Guía completa de validación de sistemas informatizados (CSV)

Esta guía pretende sugerir las herramientas y estrategias necesarias y adecuadas para su uso en la validación de sistemas informatizados en las industrias farmacéuticas (humana y veterinaria), farmacoquímicas (APIs y excipientes), biológicas, biotecnológicas, de hemoderivados, de gases medicinales y de dispositivos médicos, utilizados en actividades relacionadas con el cumplimiento de las Buenas Prácticas (GxP), incluyendo:

• Fabricación / Producción (GMP)
• Ensayos clínicos (GCP)
• Laboratorio (GLP)
• Buenas Prácticas de Distribución (GDP)
• Almacenamiento (GWP)
• Documentación (GDP)

Proporciona un enfoque adecuado para el cumplimiento con todo tipo de sistemas informatizados, según las regulaciones nacionales e internacionales; basándose en las directrices establecidas en la Guía GAMP® 5 de ISPE, proporcionando una comprensión de las lógicas de trabajo, la definición del alcance y la selección de la estrategia de validación más adecuada para el sistema a validar.

Esta guía de validación de sistemas informatizados se basa en los siguientes enfoques:

• Enfoque basado en riesgos
• Enfoque basado en el ciclo de vida del sistema
• Enfoque del modelo "V" para el desarrollo y prueba del sistema
• Enfoque basado en el proceso al que sirve el sistema
• Enfoque basado en las categorías GAMP del sistema

Esta guía proporciona una revisión general de las directrices requeridas para la cualificación, identificando la base regulatoria (NOM / FDA / OMS), antes de que se realice la validación de los requisitos del sistema informatizado.

También identifica la base documental para respaldar la validación de sistemas informatizados, de acuerdo con el SGC particular de cada organización.

Este trabajo está diseñado para ser utilizado independientemente del conocimiento o experiencia en validación o cumplimiento de Buenas Prácticas, entre otras, las siguientes áreas o funciones empresariales:

• Administración
• Unidad de Calidad
• Investigación
• Desarrollo
• Fabricación
• Laboratorio
• Ingeniería
• Mantenimiento
• Asuntos regulatorios
• Recursos Humanos
• IT
• Personal de soporte
• Proveedores asociados

A través de los principios y metodologías sugeridos aquí, esta guía ayudará a la organización a garantizar que los sistemas informatizados demuestren su aptitud para el uso previsto, cumplan con las buenas prácticas de la industria de manera eficiente, proporcionen orientación práctica para facilitar la interpretación de los requisitos regulatorios, y clarifiquen los roles y responsabilidades de cada uno de los implicados en la validación de sistemas informatizados.

Actualmente, las industrias sanitarias como las farmacéuticas, farmacoquímicas, biológicas, biotecnológicas, de hemoderivados y de dispositivos médicos, están obligadas a establecer un programa de validación para demostrar que cualquier procedimiento, proceso, equipo, material, actividad o sistema conduce efectivamente a los resultados esperados.

Los sistemas informatizados que tienen un impacto en la calidad del producto, la salud del paciente y las buenas prácticas (GxP) deben ser validados, con el fin de cumplir normativamente, asegurar la integridad y trazabilidad de la información y la calidad del producto.

Los sistemas informatizados con impacto GxP son cada vez más importantes debido a los avances tecnológicos en la automatización de procesos y la gestión de datos, y la creciente aceptación de estas tecnologías tanto en procesos administrativos como productivos.

A medida que los sistemas informatizados se integran en los procesos empresariales más importantes, ayudan a reducir o eliminar los riesgos inherentes a los procesos manuales. El crecimiento de la Inteligencia Artificial (IA) presenta nuevos desafíos para los esquemas de validación actuales.

2.1. ¿Qué es la validación? ¿Qué es un sistema informatizado?

Durante el proceso de validación de sistemas informatizados, es necesario utilizar conceptos comunes para evitar malentendidos posteriores.

Definición de validación

NOM-059-SSA1-2015: "Evidencia documental generada mediante la recopilación y evaluación científica de los datos obtenidos en la cualificación y pruebas específicas a lo largo de todo el ciclo de vida de un producto, cuyo objetivo es demostrar la funcionalidad, consistencia y robustez de un proceso determinado."

FDA: "La validación es la confirmación mediante evidencia objetiva de que se cumplen los requisitos previamente establecidos para el uso de un proceso o sistema."

OMS (GMP): "Establecimiento de evidencia documental que proporciona un alto grado de seguridad de que un proceso planificado será uniforme de acuerdo con los resultados especificados esperados."

Las definiciones anteriores tienen en común: generación de evidencia, cumplimiento de requisitos, y resultados esperados.

