21 CFR Part 11: Registros e Assinaturas Eletrônicas no Setor Farmacêutico

Por /

O que é o 21 CFR Part 11 e por que ele importa para empresas brasileiras

O 21 CFR Part 11 é o regulamento da FDA (Food and Drug Administration) que estabelece os critérios para que registros e assinaturas eletrônicas tenham equivalência legal aos registros e assinaturas em papel em ambientes regulados — fabricação de medicamentos, dispositivos médicos, alimentos e outras indústrias controladas pelas autoridades sanitárias americanas. Publicado originalmente em 1997 e mantido em vigor com diretrizes complementares emitidas pela FDA ao longo dos anos, esse regulamento continua sendo a referência global mais influente para sistemas computadorizados regulados.

“Mas se eu sou uma empresa brasileira que vende apenas no mercado interno, por que devo me preocupar com o Part 11?” — essa é uma das perguntas mais comuns. A resposta é dupla. Primeiro, a estrutura conceitual do Part 11 inspirou diretamente os regulamentos brasileiros: a RDC 658/2022 da ANVISA, a IN 134/2022 e o Guia 33/2020 trazem requisitos muito alinhados com Part 11. Segundo, qualquer empresa brasileira que exporta, que recebe inspeção de PIC/S ou que aspira certificar-se para mercados internacionais precisa atender Part 11 em paralelo com a regulação brasileira.

Este artigo explica o que o Part 11 exige, como interpretá-lo em sistemas computadorizados típicos do setor farmacêutico e logístico, e como integrar essa conformidade ao arcabouço ANVISA já existente.

Estrutura do regulamento: Subpart A, B e C

O 21 CFR Part 11 está dividido em três subpartes que organizam os requisitos:

  • Subpart A — Disposições gerais, definições e escopo de aplicação. Define o que é “registro eletrônico” e “assinatura eletrônica” no contexto regulatório.
  • Subpart B — Registros eletrônicos. Define os controles necessários para que registros eletrônicos sejam considerados confiáveis: validação de sistemas, geração de cópias precisas, proteção dos registros, controle de acessos, trilhas de auditoria, controles operacionais, controle de autoridade e gestão de fontes de dados.
  • Subpart C — Assinaturas eletrônicas. Define os controles para que assinaturas eletrônicas sejam consideradas equivalentes às manuscritas: identificação única, biometria quando aplicável, controles para evitar repúdio.

Esse arcabouço se aplica a qualquer sistema computadorizado que crie, modifique, mantenha, arquive, recupere ou transmita registros eletrônicos exigidos pela regulação da FDA. Em empresas farmacêuticas, isso inclui basicamente todos os sistemas GxP: ERP, MES, LIMS, WMS, batch record eletrônico, sistemas analíticos, sistemas de monitoramento ambiental e por aí vai.

Requisitos do Subpart B em detalhe

Validação de sistemas (§11.10(a))

Os sistemas devem ser validados para garantir acurácia, confiabilidade, desempenho consistente e capacidade de discernir registros inválidos ou alterados. Esse é o requisito-chave que conecta Part 11 ao GAMP 5: validação baseada em risco, ciclo de vida completo, fit for intended use.

Cópias precisas (§11.10(b))

O sistema deve gerar cópias precisas e completas dos registros eletrônicos, tanto em formato eletrônico como em papel, para inspeção, revisão e cópia pela FDA. Em inspeções, é comum o auditor pedir uma exportação de registros específicos e verificar se todos os campos relevantes estão presentes.

Proteção dos registros (§11.10(c))

Registros devem ser protegidos para permitir recuperação rápida e precisa ao longo de todo o período de retenção. Isso inclui backups verificados, planos de recuperação de desastres e capacidade de leitura mesmo após upgrades ou migrações.

Limitação de acesso (§11.10(d))

O acesso ao sistema deve ser limitado a indivíduos autorizados. Significa controle de acesso baseado em perfis, com autenticação adequada e revisão periódica de permissões. Acessos compartilhados, perfis genéricos e contas órfãs são problemas clássicos.

