Validar um sistema computadorizado em conformidade com a ANVISA é uma exigência regulatória para empresas farmacêuticas, distribuidoras de medicamentos e prestadores de serviços que operam em ambientes regulados no Brasil. Com a publicação da RDC 658/22, da IN 134/22 e do Guia 33/2020, a ANVISA consolidou um conjunto robusto de diretrizes baseadas no GAMP 5 e nos padrões do PIC/S. Neste artigo, explicamos o processo completo de validação, etapa por etapa, para que sua empresa alcance e mantenha a conformidade com as exigências da agência.
O que é a validação de sistemas computadorizados?
A validação de sistemas computadorizados — também conhecida como CSV (Computerized System Validation) — é o processo documentado que demonstra que um sistema computadorizado faz exatamente o que foi projetado para fazer, de forma consistente e rastreável. Para a ANVISA, um sistema validado é aquele que passou por todas as fases do ciclo de vida da validação, desde o levantamento de requisitos até os testes formais de qualificação, com evidências documentais em cada etapa.
A obrigatoriedade de validar sistemas computadorizados está definida na RDC 658/22 para fabricantes de medicamentos e na RDC 430/20 para distribuidoras e armazenadores. Ambas as resoluções exigem que qualquer sistema que impacte diretamente a qualidade do produto, a rastreabilidade ou a integridade dos dados seja devidamente validado antes de entrar em operação.
Quais sistemas precisam ser validados?
Nem todo software precisa passar pelo processo completo de validação. O primeiro passo é identificar e classificar os sistemas de acordo com seu impacto regulatório. O GAMP 5 organiza os sistemas em cinco categorias:
- Categoria 1: Infraestrutura e sistemas operacionais (não validados formalmente)
- Categoria 3: Software não configurável, como softwares de prateleira sem personalização
- Categoria 4: Software configurável, como ERPs, WMS e sistemas de monitoramento ambiental
- Categoria 5: Software desenvolvido sob medida para a empresa
Na prática, os sistemas mais frequentemente validados em ambientes regulados no Brasil são: ERP (SAP, TOTVS, Oracle), WMS (sistemas de gerenciamento de armazém), EMS (sistemas de monitoramento ambiental), sistemas de LIMS, planilhas eletrônicas em GxP e sistemas de gestão documental.
As etapas do processo de validação conforme a ANVISA
1. Levantamento e classificação dos sistemas
O processo começa com um inventário completo de todos os sistemas computadorizados utilizados em processos regulados. Cada sistema é classificado conforme o GAMP 5 e avaliado quanto ao seu impacto na qualidade e na segurança do produto. Sistemas sem impacto regulatório direto não precisam de validação formal, mas devem ser documentados no inventário.
2. Análise de Risco
A análise de risco é uma etapa central da validação conforme o GAMP 5 e a RDC 658/22. Ela determina quais funções e módulos do sistema têm impacto na qualidade, na rastreabilidade ou na integridade dos dados — e portanto precisam ser testados com maior rigor. A análise de risco deve ser documentada em um Formulário de Avaliação de Risco (FAR), revisado e aprovado pelos responsáveis pela qualidade.
3. Especificação de Requisitos do Usuário (ERU)
A ERU documenta o que o sistema precisa fazer para atender aos requisitos regulatórios e operacionais da empresa. É o documento de referência de todo o processo de validação: tudo que será testado nas etapas seguintes deve ser rastreável até um requisito da ERU. A ANVISA exige que a ERU seja aprovada formalmente antes do início das qualificações.
4. Qualificação de Instalação (QI)
A QI verifica que o sistema foi instalado corretamente, no ambiente adequado, com as versões de software e hardware especificadas. Os registros da QI incluem: configurações de servidor, versão do sistema operacional, parâmetros de rede, configurações de segurança e inventário de componentes. O objetivo é confirmar que o ambiente está pronto para os testes de operação.
5. Qualificação de Operação (QO)
A QO testa se o sistema opera conforme as especificações documentadas na ERU. São executados roteiros de teste que cobrem as funções críticas do sistema: controle de acesso, trilha de auditoria, integridade de dados (princípios ALCOA+), backups, recuperação de falhas e fluxos de trabalho regulados. Cada teste deve ter critério de aceitação definido previamente.
6. Qualificação de Desempenho (QD)
A QD confirma que o sistema opera de forma consistente sob as condições reais de uso, com dados reais e volumes representativos. É a etapa que demonstra que o sistema está pronto para ser usado em produção. Em muitos casos, a QD é executada em paralelo ao período de implantação do sistema, com supervisão da equipe de qualidade.
7. Relatório de Validação e Aprovação
Ao final do processo, um Relatório de Validação consolida os resultados de todas as etapas, registra eventuais desvios e descreve as ações corretivas adotadas. O relatório deve ser aprovado pela diretoria de qualidade e arquivado pelo tempo mínimo exigido pela ANVISA — em geral, durante toda a vida útil do sistema mais um período adicional definido internamente.
Manutenção do estado validado
A validação não termina com a aprovação do sistema. A ANVISA exige que o estado validado seja mantido ao longo de todo o ciclo de vida do sistema. Isso significa:
- Controle de mudanças: toda alteração no sistema — atualização de versão, mudança de configuração, novo módulo — deve passar por avaliação de impacto e, se necessário, revalidação parcial ou total
- Revisão periódica: o sistema deve ser revisado regularmente para confirmar que ainda está em estado validado e que os dados mantêm integridade
- Gerenciamento de incidentes: falhas, erros e desvios devem ser registrados, investigados e tratados com CAPA documentado
Integridade de dados: o ponto mais crítico para a ANVISA
Nas inspeções da ANVISA, a integridade de dados é o item mais autuado em sistemas computadorizados. Os princípios ALCOA+ — Atribuível, Legível, Contemporâneo, Original, Acurado, mais Completo, Consistente, Duradouro e Disponível — devem ser demonstrados em cada função crítica do sistema. Sistemas sem trilha de auditoria ativa, com possibilidade de edição retroativa de registros ou sem controle de acesso adequado são pontos de reprovação imediata.
Quanto tempo leva um processo de validação?
O prazo varia de acordo com a complexidade do sistema e o escopo da validação. Para sistemas de Categoria 4 como um WMS ou ERP em ambiente farmacêutico, um processo completo de validação leva tipicamente de 3 a 6 meses, considerando a elaboração da documentação, execução dos testes e aprovações internas. Sistemas mais simples, como planilhas GxP, podem ser validados em 4 a 8 semanas.
Como a One Consultoria Regulatória pode ajudar
A One Consultoria Regulatória oferece suporte completo em todas as etapas do processo de validação de sistemas computadorizados, desde o levantamento inicial e análise de risco até a elaboração de documentos (ERU, FAR, protocolos de QI/QO/QD) e execução dos testes. Nossa equipe tem mais de 15 anos de experiência em ambientes regulados pela ANVISA e atua em todo o Brasil.
Se a sua empresa está iniciando um processo de validação ou precisa adequar sistemas já em uso à RDC 658/22 ou RDC 430/20, entre em contato e solicite uma avaliação gratuita. Identificamos as lacunas regulatórias e traçamos um plano de ação objetivo para colocar sua empresa em conformidade.