Validação de Sistemas: Conformidade com a RDC 658/22 e Guia 33 da ANVISA

Por /

O que é a RDC 658/2022 e por que ela mudou o jogo da validação de sistemas no Brasil

A Resolução da Diretoria Colegiada nº 658, de 30 de março de 2022 (RDC 658/2022) é o atual marco regulatório das Boas Práticas de Fabricação de Medicamentos no Brasil. Publicada pela ANVISA, ela entrou em vigor em 2 de maio de 2022 e revogou a antiga RDC 301/2019. A data-limite obrigatória para adequação completa foi 7 de outubro de 2024, marcando o fim do período de transição entre os dois regulamentos.

Embora muitas das alterações em relação à RDC 301/2019 sejam de formatação e reorganização, há mudanças substanciais — especialmente no que se refere à validação de sistemas computadorizados, à integridade de dados e à abordagem baseada em risco. Para indústrias farmacêuticas, fabricantes de medicamentos para uso experimental, distribuidores qualificados e prestadores de serviços, entender a RDC 658/2022 deixou de ser opcional há muito tempo.

A RDC 658/2022 não vem sozinha. Ela é acompanhada por duas Instruções Normativas críticas: a IN 134/2022, que substitui a IN 43/2019 e trata das BPF complementares aplicáveis a sistemas computadorizados, e a IN 138/2022, que substitui a IN 47/2019 e disciplina as atividades de qualificação e validação. Esse pacote forma o tripé regulatório que sustenta a operação farmacêutica brasileira hoje.

Alinhamento com o esquema PIC/S e abertura para mercados internacionais

Uma das motivações estratégicas da RDC 658/2022 foi alinhar o Brasil às exigências do Pharmaceutical Inspection Co-operation Scheme (PIC/S), do qual a ANVISA é membro pleno desde 2021. Esse alinhamento é o que permite a fabricantes brasileiros acessar com maior facilidade mercados como União Europeia, Reino Unido, Canadá e Austrália, onde inspeções farmacêuticas seguem padrões comparáveis.

Em outras palavras, atender a RDC 658/2022 não é apenas uma exigência regulatória interna — é um passaporte competitivo. Empresas que tratam a 658 como mera obrigação local perdem a oportunidade de aproveitar essa equivalência internacional. Já as que estruturam seus sistemas de qualidade em alinhamento profundo com PIC/S e com guias internacionais como GAMP 5 e EU GMP Annex 11 conseguem operar em múltiplas jurisdições com o mesmo arcabouço documental.

O escopo: a quem a RDC 658/2022 se aplica

A RDC 658/2022 se aplica a todas as empresas envolvidas na fabricação de medicamentos comerciais e medicamentos para uso experimental no Brasil. Isso inclui:

  • Indústrias farmacêuticas de medicamentos sintéticos, biológicos e biotecnológicos;
  • Fabricantes de medicamentos para uso em ensaios clínicos;
  • Áreas de embalagem, fracionamento e rotulagem que façam parte do ciclo de fabricação;
  • Controle de qualidade laboratorial vinculado à liberação de lotes;
  • Atividades terceirizadas que impactam o produto final (testes, fabricação contratada, armazenagem específica).

Atividades de distribuição e armazenagem em si são reguladas pela RDC 430/2020, atualizada pela RDC 653/2022. Para operações logísticas que envolvem medicamentos, é fundamental aplicar ambos os marcos em conjunto: a 658 para o que afeta a fabricação e a 430 para o que afeta a cadeia logística pós-fabricação.

O sistema de qualidade farmacêutica

A RDC 658/2022 reforça que o sistema de qualidade farmacêutica deve estar implantado, mantido e comprovado por documentação, abrangendo todo o ciclo de vida do produto — da fabricação experimental ao descontinuamento comercial. Isso é uma mudança significativa em relação à 301, que tinha foco mais restrito ao ciclo produtivo regular.

O sistema de qualidade exigido pela 658 deve cobrir, no mínimo:

  • Gestão de documentos e registros, incluindo eletrônicos;
  • Gestão de mudanças, com avaliação formal de impacto;
  • Gestão de desvios, não conformidades e CAPA;
  • Revisões periódicas de produto, processo e sistemas;
  • Gestão de risco da qualidade, alinhada ao ICH Q9;
  • Programa de auditorias internas e externas (qualificação de fornecedores).

Toda essa estrutura precisa estar suportada por sistemas computadorizados validados sempre que eletrônicos forem utilizados — o que, na prática, é a regra na quase totalidade das empresas atuais.

