-so dos dados pela agência reguladora. Atualmente, com a velocidade de renovação de softwares e hardwares, durante todo o tempo obrigatório de arquivamento, o risco de falha, no acesso aos dados, pode ser ampliado, como versões de software ou banco de dados atuais incompatíveis com os dados antigos. Por isso, a empre-sa deve se preparar para lidar com estas situações, em caso extremo, passar seu banco de dados para formato PDF, porém dentro de um processo também validado.
(d) Limitar o acesso ao sistema a pessoas autorizadas.
Limitação de acesso podem ser garantidas por di-versas formas, tais como controle biométrico, renovação automática de senhas, tempo de logout por inatividade entre outros.
(e) Uso de rastreamento de ações de auditoria seguras, geradas por computador, com data/horário, para regis-trar de forma independente a data e hora das entradas e ações do operador que geram, alteram ou excluem os registros eletrônicos. As alterações de registros não deverão ocultar as informações registradas anterior-mente. Tal documentação de rastreamento de ações de auditoria deverá ser mantida, pelo menos, enquanto tais registros eletrônicos forem necessários e deverá estar
disponível para revisão e cópia por parte da agência.
Este talvez seja o item mais crítico em termos de implementação, pois se houver qualquer alteração no sistema, todas as mudanças devem ser registradas, in-cluindo o nome, hora e atividade correlata executada. O registro dever ser sempre garantido pelas assinaturas eletrônicas, ou seja, qualquer modificação será adicio-nada como nova informação, sem nunca ocultar as infor-mações anteriores.
(f) Utilização de verificações do sistema operacional para reforçar a permissão de dar sequência às etapas e eventos, conforme apropriado.
(g) Utilização de verificações de autoridade para garantir que somente pessoas autorizadas possam acessar o sistema, assinar um registro eletronicamente, acessar o dispositivo de entrada ou saída do sistema operacional ou computacional, alterar um registro, ou executar a operação manualmente.
O sistema deve garantir, através de segurança ele-trônica e procedimentos, que apenas indivíduos com permissão o acesse, através de senhas e autorizações seletivas, definidas para cada usuário cadastrado, além de pré-definir funções específicas. Ex: troca de senhas periódicas, forçada de forma automática, onde apenas níveis hierárquicos autorizados liberam acesso a novos usuários.
(h) Utilização de verificações de dispositivos (por exem-plo, terminais) para determinar, conforme apropriado, a validade da fonte de entrada de dados ou instruções operacionais.
Implementar funções que verifiquem a validade dos equipamentos que estão fornecendo os dados, como por exemplo, seu número de série.
(i) Definição de quem dentre as pessoas que desenvol-vem, mantêm ou utilizam sistemas de registro eletrônico e assinatura eletrônica possuem formação, treinamento e experiência para realizar tarefas a eles designadas.
A importância de pessoas adequadamente treinadas é fundamental na implantação.
(j) O estabelecimento e a adesão a políticas escritas que responsabilizam os indivíduos e os tornam responsáveis por ações admitidas com suas assinaturas eletrônicas, a fim de desencorajar a prática de falsificação de registro e assinatura.
As políticas e cuidados, no uso de assinaturas eletrô-nicas, não diferem daqueles utilizados em assinaturas
40
ARtIGO téCnICO
manuais.
(k) Utilização de controles apropriados sobre a docu-mentação dos sistemas, incluindo:
(1) Controles adequados sobre a distribuição, acesso e utilização de documentação para a operação e manuten-ção do sistema.
(2) Procedimentos de controle de revisão e alteração para manter um rastreamento das ações de auditoria que documente o desenvolvimento e a alteração sequencial da documentação dos sistemas.
Toda a documentação envolvida no sistema, como planos de validação, protocolos, documentação, em todo o seu ciclo de vida, deve ser adequadamente tratado.
11.70 Ligação assinatura/registro.
As assinaturas eletrônicas e as assinaturas manus-critas feitas para os registros eletrônicos deverão estar vinculadas aos seus respectivos registros eletrônicos a fim de garantir que as mesmas não possam ser apaga-das, copiadas ou transferidas para falsificar um registro eletrônico através de meios ordinários.
Todos os dados, que necessitem de interface huma-na, devem estar ligados à assinatura do usuário, sem entretanto revelar sua senha, por isto cada nome ou registro deve ser único.
As assinaturas eletrônicas devem ser absolutamente confiáveis, sendo necessário diversos cuidados, tais como:
não retribuir uma assinatura existente a um novo usuário;
não permitir senhas simples;
não permitir tentativas seguidas de acesso inválido; treinar os usuários adequadamente;
associar formas, mais seguras possíveis, como biometria para reconhecimento do usuário.
