21 CFR Part11. Introdução. O que quer dizer. Glossário. Roney Rietschel

Transcrição

1 21 CFR Part11 Autor: Eng. Roney Ritschel, diretor técnico da Microblau Contato: Roney Rietschel Introdução Recentemente entrou em vigor a nova RDC 17/2010 da ANVISA que substitui a antiga RDC 210/2003 e passa a exigir a Validação de Sistemas Computadorizados. Neste artigo, o 21 CFR Part11 será abordado de forma geral, com ênfase nas áreas preocupadas com o Controle de Contaminação. Em uma leitura rápida poderíamos entender que as normas 21 CFR Part11 e a RDC 17/2010 são muito diferentes, entretanto as duas têm o mesmo objetivo: desenvolvimento, produção e armazenamento de fármacos com a qualidade que hoje a sociedade exige. Como análise prévia, podemos dizer que, apesar de todas as vantagens do uso de sistemas computadorizados, não podemos introduzir desvantagens em processos que manualmente já alcançaram um alto grau de maturidade no seu tratamento frente a orgão reguladores e a sociedade. Apesar da RDC 17/2010 tratar de forma mais abrangente a questão dos sistemas computadorizados que a CFR, não podemos deixar de atentar que lendo o 1o e 2o da RDC 17/2010 estaremos, também, atendendo a CFR (U.S.FDA) e o GUIA DE VALIDAÇÃO DE SISTEMAS COMPUTADORIZADOS (ANVISA). 1o Quando sistemas computadorizados substituírem operações manuais, não pode haver impacto na qualidade do produto. 2o Deve-se considerar o risco de perder aspectos de qualidade do sistema anterior pela redução do envolvimento dos operadores. Tanto as normas americanas como as brasileiras, assim como os Guide lines das agências reguladoras não dizem como fazer para atingirmos o resultado, mas sim, o que deve ser feito. Fica claro, também, que novos processos (neste caso, sistemas computadorizados) não podem ter um resultado pior, em nenhum aspecto, do que os anteriores (processos manuais). Boas normas ajudam a acelerar a implantação com menor risco e tornam explícitas as condutas, eliminando as interpretações particulares. O que quer dizer O 21 CFR Part11 é uma legislação decretada pelo United States Food and Drug Administration (U.S. FDA), que regula o uso de registros e assinaturas eletrônicas para áreas farmacêuticas. Estes registros devem ser invioláveis, incorrompíveis e indeletáveis. Ou seja, garantem que o dado é armazenado de forma absolutamente confiável e deve ser aplicado em todas as etapas do medicamento desde o seu desenvolvimento até o pós venda. Glossário CFR - Code of Federal Regulations são as legislações americanas relacionadas às agências regulatórias Título do CFR que trata especificamente do FDA; Part 11 - Capítulo do título 21 que estabelece os requisitos em relação a Registros Eletrônicos e Assinaturas Eletrônicas em sistemas computadorizados. Registros eletrônicos - Registros eletrônicos podem ser definidos como qualquer combinação de texto, gráficos, dados, sons e/ou esquemas representados em forma digital, que sejam criados, modificados, mantidos, arquivados, recuperados ou distribuídos por um sistema computadorizado. 37

2 38 Os registros eletrônicos são guardados em bancos de dados com campos contendo chaves que são geradas na hora do registro. Esta chave tem conexão com todos os dados contidos naquele registro assim como nos registros anteriores e posteriores, o que torna impossível a sua quebra, garantindo a confiabilidade do sistema como uma todo. Assinaturas Eletrônicas - Compilação dos dados computadorizados ou qualquer símbolo ou série de símbolos executados, adaptados ou autorizados por uma pessoa para ser legalmente vinculado como equivalente a sua assinatura manuscrita. Também conhecida como assinatura digital, se baseia nos métodos criptográficos de autenticação computadorizada para verificar a identidade de quem assina e a integridade da informação. As assinaturas eletrônicas incluem aquelas que são usadas para documentar que certos eventos ou ações ocorreram de acordo com os requerimentos regulatórios específicos, por exemplo: aprovações, revisões ou verificações. As assinaturas eletrônicas são um registro com uso de criptografia o qual mantém um link entre um nome único no sistema com cada usuário, sem no entanto revelar a sua senha. Processos mais seguros como validação biométrica, impressão digital, íris, etc também são usados separados ou junto com senhas como forma de aumentar a confiabilidade dos sistemas. Não existe