Calidad

Validación de sistemas
informatizados en laboratorios
de control farmacéuticos
M. Garrote Gallego
CTO de Oqotech S.L.

INTRODUCCIÓN
La validación de sistemas informatizados tiene como En la actualidad, la mayoría de los equipos que se
principal objetivo aportar las evidencias documentales utilizan en laboratorios de control de medicamentos
que aseguren que el sistema informatizado se apoyan en soluciones informatizadas integradas
funciona de acuerdo a su uso previsto, previamente en el propio dispositivo o conectadas a los mismos
determinado y aprobado por la organización. A lo para la obtención de resultados o el procesamiento
largo del presente artículo revisaremos aspectos de los datos generados.
clave a la hora de definir el personal involucrado en Si el sistema informatizado interviene en activida-
el proyecto, enfoque de la validación y actividades a des reguladas por las GxP deben ser validados. Pero,
realizar. ¿debemos poner el foco en el sistema informatizado
o en el proceso que debe gestionar? Es vital huir del
Palabras clave: Cumplimiento GxP, Anexo11 GMP, GAMP5, 21 concepto tradicional de cualificación de equipos y
CFR Part11, GDP, Cualificación sistemas informatizados de forma separada o poco
integrada. Se deben identificar los componentes que
Main objective of computerized systems validation is to van a aportar la operación, seguridad, ingeniería o
provide documented evidence to ensure that system tecnología que en conjunto van a gestionar el pro-
operates according to its intended use previously ceso y verificar que todos ellos, de forma integrada,
established and approved by the organization. In this operan según el uso previsto.
article, we will review key aspects like defining the La metodología que se expone a continuación
personnel involved in the project, validation approach and nace de la experiencia y proyectos desarrollados en
activities to be performed. Oqotech.

Keywords: Compliance GxP, Annex11 GMP, GAMP5, 21 CFR RIESGOS ASOCIADOS A LOS
Part11, GDP, Qualification PROCESOS INFORMATIZADOS
Para elaborar la metodología a desarrollar en el pro-
yecto de validación, inicialmente se debe realizar el

58 PHARMATECH Noviembre - diciembre 2019 • nº 47

 Calidad

Figura 1. Espina de pez que analiza los riesgos asociados a los procesos
ejercicio de identificar los factores informatizados en laboratorios de control farmacéuticos
que pueden afectar a su correcto fun-
cionamiento.
En la Figura 1 se muestra un análi-
sis de riesgos, en forma de espina de
pez, que identifica los factores prin-
cipales a controlar en el proyecto de
validación.