Validação
O plano de validação deve conter, detalhadamente, todos os passos com definição de responsabilidade e ser aprovado pela gerência responsável. Além disso, deve ser realizada por pessoas independentes das que desenvolveram o sistema.
Testes dinâmicos devem ser realizados verificando uso em condições limites, como número excessivo de usuários simultâneos, tentativas de entrada de dados
inválidos e a correta rejeição do sistema entre outras. O uso de simuladores também pode fazer parte do proces-so de validação.
Pela complexidade dos sistemas atuais, os testes dinâmicos podem não responder a todas as situações, deve-se então realizar testes estáticos, como revisão de código e análise dos procedimentos técnicos de qualida-de no qualida-desenvolvimento do software.
Ganhos não imaginados
Os custos para implantação da norma são altos, po-rém pode-se obter muitas vantagens na sua adoção.
Sistemas digitais ocupam muito menos espaço para arquivamento que seus equivalentes em papel, permi-tem recuperação mais rápida de dados arquivados, re-duzindo bastante o número de horas envolvidas neste processo, além do aumento da qualidade das atividades.
Analisando sob a ótica dos profissionais de controle de contaminação, diversos benefícios são obtidos: como o aumento do comprometimento das equipes envolvi-das, processo natural de melhoria contínua, facilidade de acesso aos dados estatísticos de qualidade (localiza-ção de causas raiz dos prolemas), entre outros.
O contínuo ciclo de atacar os efeitos e não impedir a repetição do problema pode ser quebrado a partir de uma visão de sistemas que atendam a norma. Por exem-plo, em um sistema convencional, se um parâmetro foi modificado sem registro de quem aprovou ou alterou o parâmetro, fica impossível descobrir esta falha humana, por outro lado, em um sistema eletrônico, que atende a 21 CFR Part11, o próprio sistema impedirá esta ação para pessoas não autorizadas.
Se bem aplicado, a implantação da 21 CFR Part11 pode trazer ganhos maiores que o valor investido repre-senta, além de acelerar uma mudança cultural de quali-dade dos processos.
Guia de validação de sistemas
computadorizados – AnVIsA
publicado em abril de 2010
Como podemos ver, na introdução deste guia, sua aplicação não é compulsória, o que não diminui a sua41
importância. Este guia dá grande ênfase a todo ciclo devida do sistema e deve iniciar na concepção do produto e durar durante todo período de retenção de dados.
Outro aspecto muito importante deste guia é o foco com processos para análise de risco. A cultura de análise de risco no Brasil, de forma mais ampla, é relativamente recente; e nada mais oportuno do que sua aplicação num momento como este, ou seja, prever o problema e não reagir apenas depois da ocorrência.
Comentários
Sistemas Turn keyVendedores não podem garantir equipamentos ‘na caixa’ compatíveis com a 21 CFR Part11, ou seja, im-plantar sistemas sem o envolvimento do cliente, pois os equipamentos só podem atender a requisitos técnicos. Processos administrativos associados à implantação do 21 CFR Part11 são específicos a operação do cliente, necessitando do envolvimento de pessoas.
Sistemas híbridos
Pode haver a necessidade, em um mesmo ambiente, de coexistirem ambos sistemas: manuais e computadori-zados. Por ex: se um sistema não é validável no 21 CFR Part11, então o procedimento deverá orientar a realiza-ção da assinatura e arquivamento manual.
Bibliografia
a) CFR – Código de Regulamentos Federias Título 21 (FDA)
TÍTULO 21 – Alimentos e Medicamentos CAPÍTULO I – Administração de alimentos e
Medicamentos
PARTE 11 – Registros Eletrônicos; Assinaturas Eletrônicas
Tradução MICROBLAU.
b) Guia de validação de sistemas computadorizados (ANVISA)
c) Resolução – RDC nº 17, de 16 de abril de 2010
Fig.1 (Fonte Fig.4 do Guia de Validação de Sistemas Computadorizados)
Fig.2 (Fig.8 do Guia de Validação de Sistemas Computadorizados)
Migração Potencial Retenção Migração Destribuição Envolvimento do Fornecedor*
ConCEiTo PRojETo oPERAção DESConTinuiDADE
•Identificar riscos para requisitos específicos •No geral, quais são os riscos do sistema? •Análise de Riscos mais detalhadas é requerida?
Considerar
Identificar e Definir
•Identificar riscos para processos específicos •Identificar riscos para funções específicas •Definir controles para reduzir riscos
Analise de Riscos Inicial
Analise de Riscos Funcional
Especificação de Requisitos Usuário Especificação Funcional Especificação de Desenho Hardware Design e Software e Design PRoDuTo ConFiGuRADo E/ou CuSToMiZADo QD QO QI
Interação conforme requerido
Requisitos Análise BPx Liberação para uso Mudança Aposentadoria FASES
