Aspectos Relevantes de la parte 11 de la CFR21

July 13, 2017

Es nuestro deseo ilustrar a los lectores acerca de qué deben revisar o cumplir para asegurar que un determinado instrumento de medición cumple con los requisitos de la parte 11 de la CFR21 que determina los requerimientos regulatorios de los registros y firmas electrónicas, para lograrlo iniciaremos con una presentación inicial de los aspectos relevantes de la normativa y en una segunda entrega haremos una detallada descripción de los elementos que debe incluir un determinado instrumento para cumplir con estos requisitos.

Para iniciar con un poco de contexto de la CFR21 parte11 podemos comentar que esta normativa inició en 1991 cuando miembros de la industria farmacéutica se reunieron con la agencia Administradora de Alimentos y Medicamentos FDA de los Estados Unidos para definir como ajustar los sistemas de registro de información sin papel bajo las regulaciones de buenas prácticas de manufactura vigentes a esa época (cGMP) en lo referente a las partes 210 y 211 (21 CFR partes 210 y 211).

Para responder a esta solicitud La FDA creó una fuerza de tarea enfocada en la identificación de quienes firman documentos y firmas electrónicas para desarrollar un enfoque uniforme por el cual la agencia podría aceptar firmas electrónicas y registros en todas las áreas. En Febrero de 1992 se generó un primer borrador para consulta (ANPRM Advance notice of proposed rulemaking), después de analizar los comentarios se publicó una propuesta de reglamentación en Agosto de 1994 a la que se presentaron múltiples comentarios que se encuentran registrados en la publicación de la normativa definitiva, documento publicado en Marzo 20 de 1997.

La normativa registrada en la parte 11 del CFR 21 cubre los siguientes campos:

Disposiciones generales
Registros electrónicos
Firmas electrónicas

En el gráfico a continuación resumimos la estructura y contenido de la parte 11 de la CFR21.


La parte 11 del CFR21 fue concebida para las empresas que estén comprometidos con el completo cumplimiento de las Buenas prácticas de manufactura y hayan tomado la alternativa de almacenar los registros o comunicaciones que ese compromiso demanda, en formatos electrónicos. LA parte 11 aplica a todos los productos regulados (Medicamentos y Biológicos; animales y Veterinarios).

En principio la reglamentación define criterios para que las agencias reguladoras definan que:

  • Un registro electrónico
  • Una firma electrónica
  • Una firma manuscrita aplicada a un registro electrónico

Se considere autentica, confiable y equivalente a los registros impresos en papel y firmados en manuscrito.

En lo referente a los registros, la norma hace dos claridades importantes:

  • Se aplicarán controles rigurosos a los sistemas cerrados usados para generar registros
  • Se definen los sistemas computarizados como parte de los mecanismos de almacenamiento y control de registros electrónicos y se hacen recomendaciones para su validación, pues no todos son objeto de control.

La parte 11 (en la versión subida el 1 de Abril de 2015) incluye una serie de definiciones que es importante tener claras:

  • Biométrica significa un método de verificación de identidad de un individuo basado en la medida de característica (s) físicas individuales o acción (es) repetible (s) donde aquellas características y/o acciones son únicas de un individuo y medibles.
  • Sistema cerrado: significa un ambiente en el cual el acceso al sistema está controlado por personas quienes son responsables por el contenido de registros electrónicos que están en el sistema.
  • Sistema abierto: Es un ambiente en el cual el acceso al sistema no está controlado por personas que sean responsables por el contenido de los registros que se encuentran en el sistema.
  • Firma digital: Está basada en métodos criptográficos para autenticar el originador, que son procesadas matemáticamente por una serie de reglas y un conjunto de parámetros que permiten asegurar la identidad del firmante y la integridad de los datos pueden ser verificados.
  • Firma Electrónica: Compilación de datos de computador de cualquier símbolo o serie de símbolos, ejecutados, adoptados o autorizados por un individuo que lo vinculan legalmente en forma equivalente a su firma manuscrita.
  • Registro electrónico:Cualquier combinación de texto, gráficas, datos, audio, dibujos u otra representación de información en forma digital que ha sido creada, modificada, mantenida, archivada, recuperada o distribuida por sistemas de cómputo.
  • Firma manuscrita:El nombre escrito o marca legal de un manuscrito individual hecha por una persona y ejecutada o adoptada con la intención de autenticar un escrito en forma permanente. El acto de firmar con un instrumento de escritura como un bolígrafo o lápiz óptico que se preserve. El nombre escrito o la marca legal, aunque convencionalmente se aplica a la escritura sobre papel, también puede aplicar a otros dispositivos capaces de capturar el nombre o la marca.

En Agosto de 2003 la FDA publicó una guía para la industria, documento en el cual se revisó la parte 11 del CFR y se hicieron ajustes para resolver tres preocupaciones generadas en la industria durante los primeros 6 años de aplicación de la parte 11 a saber: (1) Restricción innecesaria del uso de la tecnología electrónica de manera que se entra en contravía al espíritu que inspiró originalmente la norma. (2) Incremento significativo de los costos de cumplimiento en una magnitud no contemplada cuando la norma se publicó y (3) Des estimular la innovación y los avances tecnológicos sin que esto redunde en beneficio de la salud pública.

