GAMP 5: Guia Completo para Validação na Indústria Farmacêutica

O que é o GAMP 5 e por que ele é o padrão global para validação de sistemas computadorizados

O GAMP 5 (Good Automated Manufacturing Practice 5) é o guia de referência mundial para validação de sistemas computadorizados em ambientes regulados, publicado pela International Society for Pharmaceutical Engineering (ISPE). A primeira edição foi lançada em 2008 e a segunda edição saiu em julho de 2022, modernizando completamente a abordagem para refletir computação em nuvem, software como serviço (SaaS), DevOps, inteligência artificial, machine learning e o uso intensivo de fornecedores externos.

Diferentemente de uma norma regulatória, o GAMP 5 é um guia de boas práticas. Ele não é juridicamente obrigatório, mas é citado, esperado e auditado por reguladores como ANVISA, FDA, EMA, MHRA e WHO. Na prática, é impossível defender uma estratégia de validação de sistemas computadorizados em uma inspeção sanitária sem referenciar — direta ou indiretamente — os princípios do GAMP 5.

Para a indústria farmacêutica brasileira, o GAMP 5 ganhou peso ainda maior com a publicação da RDC 658/2022 da ANVISA, da Instrução Normativa IN 134/2022 (que trata especificamente de sistemas computadorizados na fabricação) e do Guia nº 33/2020 da ANVISA. Esses três documentos brasileiros foram redigidos em alinhamento explícito com a filosofia GAMP 5: abordagem baseada em risco, ciclo de vida completo, pensamento crítico e proporcionalidade do esforço de validação.

A filosofia central: validação baseada em risco

O GAMP 5 rompeu com a era das validações “de checklist”, em que se aplicava o mesmo protocolo monstruoso para uma planilha de Excel e para um sistema MES de produção. A premissa que sustenta o guia é simples: o esforço de validação deve ser proporcional ao risco que o sistema representa para o produto, para o paciente e para a integridade dos dados.

Isso significa que sistemas críticos — que controlam parâmetros de fabricação, liberação de lotes ou armazenam registros eletrônicos regulamentados — exigem ciclo de validação robusto, com URS, FS, DS, IQ, OQ, PQ, análise de risco formal, matriz de rastreabilidade e plano de manutenção contínua. Já sistemas auxiliares de baixa criticidade podem ter abordagens mais leves, contanto que a decisão seja documentada e justificada por análise de risco.

A segunda edição de 2022 reforçou esse princípio com a expressão critical thinking (“pensamento crítico”): a expectativa é que os especialistas (SMEs) tomem decisões fundamentadas em conhecimento técnico e ciência do risco, em vez de seguir cegamente protocolos genéricos.

As cinco categorias de software do GAMP 5

Uma das contribuições mais práticas do GAMP 5 é a classificação dos softwares em categorias, que orienta o nível de esforço de validação adequado para cada tipo. Originalmente eram cinco categorias; com o lançamento da versão 5, a Categoria 2 (firmware) foi retirada por não trazer valor prático adicional. Hoje temos quatro categorias ativas:

Categoria 1 — Software de Infraestrutura

Inclui sistemas operacionais (Windows Server, Linux), bancos de dados padronizados (Oracle, SQL Server, PostgreSQL), middleware, antivírus e ferramentas de virtualização. Esses componentes não exigem validação no sentido tradicional, mas precisam de qualificação documentada da infraestrutura, gestão de versões e controle de patches.

Categoria 3 — Produtos Não Configuráveis

Softwares prontos para uso, “de prateleira”, utilizados sem alteração de parâmetros ou customização. Exemplos: instrumentos com firmware fechado, calculadoras científicas, software de balança analítica em modo padrão. O esforço é baseado em testes de uso pretendido (intended use) e qualificação operacional.

Categoria 4 — Produtos Configuráveis

É a maior parte dos sistemas que encontramos em indústrias farmacêuticas e logísticas reguladas: ERP (SAP, TOTVS Protheus, Oracle EBS), WMS, MES, LIMS, sistemas SCADA, plataformas de Document Management. São produtos comerciais cuja base de código não é alterada, mas que são extensivamente configurados (regras de negócio, perfis de usuário, workflows, integrações). A validação exige URS detalhada, especificação de configuração, análise de risco funcional, testes de IQ/OQ/PQ e plano de manutenção do estado validado.