ESTRATEGIA DE LA VALIDACIÓN
DE SISTEMAS INFORMATIZADOS
La validación de sistemas informati-
zados es parte del sistema de calidad
de la organización y permite seguir
las fases de selección, implantación, software de bajo nivel como son los • Sistemas complejos: compues-
uso y retirada de los sistemas infor- lenguajes de programación, sistemas tos por múltiples componentes con-
matizados. Debe quedar reflejada, en operativos o bases de datos. figurables o hechos a medida que
un plan maestro de validación, la es- • Categoría 3, software no con- operan en red.
trategia global a seguir por parte de figurado: hace referencia a sistemas
todos los equipos y sistemas informa- que no requieren configuración para Conforme se incrementa la cate-
tizados de la organización. ejecutar el proceso para los que fue- goría GAMP5 o la complejidad de los
Con el fin de establecer controles ron diseñados. Un ejemplo podría ser sistemas, la extensión de la validación
y aplicar verificaciones a todos los una impresora de etiquetas, balanzas aumenta.
posibles tipos de riesgos del proce- no integradas con ningún software o El proyecto de validación se divide
so informatizado, debe formarse un pH metros. principalmente en cuatro etapas:
equipo de validación que cuente con • Categoría 4, software configu-
especialistas que aporten experiencia rado: hace referencia a sistemas más • Definición de los equipos y siste-
y conocimiento en las diferentes áreas o menos complejos que, a través de mas informatizados presentes en la
de la empresa. Los roles que deben su configuración, pueden adaptarse organización.
quedar representados en el equipo al proceso a ejecutar en la organiza- • Proyecto de validación para los
de validación son: los especialistas de ción. Un ejemplo de categoría puede equipos y sistemas críticos.
los procesos a informatizar, responsa- ser un HPLC o espectrofotómetros. • Mantenimiento del estado de
bles del sistema de calidad, responsa- • Categoría 5, software hecho a control.
bles de los sistemas informatizados y medida: hace referencia a software • Retirada y migración de sistemas.
de la infraestructura informática. hecho a medida para la organización
La estrategia de validación debe ser de forma parcial o total.
aplicable a todos los equipos y siste- DEFINICIÓN COMPLETA DE
mas informatizados presentes en la Aplicado a sistemas informatizados SISTEMA INFORMATIZADO
organización, con la dificultad de que utilizados en laboratorios de control La organización debe disponer en
todos los sistemas informatizados no se podría realizar la siguiente clasifi- todo momento de información ac-
tienen la misma complejidad, natura- cación según su complejidad: tualizada de los equipos y sistemas
leza o madurez dentro de la organiza- informatizados que tiene en uso o en
ción o en el sector. La validación, por • Sistemas simples: sistemas no proceso de archivo (retirados, pero
tanto, debe tener un enfoque basado configurados (categoría 3 GAMP5) con información almacenada que de-
en el riesgo para establecer la estrate- que generan valores basados en su be mantener su integridad de datos
gia y extensión de la validación aplica- firmware. un tiempo determinado). De esta for-
ble a cada sistema informatizado. • Sistemas de complejidad me- ma, se podrá justificar que mantiene
Cabe destacar la siguiente clasifi- dia: compuestos por uno o varios bajo control todos los procesos infor-
cación de sistemas informatizados componentes configurables (cate- matizados.
según GAMP5: goría 4 GAMP5), los cuales generan Para definir el sistema informa-
valores basados en su firmware y su tizado se contemplan dos tipos de
• Categoría 1, software de in- software con una mínima configura- detalle. El primero consistiría en una
fraestructura: hace referencia a ción. descripción completa del equipo,

www.pharmatech.es PHARMATECH 59
Validación de sistemas informatizados en laboratorios de control farmacéuticos

Figura 2. Definición del flujo de información, proceso y gestión del equipo y

centralizada en un inventario de siste- sistema informatizado
mas, y el segundo en la definición de
su mapa de procesos.

Inventario de equipos y
sistemas informatizados
Todos los equipos existentes deben
quedar identificados y detallados en
un inventario global de la organiza-
ción. Deben quedar reflejados los
componentes industriales, hardware
o software, información del sistema,
proveedor de servicios, operación
prevista y personal de la organización
responsable de su instalación, uso,
administración y mantenimiento. Es-
ta información debe estar actualizada
de manera permanente.

