Validación de Sistemas Informatizados: Análisis en profundidad del Anexo 11 de las EU GMP

El Anexo 11 proporciona directrices sobre las Normas de Correcta Fabricación (NCF, GMP por sus siglas en inglés) para medicamentos de uso humano. La versión actual fue aprobada en 2.011 y será actualizada con el fin de añadir principios detallados para áreas aún no cubiertas, especialmente teniendo en cuenta el creciente uso de sistemas informatizados y el avance significativo de nuevas tecnologías (por ejemplo, algoritmos de Inteligencia Artificial y Machine Learning aplicados en software GxP). La versión preliminar del Concept Paper sobre la revisión del Anexo 11 se publicó en diciembre de 2022.

La Validación de Sistemas Informatizados (CSV) es una parte esencial de la industria farmacéutica: garantiza que los productos sean seguros, eficaces y cumplan los estándares de calidad requeridos.

Los requerimientos regulatorios comúnmente utilizados en un enfoque de validación basado en riesgos son los definidos en el 21 CFR Parte 11 y el Anexo 11 de las EU cGMP. Por ello, se espera que la próxima versión del Anexo 11 afecte a la estrategia de validación, a los entregables relacionados y a los criterios de aceptación de las pruebas.

El objetivo de este artículo es describir las mejoras introducidas por la revisión del Anexo 11 (según el Concept Paper on the revision of Annex 11 of the guidelines on GMP for medicinal products – Computerised Systems) y las posibles implicaciones en un enfoque de validación basado en riesgos para garantizar la conformidad del sistema en los siguientes aspectos:

• Especificaciones de Requerimientos de Usuario (sección 4.4, Anexo 11)
• Comprobaciones de Exactitud (Accuracy Checks) (sección 6, Anexo 11)
• Registro de auditoría (Audit Trail) (sección 9, Anexo 11)
• Seguridad (sección 12, Anexo 11)
   

Especificaciones de Requerimientos de Usuario (URS)

La nueva versión describirá con mayor claridad las funciones requeridas del sistema (basadas en una evaluación de riesgos y el impacto GxP) que deben incluirse en el documento URS (o similar). Los requisitos deben detallar y reflejar los procesos de negocio y/o de producción que el sistema debe soportar, incluyendo las funcionalidades críticas para el cumplimiento de las GMP.

Las especificaciones de requerimientos de usuario no solo deben ser trazables a lo largo del ciclo de vida del sistema, sino también mantenerse o actualizarse en caso de modificaciones del sistema (por ejemplo, mediante gestión de cambios y evaluación de impacto).

Además, debe documentarse y mantenerse actualizada la trazabilidad entre los requerimientos de usuario, las especificaciones funcionales y las actividades de prueba.

Las actualizaciones mencionadas anteriormente pueden afectar a los siguientes entregables de validación:

• Especificaciones de Requerimientos de Usuario (URS) (p. ej., actualización de requisitos de integridad, como los relacionados con la sección 4.4 del Anexo 11).
• Evaluación de Riesgos del Sistema (p. ej., inclusión de nuevos escenarios de riesgo o fallos potenciales relacionados con los requerimientos afectados).
• Matriz de Trazabilidad (p. ej., incorporación de trazabilidad entre URS y especificaciones funcionales, de configuración y diseño).

Comprobaciones de Exactitud (Accuracy Checks)

Las comprobaciones de exactitud consisten en una verificación adicional (manual y/o automática), realizada por un segundo operario/supervisor o por medios electrónicos validados, de los datos introducidos manualmente considerados críticos para el proceso GMP (por ejemplo, parámetros instrumentales, de método o de receta). La próxima versión incluirá directrices útiles para clasificar mejor la criticidad de los datos y de los sistemas.

Estos cambios pueden afectar a los siguientes entregables de validación:

• Especificaciones de Requerimientos de Usuario (URS) (p. ej., actualización de requerimientos de integridad relacionados con la sección 6 del Anexo 11).
• Evaluación de Riesgos del Sistema (p. ej., incorporación de nuevos escenarios de riesgo).
• Test IQ/OQ (p. ej., actualización de la verificación de accuracy checks y evaluación de criticidad de los datos/ parámetros del sistema).
   

