O que é ALCOA+ e por que ele virou o pilar da integridade de dados na indústria farmacêutica
O acrônimo ALCOA+ é a estrutura conceitual mais utilizada globalmente para avaliar a integridade de dados em ambientes regulados. Originalmente cunhado pela FDA na década de 1990 como ALCOA, o conceito foi expandido por reguladores britânicos (MHRA), pela OMS e pela ANVISA para incorporar quatro dimensões adicionais, formando o ALCOA+: Attributable, Legible, Contemporaneous, Original, Accurate, Complete, Consistent, Enduring e Available.
No Brasil, com a entrada em vigor da RDC 658/2022 e da Instrução Normativa IN 134/2022, a integridade de dados deixou de ser um tema “estrangeiro” para se tornar exigência explícita em inspeções da ANVISA. Empresas que não conseguem demonstrar aplicação efetiva de ALCOA+ em seus sistemas críticos vêm recebendo Termos de Inspeção com observações graves, exigindo planos de ação imediatos e podendo culminar em suspensão de Certificados de Boas Práticas de Fabricação.
Este artigo explica em profundidade o que cada princípio significa, como ele se traduz em requisitos técnicos para sistemas computadorizados e como prepará-los para inspeções da ANVISA alinhadas com PIC/S, FDA e MHRA.
O contexto regulatório brasileiro da integridade de dados
A integridade de dados não é tema novo na ANVISA, mas ganhou novos contornos com a publicação da RDC 658/2022. O regulamento traz exigências explícitas sobre:
- Trilhas de auditoria em sistemas computadorizados GxP;
- Controle de acessos individualizado por usuário;
- Backup e recuperação de dados regulatórios;
- Sincronização de horário (NTP) em sistemas que registram eventos críticos;
- Proteção contra alteração ou exclusão não autorizada de registros;
- Retenção de dados pelo prazo regulatório aplicável.
A IN 134/2022 detalha como esses requisitos se aplicam a sistemas computadorizados. E o Guia nº 33/2020 da ANVISA é a referência operacional principal, alinhada com os guias MHRA Data Integrity (2018), WHO Annex 5 (2021) e PIC/S PI 041 (2021).
Importante: ALCOA+ se aplica tanto a registros eletrônicos quanto a registros em papel. Embora a maior atenção recaia hoje sobre sistemas eletrônicos — porque concentram volumes maiores e oferecem maior superfície para problemas — registros físicos também precisam atender os mesmos princípios.
Os nove princípios do ALCOA+ explicados
Attributable (Atribuível)
Todo dado registrado deve poder ser rastreado a uma pessoa identificada, em um momento específico. Não basta saber que algo foi feito — é preciso saber quem fez e quando.
Na prática, isso significa: sem usuários compartilhados, sem perfis genéricos sendo usados por várias pessoas, sem logins “operador01” sendo passados de mão em mão. Cada usuário precisa de credencial individual, e cada ação relevante precisa ficar registrada na trilha de auditoria com identificação inequívoca de quem a executou.
Em sistemas onde várias pessoas operam o mesmo equipamento em turnos, a identificação eletrônica via login ou crachá no início do uso é a solução padrão. Em planilhas Excel usadas em ambiente GxP, é necessário implementar controle de versão e proteção de células com identificação clara do responsável.
Legible (Legível)
Os registros devem ser legíveis e permanecer legíveis ao longo de todo o seu período de retenção. Em registros eletrônicos, isso significa preservar a capacidade de leitura mesmo após upgrades de sistema, migração de dados ou descontinuação de fornecedores.
Cuidados típicos: evitar formatos proprietários sem opção de exportação em formato aberto; manter capacidade de visualização de dados antigos após upgrades; preservar metadados que dão contexto ao registro (como qual versão do sistema, qual configuração, qual SOP estava vigente naquele momento).
Em ambiente brasileiro, a retenção mínima para registros de lote farmacêutico é a validade do produto mais um ano, podendo chegar a vários anos. Sistemas computadorizados precisam ser capazes de manter legibilidade durante todo esse prazo.