Trilha de auditoria segura (§11.10(e))

Sistemas devem manter trilha de auditoria gerada pelo computador, com carimbo de tempo seguro, registrando criações, modificações e exclusões de registros eletrônicos. Esses registros não podem obscurecer informações previamente gravadas, devem ser retidos pelo período de retenção do registro original e estar disponíveis para revisão.

Controles operacionais (§11.10(f) a (k))

Conjunto de controles complementares: verificação de autoridade antes de modificações, controle de fonte de entrada de dados, treinamento de pessoal, controles de documentação dos sistemas, gestão de mudanças e procedimentos para abrir, modificar, executar e fechar registros.

Requisitos do Subpart C: assinaturas eletrônicas

Assinaturas eletrônicas são uma das áreas mais sensíveis em inspeções. Os requisitos centrais são:

  • Identificação única por usuário: cada assinatura deve estar inequivocamente vinculada a um indivíduo.
  • Não-repúdio: o usuário não deve poder negar a autoria da assinatura. Tecnicamente, isso se sustenta com autenticação forte (idealmente dois fatores), controle de credenciais e SOPs claras.
  • Componentes da assinatura: para sistemas baseados em ID/senha (a maioria), a assinatura é a combinação de um identificador único e uma senha pessoal. Pelo menos um dos componentes deve ser usado em cada assinatura subsequente após a autenticação inicial.
  • Vinculação assinatura/registro: cada assinatura eletrônica deve estar tecnicamente vinculada ao registro assinado, de forma que não possa ser separada, copiada ou transferida.
  • Componentes biométricos: quando usados, devem ser projetados para garantir que não sejam usados por outra pessoa.

É comum vermos empresas confundirem “clicar em um botão de aprovação” com assinatura eletrônica Part 11. Não é. Uma aprovação que apenas registra “fulano clicou aqui” sem autenticação adicional não atende os requisitos do Part 11. Idealmente, sistemas devem exigir reautenticação (re-entrada de senha) para cada assinatura crítica, especialmente em decisões de liberação de lote.

Sistemas abertos vs sistemas fechados

O Part 11 distingue dois tipos de sistemas:

  • Sistemas fechados: ambientes em que o acesso é controlado por pessoas responsáveis pelo conteúdo dos registros. A maioria dos sistemas internos das empresas é fechada.
  • Sistemas abertos: ambientes em que o acesso não é controlado por essas pessoas (por exemplo, sistemas que transmitem dados pela internet aberta para terceiros). Sistemas abertos exigem controles adicionais como criptografia e assinaturas digitais.

Com a popularização de sistemas em nuvem e integrações via API, essa distinção exige análise cuidadosa. Sistemas hospedados em SaaS, embora acessados via internet, podem ser considerados fechados se houver autenticação robusta, criptografia em trânsito e em repouso, e governança clara entre o cliente e o provedor.

A Guidance de 2003 e o conceito de “intent to apply”

Em 2003, a FDA publicou a “Guidance for Industry: Part 11 — Scope and Application”, que esclareceu a intenção do regulamento e introduziu o conceito de aplicação baseada em risco. Esse documento foi crucial porque a primeira interpretação do Part 11 (1997-2003) gerou uma onda de implementações exageradas, com empresas tentando aplicar todos os requisitos a todos os sistemas, independentemente de criticidade.

A Guidance esclareceu que o Part 11 deve ser aplicado com bom senso e proporcionalidade, focando em registros que são requeridos por outras regulamentações da FDA e que estão sendo mantidos em formato eletrônico. Sistemas que mantêm cópias eletrônicas de registros principais em papel não exigem o mesmo rigor.

Em 2023, a FDA publicou uma nova guidance reforçando a abordagem baseada em risco e o conceito de Computer Software Assurance (CSA), que enfatiza pensamento crítico em vez de geração massiva de documentação. CSA não substitui Part 11 — ela orienta como atendê-lo de forma proporcional.

