21 CFR PART 11 · FDA · REGISTROS ELECTRÓNICOS

21 CFR Part 11: Registros Electrónicos y Firmas para la FDA

El reglamento FDA que regula los sistemas informatizados en farmacéutica, dispositivos médicos y biotech que exportan a EE.UU. IgeraIndustria responde sobre audit trail, CSV, firmas electrónicas y controles de acceso con cita del requisito exacto.

11.10(e)

Sección de 21 CFR Part 11 que regula el audit trail automático. Es el requisito que la FDA inspecciona con mayor frecuencia.

CSV

Computer System Validation: obligatoria para todos los sistemas que gestionan registros electrónicos regulados por FDA.

Annex 11

Equivalente europeo de 21 CFR Part 11 en el contexto de EU GMP. Ambas normativas deben cumplirse si se exporta a UE y EE.UU.

Preguntas frecuentes — 21 CFR Part 11

¿A qué empresas aplica el 21 CFR Part 11?

21 CFR Part 11 aplica a todas las empresas reguladas por la FDA que utilizan sistemas electrónicos para crear, modificar, mantener, archivar, recuperar o transmitir registros electrónicos que la FDA requiere mantener (según otras partes del CFR). Esto incluye: fabricantes farmacéuticos (21 CFR Parts 210/211 GMP), fabricantes de dispositivos médicos (21 CFR Part 820 QSR), laboratorios clínicos, investigadores de ensayos clínicos (21 CFR Parts 312/812), y empresas de alimentos (21 CFR Part 110). Si una empresa española exporta productos regulados a EE.UU. y utiliza sistemas informatizados para sus registros GxP, 21 CFR Part 11 es aplicable.

¿Qué es el audit trail y qué debe registrar?

El audit trail (pista de auditoría) es el registro cronológico de todas las acciones realizadas sobre un registro electrónico. Según 21 CFR Part 11.10(e), el audit trail debe registrar: fecha y hora de la acción (timestamp seguro e inalterable), identificación del operador que realizó la acción, descripción del cambio realizado (valor anterior y nuevo), y razón del cambio si aplica. El audit trail debe ser generado automáticamente por el sistema (no puede ser introducido manualmente), protegido de modificaciones y borrados, y estar disponible para revisión en texto legible. Es el requisito que más inspecciona la FDA durante las inspecciones 483 de sistemas informatizados.

¿Qué es la validación CSV (Computer System Validation) y cuándo es obligatoria?

CSV (Computer System Validation) es el proceso documentado de verificar que un sistema informatizado hace exactamente lo que se supone que debe hacer, de forma consistente y reproducible. Es obligatoria para todos los sistemas que crean o gestionan registros electrónicos regulados por FDA (LIMS, ERP, MES, SCADA, sistemas de HPLC, etc.). El proceso de validación incluye: especificación de requerimientos de usuario (URS), especificación funcional (FS), diseño técnico, IQ/OQ/PQ del sistema, y mantenimiento del estado validado ante cambios. La FDA puede rechazar datos generados por sistemas no validados durante una inspección o revisión de dossier.

¿Qué diferencia hay entre firma electrónica y firma digital en 21 CFR Part 11?

21 CFR Part 11 define firma electrónica como cualquier combinación de letras, caracteres o símbolos ejecutada o adoptada por una persona como equivalente legal a su firma manuscrita. Esto incluye tanto firmas electrónicas simples (combinación usuario/contraseña con checkbox de confirmación) como firmas digitales (basadas en criptografía de clave pública). La norma no exige que todas las firmas sean criptográficas: acepta la combinación de ID de usuario único y contraseña como firma electrónica válida, siempre que se cumplan todos los controles de la sección 11.100 (unicidad, verificación de identidad, no repudio) y que el sistema registre en audit trail cada uso de la firma con timestamp y razón de la firma.

Consulta 21 CFR Part 11 con IA regulatoria. Empieza hoy.

Empezar prueba gratuita