Contemporaneous (Contemporâneo)
O dado deve ser registrado no momento em que a atividade ocorre, não horas ou dias depois. Esse princípio é particularmente crítico em laboratórios de controle de qualidade, em registros de batch e em qualquer atividade em que a sequência temporal afeta interpretação dos resultados.
Tecnicamente, isso exige sincronização de relógios via NTP (Network Time Protocol) entre todos os sistemas relevantes. O servidor central, os equipamentos analíticos, os tablets de chão de fábrica e os sistemas SCADA precisam apresentar carimbos de tempo coerentes. Discrepâncias entre relógios são pontos clássicos de auditoria.
Outra implicação: registros não devem permitir “data-hora retroativa”, ou seja, o operador não deve conseguir registrar uma atividade marcando timestamp diferente do momento real do registro. Quando isso é tecnicamente impossível de evitar (como em retroalimentação de dados emergenciais), o sistema deve registrar ambos os timestamps: o de ocorrência declarada e o de inserção no sistema.
Original (Original)
O dado original — também chamado de “raw data” ou “primary record” — deve ser preservado. Não basta ter um relatório consolidado: os dados brutos a partir dos quais o relatório foi gerado precisam estar disponíveis para verificação.
Em cromatografia, por exemplo, o cromatograma original com integrações originais é o dado primário. Qualquer reintegração ou reanálise precisa ser registrada, justificada e revisável, mantendo o original intocado.
Em sistemas computadorizados, isso significa que nenhum registro original pode ser excluído ou sobrescrito silenciosamente. Toda alteração deve gerar versão histórica, e o histórico deve ser acessível.
Accurate (Acurado)
O dado deve refletir corretamente o que foi observado ou medido. Acurácia envolve calibração de equipamentos, validação de cálculos automatizados, revisão por segunda pessoa onde aplicável e verificação periódica de integridade dos dados armazenados.
Em sistemas computadorizados, acurácia depende fortemente de validação inicial bem feita (URS, IQ, OQ, PQ) e de manutenção do estado validado ao longo do tempo. Atualizações de software, mudanças em fórmulas, alterações em parâmetros — tudo isso precisa ser revalidado para garantir que o sistema continue produzindo dados acurados.
Complete (Completo)
Nenhum dado relevante pode estar faltando. Se um teste foi repetido, todos os resultados devem estar disponíveis, não apenas o que passou. Se uma medição foi interrompida e refeita, o registro original da interrupção deve permanecer com justificativa.
Esse princípio combate uma prática problemática: o “cherry picking” de resultados, em que apenas os dados favoráveis são preservados. Em inspeções, auditores procuram exatamente sinais dessa seletividade — listas de batch records com numeração fora de sequência, arquivos faltantes em diretórios, lacunas em trilhas de auditoria, equipamentos com histórico de uso parcial.
Consistent (Consistente)
Dados devem ser registrados em ordem cronológica coerente, com formato padronizado, unidades consistentes e nomenclatura uniforme. Discrepâncias internas — como um lote aparecendo com datas diferentes em sistemas diferentes — são sinais clássicos de problemas.
A consistência se sustenta com integrações bem desenhadas entre sistemas (ERP, MES, LIMS), com SOPs claros sobre nomenclatura e com auditorias periódicas que cruzam dados entre fontes.
Enduring (Durável)
Os registros devem perdurar por todo o prazo regulatório de retenção, com qualidade preservada. Isso é uma combinação de mídia adequada (não armazenar em pendrives ou em sistemas voláteis), backups verificados, gestão de mídias antigas e estratégia de migração de dados quando sistemas são substituídos.
É comum encontrar empresas que perderam dados de validações antigas porque o sistema original foi descontinuado e a migração não preservou a integridade. Isso é uma falha grave de ALCOA+.
Available (Disponível)
Os dados devem estar disponíveis para revisão durante todo o período de retenção. Não basta ter o backup em fita guardada em um cofre se ninguém sabe operá-la ou se o software necessário para lê-la não existe mais.