Diagrama del equipo y su Plan de validación por Acuerdos con proveedores

sistema informatizado sistema informatizado de servicio
Asimismo, debe quedar plasmado El plan de validación tiene como La organización será responsable de
el uso previsto del equipo y su sis- principal objetivo definir y plasmar todos los servicios subcontratados a
tema informatizado. Para realizar el el procedimiento a seguir por todos un tercero. Por tanto, con el fin de
diagrama se debe tener en cuenta los equipos y sistemas informatiza- asegurar la calidad del servicio por
el equipo y sistema como una caja dos. Debe dejar definido los equipos parte del proveedor, será necesario la
negra, teniendo que determinar qué y sistemas informatizados afectados, firma de acuerdos.
datos de entrada son requeridos pa- los procesos que serán analizados, los La extensión del acuerdo depen-
ra el proceso (pueden ser muestras, pasos a seguir en el proyecto acorde derá de la criticidad de cada sistema
ficheros de otros sistemas informa- con la situación del equipo (diferen- informatizado y estrategia de colabo-
tizados, una señal de un equipo in- ciando si el proceso de validación se ración con el proveedor. Siendo los
dustrial, etc.), la configuración que realiza desde el inicio, adquiriendo puntos recomendados a concretar:
se debe aplicar (pueden ser paráme- el sistema informatizado, o si en el descripción del servicio, roles y res-
tros simples o secuencias que dis- momento de la validación el equipo ponsabilidades, sistemas de calidad,
pongan de condiciones específicas), y sistema ya se encuentra en marcha), auditorías periódicas, documentación
el mantenimiento para asegurar la el personal de la organización partici- soporte, obligación de información y
operación a lo largo del tiempo del pante y sus responsabilidades, objeti- asesoramiento, plazos de ejecución,
equipo y sistema, y los datos de sali- vos y los criterios de aceptación para mantenimiento, propiedad de desa-
da o resultados esperados. dar por liberado los sistemas analiza- rrollos y confidencialidad.
En la Figura 2 se muestra un ejem- dos y cumplido el plan.
plo de diagrama de un HPLC con un Cualificación de la instalación (IQ)
sistema informatizado asociado. El Requerimientos de usuario (URS) El objetivo final de la cualificación de
diagrama se debe acompañar de pro- Este informe define, de forma clara y la instalación es la verificación de las
tocolos o documentación que amplíe precisa, lo que la compañía requiere características, instalación y configu-
la información de los puntos nom- del sistema informatizado, el denomi- ración del entorno final del equipo y
brados en el gráfico, por ejemplo, nado uso previsto. Se espera que los del sistema informatizado.
manuales de uso, administración, in- requerimientos de usuario sean espe- Las principales tareas a realizar en
formes de calibración, etc. cíficos, medibles, realizables, realistas esta etapa de proyecto son la de-
y testeables. finición del sistema (componentes
Deben ir asociados al proceso de industriales, hardware, software, es-
PROYECTO DE VALIDACIÓN negocio a gestionar y pueden ser uti- tructura de comunicación y cablea-
A continuación, se presentan las lizados para el proceso de selección do), la ejecución de un análisis de
principales tareas del proyecto de del equipo y el sistema informatizado riesgos para establecer la criticidad
validación. asociado. de cada componente, verificar la exis-

60 PHARMATECH Noviembre - diciembre 2019 • nº 47

 Calidad

tencia de documentación tal como Todo cambio que se produzca en el sistema

manuales de instalación y configura-
ción, uso y administración del siste-
informatizado debe pasar por un proceso
ma o especificaciones técnicas, y, por de análisis, aprobación, implementación,
último, la verificación, para compo-
nentes críticos, de la infraestructura
documentación y seguimiento
informática e industrial respecto a los
requisitos técnicos.
nico y de seguridad del equipo y sis- por paso del test y las evidencias a
Matriz de trazabilidad (MX) tema informatizado implantado. capturar en el proceso de testeo.
Tomando como referencia los reque- Al ejecutar el test debe quedar do-
