Validação de Sistemas Informatizados ANVISA: Guia Completo e Atualizado

Por /

O guia operacional definitivo da ANVISA para validação de sistemas computadorizados

O Guia nº 33/2020 da ANVISA — formalmente intitulado “Guia para Validação de Sistemas Computadorizados” — é o documento operacional de referência para todas as empresas reguladas pela agência que utilizam sistemas computadorizados em atividades GxP. Publicado em 2020, esse guia detalha como interpretar e aplicar os requisitos regulatórios em projetos práticos de validação, sendo, em conjunto com a RDC 658/2022 e a IN 134/2022, o tripé conceitual que sustenta a validação de sistemas no Brasil.

Diferentemente de uma resolução, o Guia 33 não é normativo — ele orienta. Mas, em inspeções da ANVISA, o conteúdo do guia é praticamente tratado como expectativa mínima. Profissionais que conduzem CSV no Brasil precisam dominá-lo em paralelo com o GAMP 5, o 21 CFR Part 11 e o EU GMP Annex 11.

Este artigo oferece uma leitura estruturada do Guia 33/2020, suas seções principais, conexões com referências internacionais e como traduzir suas orientações em práticas concretas de validação.

Escopo e propósito do Guia 33

O Guia 33 declara explicitamente seu propósito: “auxiliar o setor regulado a obter sistemas computadorizados corretamente instalados e validados, atendendo aos requisitos regulatórios”. Seu escopo cobre qualquer sistema computadorizado utilizado em atividades reguladas pela ANVISA — fabricação, controle de qualidade, distribuição, armazenagem, transporte, farmacovigilância e outras.

O guia é amplo e aplicável a indústrias farmacêuticas, fabricantes de dispositivos médicos, distribuidoras, importadoras, fabricantes de cosméticos, alimentos e produtos saneantes — sempre que o sistema computadorizado tiver impacto GxP.

Os principais conceitos do Guia 33

Sistema computadorizado GxP

O guia define sistema computadorizado como o conjunto integrado de hardware, software, periféricos, redes, procedimentos e pessoal que executa funções específicas. Um sistema é GxP quando suas funções impactam qualidade, segurança, eficácia do produto ou integridade dos dados regulatórios.

Validação baseada em risco

O guia adota explicitamente abordagem baseada em risco, alinhada ao ICH Q9. O esforço de validação é proporcional à criticidade do sistema. Sistemas críticos demandam ciclo completo; sistemas auxiliares de baixo impacto podem ter abordagens mais leves, sempre justificadas por análise documentada.

Ciclo de vida completo

Validação não é evento único — é processo contínuo do concepto até a aposentadoria. O guia destaca fases de planejamento, especificação, desenvolvimento/configuração, qualificação (IQ/OQ/PQ), operação, manutenção e descomissionamento.

Fit for intended use

O sistema deve ser adequado ao uso pretendido. Não basta funcionar — precisa funcionar para o propósito específico definido pelo usuário. Esse princípio é central no GAMP 5 e foi absorvido pelo Guia 33.

Categorização de software

O guia menciona explicitamente a categorização do GAMP 5 (Categorias 1, 3, 4, 5), orientando que o esforço de validação seja proporcional à categoria.

Estrutura do programa de validação segundo o Guia 33

O guia descreve estruturação típica de um programa de validação:

Plano Mestre de Validação (VMP)

Documento estratégico que estabelece a filosofia da validação na organização, define escopo, responsabilidades, padrões documentais, cronograma e abordagem para diferentes categorias de sistema.

URS — Especificação de Requisitos do Usuário

Documento que traduz necessidades do usuário em requisitos verificáveis. No Brasil, é frequentemente chamada também de ERU (Especificação de Requisitos do Usuário). Deve ser específica, mensurável, completa e rastreável.

FS / DS — Especificações Funcional e de Projeto

Descrição de como o sistema atende aos requisitos da URS. Para Categoria 4, é tipicamente fornecida pelo vendor. Para Categoria 5, é desenvolvida pela equipe de projeto.

Análise de risco

Avaliação formal por funcionalidade, alinhada ao ICH Q9. No Brasil, costuma ser chamada FAR (Formulário de Análise de Risco), com pontuação de severidade, probabilidade e detectabilidade. Direciona a estratégia de testes.

Qualificações IQ, OQ, PQ

  • IQ — Qualificação de Instalação: verifica que o sistema foi instalado conforme especificações de infraestrutura;
  • OQ — Qualificação Operacional: testa funcionalidades em condições controladas contra a URS;
  • PQ — Qualificação de Desempenho: comprova funcionamento consistente em ambiente real de uso.

No Brasil, essas três fases são frequentemente consolidadas em um único protocolo QIOD (Qualificação de Instalação, Operação e Desempenho), prática amplamente aceita em inspeções.

