Nuevo Anexo 11: Integridad de sistemas informatizados

por
Anexo 11 EU GMP sistemas informatizados

El Anexo 11 de las EU GMP representa uno de los pilares regulatorios más significativos en la gobernanza de los sistemas informatizados utilizados en entornos GMP.

Su reciente revisión, abierta a consulta, consolida y actualiza los principios fundamentales para garantizar que los sistemas que soportan procesos críticos farmacéuticos sean validados, seguros, confiables y estén alineados con los requisitos de integridad de datos.

Esta actualización resulta esencial en un contexto donde la dependencia de soluciones digitales se ha intensificado.

Y como consecuencia de ello, los inspectores reguladores exigen cada vez mayor trazabilidad, robustez y resiliencia en los sistemas que sustentan la calidad farmacéutica.

Sistemas informatizados: Ciclo de vida

Cualquier sistema informatizado utilizado en actividades reguladas debe estar sometido a un ciclo de vida gestionado, documentado y validado, desde su especificación hasta su retirada.

Esto obliga a adoptar metodologías para adquisición, diseño, implementación, operación y mantenimiento, aplicando estrategias de gestión de riesgos proporcionales al impacto sobre la calidad del producto y la integridad de los datos.

Integridad de datos

Uno de los elementos clave del Anexo 11 es la consolidación del concepto de integridad de datos como eje vertebrador del sistema informatizado.

Los datos generados, procesados o almacenados electrónicamente deben cumplir con los principios ALCOA+ (atribuibles, legibles, contemporáneos, originales, exactos, completos, consistentes, duraderos y disponibles).

Se exige una arquitectura de control que garantice la seguridad lógica y la trazabilidad del ciclo de vida del dato, desde su generación hasta su archivo.

Validación de sistemas informatizados

El anexo exige aplicar un enfoque prospectivo basado en riesgos, que permita demostrar de forma documentada que el sistema funciona conforme a su propósito previsto.

La validación debe incluir:

  • definición de requerimientos del usuario
  • especificaciones funcionales y técnicas,
  • planes y reportes de pruebas
  • evaluación del impacto del sistema.

QA en los sistemas informatizados

El papel del personal de QA se amplía.

Se requiere su participación en todas las etapas del ciclo de vida del sistema, desde el diseño hasta la retirada, incluyendo auditorías y revisiones técnicas periódicas.

Accesos, privilegios y firmas

La gestión de accesos y privilegios es otro componente crítico.

El sistema debe ser capaz de:

  • restringir el acceso según roles
  • documentar cada intervención del usuario
  • garantizar que sólo el personal autorizado pueda realizar operaciones sensibles

Además, se requiere la implementación de mecanismos de autenticación robustos, como doble factor o firma electrónica avanzada, con auditoría continua de eventos.

Esta gestión debe extenderse al control de cambios, asegurando que cualquier modificación sea evaluada, justificada y documentada.

Ciberseguridad

Una novedad destacable es la integración explícita de conceptos de ciberseguridad.

El anexo reconoce la necesidad de proteger los sistemas contra accesos no autorizados, ataques externos o vulnerabilidades de software,

Exige medidas como segmentación de red, protección antivirus, gestión de parches, respaldo seguro y planes de recuperación ante desastres.

Esta visión posiciona la seguridad informática como parte integral del cumplimiento GMP, y no como un elemento auxiliar.

Proveedores de sistemas informatizados

También se refuerza el concepto de validación de proveedores.

Los fabricantes deben auditar, calificar y controlar a los proveedores de software y servicios informáticos, en especial cuando se recurre a soluciones en la nube (SaaS, IaaS, PaaS).

Esta responsabilidad no puede ser delegada: el titular de la autorización de fabricación debe demostrar que ha evaluado adecuadamente la competencia técnica y el cumplimiento del proveedor, estableciendo acuerdos formales, procedimientos de escalado y planes de contingencia.

Hojas de cálculo, macros y sistemas menores

El Anexo 11 no se limita a regular grandes sistemas automatizados. También abarca hojas de cálculo, macros y herramientas locales que, aunque simples, puedan tener un impacto crítico en decisiones de calidad o liberación de producto.

Esto exige una evaluación rigurosa de cada herramienta, su control de versiones, validación de fórmulas, protección frente a edición accidental y documentación de resultados.

Inteligencia artificial

La actualización también introduce lineamientos sobre inteligencia artificial y algoritmos de decisión automatizada, exigiendo validación, trazabilidad y explicar los modelos, en línea con el nuevo Anexo 22.

En este sentido, cualquier implementación de aprendizaje automático o clasificación automatizada debe estar completamente bajo control, con documentación detallada del modelo, los datos de entrenamiento, los resultados esperados y los límites de uso.

Estas exigencias buscan evitar la opacidad algorítmica y garantizar que los sistemas inteligentes sean auditables.

Documentación electrónica

Finalmente, el anexo actualiza el papel de la documentación electrónica, incluyendo la necesidad de mantener registros legibles, recuperables, protegidos frente a pérdida o alteración, y disponibles para auditorías e inspecciones durante todo el período de retención.

Se recomienda el uso de firmas electrónicas vinculadas al individuo, con controles que garanticen su autenticidad e inalterabilidad, y sistemas de backup redundantes con pruebas periódicas de recuperación.

ASINFARMA, el Anexo 11 y los sistemas informatizados

En conjunto, el Anexo 11 revisado proporciona un marco normativo moderno, robusto y orientado a la calidad total para la gestión de sistemas informatizados en la industria farmacéutica.

Su enfoque combina los fundamentos tradicionales de validación con las exigencias actuales de integridad de datos, ciberseguridad, gestión de proveedores y automatización inteligente.

Para las organizaciones del sector, su implementación representa tanto un desafío técnico como una oportunidad para fortalecer la confianza operativa y regulatoria.

Desde una perspectiva estratégica, este anexo debe ser interpretado como una guía para elevar la madurez digital de las organizaciones farmacéuticas, no solo cumpliendo con los requisitos mínimos, sino construyendo sistemas resilientes, auditables y alineados con las mejores prácticas internacionales.

Su aplicación eficaz exigirá recursos especializados, liderazgo técnico, inversión en herramientas y una cultura de calidad que sitúe la gestión informática al mismo nivel de exigencia que los procesos de producción o control analítico.

Aquí podéis bajar el borrador de la nueva versión del Anexo 11 EU GMP Sistemas Informatizados

Comparte esta entrada:

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram
suscríbete

Recibe toda la información sobre nuestros cursos en tu mail

Deja un comentario

Información básica de protección de datos:
Responsable: FT Asinfarma Asesoría y Formación Industrial, S.L.U.
Finalidad: Atender la solicitud, prestación de servicios y envío de información de interés
Legitimación: Interés legítimo
Destinatarios: Proveedores externos, entidades financieras, administraciones y servidor fuera de la UE.
Derechos: acceso, rectificación, supresión, oposición y portabilidad de los datos.
Información adicional: Aviso Legal

Asinfarma: consultoría industria farmacéutica
Desarrollado por  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible.

La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Para saber qué es una cookie y por qué necesitamos tu consentimiento para que puedan instalarse en tu dispositivo, consulta nuestra política de cookies.