a necessidade de escanear uma assinatura manuscrita para depois inseri-la no documento eletrônico. Benefícios à sociedade Todos sabem o risco envolvido, por exemplo, em uma cirurgia crítica, onde a eficácia de um medicamento ou anestésico pode significar a vida do paciente. Em uma doença grave não é diferente, e mesmo um medicamento mais simples, mas produzido com algum desvio, pode levar o paciente a sofrer sérias consequências. A solução clássica seria um aumento brutal da fiscalização para garantir o cumprimento de normas e boas práticas, uma vez que estão envolvidos grandes valores nestes processos. O que, por sua vez, pode estimular fraudes e corrupção; e por consequência significar maiores custos para o consumidor sem necessariamente mitigar os riscos. Os registros eletrônicos confiáveis passam, então, a ser a solução mais ampla, garantida e de menor custo, ajudando a fiscalização no o cumprimento das normas. A 21 cfr Part11 no Brasil Em princípio não existe nenhuma obrigatoriedade no Brasil da aplicação da 21 CFR Part11, porém as subsidiárias de empresas americanas, ou principalmente as que exportam aos Estados Unidos, podem ser obrigados a adotar a norma. Entretanto, com a publicação da RDC 17/2010, podemos entender que possuímos uma norma equivalente a 21 CFR Part11, e que um processo de implantação bem planejado pode atender a ambas qualificações. Muitos dos processos, hoje, na indústria farmacêutica são computadorizados, porém se não estiverem de acordo com a 21 CFR Part11 ou a RDC17, poderá existir a necessidade de transferência destes dados digitais para papel para que haja assinatura e arquivamento manuais. E gerar toda esta documentação, no formato citado, tem um custo muito elevado, dificultando trabalhos futuros, como por exemplo, o tempo de recuperação da informação arquivada. Por outro lado, o uso de um dado digital, que não seguiu um padrão rigoroso de armazenamento, pode inserir riscos em processos posteriores que utilizarão o registro arquivado. Analisando este cenário, podemos perceber que as indústrias podem aproveitar o uso intensivo de sistemas computadorizados como um trampolim para aumento de sua eficiência e qualidade na adoção da 21 CFR Part11 e da RDC 17/2010. Análise e comentários da norma Para facilitar o entendimento da norma iremos comentar a aplicação de alguns itens: Controle para Sistemas Fechados (a) Validação de sistemas para garantir a precisão, confiabilidade, consistência do desempenho pretendido, bem como a capacidade de discernir registros inválidos ou alterados.

3 Os procedimentos para validação de sistemas de todos os registros coletados (manualmente ou eletronicamente), devem garantir a precisão, confiabilidade, desempenho consistente, bem como a capacidade de discernir registros inválidos ou alterados, isto é, o sistema deve garantir que somente pessoas autorizadas tenham acesso ao processo, sem risco de adulterações, mantendo a rastreabilidade através de assinaturas invioláveis e autênticas. Atendendo a padrões rigorosos de segurança, a senha não pode ser gravada, por isso deve haver um link, absolutamente confiável para assinaturas digitais, onde o nome do usuário é registrado e único no sistema. (b) Capacidade para gerar cópias precisas e completas dos registros, legíveis por humanos ou em formato eletrônico para inspeção, revisão e cópia pela agência. As pessoas deverão contatar a agência se houver alguma dúvida quanto à capacidade da mesma em realizar tal revisão e cópia dos registros eletrônicos. (c) Proteção de registros para possibilitar a sua recuperação precisa e imediata durante o período de retenção dos registros. A principal preocupação deve ser a garantia de acesso dos dados pela agência reguladora. Atualmente, com a velocidade de renovação de softwares e hardwares, durante todo o tempo obrigatório de arquivamento, o risco de falha, no acesso aos dados, pode ser ampliado, como versões de software ou banco de dados atuais incompatíveis com os dados antigos. Por isso, a empresa deve se preparar para lidar com estas situações, em caso extremo, passar seu banco de dados para formato PDF, porém dentro de um processo também validado. (d) Limitar o acesso ao sistema a pessoas autorizadas. Limitação de acesso podem ser garantidas por diversas formas, tais como controle biométrico, renovação automática de senhas, tempo de logout por inatividade entre