CFR 21 part 11 e o registro eletrônico no setor de Ciências da Vida
ShareCompartilhar

CFR 21 part 11 e o registro eletrônico no setor de Ciências da Vida

Publicado em 17 de October de 2024

O CFR 21 Part 11 é uma norma da Food and Drug Administration (FDA) dos Estados Unidos. Ela estabelece os requisitos e regras para o uso de sistemas computadorizados de automação nas indústrias farmacêutica, biotecnológica e de dispositivos médicos. Por isso, é muito seguida em todo o mundo.

No Brasil, a RDC 658 incorporou diretrizes do CFR 21 Part 11 dentro das suas Boas Práticas de Fabricação (BPF), reforçando ainda mais a importância dessa norma internacional.

Continue lendo e descubra tudo sobre o CRF 21 Part 11, quais são seus principais requisitos e como ela ajuda a aumentar a qualidade e a conformidade no setor de Ciências da Vida.

Veja também: O que é a IN 134

O que é a CFR 21 Part 11?

A norma surgiu em 1997, quando a FDA criou regulamentos que definiram os critérios para a aceitação de registros e assinaturas eletrônicas/manuscritas feitas em documentos eletrônicos.

Esse conjunto de regulamentos foi chamado de Parte 11 do Título 21 do Code of Federal Regulations (Código de Regulamentos Federais) — mais conhecido como 21 CFR Part 11 ou CFR 21 Part 11.

Conheça abaixo os cinco principais aspectos regulamentados pelo CFR:

  • Autenticidade e Integridade dos registros eletrônicos — Garantir que os registros eletrônicos usados em medicamentos e aparelhos sejam autênticos, íntegros e que não possam ser alterados sem a devida autorização.
  • Assinaturas Eletrônicas — Assegurar que as assinaturas eletrônicas tenham o mesmo peso legal que as assinaturas manuscritas, assim como que estejam vinculadas a um registro eletrônico específico.
  • Controle de Acesso — Implementar sistemas que gerenciam registros eletrônicos, que por sua vez precisam contar com medidas de controle de acesso adequadas para proteger informações sensíveis.
  • Audit Trail — Manter um registro de auditoria que documente todas as alterações realizadas nos registros eletrônicos, incluindo quem fez essas mudanças e quando ocorreram.
  • Validação de Sistemas — Validar os sistemas utilizados para gerar, armazenar e transmitir registros eletrônicos, visando garantir o seu funcionamento adequado.

A estrutura do CFR 21 Part 11

Esse CFR é dividido em três principais partes para facilitar tanto o seu entendimento quanto a sua implementação. Elas são: Disposições Gerais, Registros Eletrônicos e Assinaturas Eletrônicas. Confira mais sobre cada uma abaixo!

  • Disposições Gerais — Define o escopo dos regulamentos. Por exemplo, estipula quando e como o CFR 21 Part 11 deve ser implementado, bem como alguns dos principais termos usados no decorrer do regulamento.
  • Registros Eletrônicos — Estabelece os requisitos para a administração de sistemas de manutenção de registros eletrônicos (sejam fechados ou abertos). Além disso, apresenta os requisitos para estabelecer um vínculo entre assinaturas e registros.
  • Assinaturas Eletrônicas — Essa parte da CFR é dividida em outras três partes: requisitos gerais para assinaturas eletrônicas, componentes e controles de assinaturas eletrônicas e controles para códigos/senhas de identificação.

Essas assinaturas eletrônicas são autenticações que usam sistemas de criptografia para verificar a identidade do usuário. Assim, a assinatura comprova a confiabilidade do sistema e do documento em questão.

Com essa divisão em três principais estruturas, a 21 CFR Parte 11 visa deixar claro os requisitos de validação de software, trilhas de auditoria, gerenciamento de sistemas legados, manutenção de cópias de registros e retenção de registros. Assim, fornece informações úteis sobre o que as empresas precisam fazer para estar em conformidade com essa norma.

Whitepaper Grátis: Como gerenciar fornecedores de dispositivos médicos e garantir a conformidade com a FDA

Como ter compliance com a CFR 21 Part 11?

Como você já viu, o principal objetivo do CFR 21 Part 11 é regulamentar o uso de sistemas eletrônicos — principalmente aqueles utilizados para assinaturas digitais — no processo de fabricação de produtos e equipamentos. Essa norma se aplica principalmente a empresas das áreas farmacêuticas, biotecnológicas e de dispositivos médicos.

