37

21 CFR Part11

Introduo

Recentemente entrou em vigor a nova RDC 17/2010

da ANVISA que substitui a antiga RDC 210/2003 e pas-

sa a exigir a Validao de Sistemas Computadorizados.

Neste artigo, o 21 CFR Part11 ser abordado de

forma geral, com nfase nas reas preocupadas com o

Controle de Contaminao.

Em uma leitura rpida poderamos entender que as

normas 21 CFR Part11 e a RDC 17/2010 so muito dife-

rentes, entretanto as duas tm o mesmo objetivo: desen-

volvimento, produo e armazenamento de frmacos

com a qualidade que hoje a sociedade exige.

Como anlise prvia, podemos dizer que, apesar de

todas as vantagens do uso de sistemas computadoriza-

dos, no podemos introduzir desvantagens em proces-

sos que manualmente j alcanaram um alto grau de

maturidade no seu tratamento frente a orgo reguladores

e a sociedade. Apesar da RDC 17/2010 tratar de forma

mais abrangente a questo dos sistemas computadori-

zados que a CFR, no podemos deixar de atentar que

lendo o 1o e 2o da RDC 17/2010 estaremos, tambm,

atendendo a CFR (U.S.FDA) e o GUIA DE VALIDAO

DE SISTEMAS COMPUTADORIZADOS (ANVISA).

1o Quando sistemas computadorizados substiturem

operaes manuais, no pode haver impacto na qua-

lidade do produto.

2o Deve-se considerar o risco de perder aspectos de

qualidade do sistema anterior pela reduo do envol-

vimento dos operadores.

Tanto as normas americanas como as brasileiras,

assim como os Guide lines das agncias reguladoras

no dizem como fazer para atingirmos o resultado, mas

sim, o que deve ser feito. Fica claro, tambm, que novos

Roney RietschelAutor: Eng. Roney Ritschel, diretor tcnico da

Microblau

Contato: roney.rts@microblau.com.br

processos (neste caso, sistemas computadorizados)

no podem ter um resultado pior, em nenhum aspecto,

do que os anteriores (processos manuais). Boas normas

ajudam a acelerar a implantao com menor risco e

tornam explcitas as condutas, eliminando as interpreta-

es particulares.

O que quer dizer

O 21 CFR Part11 uma legislao decretada pelo

United States Food and Drug Administration (U.S. FDA),

que regula o uso de registros e assinaturas eletrnicas

para reas farmacuticas. Estes registros devem ser in-

violveis, incorrompveis e indeletveis. Ou seja, garan-

tem que o dado armazenado de forma absolutamente

confivel e deve ser aplicado em todas as etapas do

medicamento desde o seu desenvolvimento at o ps

venda.

Glossrio

CFR - Code of Federal Regulations so as legislaes

americanas relacionadas s agncias regulatrias.

21 - Ttulo do CFR que trata especificamente do FDA;

Part 11 - Captulo do ttulo 21 que estabelece os requisi-

tos em relao a Registros Eletrnicos e Assinaturas

Eletrnicas em sistemas computadorizados.

Registros eletrnicos - Registros eletrnicos podem

ser definidos como qualquer combinao de texto,

grficos, dados, sons e/ou esquemas representados

em forma digital, que sejam criados, modificados,

mantidos, arquivados, recuperados ou distribudos

por um sistema computadorizado.

ARtIGO tCnICO

38

ARtIGO tCnICO

Os registros eletrnicos so guardados em bancos

de dados com campos contendo chaves que so ge-

radas na hora do registro. Esta chave tem conexo

com todos os dados contidos naquele registro assim

como nos registros anteriores e posteriores, o que

torna impossvel a sua quebra, garantindo a confiabi-

lidade do sistema como uma todo.

Assinaturas Eletrnicas - Compilao dos dados

computadorizados ou qualquer smbolo ou srie de

smbolos executados, adaptados ou autorizados por

uma pessoa para ser legalmente vinculado como

equivalente a sua assinatura manuscrita. Tambm

conhecida como assinatura digital, se baseia nos

mtodos criptogrficos de autenticao computado-

rizada para verificar a identidade de quem assina e

a integridade da informao. As assinaturas eletrni-

cas incluem aquelas que so usadas para documen-

tar que certos eventos ou aes ocorreram de acor-

do com os requerimentos regulatrios especficos,

por exemplo: aprovaes, revises ou verificaes.

As assinaturas eletrnicas so um registro com uso

de criptografia o qual mantm um link entre um nome

nico no sistema com cada usurio, sem no entanto

revelar a sua senha. Processos mais seguros como

validao biomtrica, impresso digital, ris, etc tam-

bm so usados separados ou junto com senhas

como forma de aumentar a confiabilidade dos siste-

mas.