Matriz de Rastreabilidade

Liga cada requisito da URS aos riscos identificados na FAR, às especificações funcionais e aos testes executados nas qualificações. É o tecido lógico que demonstra cobertura completa.

Relatório Final de Validação

Consolida todos os resultados, identifica desvios encontrados e tratados, e libera formalmente o sistema para uso GxP.

Manutenção do estado validado

O Guia 33 enfatiza que validação não termina com a liberação inicial — exige programa contínuo de manutenção do estado validado. Os elementos centrais são:

  • Gestão de mudanças: avaliação formal de toda alteração, com revalidação proporcional;
  • Gestão de configuração: registro do estado técnico do sistema, atualizado a cada mudança;
  • Revisão periódica: tipicamente anual para sistemas críticos, com avaliação de adequação contínua;
  • Gestão de patches e atualizações: cada patch avaliado quanto a impacto GxP antes de aplicação em produção;
  • Backup e recuperação: planos formais com teste periódico de restauração;
  • Gestão de incidentes e problemas: registro, análise de causa raiz, CAPAs.

Integridade de dados (ALCOA+)

O Guia 33 trata integridade de dados como tema transversal, alinhado ao MHRA Data Integrity Guide, WHO Annex 5 e PIC/S PI 041. Os controles esperados incluem:

  • Identificação inequívoca de usuários, sem credenciais compartilhadas;
  • Trilha de auditoria inviolável, com revisão periódica;
  • Sincronização de tempo via NTP;
  • Prevenção de exclusão silenciosa;
  • Backup e recuperação testados;
  • Retenção pelo período regulatório aplicável.

Como o Guia 33 se conecta com GAMP 5

O Guia 33 é fortemente alinhado ao GAMP 5 (segunda edição de 2022). Os conceitos centrais são compartilhados:

  • Categorização de software;
  • Validação baseada em risco e fit for intended use;
  • Ciclo de vida completo;
  • Especificação verificável (URS) ligada à verificação (testes);
  • Aproveitamento de documentação do fornecedor;
  • Manutenção do estado validado.

Profissionais que dominam GAMP 5 e Guia 33 conseguem operar com um único framework documental que atende simultaneamente ANVISA, FDA (via 21 CFR Part 11), EMA (via Annex 11) e demais autoridades alinhadas a PIC/S.

Como aplicar o Guia 33 em projetos reais

Um projeto típico de validação de sistema computadorizado seguindo o Guia 33 e alinhado a GAMP 5 e à IN 134:

  1. Mobilização: definição da equipe (Qualidade, TI, Validação, usuário, fornecedor), kick-off, alinhamento de escopo;
  2. Plano de Validação específico do sistema: derivado do VMP, com escopo, fases, responsabilidades e cronograma;
  3. URS: detalhamento dos requisitos do usuário, validada por revisão multidisciplinar;
  4. FAR: análise formal de risco por funcionalidade;
  5. Especificações funcionais e de configuração: documentação do “como” o sistema atende a URS;
  6. Protocolos de qualificação: IQ, OQ, PQ — ou QIOD consolidado;
  7. Execução das qualificações: testes executados com evidência objetiva;
  8. Tratamento de desvios: investigação, ação corretiva, fechamento documentado;
  9. Matriz de rastreabilidade: fechamento da malha lógica;
  10. Relatório final: liberação formal;
  11. Transição para operação: handover para equipe operacional com SOPs de uso, gestão de mudanças e revisão periódica.

Erros comuns na aplicação do Guia 33

Em diagnósticos e auditorias:

  • VMP genérico, sem aderência à realidade da empresa;
  • URS pobre ou inexistente, tornando impossível demonstrar rastreabilidade;
  • FAR preenchida formalmente sem direcionar a estratégia de testes;
  • Protocolos QIOD baseados em template do fornecedor sem adaptação;
  • Testes executados sem evidência objetiva (sem prints, sem exports);
  • Matriz de rastreabilidade ausente ou incompleta;
  • Manutenção do estado validado negligenciada após go-live;
  • Análise de risco não revisada após mudanças significativas;
  • Customizações categoria 5 tratadas como categoria 4, com rigor insuficiente.

Conclusão

O Guia 33/2020 da ANVISA é, ao lado da RDC 658/2022 e da IN 134/2022, a referência operacional principal para validação de sistemas computadorizados no Brasil. Empresas que dominam seu conteúdo, em paralelo com GAMP 5 e referências internacionais, conseguem estruturar programas de validação que atendem simultaneamente expectativas nacionais e internacionais, com eficiência e rastreabilidade.

A One Consultoria Regulatória apoia indústrias farmacêuticas, fabricantes de dispositivos médicos, distribuidoras e operadores logísticos na aplicação prática do Guia 33/2020, da RDC 658/2022 e do GAMP 5, com diagnóstico, planos de validação, protocolos QIOD e treinamento especializado. Fale com nossa equipe para uma avaliação inicial.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima
Solicitar cotação