outros. (e) Uso de rastreamento de ações de auditoria seguras, geradas por computador, com data/horário, para registrar de forma independente a data e hora das entradas e ações do operador que geram, alteram ou excluem os registros eletrônicos. As alterações de registros não deverão ocultar as informações registradas anteriormente. Tal documentação de rastreamento de ações de auditoria deverá ser mantida, pelo menos, enquanto tais registros eletrônicos forem necessários e deverá estar disponível para revisão e cópia por parte da agência. Este talvez seja o item mais crítico em termos de implementação, pois se houver qualquer alteração no sistema, todas as mudanças devem ser registradas, incluindo o nome, hora e atividade correlata executada. O registro dever ser sempre garantido pelas assinaturas eletrônicas, ou seja, qualquer modificação será adicionada como nova informação, sem nunca ocultar as informações anteriores. (f) Utilização de verificações do sistema operacional para reforçar a permissão de dar sequência às etapas e eventos, conforme apropriado. (g) Utilização de verificações de autoridade para garantir que somente pessoas autorizadas possam acessar o sistema, assinar um registro eletronicamente, acessar o dispositivo de entrada ou saída do sistema operacional ou computacional, alterar um registro, ou executar a operação manualmente. O sistema deve garantir, através de segurança eletrônica e procedimentos, que apenas indivíduos com permissão o acesse, através de senhas e autorizações seletivas, definidas para cada usuário cadastrado, além de pré-definir funções específicas. Ex: troca de senhas periódicas, forçada de forma automática, onde apenas níveis hierárquicos autorizados liberam acesso a novos usuários. (h) Utilização de verificações de dispositivos (por exemplo, terminais) para determinar, conforme apropriado, a validade da fonte de entrada de dados ou instruções operacionais. Implementar funções que verifiquem a validade dos equipamentos que estão fornecendo os dados, como por exemplo, seu número de série. (i) Definição de quem dentre as pessoas que desenvolvem, mantêm ou utilizam sistemas de registro eletrônico e assinatura eletrônica possuem formação, treinamento e experiência para realizar tarefas a eles designadas. A importância de pessoas adequadamente treinadas é fundamental na implantação. (j) O estabelecimento e a adesão a políticas escritas que responsabilizam os indivíduos e os tornam responsáveis por ações admitidas com suas assinaturas eletrônicas, a fim de desencorajar a prática de falsificação de registro e assinatura. As políticas e cuidados, no uso de assinaturas eletrônicas, não diferem daqueles utilizados em assinaturas 39

4 40 manuais. (k) Utilização de controles apropriados sobre a documentação dos sistemas, incluindo: (1) Controles adequados sobre a distribuição, acesso e utilização de documentação para a operação e manutenção do sistema. (2) Procedimentos de controle de revisão e alteração para manter um rastreamento das ações de auditoria que documente o desenvolvimento e a alteração sequencial da documentação dos sistemas. Toda a documentação envolvida no sistema, como planos de validação, protocolos, documentação, em todo o seu ciclo de vida, deve ser adequadamente tratado Ligação assinatura/registro. As assinaturas eletrônicas e as assinaturas manuscritas feitas para os registros eletrônicos deverão estar vinculadas aos seus respectivos registros eletrônicos a fim de garantir que as mesmas não possam ser apagadas, copiadas ou transferidas para falsificar um registro eletrônico através de meios ordinários. Todos os dados, que necessitem de interface humana, devem estar ligados à assinatura do usuário, sem entretanto revelar sua senha, por isto cada nome ou registro deve ser único. As assinaturas eletrônicas devem ser absolutamente confiáveis, sendo necessário diversos cuidados, tais como: não retribuir uma assinatura existente a um novo usuário; não permitir senhas simples; não permitir tentativas seguidas de acesso inválido; treinar os usuários adequadamente; associar formas, mais seguras possíveis, como biometria para reconhecimento do usuário. Validação O plano de validação deve conter, detalhadamente, todos os passos com definição de responsabilidade e ser aprovado pela gerência responsável. Além disso, deve ser realizada por pessoas independentes das que