Portanto, se você quer garantir que sua empresa esteja em conformidade com o CFR, é preciso prestar atenção nos principais aspectos que são tratados nele. De forma geral, eles podem ser divididos em três categorias: validação dos sistemas, registro de auditorias e retenção e cópia de registros.

Cada um conta com suas especificidades, e leva em conta as atividades e processos de diferentes empresas. Dependendo da natureza do negócio da sua companhia, pode ser que você precise dar mais atenção para a validação de sistemas ou para o registro de auditorias, por exemplo.

Para saber em quais dos principais aspectos inclusos no 21 CFR Part 11 você precisa se concentrar, confira os itens abaixo e leve em conta como cada um deles está presente na sua operação.

Validação dos sistemas

  • Validação do sistema: Assegure que o seu sistema seja validado de maneira adequada para garantir a sua eficácia e conformidade com as regras específicas da norma.
  • Política de assinatura eletrônica: Verifique se existe uma política que atribui total responsabilidade às pessoas sob suas assinaturas eletrônicas.
  • Registro e recuperação de dados: Garanta que os registros sejam prontamente recuperáveis durante todo o período de retenção caso isso seja necessário.
  • Segurança de dados: Certifique-se de que os dados inclusos no sistema sejam criptografados e que tenham sua integridade preservada.
  • Verificação da origem dos dados: Quando necessário, é importante também verificar a validade da fonte de dados ou instruções recebidas, garantindo que sejam fontes confiáveis e seguras.
  • Controle de acesso: Tenha formas de assegurar que apenas pessoas autorizadas tenham acesso ao sistema e às assinaturas eletrônicas contidas nele.
  • Documentação de treinamentos: Mantenha um registro com os treinamentos voltados para o uso do sistema. Esses treinamentos precisam estar disponíveis para usuários do sistema, desenvolvedores, equipe de suporte de TI e demais colaboradores para os quais esse acesso seja pertinente.

Registro de Auditoria

  • Registro seguro e acessível de auditorias: Mantenha um registro de auditoria seguro, que armazene a data e hora de entradas e as ações realizadas pelos operadores. Além disso, esse registro precisa estar disponível para revisão e cópia pelo órgão regulador.
  • Rastreamento de alterações: Tenha formas de preservar os registros eletrônicos antigos após eles sofrerem alguma alteração, visando fortalecer a rastreabilidade da operação.
  • Detalhes nas assinaturas eletrônicas: As assinaturas eletrônicas devem conter informações específicas, como nome do assinante, data e hora da assinatura, bem como o propósito dela.
  • Proteção às assinaturas: Garanta que as assinaturas eletrônicas estejam vinculadas de forma segura aos registros do sistema para evitar acessos indevidos e falsificações, por exemplo.
  • Controle de Alterações: Conte com um procedimento formal de controle de alterações para a documentação do sistema.
  • Identificação única: As assinaturas eletrônicas devem ser únicas para cada indivíduo e nunca reutilizadas.
  • Verificação de identidade: Tenha mecanismos para verificar a identidade do assinante de forma adequada. Isso precisa ocorrer antes da atribuição da assinatura eletrônica.
  • Segurança biométrica: No caso de assinaturas biométricas, é preciso garantir que elas sejam de uso exclusivo do verdadeiro proprietário de cada uma.

Retenção e cópia de registros:

  • Controle de identificação e de senha: O sistema deve ter controles rigorosos para garantir que cada código de identificação e senha seja exclusivo para cada usuário.
  • Senhas com data de expiração: Garanta que as senhas expirem periodicamente e passem por revisões regulares.
  • Relato de tentativas não autorizadas: Conte com procedimentos que relatem tentativas não autorizadas de acesso à administração. Isso precisa acontecer de forma imediata, para todos os acessos indevidos.
  • Testes de tokens e cartões: Faça testes (tanto iniciais quanto periódicos) nos tokens e nos cartões de acesso para assegurar a eficácia deles.
  • Desativação de identificação e senha: Seu sistema precisa contar com ferramentas para desativar senhas ou códigos de identificação que tenham sido comprometidos ou perdidos.
  • Recall de códigos e senhas: Da mesma forma, tenha procedimentos para o recall de códigos de identificação e senhas quando o detentor deles deixar a sua empresa ou até mesmo quando for transferido para outra área/função.
  • Procedimento de gerenciamento de perda: Conte com um procedimento para lidar com situações de perda ou roubo de dispositivos.
  • Teste de integridade: Faça checagens regulares da integridade dos registros para detectar possíveis alterações não autorizadas.
  • Produção de cópias dos registros eletrônicos: Crie e armazene essas cópias, que podem ser usadas em inspeções regulatórias ou mesmo nas operações contínuas, caso haja falhas no sistema principal. Essas cópias precisam ser em formato impresso e eletrônico (como PDF, XML, SGML etc.) e devem estar disponíveis para o órgão regulador.