Categoria 5 — Aplicações Customizadas

Softwares desenvolvidos sob medida, total ou parcialmente, para atender uma necessidade específica da empresa. Pode ser um sistema interno desenvolvido pela equipe de TI, uma aplicação contratada de fornecedor exclusivo ou módulos customizados sobre uma plataforma. Esses sistemas exigem o nível máximo de rigor: ciclo completo de desenvolvimento com requisitos formais, design specification, code review, testes unitários, testes de integração, gestão de mudanças rígida e documentação de fonte de código.

Importante: o GAMP 5 (2ª edição) tratou as categorias como um continuum, e não como caixas estanques. Um sistema pode ter módulos em diferentes categorias, e a análise de risco deve ser feita por funcionalidade, não apenas pelo “rótulo” do sistema.

O ciclo de vida e o V-model

O GAMP 5 estrutura a validação ao redor do conceito de ciclo de vida completo do sistema computadorizado, do conceito até a aposentadoria (decomissionamento). O modelo gráfico mais usado é o V-model, que mostra a correspondência entre as fases de definição/projeto (lado esquerdo) e as fases de verificação/teste (lado direito).

Na prática, no Brasil aplicamos este ciclo em entregáveis padronizados:

• URS (User Requirements Specification): especificação dos requisitos do usuário, traduzindo as necessidades de negócio em requisitos verificáveis. No Brasil é chamada também de ERU.
• FAR (Formulário de Análise de Risco): análise formal de riscos por funcionalidade, classificando severidade, probabilidade e detectabilidade.
• FS / DS (Functional / Design Specification): descrição funcional e de projeto, frequentemente fornecida pelo fornecedor do software para Categoria 4.
• IQ (Qualificação de Instalação): verifica se a instalação ocorreu conforme as especificações de infraestrutura.
• OQ (Qualificação Operacional): testa as funcionalidades em condições controladas, contra os requisitos especificados na URS.
• PQ (Qualificação de Desempenho): comprova que o sistema funciona consistentemente em ambiente real de uso, com dados reais ou simulados próximos da operação.
• Matriz de rastreabilidade: liga cada requisito da URS ao teste correspondente, garantindo que tudo o que foi especificado tenha sido verificado.

No Brasil, esse pacote é frequentemente consolidado no protocolo QIOD (Qualificação de Instalação, Operação e Desempenho), formato amplamente utilizado em validações para clientes ANVISA-regulados.

A segunda edição de 2022 fez questão de enfatizar que o V-model é uma ilustração conceitual, não um ciclo de desenvolvimento obrigatório. Métodos iterativos, ágeis e incrementais são totalmente compatíveis com GAMP 5, desde que mantenham a rastreabilidade entre requisitos, design, testes e operação.

Como o GAMP 5 se conecta com 21 CFR Part 11, Annex 11 e ANVISA

O GAMP 5 não substitui os requisitos regulatórios — ele operacionaliza eles. Os três pilares regulatórios principais para sistemas computadorizados são:

• 21 CFR Part 11 (FDA, 1997): rege registros e assinaturas eletrônicas nos Estados Unidos. Exige integridade de dados, controle de acessos, trilha de auditoria, validação de sistemas e gestão de assinaturas eletrônicas.
• EU GMP Annex 11 (2011, revisão em andamento): requisitos europeus para sistemas computadorizados em ambientes GMP. Estrutura semelhante ao Part 11, com ênfase em ciclo de vida, gestão de risco e fornecedores.
• ANVISA RDC 658/2022 + IN 134/2022 + Guia 33/2020: o “trio brasileiro” que cobre, respectivamente, BPF geral, BPF complementar a sistemas computadorizados e o guia operacional de validação. Esse conjunto é fortemente alinhado com o GAMP 5.

O GAMP 5 é o instrumento técnico que ajuda empresas a atender os O QUE regulatórios através de um COMO estruturado: como classificar o sistema, como dimensionar o esforço, como documentar, como gerir mudanças, como manter o estado validado ao longo do tempo.

Integridade de dados e ALCOA+

A segunda edição reforçou a integração com os princípios de integridade de dados, condensados no acrônimo ALCOA+: Attributable (atribuível), Legible (legível), Contemporaneous (contemporâneo), Original (original), Accurate (acurado), Complete (completo), Consistent (consistente), Enduring (durável) e Available (disponível).

Na prática, isso se traduz em requisitos concretos nos sistemas: trilha de auditoria inviolável, controle de fuso horário, registros sincronizados via NTP, prevenção de exclusão ou alteração de dados sem registro, identificação inequívoca do usuário em cada ação e backup verificável. Toda decisão sobre integridade de dados durante uma inspeção da ANVISA acaba passando por esse acrônimo.