Como Part 11 se conecta com ANVISA RDC 658/2022 e IN 134/2022

Os regulamentos brasileiros não são cópia do Part 11, mas absorvem seus princípios fundamentais:

  • Validação de sistemas computadorizados: igual em ambos.
  • Trilha de auditoria: igual em ambos.
  • Integridade de dados: a ANVISA usa o framework ALCOA+, que é equivalente prático ao que Part 11 exige via Subpart B.
  • Assinaturas eletrônicas: o Brasil tem ICP-Brasil como referência adicional para assinaturas digitais, mas em sistemas internos GxP, os requisitos práticos são os mesmos do Subpart C.
  • Controle de acessos e segregação: igual em ambos.

Empresas brasileiras que estruturam validação alinhada à RDC 658/2022 e à IN 134/2022 atendem na prática a maior parte do Part 11 simultaneamente. As lacunas costumam estar em:

  • Documentação formal de “intent to apply Part 11” (mais relevante para empresas que vendem aos EUA);
  • Detalhamento de procedimentos para “open systems” em integrações;
  • Política específica sobre assinaturas eletrônicas e seu uso (que precisa ser comunicada à FDA antes do primeiro uso).

Erros comuns em conformidade Part 11

Em projetos de remediação, identificamos repetidamente:

  • Trilha de auditoria habilitada apenas parcialmente, deixando ações sensíveis fora do log;
  • Senhas compartilhadas ou perfis genéricos em uso em operações críticas;
  • Sistema permite exclusão definitiva de registros sem rastreamento;
  • Validação inicial bem feita, mas sem gestão do estado validado após patches e upgrades;
  • Assinaturas eletrônicas implementadas como “clique no botão”, sem reautenticação;
  • Backup configurado, mas nunca testado em restauração real;
  • SOPs de gestão de acessos desatualizadas em relação à configuração técnica do sistema;
  • Falta de política formal sobre uso de assinaturas eletrônicas comunicada aos órgãos competentes.

Plano prático para atender Part 11 em empresas brasileiras

Um programa Part 11 maduro normalmente inclui:

  1. Política de uso de assinaturas eletrônicas: documento institucional aprovado pela alta gestão, definindo quando assinaturas eletrônicas podem substituir manuscritas.
  2. Inventário de sistemas com avaliação Part 11: para cada sistema GxP, registrar se ele gera, modifica, mantém ou transmite registros sujeitos a Part 11.
  3. Especificação técnica Part 11 por sistema: que controles técnicos atendem cada requisito do Subpart B e C.
  4. Validação alinhada (GAMP 5 + Part 11 + RDC 658): protocolos QIOD que cobrem simultaneamente os três arcabouços.
  5. SOPs operacionais: gestão de usuários, revisão de trilhas de auditoria, gestão de mudanças, backup, recuperação de desastres.
  6. Treinamento documentado: pessoal que usa assinaturas eletrônicas deve ter formação registrada sobre as responsabilidades inerentes.
  7. Auditoria periódica: pelo menos anual, com revisão da aderência prática aos requisitos Part 11.

Conclusão

O 21 CFR Part 11 continua sendo a referência global para registros e assinaturas eletrônicas em ambientes regulados. Para empresas brasileiras, a boa notícia é que a estrutura da RDC 658/2022 e da IN 134/2022 já incorpora os princípios fundamentais do Part 11, o que significa que um programa bem estruturado atende ambos os arcabouços simultaneamente, com pequenos ajustes específicos para Part 11.

A One Consultoria Regulatória apoia empresas farmacêuticas e fabricantes de dispositivos médicos na conformidade integrada com 21 CFR Part 11, ANVISA e GAMP 5. Se sua empresa precisa de diagnóstico Part 11, remediação ou suporte na implementação de assinaturas eletrônicas, fale com nossa equipe.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima
Solicitar cotação