No existe a necessidade de escanear uma assina-

tura manuscrita para depois inseri-la no documento

eletrnico.

Benefcios sociedade

Todos sabem o risco envolvido, por exemplo, em uma

cirurgia crtica, onde a eficcia de um medicamento ou

anestsico pode significar a vida do paciente. Em uma

doena grave no diferente, e mesmo um medicamen-

to mais simples, mas produzido com algum desvio, pode

levar o paciente a sofrer srias consequncias.

A soluo clssica seria um aumento brutal da fisca-

lizao para garantir o cumprimento de normas e boas

prticas, uma vez que esto envolvidos grandes valores

nestes processos. O que, por sua vez, pode estimular

fraudes e corrupo; e por consequncia significar maio-

res custos para o consumidor sem necessariamente mi-

tigar os riscos.

Os registros eletrnicos confiveis passam, ento, a

ser a soluo mais ampla, garantida e de menor custo,

ajudando a fiscalizao no o cumprimento das normas.

A 21 CFR Part11 no Brasil

Em princpio no existe nenhuma obrigatoriedade no

Brasil da aplicao da 21 CFR Part11, porm as subsi-

dirias de empresas americanas, ou principalmente as

que exportam aos Estados Unidos, podem ser obriga-

dos a adotar a norma. Entretanto, com a publicao da

RDC 17/2010, podemos entender que possumos uma

norma equivalente a 21 CFR Part11, e que um processo

de implantao bem planejado pode atender a ambas

qualificaes.

Muitos dos processos, hoje, na indstria farmacu-

tica so computadorizados, porm se no estiverem de

acordo com a 21 CFR Part11 ou a RDC17, poder existir

a necessidade de transferncia destes dados digitais

para papel para que haja assinatura e arquivamento

manuais. E gerar toda esta documentao, no formato

citado, tem um custo muito elevado, dificultando traba-

lhos futuros, como por exemplo, o tempo de recupera-

o da informao arquivada. Por outro lado, o uso de

um dado digital, que no seguiu um padro rigoroso de

armazenamento, pode inserir riscos em processos pos-

teriores que utilizaro o registro arquivado.

Analisando este cenrio, podemos perceber que as

indstrias podem aproveitar o uso intensivo de sistemas

computadorizados como um trampolim para aumento de

sua eficincia e qualidade na adoo da 21 CFR Part11

e da RDC 17/2010.

Anlise e comentrios da norma

Para facilitar o entendimento da norma iremos co-

mentar a aplicao de alguns itens:

11.10 Controle para Sistemas Fechados

(a) Validao de sistemas para garantir a preciso, con-

fiabilidade, consistncia do desempenho pretendido,

bem como a capacidade de discernir registros invlidos

ou alterados.

39

Os procedimentos para validao de sistemas de

todos os registros coletados (manualmente ou eletro-

nicamente), devem garantir a preciso, confiabilidade,

desempenho consistente, bem como a capacidade de

discernir registros invlidos ou alterados, isto , o sis-

tema deve garantir que somente pessoas autorizadas

tenham acesso ao processo, sem risco de adulteraes,

mantendo a rastreabilidade atravs de assinaturas invio-

lveis e autnticas.

Atendendo a padres rigorosos de segurana, a se-

nha no pode ser gravada, por isso deve haver um link,

absolutamente confivel para assinaturas digitais, onde

o nome do usurio registrado e nico no sistema.

(b) Capacidade para gerar cpias precisas e completas

dos registros, legveis por humanos ou em formato ele-

trnico para inspeo, reviso e cpia pela agncia. As

pessoas devero contatar a agncia se houver alguma

dvida quanto capacidade da mesma em realizar tal

reviso e cpia dos registros eletrnicos.

(c) Proteo de registros para possibilitar a sua recupe-

rao precisa e imediata durante o perodo de reteno

dos registros.

A principal preocupao deve ser a garantia de aces-

so dos dados pela agncia reguladora. Atualmente, com

a velocidade de renovao de softwares e hardwares,

durante todo o tempo obrigatrio de arquivamento, o

risco de falha, no acesso aos dados, pode ser ampliado,

como verses de software ou banco de dados atuais

incompatveis com os dados antigos. Por isso, a empre-

sa deve se preparar para lidar com estas situaes, em

caso extremo, passar seu banco de dados para formato

PDF, porm dentro de um processo tambm validado.

(d) Limitar o acesso ao sistema a pessoas autorizadas.

Limitao de acesso podem ser garantidas por di-

versas formas, tais como controle biomtrico, renovao

automtica de senhas, tempo de logout por inatividade

entre outros.

