Validación de sistemas informatizados - Productos sanitarios
Los sistemas informatizados utilizados en la fabricación de productos sanitarios (medical devices) son herramientas de vital importancia en el ciclo de vida de un producto, por lo que su validación es fundamental para asegurar la fiabilidad y calidad del proceso
Validación de sistemas informatizados en productos sanitarios (medical devices)
Las organizaciones vinculadas a la salud deben cumplir rigurosas normativas que aseguren la calidad y la confiabilidad de sus productos. Los sistemas informatizados que se utilizan durante todo el ciclo de vida del producto (fabricación, distribución, etc.) no son la excepción. De la misma manera que sucede con cualquier otro elemento crítico en el ciclo de vida del producto, los sistemas informatizados deben estar validados.
En la actualidad, una de las principales normas que afectan al sector de los productos sanitarios (medical devices) es el Reglamento (UE) 2017/745. La norma expresa lo siguiente:
“(32) Todos los fabricantes deben tener un sistema de gestión de calidad y un sistema de seguimiento poscomercialización, que deben ser proporcionados a la clase de riesgo y al tipo de producto sanitario de que se trate, a fin de garantizar que los productos fabricados en serie sigan siendo conformes con los requisitos del presente Reglamento y que la experiencia obtenida en el uso de los productos que fabrican se tenga en cuenta para el proceso de producción. Además, a fin de reducir al mínimo los riesgos y prevenir incidentes relacionados con los productos, los fabricantes deben establecer un sistema para la gestión de riesgos y un sistema para notificar incidentes y acciones correctivas de seguridad.“
Este párrafo define los aspectos que deben ser tenidos en cuenta a la hora de considerar las características y el impacto de los sistemas informatizados que se utilizan en la organización.
Marco regulatorio de la validación de sistemas informatizados en productos sanitarios
Sistema de Gestión de Calidad
Esta exigencia implica que la organización debe cumplir con la norma armonizada ISO 13485:2016. Para ello, se debe perseguir la “validación de la aplicación de programas informáticos utilizados en el SGC (Sistema de Gestión de Calidad)“.
La organización debe documentar los procedimientos para la validación de la aplicación de los programas informáticos utilizados en el SGC. Estas aplicaciones informáticas deben ser validadas antes de su uso inicial, y en cada ocasión que sea apropiado (después de algún cambio o actualización que deba realizarse en dicho software, por ejemplo). El enfoque específico y las actividades de validación inicial o posterior del software, deben ser proporcionales al riesgo asociado con el uso del software o al impacto que tiene en el proceso, incluyendo el efecto en la capacidad del producto para cumplir las especificaciones.
El mismo criterio debe emplearse para la validación de la aplicación de programas informáticos utilizados en la producción y la prestación del servicio.
Sistema de seguimiento poscomercialización
Esta exigencia indica que la organización debe cumplir con las BPFV (Buenas Prácticas de Farmacovigilancia), que expresa en su artículo 6 inciso h: “Los sistemas informatizados de gestión de datos tendrán que estar validados …”. El artículo establece una serie requisitos que el sistema debe cumplir, a saber:
- Disponer de medidas físicas de seguridad para impedir acceso no autorizado a los sistemas informáticos.
- Disponer medidas lógicas de seguridad para impedir acceso no autorizado a los datos.
- Realizar copias de seguridad periódicas de los datos.
- Documentar y validar cualquier procesos de migración hacia otro sistema.
- Deben almacenarse registros detallados respecto a cada operación (fecha, hora, autor, etc), que posibilite cualquier tarea de auditoría posterior.
- Se debe establecer un mecanismo de control de modificaciones en los sistemas, de tal manera que las actualizaciones sean controladas y esto no afecte su validación.
- Se debe disponer de un sistema alternativo, que permita la gestión de datos en caso de fallo temporal del sistema principal. Este sistema alternativo debe garantizar el cumplimiento de las obligaciones legales de farmacovigilancia.
- Debe existir un plan de recuperación ante desastres o fallo permanente del sistema.
- Se debe garantizar una capacitación adecuada al personal que utiliza los sistemas informatizados.
- Se debe disponer de un PNT (procedimiento normalizado de trabajo) que describa todas las actividades relacionadas con los sistemas informatizados.
Sistema para la gestión de riesgos
En este caso, se pueden adoptar mecanismos propuestos por la guía ICH Q9. Aunque estas directrices no establecen nada específico en relación a los sistemas informatizados, de cualquier manera establecen que el alcance de la validación depende de los resultados de un análisis de riesgos.
El análisis de riesgos propuesto por la ICH Q9 debe servir de guía para:
- Evaluar el impacto y los riesgos generador si el sistema informatizado funciona de manera incorrecta.
- Definir los controles que el sistema informatizado debe incluir.
- Mejorar la operativa del sistema para evitar que se produzcan dichos fallos, siempre que sea necesario.
Sistema para notificar incidentes y acciones correctivas de seguridad
Al igual que en el caso de los sistemas de seguimiento de poscomercialización, se debe recurrir a las “Buenas Prácticas de Farmacovigilancia”.
Consideraciones generales para una correcta validación de sistemas informatizados en productos sanitarios
El Reglamento (UE) 2017/745 indica de manera explícita que es necesaria la validación de los sistemas informatizados si éstos sistemas son críticos en un sistema de gestión de calidad conforme a la ISO 13485, o en cualquier otro proceso (ya sea diseño, fabricación o acondicionamiento).
Además, en el Anexo I del reglamento (“Requisitos generales de seguridad y funcionamiento”) se indica en su artículo 3 que “Los fabricantes deberán establecer, aplicar, documentar y mantener un sistema de gestión de riesgos”. Sus incisos definen los requerimientos necesarios para establecer y documentar un análisis de riesgos y medidas de control durante todo el ciclo de vida del producto, del tal manera que se pueda minimizar o directamente eliminar estos riesgos.
Si el fabricante determina que el sistema informatizado o algún software que se utiliza es un punto crítico o un riesgo potencial que compromete la seguridad del producto o paciente, la validación para minimizar o eliminar el riesgo asociado a ese elemento es fundamental.
Puedes ampliar información acerca de la validación de sistemas informatizados en productos sanitarios y otros sectores en la siguiente guía que hemos elaborado: Validación de Sistemas Informatizados: marco regulatorio, sectores y alcance.