El primer elemento de reflexión fue:

Enfoque general de los requerimientos de la parte 11: se resaltan tres aspectos:

  1. La parte 11 será interpretada estrechamente: Solo unos pocos registros serán considerados sujetos de la parte 11
  2. Para aquellos registros que son sujetos de la parte 11, la FDA pretende ejercer su potestad de cumplimiento a los requerimientos que la parte 11 aplica a registros de:

    i. Validación,
    ii. seguimiento de auditorías,
    iii. registros de retención y
    iv. copia de registros.
    v. Y con respecto a los sistemas que iniciaron su operación antes de Agosto 20 de 1997.
  3. Harán cumplir todos los requisitos de la norma, incluyendo las reglas para registros y requisitos para el mantenimiento de registros

La FDA pretende hacer cumplir la regulación a los registros objeto de la parte 11 excepto los sistemas anteriores a Ago. 20 1997 (Sistemas Heredados) aunque en esos casos el alcance de la FDA puede ser más amplio.

También ejercerá control sobre sistemas cerrados, los cuales deberán cumplir con (los requerimientos de sistemas cerrados deben ser cumplidos por sistemas analíticos computarizados como los de Cromatografía líquida o de gases):

  • Sistemas con acceso limitado a personal autorizado
  • Uso de verificaciones operacionales del sistema: Que haga cumplir una secuencia permitida de pasos y eventos que ejecute el sistema para considerarlo apropiado.
  • Uso de verificaciones de autoridad: Para asegurar que solamente personal autorizado puede tener acceso para usar el sistema, firmar electrónicamente o alterar un registro.
  • Uso de comprobaciones de dispositivos
  • Determinación de que las personas que desarrollan, mantienen o usan sistemas electrónicos, tienen la educación, entrenamiento, y experiencia para desarrollar las tareas asignadas.
  • Establecimiento de políticas escritas y adhesión a ellas por parte de las personas responsables por acciones que se ejecuten bajo sus firmas electrónicas.
  • Controles apropiados sobre la documentación de sistemas
  • Controles sobre sistemas abiertos correspondientes a los sistemas cerrados enumerados anteriormente.
  • Requerimientos relacionados a firmas electrónicas.

En este punto, la más reciente documentación generada por la FDA aclara:

Personas que usen sistemas cerrados para crear, modificar, mantener o transmitir registros electrónicos deberán emplear procedimientos y controles diseñados para asegurar la autenticidad, integridad y la confidencialidad de los registros electrónicos, cuando sea apropiado, y asegurar que el firmante no puede rechazar registros firmados por considerarlos falsos. Tales procedimientos y controles deben incluir, además de lo mencionado anteriormente, los siguientes elementos:

  • Validación de sistemas: Asegurar exactitud, confiabilidad, consistencia en el desempeño pretendido y habilidad para discriminar registros inválidos o alterados.
  • La habilidad de generar copias completas y exactas de los registros: que sean leíbles y disponibles para inspección, revisión y copia por parte de la agencia regulatoria.
  • Protección de los registros: Exactitud y facilidad de recuperación de los registros a lo largo del tiempo de retención.
  • Uso de registros de auditoría con marcas de tiempo seguras y generadas por computadora: que registre el momento en que el operador entra y crea, modifica o borra registros. Tampoco los cambios pueden ocultar registros anteriores.
  • Uso de verificaciones del dispositivo conectado: Debe verificar que la fuente de datos que ingresan al sistema es válida y que las instrucciones de operación son correctas.
  • Uso de controles apropiados para la documentación

    -Distribución, acceso y uso de documentos de uso y mantenimiento del sistema

    -Procedimientos de revisión y control de cambios que aseguren la trazabilidad de la documentación del sistema

En lo referente a sistemas abiertos, la reciente actualización aclara: “Quienes usen sistemas abiertos para crear, modificar, mantener o trasmitir registros electrónicos deberán emplear procedimientos y controles diseñados para asegurar la autenticidad, integridad, y confidencialidad cuando sea necesario, de los registros electrónicos, desde el punto de su creación hasta el punto de recepción. Tales procedimientos y controles deberán incluir los registros identificados al inicio de la parte 11 (11.10) y adicionalmente medidas como encriptación y uso de firmas digitales apropiadas para asegurar la autenticidad, integridad y confidencialidad de los registros.

En este documento también se hace diferencia entre lo que es una firma electrónica y una firma digital y se incluye el concepto de método biométrico para identificar la identidad individual de un firmante.

La norma actualizada aclara que las firmas electrónicas deben incluir información complementaria:

  • Nombre impreso del firmante
  • Fecha y hora en que la firma fue ejecutada
  • El significado de la firma: revisión, aprobación, responsabilidad o autorización relacionada con la firma
  • La información de la firma hace parte del registro electrónico y está sujeto a los mismos requisitos del registro completo.

Igualmente, la versión actualizada de la norma hace una referencia especial al enlace que se debe garantizar entre la firma electrónica y el contenido del registro: Las firmas electrónicas y las firmas manuscritas aplicadas a registros electrónicos, deberán estar enlazadas a sus respectivos registros electrónicos para asegurar que la firma no puede ser extraída, copiada o de cualquier otra forma transferida para falsificar un registro electrónico mediante medios ordinarios.

Purificación y Análisis de Fluidos Ltda. (PAF Ltda.) Como proveedor de soluciones para la industria, está en capacidad de complementar los instrumentos de análisis y control que ofrece en Colombia, con los software, documentación y servicio de soporte técnico calificado necesario para cumplir los requerimientos regulatorios vigentes al respecto de la información en formatos digitales.

Comentarios