Registro de auditoría (‘Audit Trail’)

La versión revisada describirá más adecuadamente qué debe registrar el audit trail y cómo debe revisarse. Además el audit trail debe estar siempre habilitado y bloqueado y no debe existir la posibilidad de desactivar la funcionalidad, ni borrar o modificar información relevante sin trazabilidad. En caso de que existan opciones de desactivación o edición, solo los administradores del sistema (no involucrados en procesos GMP) podrán acceder a ellas. Se añadirán nuevas directrices sobre la frecuencia de revisión del audit trail, basadas en el principio: cuanto mayor la criticidad del sistema, más frecuente debe ser la revisión.

Estos cambios pueden afectar a los siguientes entregables de validación:

• Especificaciones de Requerimientos de Usuario (URS) (p. ej., actualización de requerimientos de trazabilidad relacionados con la sección 9 del Anexo 11).
• Evaluación de Riesgos del Sistema (p. ej., inclusión de nuevos escenarios de riesgo).
• Test IQ/OQ (p. ej., inclusión de verificaciones adicionales del audit trail y comprobación de trazabilidad en pasos que impliquen creación/modificación de registros electrónicos, cuentas de usuario, grupos o privilegios).

Seguridad 

La versión actualizada incluirá más detalle sobre los controles de seguridad (tanto físicos como lógicos) que deben implementarse, como medidas adicionales de seguridad (p. ej., autenticación multifactor, gestión de plataforma, etc.) para garantizar que el acceso al sistema esté limitado únicamente a usuarios autorizados. En particular, el uso exclusivo de tarjetas de acceso no será aceptado, dado que pueden perderse o compartirse entre usuarios. Según la criticidad del sistema, debería recomendarse el uso de autenticación multifactor.

Al diseñar y configurar los grupos de usuarios y sus privilegios, deben aplicarse los principios de segregación de tareas y mínimo privilegio. La creación, modificación y eliminación de autorizaciones de acceso deben registrarse (por ejemplo, en un access log) y revisarse con frecuencia, ya que los roles de las personas pueden cambiar o abandonar la organización.

Estos cambios pueden afectar a los siguientes entregables de validación:

• Especificaciones de Configuración y Diseño (o documentos similares) (p. ej., incorporación de nuevos parámetros de seguridad como complejidad de contraseñas, historial, autenticación multifactor).
• Especificaciones de Requerimientos de Usuario (URS) (p. ej., actualización de requisitos de seguridad relacionados con las secciones 12.1 y 12.3 del Anexo 11).
• Evaluación de Riesgos del Sistema (p. ej., nuevos escenarios de riesgo).
• Test IQ/OQ (p. ej., actualización de verificaciones de política de contraseñas, perfiles de usuario y controles de acceso, incluyendo trazabilidad de modificaciones en configuraciones de seguridad).

Conclusiones

La última actualización del Anexo 11 que incorporó nuevas directrices sobre la validación de sistemas informatizados implicó un impacto significativo en el enfoque de validación y los entregables relacionados.

La próxima revisión del Anexo 11 será crucial y recogerá numerosos comentarios de usuarios regulados y proveedores con el fin de clarificar mejor la normativa vigente. Se espera que las directrices introduzcan más ‘herramientas’ y recomendaciones para asegurar la conformidad del sistema en cuanto a calidad, seguridad, integridad, trazabilidad y responsabilidad desde una perspectiva de validación.

Finalmente, dado que han pasado muchos años desde la última actualización del Anexo 11, se espera que el impacto sobre el enfoque de validación de sistemas y los entregables correspondientes sea considerable, dependiendo de las mejoras y el nivel de detalle incluidos en las nuevas directrices.

----

Este artículo aparece publicado en el nº 568 de Automática e Instrumentación págs 42 a 43.