(e) Uso de rastreamento de aes de auditoria seguras,

geradas por computador, com data/horrio, para regis-

trar de forma independente a data e hora das entradas

e aes do operador que geram, alteram ou excluem

os registros eletrnicos. As alteraes de registros no

devero ocultar as informaes registradas anterior-

mente. Tal documentao de rastreamento de aes de

auditoria dever ser mantida, pelo menos, enquanto tais

registros eletrnicos forem necessrios e dever estar

disponvel para reviso e cpia por parte da agncia.

Este talvez seja o item mais crtico em termos de

implementao, pois se houver qualquer alterao no

sistema, todas as mudanas devem ser registradas, in-

cluindo o nome, hora e atividade correlata executada.

O registro dever ser sempre garantido pelas assinaturas

eletrnicas, ou seja, qualquer modificao ser adicio-

nada como nova informao, sem nunca ocultar as infor-

maes anteriores.

(f) Utilizao de verificaes do sistema operacional

para reforar a permisso de dar sequncia s etapas e

eventos, conforme apropriado.

(g) Utilizao de verificaes de autoridade para garantir

que somente pessoas autorizadas possam acessar o

sistema, assinar um registro eletronicamente, acessar o

dispositivo de entrada ou sada do sistema operacional

ou computacional, alterar um registro, ou executar a

operao manualmente.

O sistema deve garantir, atravs de segurana ele-

trnica e procedimentos, que apenas indivduos com

permisso o acesse, atravs de senhas e autorizaes

seletivas, definidas para cada usurio cadastrado, alm

de pr-definir funes especficas. Ex: troca de senhas

peridicas, forada de forma automtica, onde apenas

nveis hierrquicos autorizados liberam acesso a novos

usurios.

(h) Utilizao de verificaes de dispositivos (por exem-

plo, terminais) para determinar, conforme apropriado,

a validade da fonte de entrada de dados ou instrues

operacionais.

Implementar funes que verifiquem a validade dos

equipamentos que esto fornecendo os dados, como

por exemplo, seu nmero de srie.

(i) Definio de quem dentre as pessoas que desenvol-

vem, mantm ou utilizam sistemas de registro eletrnico

e assinatura eletrnica possuem formao, treinamento

e experincia para realizar tarefas a eles designadas.

A importncia de pessoas adequadamente treinadas

fundamental na implantao.

(j) O estabelecimento e a adeso a polticas escritas que

responsabilizam os indivduos e os tornam responsveis

por aes admitidas com suas assinaturas eletrnicas, a

fim de desencorajar a prtica de falsificao de registro

e assinatura.

As polticas e cuidados, no uso de assinaturas eletr-

nicas, no diferem daqueles utilizados em assinaturas

40

ARtIGO tCnICO

manuais.

(k) Utilizao de controles apropriados sobre a docu-

mentao dos sistemas, incluindo:

(1) Controles adequados sobre a distribuio, acesso e

utilizao de documentao para a operao e manuten-

o do sistema.

(2) Procedimentos de controle de reviso e alterao

para manter um rastreamento das aes de auditoria que

documente o desenvolvimento e a alterao sequencial

da documentao dos sistemas.

Toda a documentao envolvida no sistema, como

planos de validao, protocolos, documentao, em todo

o seu ciclo de vida, deve ser adequadamente tratado.

11.70 Ligao assinatura/registro.

As assinaturas eletrnicas e as assinaturas manus-

critas feitas para os registros eletrnicos devero estar

vinculadas aos seus respectivos registros eletrnicos a

fim de garantir que as mesmas no possam ser apaga-

das, copiadas ou transferidas para falsificar um registro

eletrnico atravs de meios ordinrios.

Todos os dados, que necessitem de interface huma-

na, devem estar ligados assinatura do usurio, sem

entretanto revelar sua senha, por isto cada nome ou

registro deve ser nico.

As assinaturas eletrnicas devem ser absolutamente

confiveis, sendo necessrio diversos cuidados, tais

como:

no retribuir uma assinatura existente a um novo

usurio;

no permitir senhas simples;

no permitir tentativas seguidas de acesso invlido;

treinar os usurios adequadamente;

associar formas, mais seguras possveis, como

biometria para reconhecimento do usurio.

Validao

O plano de validao deve conter, detalhadamente,

todos os passos com definio de responsabilidade e

ser aprovado pela gerncia responsvel. Alm disso,

deve ser realizada por pessoas independentes das que

desenvolveram o sistema.

