Marco regulatorio de validación de sistemas informatizados

En este artículo, haremos un recorrido por el marco regulatorio de la validación de sistemas informatizados, conoceremos sus procesos, alcances y requisitos para su validación

Es importante saber dónde podemos consultar la información sobre a qué estamos obligados en relación a la validación de sistemas informatizados, o marco normativo. El marco normativo, puede estar compuesto por directivas comunitarias, reglamentos comunitarios, reales decretos o normas.

A continuación, haremos un recorrido por el marco regulatorio de la validación de sistemas informatizados de acuerdo a los diferentes sectores, en cada caso indicaremos el alcance y los requisitos para la validación de sistemas.

Validación de sistemas informatizados en la fabricación de Medicamentos

Medicamentos (Real decreto 824/2010)

Ubicación	Texto
Artículo 30. Instalaciones y equipos	Las instalaciones y equipos que vayan a a utilizarse en operaciones esenciales para la calidad de los productos, deberán ser objeto de una cualificación y una validación apropiadas.
Artículo 31. Documentación	Cuando se utilice un sistema de tratamiento de datos electrónico, fotográfico o de otro tipo en lugar de la documentación escrita, los fabricantes deberán primero obtener la validación del sistema demostrando que los datos estarán adecuadamente almacenados durante el periodo previsto. Los datos almacenados mediante estos sistemas deberán ser fácilmente accesibles en forma legible y se pondrán a disposición de las autoridades competentes cuando los soliciten. Los datos almacenados en soporte electrónico estarán protegidos, mediante métodos como la realización de copias (de seguridad) y la transferencia a otro sistema de almacenamiento, de forma que no sufran pérdidas ni daños, y se llevarán a cabo pruebas de control.

Medicamentos (NCF / BPD / BPL / BPFV)

Título	Ubicación	Texto
NCF (Normas de Correcta Fabricación)	Anexo 15. Cualificación y Validación Página 2, Principios	Los sistemas informatizados utilizados para la fabricación de medicamentos también deben validarse, de acuerdo con los requisitos del Anexo 11.
	Anexo 11. Sistemas computarizados	Guía de Normas de Correcta Fabricación de Medicamentos de Uso Humano y Veterinario
BPD (Buenas Prácticas de Distribución)	3. Locales y equipos. Página 5, 3.3.1. Sistemas Informáticos	Antes de utilizar un sistema informático debe demostrarse, con una validación adecuada o con estudios de verificación, que puede lograr los resultados deseados de forma precisa, coherente y reproducible. Una descripción escrita detallada del sistema (con gráficos, si procede) debe estar disponible. Dicha descripción debe actualizarse. El documento debe describir los principios, los objetivos, las medidas de seguridad, el alcance del sistema y las características principales, cómo se utiliza el sistema informático y la forma en que se relaciona con otros sistemas. Los datos solo deben ser introducidos o modificados en el sistema informático por personas autorizadas para ello. Los datos deben estar protegidos por medios físicos o electrónicos, así como contra las modificaciones accidentales o no autorizadas. Debe comprobarse periódicamente la accesibilidad de los datos almacenados. Hay que hacer periódicamente copias de seguridad de los datos, que deben conservarse durante el plazo previsto en la legislación nacional y, en cualquier caso, un mínimo de cinco años en un lugar aparte y seguro. Deben definirse los procedimientos que deben seguirse en caso de que se produzca un fal o o una avería en el sistema. También deben existir sistemas de recuperación de datos.
BPL (Buenas Prácticas de Laboratorio)	Principios de Buenas Prácticas de Laboratorio	Serie de la OCDE acerca de los principios de Buenas Prácticas de Laboratorio y Verificación de su conformidad
BPFV (Buenas Prácticas de Farmacovigilancia)	Página.14. Apartado H	h. Los sistemas informatizados de gestión de datos tendrán que estar validados, y ademásdeberán cumplir los siguientes requisitos: 1. Disponer de medidas físicas de seguridad que impidan el acceso no autorizado al os equipos y soportes informáticos. 2. Implantar medidas de seguridad lógica que impidan el acceso no autorizado a los datos. Debe existir una lista actualizada de individuos autorizados con su correspondiente nivel de acceso al sistema (de consulta, introducción,modificación de datos, etc). 3. Realizar regularmente copias de seguridad de los datos. 4. Cualquier proceso de migración de datos a otro sistema debe estar documentado y validado. 5. Los datos registrados en el sistema informatizado deben estar identificados con su autor, fecha y hora de introducción. Debe existir un registro de datos auditable (audit trail) que permita conocer todos los cambios secuenciales asociados a un dato, con identificación de su autor, fecha, hora y valor anterior. Cualquier cambio debe estar justificado. 6. Establecer un sistema de control de cambios en los sistemas informáticos que garantice que la actualización es controlada y la validación del sistema se mantiene durante su ciclo de vida. 7. Disponer de un procedimiento alternativo de gestión de datos en caso de fallo temporal del sistema, que permita garantizar el cumplimiento de las obligaciones legales de Farmacovigilancia. 8. Establecer un plan de recuperación ante desastres en caso de fallo permanente del sistema. 9. Garantizar una adecuada formación y entrenamiento del personal, adaptados a sus responsabilidades en el uso de los sistemas informatizados de gestión de datos. 10. Disponer de PNT que describan todas las actividades relacionadas con los sistemas informatizados.