Definiciones: sistema informatizado / sistema informático

NOM-059-SSA1-2015: "Sistema informático, cualquier equipo, proceso u operación que tenga uno o más ordenadores acoplados y software asociado."

FDA: "Unidad funcional de uno o más ordenadores y dispositivos de entrada/salida, periféricos y software asociado."

GAMP® 5 ISPE: "Sistema que contiene uno o más ordenadores y software asociado, componentes de red, funciones controladas por ellos y documentación asociada."

Según lo anterior, se pueden definir los sistemas informatizados como una combinación de hardware y software que realizan funciones para el proceso al que sirven.

2.2. ¿Cómo se clasifican los sistemas informatizados?

La clasificación puede realizarse según: funciones y diseño, proceso al que sirve, impactos del sistema (GxP), y categoría GAMP.

2.3. ¿Cuáles son los tipos de sistemas según su funcionalidad y diseño?

Tabla 1: Tipos de sistemas informatizados según funcionalidad y diseño

3.1. ¿Cuáles son las categorías conocidas de sistemas informatizados?

Ayudan a determinar la estrategia y el alcance de la validación según la complejidad y los riesgos inherentes a cada categoría. Las categorías sugeridas por GAMP® son una buena referencia para determinar la complejidad y los riesgos inherentes.

3.2. ¿Cuántas categorías hay?

Hay 2 categorías para hardware y 4 para software, aunque la Categoría 2 se considera fuera de uso desde la versión 5 de GAMP®. Cuanto más estandarizado y probado, menor es su categoría y menor el nivel de prueba requerido. Cuanto más personalizado, mayor necesidad de detalle en la validación.

3.3. ¿Por qué no hay categoría 2?

La Categoría 2 quedó obsoleta porque el firmware, que antes tenía características propias, ahora puede clasificarse bajo las categorías 3, 4 o 5. Por eso solo existen las categorías 1, 3, 4 y 5.

3.4. ¿Cuáles son las categorías?

Categoría 1 — Software de infraestructura: sistemas operativos, motores de bases de datos, firewall, antivirus, software ofimático. No se prueban independientemente, sino indirectamente al probar sistemas de categorías 3, 4 o 5.

Categoría 3 — Sistemas no configurables: COTS con nivel cero de configuración. Se venden como soluciones "tal cual". El modelo V aplicable es el más sencillo: verificación contra requisitos de usuario.

Categoría 4 — Sistemas configurables: paquetes parcialmente configurables. El modelo V incluye trazabilidad de requisitos, especificaciones funcionales y de diseño, y protocolos DQ, IQ, OQ y PQ.

Categoría 5 — Sistemas personalizados: desarrollados a medida para necesidades específicas. Requieren mayor énfasis en:

• Especificaciones y módulos de prueba
• Documentación de diseño y operación
• Acuerdos de nivel de servicio
• Soporte técnico y actualizaciones
• Control de cambios

3.5. ¿Cuántas categorías de hardware contempla GAMP®?

Dos categorías: Categoría 1 estándar (hardware estándar, solo se verifican características) y Categoría 2 de usuario (incluye elementos adicionales, requiere pruebas de aceptación y especificaciones de diseño detalladas).

3.6. ¿Qué son los sistemas informatizados heredados (legacy)?

Sistemas que se han vuelto obsoletos pero siguen en uso, que no cumplen 21 CFR parte 11, o que estaban en uso antes del inicio de las actividades de validación. Durante la preparación del Plan Maestro de Validación, es necesario identificarlos y definir su estrategia.

4.1. ¿Qué es la validación de sistemas informatizados?

Es un proceso documentado para garantizar que un sistema informatizado hace exactamente lo que fue diseñado para hacer de forma consistente y reproducible (aptitud para el uso), asegurando la integridad y seguridad del procesamiento de datos, la calidad del producto, y cumpliendo con las regulaciones GxP aplicables.

4.2. ¿Qué es la aptitud para el uso?

Implica verificar que el sistema funciona correctamente según las necesidades del proceso para el que fue adquirido. Se demuestra durante la validación y se verifica rutinariamente durante la operación.

4.3. ¿Cómo se demuestra la aptitud para el uso?

Mediante el cumplimiento de todos los requisitos establecidos. Dado que los requisitos son directamente trazables al protocolo de Cualificación de Rendimiento (PQ) e indirectamente trazables a los protocolos IQ y OQ, es la conclusión satisfactoria del PQ la que demuestra la aptitud para el uso.

4.4. ¿Qué es GxP?

Es un acrónimo para Buenas Prácticas (x), donde "x" representa alguna de las buenas prácticas relacionadas con regulaciones y guías de referencia nacionales e internacionales.