rimientos de usuario aprobados, se Control de cambios cumentada la evidencia del resulta-
generará una matriz que permitirá Todo cambio que se produzca en do y, finalmente, adjuntar todos los
vincular toda la documentación aso- el sistema informatizado, tanto de resultados en un informe final de la
ciada al proyecto de validación por componentes industriales, soft- cualificación de la operación.
requisito. ware o hardware, debe pasar por
De esta forma, por cada equipo un proceso de análisis, aprobación, Gestión de usuarios y
podremos asociar el código de re- implementación, documentación y perfiles de seguridad
querimiento de usuario que informa seguimiento. Se debe cumplir con la premisa, en
su uso previsto, sus procedimientos Aspectos críticos a tener en cuen- la medida de lo posible, de que cada
de administración y uso, así como las ta en la valoración del impacto de un usuario del sistema disponga de su
cualificaciones requeridas por su ca- cambio son los siguientes: funciona- propio código de usuario y contrase-
tegoría GAMP5. lidades y documentación afectadas, ña privada para autentificarse en los
verificaciones o formaciones a reali- sistemas informatizados implantados
Procedimientos normalizados zar y la afectación en la integridad de en la empresa.
de trabajo (PNTs) datos históricos. Cabe destacar la figura del admi-
Deben quedar reflejadas, en los pro- nistrador del sistema. El administra-
cedimientos normalizados de trabajo, Cualificación de la operación (OQ) dor debe disponer de una cuenta
las actividades de administración y Establecidas las funcionalidades del diferente a la cuenta de usuario de
uso por parte de los usuarios finales y equipo y sistema informatizado, es uso del sistema, preferiblemente de-
gestores de la información generada necesario evaluar su criticidad en el ben asignarse como administradores
o procesada. proceso desde un enfoque funcio- a personas que no estén involucradas
Los procedimientos deben detallar nal, de seguridad, integridad de da- en el proceso y los cambios que apli-
la configuración requerida, su uso tos y cumplimiento de la normativa quen como administrador deben ser
previsto y el registro que debe quedar aplicable. documentados y aprobados.
del proceso. Tomando como referencia los pro- De igual modo, debe quedar cla-
cedimientos normalizados de trabajo ramente concretado el acceso y tipo
Cualificación del diseño (DQ) se identifican los posibles fallos. A de permisos (visualización o modifica-
Realizado el listado de requerimien- través del análisis de riesgos se esta- ción) por usuario y funcionalidad.
tos de usuario, instalado el equipo y blece la criticidad en caso de que el Se debe implantar un procedimien-
sistema informatizado y documenta- fallo sucediese. Las funcionalidades to que determine la metodología
do el proceso, es necesario verificar críticas seguirán un proceso de cuali- para la solicitud de altas de usuario,
el cumplimiento de los requerimien- ficación de la operación. modificación de sus permisos e in-
tos críticos para el proceso. Se debe Se debe establecer un procedimien- activación del usuario. Debe quedar
aplicar un análisis de riesgos en caso to de testeo estableciendo el personal registro de todas estas acciones, de-
de que se detecte alguna desviación involucrado y las tareas a llevar a ca- terminando el usuario que realiza la
o cambio del entorno informatizado bo. Debe quedar evidente el objetivo acción, el usuario afectado, la fecha y
final respecto a los requisitos ini- del test: verificar el correcto funciona- hora, el cambio realizado y el motivo
ciales. De esta forma se evaluará el miento de una operación determina- de la acción en caso de modificación
impacto del cambio y se determina- da, analizando unos casos concretos, o baja.
rá si se debe aplicar alguna medida en un entorno determinado, con
correctora. unos usuarios y simulando una situa- Plan de formación
El objetivo final de esta etapa es la ción específica. Asimismo, se deter- Establecidas las tareas a ejecutar por
verificación del diseño operativo, téc- minarán los criterios de aceptación los diferentes miembros de la orga-