desenvolveram o sistema. Testes dinâmicos devem ser realizados verificando uso em condições limites, como número excessivo de usuários simultâneos, tentativas de entrada de dados inválidos e a correta rejeição do sistema entre outras. O uso de simuladores também pode fazer parte do processo de validação. Pela complexidade dos sistemas atuais, os testes dinâmicos podem não responder a todas as situações, deve-se então realizar testes estáticos, como revisão de código e análise dos procedimentos técnicos de qualidade no desenvolvimento do software. Ganhos não imaginados Os custos para implantação da norma são altos, porém pode-se obter muitas vantagens na sua adoção. Sistemas digitais ocupam muito menos espaço para arquivamento que seus equivalentes em papel, permitem recuperação mais rápida de dados arquivados, reduzindo bastante o número de horas envolvidas neste processo, além do aumento da qualidade das atividades. Analisando sob a ótica dos profissionais de controle de contaminação, diversos benefícios são obtidos: como o aumento do comprometimento das equipes envolvidas, processo natural de melhoria contínua, facilidade de acesso aos dados estatísticos de qualidade (localização de causas raiz dos prolemas), entre outros. O contínuo ciclo de atacar os efeitos e não impedir a repetição do problema pode ser quebrado a partir de uma visão de sistemas que atendam a norma. Por exemplo, em um sistema convencional, se um parâmetro foi modificado sem registro de quem aprovou ou alterou o parâmetro, fica impossível descobrir esta falha humana, por outro lado, em um sistema eletrônico, que atende a 21 CFR Part11, o próprio sistema impedirá esta ação para pessoas não autorizadas. Se bem aplicado, a implantação da 21 CFR Part11 pode trazer ganhos maiores que o valor investido representa, além de acelerar uma mudança cultural de qualidade dos processos. Guia de validação de sistemas computadorizados anvisa publicado em abril de 2010 Como podemos ver, na introdução deste guia, sua aplicação não é compulsória, o que não diminui a sua

5 FASES Envolvimento do Fornecedor* Migração Potencial Retenção Migração Conceito Projeto Operação Descontinuidade Destribuição Requisitos Análise BPx Liberação para uso Mudança Aposentadoria Fig.1 (Fonte Fig.4 do Guia de Validação de Sistemas Computadorizados) Identificar riscos para requisitos específicos No geral, quais são os riscos do sistema? Análise de Riscos mais detalhadas é requerida? Considerar Especificação de Requisitos Usuário QD Analise de Riscos Inicial Interação conforme requerido Especificação Funcional QO Analise de Riscos Funcional Identificar e Definir Especificação de Desenho Hardware Design e Software e Design Identificar riscos para processos específicos Identificar riscos para funções específicas Definir controles para reduzir riscos Fig.2 (Fig.8 do Guia de Validação de Sistemas Computadorizados) PRODUTO CONFIGURADO E/OU CUSTOMIZADO QI importância. Este guia dá grande ênfase a todo ciclo de vida do sistema e deve iniciar na concepção do produto e durar durante todo período de retenção de dados. Outro aspecto muito importante deste guia é o foco com processos para análise de risco. A cultura de análise de risco no Brasil, de forma mais ampla, é relativamente recente; e nada mais oportuno do que sua aplicação num momento como este, ou seja, prever o problema e não reagir apenas depois da ocorrência. Sistemas híbridos Pode haver a necessidade, em um mesmo ambiente, de coexistirem ambos sistemas: manuais e computadorizados. Por ex: se um sistema não é validável no 21 CFR Part11, então o procedimento deverá orientar a realização da assinatura e arquivamento manual. Bibliografia Comentários Sistemas Turn key Vendedores não podem garantir equipamentos na caixa compatíveis com a 21 CFR Part11, ou seja, implantar sistemas sem o envolvimento do cliente, pois os equipamentos só podem atender a requisitos técnicos. Processos administrativos associados à implantação do 21 CFR Part11 são específicos a operação do cliente, necessitando do envolvimento de pessoas. a) CFR Código de Regulamentos Federias Título 21 (FDA) TÍTULO 21 Alimentos e Medicamentos CAPÍTULO I Administração de alimentos e Medicamentos PARTE 11 Registros Eletrônicos; Assinaturas Eletrônicas Tradução MICROBLAU. b) Guia de validação de sistemas computadorizados (ANVISA) c) Resolução RDC nº 17, de 16 de abril de