4.5. ¿Qué buenas prácticas son aplicables?

• Buenas Prácticas de Fabricación (GMP)
• Buenas Prácticas de Laboratorio (GLP)
• Buenas Prácticas de Distribución (GDP)
• Buenas Prácticas Clínicas (GCP)
• Buenas Prácticas de Documentación (GDP)

4.6. ¿Cuál es el alcance / impacto de GxP?

Se refiere a cualquier acción u omisión que afecte negativamente a cualquier Buena Práctica definida como parte del cumplimiento regulatorio. La correcta determinación del impacto GxP establece el alcance del estudio de validación.

4.7. ¿Qué se gana con conocer el impacto GxP?

Permite una mejor estrategia de validación, con especial énfasis en aquellos puntos donde existe mayor riesgo de impactar negativamente las Buenas Prácticas, y permite diferenciar los sistemas que requieren validación de los que no.

4.8. ¿Cuáles son los diferentes tipos de impactos?

Hay 6 tipos principales de impactos:

• Seguridad del paciente: sistemas que liberan productos y gestionan información para uso del paciente.
• Calidad del producto: impacto directo en la fabricación o evaluación de parámetros críticos.
• Integridad de datos: sistemas ERP, control de inventario, gestión documental.
• Cumplimiento regulatorio: sistemas de control del SGC, hojas de cálculo con planes de formación.
• Políticas internas: sistemas de cualificación de personal, sistemas de seguridad.
• Negocio: cómo el mal funcionamiento puede resultar en pérdidas económicas.

4.14. ¿Qué es la integridad de datos y por qué es importante?

La FDA establece que los datos deben ser Atribuibles, Legibles, Contemporáneos, Originales y Exactos. El acrónimo ALCOA resume estos atributos, además de completos, consistentes, duraderos y disponibles.

4.15. ¿Qué es la gobernanza de datos?

Es la suma total de disposiciones que proporcionan garantía de la integridad de los datos, independientemente del proceso, formato o tecnología por la que fueron generados. Incluye controles organizativos (procedimientos, formación, auditorías) y técnicos (sistemas de control informatizados, automatización).

4.17. ¿Qué son los registros electrónicos?

Son datos e información creados, modificados, archivados, recuperados y distribuidos por un sistema informatizado. Los registros electrónicos relevantes para GxP deben estar sujetos a verificación/validación.

4.18. ¿Qué son las firmas electrónicas?

Un conjunto de datos electrónicos cifrados que acompañan a un documento electrónico, cuyas funciones básicas son identificar inequívocamente al firmante y garantizar la integridad de la información. Deben tener la misma validez legal que una firma manuscrita.

4.21. ¿Qué no requiere validación?

Los sistemas operativos comerciales (Windows, Unix, Linux), el antivirus y firewall, y el software ofimático (Office, Adobe Reader) no requieren validación independiente, ya que se verifican indirectamente durante la validación del software empresarial.

5.1. ¿Cuáles son las principales responsabilidades?

Hay 4 responsabilidades principales en el proceso de validación de sistemas informatizados:

• Propietario del proceso
• Propietario del sistema
• Usuario
• Proveedor

5.2. ¿Quién es el propietario del proceso?

Generalmente el jefe o responsable del área al que sirve el proceso. Es el principal actor del éxito, el cumplimiento regulatorio y los beneficios económicos que el sistema puede generar. Entre sus responsabilidades: gestionar los requisitos de usuario, conocer los requisitos regulatorios, formar el equipo de validación, aprobar la documentación resultante y mantener el estado validado.

5.3. ¿Quién es el usuario y cuáles son sus responsabilidades?

Existen múltiples niveles de usuarios: los que tienen la visión general del proceso (gerentes), los usuarios clave (con amplias competencias) y los usuarios operativos (responsables de la entrada/salida de información diaria). Sus responsabilidades incluyen reportar errores, comunicar requisitos y apoyar en la ejecución de pruebas de validación.

5.4. ¿Cuál es la responsabilidad del proveedor?

Los proveedores desempeñan un papel importante durante el ciclo de vida del sistema. Se clasifican en: proveedor del sistema (implementación, soporte, mantenimiento), proveedor de infraestructura y proveedor de servicios de cualificación y validación.

5.5. Cualificación de proveedores

Es importante definir qué proveedores deben ser cualificados según una evaluación de riesgos. Las evaluaciones pueden incluir auditorías, recopilación de documentación, historial de calidad y acuerdos de nivel de servicio (SLA).

5.7. ¿Cuál es la responsabilidad del área de validación?

Crear la documentación necesaria, realizar reuniones con los propietarios del proceso y del sistema, ejecutar protocolos, documentar evidencias y desarrollar informes de validación.