Em inspeções da ANVISA, auditores frequentemente pedem registros de anos anteriores. A capacidade de recuperar, demonstrar e exportar esses registros em tempo razoável é parte do princípio “Available”.
Como a ANVISA inspeciona integridade de dados na prática
Em inspeções recentes, a ANVISA tem adotado abordagens diretas para verificar ALCOA+ em sistemas computadorizados. Algumas práticas típicas:
- Trilha de auditoria como ponto de partida: o auditor pede para visualizar a trilha de auditoria do sistema selecionado, filtrando por usuário, por intervalo de tempo e por tipo de ação. Sistemas com trilha desabilitada, vazia ou inacessível geram observação imediata.
- Teste de acessos: simulações de tentativa de alteração de dados por usuário sem permissão, verificação de bloqueio após múltiplas tentativas fracassadas e revisão de matriz de perfis.
- Verificação de sincronização de tempo: comparação dos relógios de equipamentos, servidores e sistemas analíticos. Diferenças significativas indicam que o sistema NTP não está adequado.
- Cruzamento de dados entre sistemas: se o LIMS mostra um resultado, o batch record eletrônico precisa refletir o mesmo. Discrepâncias entre sistemas levam a investigações profundas.
- Análise da gestão de fornecedores: especialmente para sistemas em nuvem, verificação de contrato, SLAs, certificados (ISO 27001, SOC 2), responsabilidade compartilhada e auditoria do provedor.
Os erros mais comuns que comprometem integridade de dados
Em mais de 15 anos atuando com Validação de Sistemas Computadorizados, identificamos repetidamente os mesmos pontos críticos:
- Usuários compartilhando credenciais “para agilizar”;
- Trilha de auditoria habilitada apenas para algumas funções, deixando lacunas em alterações sensíveis;
- Backup configurado mas nunca testado em restauração real;
- Equipamentos analíticos com relógio descoordenado do servidor principal;
- Planilhas críticas (Excel) sem qualquer controle de versão, integridade ou rastreabilidade;
- Cromatógrafos com modo de “reinjeção” ativado sem registro adequado;
- Sistemas que permitem exclusão definitiva de registros sem rastreamento;
- Falta de revisão periódica de trilha de auditoria (em geral, exige-se revisão pelo menos mensal de eventos críticos).
Como estruturar um programa de integridade de dados ALCOA+ na empresa
Empresas maduras tratam integridade de dados como programa transversal, não como projeto pontual. Os pilares de um programa robusto são:
- Política de Integridade de Dados: documento institucional que define princípios, papéis e expectativas.
- Inventário de sistemas e dados regulatórios: mapeamento de quais sistemas geram, processam ou armazenam dados GxP.
- Análise de risco de integridade: identificação de pontos vulneráveis (sistemas legados, planilhas críticas, integrações frágeis) com plano de mitigação.
- Gestão de acessos baseada em perfil: matriz formal de quem pode fazer o quê, revisada periodicamente.
- Programa de revisão de trilhas de auditoria: frequência, responsáveis, métricas e tratamento de exceções.
- Plano de backup e recuperação testado: com simulação periódica de restauração.
- Treinamento contínuo: pessoal de TI, Qualidade, Operações e Laboratório precisa entender ALCOA+ como cultura, não como burocracia.
- Auditoria interna anual focada em integridade: pelo menos uma simulação de inspeção por ano.
Conclusão
ALCOA+ não é mais um conceito acadêmico — é o padrão prático de avaliação da integridade de dados em qualquer empresa regulada pela ANVISA. Empresas que tratam o tema como projeto contínuo, suportado por sistemas validados e por cultura organizacional madura, sustentam Certificados de Boas Práticas com tranquilidade e abrem espaço para reconhecimento internacional via PIC/S.
A One Consultoria Regulatória atua há mais de 15 anos estruturando programas de integridade de dados e validação de sistemas computadorizados alinhados a ALCOA+, GAMP 5, RDC 658/2022 e à IN 134/2022. Se sua empresa precisa de diagnóstico, plano de adequação ou suporte em preparação para inspeção, fale com nossa equipe.