www.pharmatech.es PHARMATECH 61
Validación de sistemas informatizados en laboratorios de control farmacéuticos

nización, se ponen de manifiesto las necesario determinar los proce- gridad de los datos en todo su ciclo
necesidades formativas de los usua- dimientos que quedarán implan- de vida.
rios en las funcionalidades que tienen tados en la organización. Dichos - La validación se debe realizar por
asociadas. procedimientos deben reflejar las un equipo de validación en el que
Cabe destacar que es necesario re- actividades, responsables y tiempos estén presentes especialistas en el
flejar en un acta la formación imparti- de ejecución. proceso a gestionar, en la normativa
da, los usuarios asistentes, la fecha y Cabe destacar los siguientes pro- a cumplir y en los sistemas informati-
tiempo de duración de la formación, cedimientos de gestión: control de zados a gestionar.
y la documentación utilizada. cambios, gestión de usuarios y segu-
ridades, plan de formación, procedi- BIBLIOGRAFÍA
Seguridad de la información miento de seguridad física y lógica, [1] ISPE, “GAMP5, “A Risk-Based Approach to
Compliant GxP Computerized Systems”. 2008.
La gestión de los datos debe ser con- política de copias de seguridad y res-
[2] ISPE, GAMP Good Practice Guide, “A Risk-
siderada como un proceso en sí mis- tauración de datos y plan de contin- Based Approach to GxP Compliant Laboratory
mo, no como algo subsidiario a cada gencia. Computerized Systems”. 2012.
proceso operativo. Asimismo, en esta etapa del pro- [3] ISPE, GAMP Good Practice Guide, “A Risk-
Debe enfocarse a todo el ciclo de yecto se establece la metodología a Based Approach to Testing of GxP Systems”.
2012.
vida del dato, desde su generación llevar a cabo en el proceso de revisión
pasando por su selección, represen- periódica de la validación. Se estable- [4] ISPE, GAMP Good Practice Guide, “Records
& Data Integrity”. 2017.
tación, almacenaje, recuperación, dis- cen los procedimientos de auditoría
[5] AEMPS, “Guía de Normas de Correcta Fabri-
tribución y uso; independientemente interna de la validación, proveedores cación de la Unión Europea, Medicamentos de
del formato o medio en el que hayan de servicio e integridad de datos que uso humano y uso veterinario. Anexo 11 (siste-
mas informatizados)”. 2011.
sido registrados, procesados, archiva- permitan mantener el estado de con-
dos o retirados. trol a lo largo del tiempo. [6] AEMPS, “Guía de Normas de Correcta Fa-
bricación de la Unión Europea, Medicamentos
Los sistemas informatizados que de uso humano y uso veterinario. Capítulo 1,
gestionan procesos considerados co- (Sistema de Calidad Farmacéutico)”. 2011.
mo críticos deben cumplir la regla RETIRADA [7] AEMPS, “Guía de Normas de Correcta Fabri-
ALCOA+. La retirada de un sistema informati- cación de la Unión Europea, Medicamentos de
uso humano y uso veterinario. Anexo 15 (cuali-
zado se debe realizar de forma pla- ficación y validación)”. 2015.
Cualificación del proceso (PQ) nificada. Debe quedar descrito el
[8] AEMPS, “Guía de Normas de Correcta Fa-
Una vez realizada la OQ, es necesario entorno informático final, los pro- bricación de la Unión Europea, Medicamentos
verificar de forma agrupada la ges- cedimientos de uso, características de uso humano y uso veterinario. Capítulo 4
(documentación)”. 2011.
tión de un proceso para asegurar que técnicas del servidor, plan de copias
el conjunto usuario, equipo, sistema de seguridad y la definición de per- [9] ISO, “UNE-EN ISO 17025:2017, Requisitos
generales para la competencia de los laborato-
y procedimientos permite la correcta misos de seguridad para, a partir de rios de ensayo y de calibración”. 2017.
ejecución y registro del proceso. Ve- la retirada del sistema, asegurar que
[10] AEMPS, “Garantía de calidad y buenas
rificando asimismo la idoneidad de únicamente es posible consultar in- prácticas de laboratorio”. 2001.
procedimientos (de uso, administra- formación en el sistema. [11] AEMPS, “Guía para la preparación de in-
ción y mantenimiento), así como la Deben quedar incluidos los siste- formes de inspección de buenas prácticas de
laboratorio”. 2001.
finalización de las fases anteriores de mas retirados en las auditorías inter-
la validación sin desviaciones críticas. nas periódicas durante su tiempo de [12] FDA, “21 CFR Part 11”. 2003.
archivo y en todos los procedimientos [13] EMA/CHMP/ICH, “ICH guideline Q9 on
Informe de aceptación y liberación de mantenimiento del entorno de quality risk management”. 2015.

Elaboración de un informe final de control. [14] ISO, “ISO 27001, Sistemas de gestión de la
aceptación del sistema determinando seguridad de la información.”. 2014.

el personal involucrado, metodología [15] PIC/S, “Good Practices for Data Manage-
seguida, resultados obtenidos, pro- CONCLUSIONES ment and Integrity in Regulated GMP/GDP Envi-
ronments.”. 2016.
cedimientos de mantenimiento del - Es de vital importancia que el ob-
[16] FDA, “Data Integrity and Compliance with
estado de control y el dictamen final. jetivo de la validación sea asegurar el cGMP. Guidance for Industry”. 2016.
proceso a gestionar de manera infor-
[17] MHRA, “GxP Data Integrity Guidance and
matizada. Y ser conscientes de que Definitions”. 2018.
MANTENIMIENTO DEL este proceso es el conjunto de la ope- [18] ISO, “UNE-EN ISO 9001:2015 Sistemas de
ESTADO DE CONTROL ración de varios componentes indus- gestión de calidad. Requisitos.”. 2015.
Con el fin de mantener el entorno triales, hardware y software. [19] WHO, “Annex 5, Guidance on Good Data
validado de forma permanente, es - Debemos tener en cuenta la inte- and Record Management Practices”. 2016.

62 PHARMATECH Noviembre - diciembre 2019 • nº 47