¿Buscas soporte experto en CSV? Nuestro equipo de validación de software puede ayudarte a coordinar tu proyecto de validación de principio a fin.

Para la implementación del proceso de validación, es extremadamente útil verlo como un proyecto, dependiendo de la criticidad, impacto, complejidad y riesgos del sistema.

6.1. ¿Quién debe coordinar el proyecto de validación?

Se recomienda que sea la persona con mayor control y conocimiento del sistema y del proceso. Para ERPs, suele ser el área de IT; para LIMS o gestión documental, el propietario del proceso; para hojas de cálculo, el propio usuario.

6.2. ¿Qué es el ciclo de vida de un sistema informatizado?

El periodo de tiempo durante el cual un sistema informatizado "vive", desde su concepción hasta su retirada. No debe confundirse con el modelo V para desarrollo y pruebas.

6.4. ¿Cuáles son las fases del ciclo de vida?

6.5. Enfoque del ciclo de vida

La Guía GAMP® 5 establece un enfoque de ciclo de vida con 4 fases principales:

1. Diseño del sistema
2. Borrador / Implementación
3. Operación (generalmente la fase más larga)
4. Retirada del sistema

6.7. ¿Qué es el modelo V?

El modelo V es una representación gráfica de las actividades de desarrollo y prueba del software, incluyendo su proceso de verificación y validación. Ayuda a determinar la mejor estrategia de validación según la categorización del sistema, especificando la documentación a generar y los tipos de pruebas en cada etapa.

6.8. ¿Cuántos modelos V se manejan normalmente?

La Guía GAMP® 5 propone 3 modelos principales. Su selección depende primero de la categoría del sistema y luego de factores como la complejidad, el impacto, los riesgos, el grado de externalización, la etapa del ciclo de vida, su antigüedad y madurez.

6.10. ¿Cómo se relaciona el enfoque del ciclo de vida con el modelo V?

Plan Maestro de Validación de Sistemas Informatizados (PMVSI)

Documento que define las políticas y estrategias de validación de la organización. Incluye el inventario de sistemas, los criterios de clasificación, las responsabilidades y el cronograma de validación. Sirve como hoja de ruta para la gestión de todos los sistemas informatizados del entorno GxP.

Documentación del sistema de gestión de calidad

Los procedimientos del SGC para mantener el estado validado incluyen: gestión de cambios, gestión de configuración, copias de seguridad y recuperación, gestión de usuarios, gestión de seguridad, mantenimiento preventivo, medición del rendimiento y recuperación ante desastres.

Durante la fase de operación, los cambios en software, hardware y procesos deben ser monitorizados y gestionados como parte del proceso de mejora continua y mantenimiento del estado validado.

Los procedimientos clave para mantener el estado validado incluyen:

• Control de cambios (hardware y software)
• Gestión de configuración
• Copias de seguridad, archivado y recuperación de información
• Gestión de usuarios
• Gestión de seguridad (física y lógica)
• Mantenimiento preventivo
• Medición del rendimiento
• Recuperación ante desastres
• Mesa de ayuda

7.1. Mantenimiento del estado validado en actividades externalizadas

Cuando se externalizan actividades relacionadas con el sistema, es importante garantizar que el estado validado se mantenga mediante una gestión adecuada de proveedores, acuerdos de nivel de servicio y auditorías regulares. Los proveedores externalizados deben cumplir los mismos estándares de calidad y cumplimiento que los equipos internos.

La validación de sistemas informatizados es una disciplina crítica para garantizar que los sistemas informatizados regulados por GxP sean aptos para el uso previsto. Aplicando un enfoque basado en riesgos y en el ciclo de vida guiado por los principios de GAMP® 5, las organizaciones pueden asegurar el cumplimiento, mantener la integridad de datos y proteger la seguridad del paciente.

Puntos clave de esta guía:

• CSV garantiza que los sistemas hacen lo que deben hacer — de forma consistente y reproducible
• Las categorías GAMP® 5 (1, 3, 4, 5) determinan el alcance y la estrategia de validación
• El modelo V proporciona un marco estructurado para el desarrollo y las pruebas
• La integridad de datos (principios ALCOA) es fundamental para el cumplimiento regulatorio
• La validación es un esfuerzo colaborativo que requiere roles y responsabilidades claros
• El mantenimiento del estado validado es un proceso continuo a lo largo del ciclo de vida del sistema

Para la guía completa de más de 100 páginas con ilustraciones detalladas y ejemplos adicionales, descarga el whitepaper gratuito.

¿Necesitas soporte experto para tu proyecto CSV? Explora los servicios de validación de software de QbD Group — de la estrategia a la ejecución, conforme a GAMP® 5.