Validación de sistemas informatizados en la fabricación de productos sanitarios

(Reglamento UE 2017/745, ISO 13.485)

Título	Ubicación	Texto
Reglamento (UE) 2017/745	Página 109 Anexo 2 6. Verificación y validación de los productos	La documentación incluirá los resultados y análisis críticos de todas las verificaciones y ensayos o estudios de validación realizados para demostrar la conformidad del producto con los requisitos del presente Reglamento y, en particular, el cumplimiento de los requisitos generales de seguridad y funcionamiento.
ISO 13.485	Página 17 4. Sistemas de gestión de calidad	La organización debe documentar los procedimientos para la validación de la aplicación de los programas informáticos utilizados en SGC. Tales aplicaciones informáticas deben ser validadas antes de su uso inicial y, cuando sea apropiado, después de los cambios de dicho software o de su aplicación. El enfoque específico y las actividades de validación y de revalidación del software deben ser proporcionales al riesgo asociado con el uso del software.
	Página 30 7.5.6 Validación de los procesos de producción y prestación del servicio.	La organización debe documentar los procedimientos para la validación de la aplicación de programas informáticos utilizados en la producción y la prestación del servicio. Tales aplicaciones informáticas deben ser validadas antes de su utilización inicial y, cuando sea apropiado, después de cambios de tales programas informáticos o de su aplicación. La metodología específica y las actividades relacionadas con la validación y revelación de los programas informáticos deben ser proporcionados al riesgo asociado con el uso del programa informático, incluyendo el efecto en la capacidad del producto para cumplir las especificaciones.

Validación de sistemas informatizados en productos cosméticos

(Reglamento CE 1123/2009, ISO 22.716, BPPC)

Título	Ubicación	Texto
Reglamento (CE) 1223/2009 Productos cosméticos	No aparece.	No aparece.
ISO 22.716 Productos cosméticos	Página 27 17.5 Archivo	Los documentos se pueden archivar en formato papel o electrónico y se debería asegurar su legibilidad.
BPPC	Página 49 VI.2.4 Registro de los controles	(75) ARCHIVO DE LA DOCUMENTACIÓN: La documentación puede guardarse en soporte informático en lugar de en papel, siempre y cuando se guarde en un ordenador diferente y se guarde a su vez una copia del programa utilizado (en un ordenador fuera de la red, a ser posible fuera de la empresa). La validación de los sistemas informáticos será tenida en cuenta.
	Página 47 VI.2.2 Equipos y reactivos	Cada modificación realizada sobre los equipos debe ser objeto de una validación.

Validación de sistemas informatizados en la fabricación de productos alimenticios

(Reglamento CE 178/2002, Reglamento CE 852/2004, Codex Alimentarius)

Título	Ubicación	Texto
Reglamento (CE) 178/2002 Legislación alimentaria	No aparece.	No aparece.
Reglamento (CE) 852/2004 Higiene productos alimenticios	No aparece.	No aparece.
Codex Alimentarius	No aparece.	No aparece.

Otras regulaciones (FDA)

Ubicación	Texto
Guidance for industry 21CFR part 11 Página 6 C. Approach to Specific Part 11.Requirements	We suggest that your decision to validate computerized systems, and the extent of the validation, take into account the impact the systems have on your ability to meet predicate rule requirements. You should also consider the impact those systems might have on the accuracy, reliability, integrity, availability, and authenticity of required records and signatures. Even if there is no predicate rule requirement to validate a system, in some instances it may still be important to validate the system. We recommend that you base your approach on a justified and documented risk assessment and a determination of the potential of the system to affect product quality and safety, and record integrity. For instance, validation would not be important for a word processor used only to generate SOPs.
General Principles of Software Validation	https://www.fda.gov/MedicalDevices/ucm085281.htm

Guías / Recomendaciones (ISO 9.001:2015)

Ubicación	Texto
Página 25. 8.3.4. Controles del diseño y desarrollo.	d) se realizarán actividades de validación para asegurarse de que los productos y servicios resultantes satisfacen los requisitos para su aplicación específica o uso previsto.
Página 28. 8.5.1. Control de la producción y de la provisión del servicio.	f) la validación y revalidación periódica de la capacidad para alcanzar los resultados planificados de los procesos de producción y e prestación de servicio, cuando las salidas resultantes no puedan verificarse mediante actividades de seguimiento o medición posteriores.

Guías / Recomendaciones (PIC/S, WHO, ISPE)

Título	Ubicación	Texto
PIC/S Guide to good distribution practices (GDP) for medicinal products.	3.5. Computerised systems.	Before a computerised system is brought into use, it should be demonstrated,through appropriate validation or verification studies, that the system is capable of achieving the desired results accurately, consistently and reproducibly.
	3-6 Qualification and validation	Wholesale distributors should identify what key equipment qualification and/or key process validation is necessary to ensure correct installation and operation. The scope and extent of such qualification and/or validation activities (such as storage, pick and pack processes, transportation) should be determined using a documented risk assessment approach. Equipment and processes should be respectively qualified and/or validated before commencing use and after any significant changes (e.g. repair or maintenance.
	Página 87 Annex 11 Computerised systems	https://www.picscheme.org/layout/document.php?id=975
PIC/S Guidance on Data Integrity	https://www.picscheme.org/layout/document.php?id=714
WHO (OMS)	Guidelines on Validation Appendix 5 – Validation of Computerized Systems	http://www.who.int/medicines/areas/quality_safety/quality_assurance/validation-without_appendices_2016_05_17.pdf
ISPE	GAMP Guide: Compliant GxP computerized systems	https://www.ispe.org/publications/guidance-documents/gamp-5

Como se puede observar, existe un marco regulatorio de la validación de sistemas informatizados más o menos extenso. Recuerda que en caso de duda sobre alguna de estas normativas, puedes hablar con uno de nuestros consultores que cuentan con más de 10 años de experiencia y te pueden ayudar a establecer una metodología de trabajo optimizada basada en la identificación de riesgos del proceso informatizado.