Saiba mais: Como o SoftExpert Suite gera a conformidade com o FDA 21 CFR Part 11

Como a CFR 21 Part 11 afeta o registro eletrônico para empresas de Ciências da Vida

A CFR 21 Part 11 tem um impacto significativo nas empresas de Ciências da Vida, principalmente naquelas que trabalham com produtos regulados. Dentre essas, se destacam companhias farmacêuticas, biotecnológicas e de dispositivos médicos

O principal reflexo da adoção dessa norma é justamente garantir mais segurança, rastreabilidade e controle no uso de registros e senhas eletrônicas. Assim, o 21 CFR Part 11 ajuda a evitar falhas, agiliza o processo de produção e protege contra fraudes.

Conheça mais sobre as principais formas com que esse CFR ajuda as empresas do setor.

  • Validação de sistemas: Ao utilizar as diretrizes do CFR 21 Part 11, as empresas contam com as boas práticas que devem seguir para validar seus sistemas de gerenciamento de dados. Assim, podem mais facilmente garantir que os registros eletrônicos sejam gerados/armazenados de forma precisa e confiável.
  • Integridade e segurança dos dados: As organizações conseguem implementar medidas de segurança robustas para proteger a integridade dos dados, como controle de acesso, criptografia e proteção contra alterações não autorizadas.
  • Facilidade ao passar por auditorias: Esse cuidado ajuda a manter um registro de auditoria que documenta todas as alterações feitas nos registros eletrônicos, garantindo a rastreabilidade dos dados. Dessa forma, é muito mais fácil realizar uma auditoria — e seus resultados serão muito mais satisfatórios.
  • Gestão das assinaturas eletrônicas: A norma leva empresas a adotarem práticas adequadas para o uso de assinaturas eletrônicas, garantindo que sejam únicas, vinculadas a um usuário específico e que estejam em conformidade com os requisitos mais estimados do mercado.
  • Treinamento e conscientização: Companhias passam a realizar treinamentos com os funcionários sobre as exigências da CFR 21 Part 11. Assim, todos conhecem boas práticas que ajudam no trabalho cotidiano, como criar, modificar e gerenciar registros eletrônicos de maneira adequada.
  • Registrar e documentar os procedimentos: Com essas diretrizes, há o dever de desenvolver e manter uma documentação abrangente que descreva os procedimentos para a criação e manutenção dos registros eletrônicos. Isso traz mais segurança, transparência e eficiência para a operação.

Ou seja, é através desses cuidados e regulamentações que as empresas garantem que os dados gerados e utilizados em pesquisas e na produção estejam em conformidade. Como consequência, as corporações aumentam a confiança na qualidade e na segurança dos seus produtos, tanto para stakeholders internos quanto externos.

Conclusão

Entender o CFR 21 Part 11 é fundamental para as empresas da área de Ciências da Vida — mesmo ele tratando de um setor bem específico dentro de uma operação.

Isso porque ao seguir as normas dessa legislação, as companhias americanas ou de outros países fortalecem a gestão de registros e senhas eletrônicas. Assim, contam com mais segurança e qualidade em seus produtos, sejam medicamentos ou dispositivos médicos.

Buscando mais eficiência e conformidade em suas operações? Nossos especialistas podem ajudar a identificar as melhores estratégias para sua empresa com as soluções da SoftExpert. Fale com a gente hoje mesmo!

Sobre o autor
Guilherme Not

Guilherme Not

Guilherme Not é jornalista, redator, analista de marketing e produtor de conteúdo com mais de 10 anos de experiência na criação e gestão de estratégias de comunicação digital. Ele combina sua expertise em marketing e comunicação para oferecer insights valiosos sobre o impacto das soluções de software de gestão de conformidade. É apaixonado por tecnologia, inovação e sobre construir conteúdo envolvente e informativo que ajuda empresas a navegarem no dinâmico mundo da conformidade corporativa.

Você também pode gostar:

Logo SoftExpert Suite

A mais completa solução corporativa para a gestão integrada da conformidade, inovação e transformação digital