Testes dinmicos devem ser realizados verificando

uso em condies limites, como nmero excessivo de

usurios simultneos, tentativas de entrada de dados

invlidos e a correta rejeio do sistema entre outras. O

uso de simuladores tambm pode fazer parte do proces-

so de validao.

Pela complexidade dos sistemas atuais, os testes

dinmicos podem no responder a todas as situaes,

deve-se ento realizar testes estticos, como reviso de

cdigo e anlise dos procedimentos tcnicos de qualida-

de no desenvolvimento do software.

Ganhos no imaginados

Os custos para implantao da norma so altos, po-

rm pode-se obter muitas vantagens na sua adoo.

Sistemas digitais ocupam muito menos espao para

arquivamento que seus equivalentes em papel, permi-

tem recuperao mais rpida de dados arquivados, re-

duzindo bastante o nmero de horas envolvidas neste

processo, alm do aumento da qualidade das atividades.

Analisando sob a tica dos profissionais de controle

de contaminao, diversos benefcios so obtidos: como

o aumento do comprometimento das equipes envolvi-

das, processo natural de melhoria contnua, facilidade

de acesso aos dados estatsticos de qualidade (localiza-

o de causas raiz dos prolemas), entre outros.

O contnuo ciclo de atacar os efeitos e no impedir

a repetio do problema pode ser quebrado a partir de

uma viso de sistemas que atendam a norma. Por exem-

plo, em um sistema convencional, se um parmetro foi

modificado sem registro de quem aprovou ou alterou o

parmetro, fica impossvel descobrir esta falha humana,

por outro lado, em um sistema eletrnico, que atende

a 21 CFR Part11, o prprio sistema impedir esta ao

para pessoas no autorizadas.

Se bem aplicado, a implantao da 21 CFR Part11

pode trazer ganhos maiores que o valor investido repre-

senta, alm de acelerar uma mudana cultural de quali-

dade dos processos.

Guia de validao de sistemas computadorizados AnVIsA publicado em abril de 2010

Como podemos ver, na introduo deste guia, sua

aplicao no compulsria, o que no diminui a sua

41

importncia. Este guia d grande nfase a todo ciclo de

vida do sistema e deve iniciar na concepo do produto

e durar durante todo perodo de reteno de dados.

Outro aspecto muito importante deste guia o foco

com processos para anlise de risco. A cultura de anlise

de risco no Brasil, de forma mais ampla, relativamente

recente; e nada mais oportuno do que sua aplicao

num momento como este, ou seja, prever o problema e

no reagir apenas depois da ocorrncia.

Comentrios

Sistemas Turn key

Vendedores no podem garantir equipamentos na

caixa compatveis com a 21 CFR Part11, ou seja, im-

plantar sistemas sem o envolvimento do cliente, pois os

equipamentos s podem atender a requisitos tcnicos.

Processos administrativos associados implantao do

21 CFR Part11 so especficos a operao do cliente,

necessitando do envolvimento de pessoas.

Sistemas hbridos

Pode haver a necessidade, em um mesmo ambiente,

de coexistirem ambos sistemas: manuais e computadori-

zados. Por ex: se um sistema no validvel no 21 CFR

Part11, ento o procedimento dever orientar a realiza-

o da assinatura e arquivamento manual.

Bibliografia

a) CFR Cdigo de Regulamentos Federias Ttulo 21

(FDA)

TTULO 21 Alimentos e Medicamentos

CAPTULO I Administrao de alimentos e

Medicamentos

PARTE 11 Registros Eletrnicos; Assinaturas

Eletrnicas

Traduo MICROBLAU.

b) Guia de validao de sistemas computadorizados

(ANVISA)

c) Resoluo RDC n 17, de 16 de abril de 2010

Fig.1 (Fonte Fig.4 do Guia de Validao de Sistemas Computadorizados)

Fig.2 (Fig.8 do Guia de Validao de Sistemas Computadorizados)

Migrao

Potencial

Reteno Migrao

Destribuio

Envolvimento do Fornecedor*

ConCEiTo PRojETo oPERAo DESConTinuiDADE

Identificar riscos para requisitos especficosNo geral, quais so os riscos do sistema?Anlise de Riscos mais detalhadas requerida?

Considerar

Identificar e Definir

Identificar riscos para processos especficosIdentificar riscos para funes especficasDefinir controles para reduzir riscos

Analise de Riscos Inicial

Analise de Riscos Funcional

Especificao de Requisitos Usurio

Especificao Funcional

Especificao de Desenho

Hardware Design e Software e Design

PRoDuTo ConFiGuRADo E/ou

CuSToMiZADo

QD

QO

QI

Interao conforme requerido

Requisitos Anlise BPx Liberao para uso Mudana Aposentadoria

FASES