O que mudou na 2ª edição do GAMP 5 (2022)

A revisão de julho de 2022 trouxe atualizações relevantes que valem destacar:

• Computação em nuvem (SaaS, IaaS, PaaS): orientações claras para validar sistemas hospedados em provedores como AWS, Azure e Google Cloud, com o conceito de responsabilidade compartilhada e uso intensivo de documentação do fornecedor.
• Desenvolvimento ágil: o Apêndice D8 reconheceu formalmente que métodos ágeis são compatíveis com GxP, desde que mantida a rastreabilidade.
• Software tools e automação: o Apêndice D9 trata de ferramentas de teste automatizado, CI/CD e DevOps no contexto regulado.
• Inteligência artificial e machine learning: o Apêndice D11 introduziu pela primeira vez orientações para sistemas baseados em IA/ML, complementado em julho de 2025 com a publicação do ISPE GAMP Guide: Artificial Intelligence, um documento autônomo de 290 páginas.
• Open Source Software: orientações sobre como qualificar bibliotecas e ferramentas de código aberto em ambientes regulados.
• Cibersegurança: tratada não como tópico isolado, mas como dimensão transversal de todo o ciclo de vida.
• CSA (Computer Software Assurance): alinhamento com a abordagem da FDA publicada em setembro de 2022, que reforça pensamento crítico e validação baseada em risco em vez de geração massiva de documentação.

Erros comuns na implementação do GAMP 5 no Brasil

Em mais de quinze anos atuando com Validação de Sistemas Computadorizados em empresas reguladas pela ANVISA, vemos repetidamente algumas falhas que fragilizam programas de validação:

• Tratar GAMP 5 como checklist: aplicar o V-model completo para todo sistema, independentemente de risco, gerando documentação inútil que ninguém lê e que envelhece sem manutenção.
• URS pobre ou ausente: começar testes sem ter requisitos claros, o que torna impossível demonstrar rastreabilidade ou justificar escopo dos testes.
• Análise de risco apenas formal: preencher FAR como obrigação burocrática, sem que ela realmente oriente o desenho dos testes e das mitigações.
• Ignorar o ciclo pós go-live: validar inicialmente, mas não estabelecer plano de revisão periódica, gestão de mudanças, controle de patches e revalidação após atualizações.
• Confiar cegamente em documentação do fornecedor: usar protocolos prontos do vendor sem adaptar à realidade da operação local e sem testar nas configurações específicas adotadas.
• Confundir validação com qualificação de infraestrutura: documentar IQ/OQ apenas do servidor, sem cobrir as funcionalidades do software propriamente.

Como aplicar o GAMP 5 na prática em empresas farmacêuticas e logísticas

Um programa de validação de sistemas computadorizados maduro, alinhado ao GAMP 5 e à RDC 658/2022, geralmente combina os seguintes elementos:

1. Inventário de sistemas computadorizados com classificação por categoria GAMP, criticidade GxP e impacto sobre integridade de dados.
2. Validation Master Plan (VMP) que define a estratégia geral, responsabilidades, padrões documentais e cronograma de revisões.
3. Procedimentos operacionais padrão (SOPs) para todo o ciclo: planejamento da validação, gestão de mudanças, gestão de acessos, backup e restore, gestão de incidentes e revisão periódica.
4. Protocolos QIOD individuais por sistema, baseados em URS, FAR e matriz de rastreabilidade.
5. Plano de manutenção do estado validado: revalidações periódicas, revisão anual, controle de patches e gerenciamento da curva de vida do sistema.
6. Programa de auditoria de fornecedores, especialmente para Categorias 4 e 5, garantindo que parceiros de desenvolvimento e hosting atendam requisitos GxP.

Conclusão

O GAMP 5, especialmente em sua segunda edição de 2022, deixou de ser apenas um “guia de validação” e tornou-se a espinha dorsal de uma cultura de qualidade computadorizada em ambientes regulados. Para empresas brasileiras alinhadas à RDC 658/2022, à IN 134/2022 e ao Guia 33 da ANVISA, dominar GAMP 5 não é diferencial — é pré-requisito mínimo para sustentar conformidade regulatória sem desperdiçar recursos.

A One Consultoria Regulatória aplica essa metodologia há mais de quinze anos em projetos de Validação de Sistemas Computadorizados para indústrias farmacêuticas, fabricantes de dispositivos médicos e operadores logísticos regulados. Se sua empresa precisa estruturar ou reforçar um programa CSV alinhado ao GAMP 5 e ao arcabouço ANVISA, fale com nossa equipe e receba uma avaliação personalizada do seu cenário atual.