La norma CFR 21, parte 11
se crea con el objetivo de establecer los requisitos para la grabación de datos electrónicos y el uso de firmas electrónicas y a su vez, busca facilitar la introducción de la tecnología en lo que antes se hacía a mano.
Los registros electrónicos deben tener más controles debido al alto riesgo de falsificación, a que se puede hacer una mala interpretación o se pueden hacer cambios sin dejar evidencia a diferencia de los registros en papel.
Explicaré de una forma sencilla los conceptos básicos de esta norma:
-
- Registro electrónico: es la combinación de texto, gráficos, datos, imágenes, que pueden ser impresos (registros físicos o en papel) pero decides guardarlos electrónicamente porque son más fácil de consultar y almacenar.
-
- Sistema cerrado: Es un entorno / red en la cual, los accesos están controlados por la empresa. Se pueden consultar los archivos o registros estando fuera de la compañía, con controles definidos internamente.
- Sistema abierto: Es un entorno en el cual el acceso al sistema no está controlado por las personas responsables por el contenido de los registros. Ejemplo: Cuando se guardan los registros en la nube como Google. Estos sistemas deben tener controles más fuertes.
Firma:
-
- Digital: La firma digital es un conjunto de caracteres que se adicionan al final de un documento o cuerpo de un mensaje, informando quien es la persona responsable. No se puede negar esta firma porque implica la certificación de una PKI (Public Key Infraestructure).
- Electrónica: son equivalentes a la firma manuscrita, es cuando firmamos con un lápiz digital o cuando colocamos nuestro usuario y contraseña y el sistema identifica automáticamente mi nombre. Ejemplo: cuando se requiera una actividad crítica como aprobación de un material en un sistema, este debe solicitar nuevamente la contraseña y quedará el registro con fecha / hora de tu nombre y la actividad.
-
- Manuscrita: Nombre legal escrito a mano.
- Digitalizada: Es una simple representación gráfica de la firma manuscrita obtenida a través de un escáner, que puede ser “pegada” en cualquier documento. De esta no habla la norma, pero quisimos explicártela porque es muy usada.
CONTROLES PARA SISTEMAS CERRADOS
En este artículo te explico los controles que debes tener con documentos o tecnología (automáticos), requeridos para sustentar la norma CFR 21 parte 11:
Controles (A-C)
-
- 10 (A) Los sistemas computarizados deben estar validados: La metodología usada por la industria farmacéutica es el GAMP 5. En esta validación se debe verificar que los sistemas computarizados proporcionen controles requeridos para cumplir la norma CFR 21 parte 11. Es importante que los sistemas que se vayan a adquirir certifiquen que cumplen con la norma CFR 21 parte 11.
-
- 10 (A) Los sistemas deben poder identificar cambios en los registros. Esto significa que deben tener Audit Trail o registro de cambios de quién, cuándo, registro antes del cambio y después del cambio realizado.
-
- 10 (B) Los sistemas deben poder exportar los datos. Ya que estos se requieren cuando se cambia a una tecnología más nueva y se deba hacer una transcripción completa de los registros; esta exportación se debe hacer formalmente, es decir, dejar evidencia que demuestre que se realizó la migración de TODOS los registros.
-
- 10 (C) La organización deberá tener un procedimiento con respecto a la entrega de datos a terceros. Ejemplos: contratos de confidencialidad.
-
- 10 (C) La organización debe tener un procedimiento donde se documente el periodo de retención de los registros y la responsabilidad para asegurar que los datos se conserven de forma segura en ese periodo de tiempo.
-
- 10 (C) La organización debe tener un procedimiento de backup, restauración, almacenamiento (archivar) y reglas de acceso a los datos electrónicos.
-
- 10 (C) Los sistemas deberían mantener los datos electrónicos durante el periodo de retención, independiente de la actualización del programa (cambios de versión) y entorno operativo (Cambios de sistemas operativos); y estos se deberán poder exportar en forma electrónica (Ejemplo: Pdf).
Controles (D-G)
-
- 10 (D) La organización debe tener un procedimiento de seguridades, donde se defina los límites de acceso (Perfiles).
-
- 10 (D) Los sistemas deberán restringir el acceso según unas reglas pre-configuradas (Roles o perfiles), cualquier cambio en estas deberá registrarse.
-
- 10 (E) La organización debe tener un procedimiento para mantener el Audit Trail, este puede ser por medio de backup
-
- 10 (E) Los sistemas deben poder registrar (Audit Trail) la creación, actualización y eliminación de registros electrónicos. Debe incluir como mínimo: Fecha, hora, descripción del evento (adición, eliminación, modificación), usuario, registro antes y registro después. Se debe poder exportar en forma electrónica o en papel.
-
- 10 (F) Cuando se requiera una secuencia de operación, el sistema lo deberá controlar para obligar que se cumpla la secuencia. Ejemplo: Un documento debe tener un ciclo de aprobación: borrador, revisión y aprobación.
-
- 10 (G) La organización debe tener un procedimiento donde se defina el proceso de autorización y que se ha entrenado al personal en su utilización.
-
- 10 (G) Los sistemas deberán restringir el uso de funciones y características de acuerdo con reglas configurables (Roles / perfiles). Se debe registrar cualquier cambio en estas reglas.
Controles (H-K)
-
- 10 (H) Si se cuenta con dispositivos como fuente de datos (terminales), se debe garantizar que estos no sean alterados. Ejemplo, si se tiene una terminal que lee la temperatura del tanque, esta temperatura debe ser exacta y no podrá modificarse su registro.
-
- 10 (I) El personal de la organización debe tener la educación, entrenamiento y experiencia para desarrollar las tareas que se le asignen. Se sugiere que se realice un seguimiento a la realización del trabajo y este se documente como evidencia de la calificación del personal.
-
- 10 (J) Los proveedores que desarrollen o mantengan los sistemas deben tener un procedimiento de entrenamiento, para demostrar la educación, entrenamiento y experiencia para el desarrollo de las tareas asignadas.
-
- 10 (J) La organización debe tener políticas de seguridad que describan el significado de firmas electrónicas, la responsabilidad individual y las consecuencias de la falsificación tanto para la empresa como para el individuo. Los empleados deben comprender la gravedad y las consecuencias de la falsificación de firmas y registros. Cuando un individuo firma en nombre de algún otro, por ejemplo, como delegado, la firma aplicada debe ser la correspondiente a la persona que firma, con algún registro de este hecho (P/Poder)
-
- 10 (K) Los documentos de los sistemas (Manuales de operación, SOPs, planos) deben tener un control adecuado para la distribución, acceso, modificación y uso.
-
- 10 (K) Los documentos electrónicos requieren un Audit Trail (seguimiento de cambios) automático. Los documentos en papel pueden tener un seguimiento de cambios sobre papel o electrónico.
De la misma forma, te dejamos aquí las siguientes recomendaciones:
¿Necesitas aprender algún tema de validación o simplemente requieres asesoría y/o apoyo? Estamos a un clic, ¡contáctanos!