Validação de sistemas computadorizados: o coração regulatório dos sistemas eletrônicos

O capítulo da RDC 658/2022 dedicado a sistemas computadorizados — complementado em detalhes pela IN 134/2022 — é o que mais demanda atenção das áreas de TI, Qualidade e Validação. Os principais pontos são:

Inventário e classificação

Toda empresa deve manter um inventário atualizado de seus sistemas computadorizados utilizados em atividades GxP, com classificação por criticidade. Sistemas que controlam parâmetros críticos de fabricação, registros de lote, liberação de produto ou integridade de dados regulatórios são classificados como críticos e exigem validação completa.

Análise de risco formal

A RDC 658/2022, alinhada ao ICH Q9, exige análise formal de risco para todos os sistemas computadorizados, considerando severidade do impacto, probabilidade de ocorrência da falha e detectabilidade. Essa análise direciona o esforço de validação e fundamenta a estratégia de testes — não é um documento decorativo.

Ciclo de vida completo

A validação deve cobrir todo o ciclo de vida: desde a especificação de requisitos do usuário (URS) até a aposentadoria do sistema. Inclui-se aqui validação inicial, gestão de mudanças, revalidação após modificações significativas, revisão periódica e descomissionamento documentado.

Integridade de dados

Talvez o ponto de maior atenção das inspeções atuais da ANVISA. A RDC 658/2022 exige aplicação dos princípios ALCOA+ (Attributable, Legible, Contemporaneous, Original, Accurate, Complete, Consistent, Enduring, Available). Isso se traduz em: trilha de auditoria inviolável, controle de acessos por perfil, sincronização de tempo (NTP), backup verificável, prevenção de exclusão silenciosa de dados e identificação inequívoca do usuário em cada ação.

Qualificação de fornecedores

Fornecedores de sistemas críticos devem ser formalmente qualificados, com avaliação documentada de processos de desenvolvimento, controle de qualidade, capacidade de suporte e gestão de patches. Para sistemas hospedados em nuvem, essa qualificação inclui análise do modelo de responsabilidade compartilhada e dos certificados do provedor.

A IN 134/2022 e os requisitos detalhados para sistemas computadorizados

A Instrução Normativa nº 134/2022 é o documento que detalha operacionalmente como aplicar os requisitos da RDC 658/2022 em sistemas computadorizados. Ela substituiu a IN 43/2019 e organiza-se em seções claras:

  • Princípios gerais: validação baseada em risco, ciclo de vida, fit for intended use.
  • Pessoal: definição clara de responsabilidades entre TI, Validação, Qualidade e usuário final.
  • Fornecedores e provedores de serviço: requisitos de qualificação e auditoria.
  • Validação: documentação esperada, incluindo URS, FAR, IQ, OQ, PQ e matriz de rastreabilidade.
  • Sistema em operação: backup, recuperação, gestão de incidentes, segurança lógica e física, revisão periódica.
  • Gestão de mudanças: avaliação de impacto, classificação da mudança e revalidação proporcional.
  • Continuidade de negócios: planos de contingência e teste periódico dos planos.

A IN 134/2022 também trouxe o conceito explícito de validação remota, importante após a pandemia: é possível conduzir validações com presença remota de auditores ou consultores, desde que a documentação, evidências e rastreabilidade sejam preservadas integralmente.

Integração com o Guia 33 da ANVISA

O Guia nº 33/2020 da ANVISA — “Guia para Validação de Sistemas Computadorizados” — é o documento operacional que orienta o setor regulado sobre como interpretar e aplicar os requisitos da RDC 658 e da IN 134. Embora seja um guia (não normativo), ele é a referência mais consultada em inspeções e auditorias.

O Guia 33 alinha-se explicitamente ao GAMP 5: categorização de software, análise de risco, fit for intended use, abordagem proporcional e ciclo de vida. Para qualquer profissional que atua com CSV no Brasil, esse trio (RDC 658 + IN 134 + Guia 33) precisa estar dominado em paralelo com o GAMP 5.

Principais mudanças trazidas pela RDC 658 em relação à RDC 301/2019

Em comparação direta com a RDC 301/2019, as mudanças relevantes para sistemas computadorizados e qualidade incluem:

  • Artigo 93: ampliação dos requisitos de armazenamento seguro de materiais críticos, agora explicitando rastreabilidade documental e digital;
  • Artigo 181: detalhamento das auditorias de qualidade, com inclusão expressa de auditorias de sistemas computadorizados como parte do programa anual;
  • Controle estatístico multivariado de processo: introdução do CEM como ferramenta esperada em processos com múltiplas variáveis correlacionadas;
  • Ciclo de vida estendido: agora cobre da fabricação experimental até a descontinuação, e não apenas a fabricação rotineira;
  • Gestão de risco da qualidade: tratada como elemento central, não apenas como prática complementar;
  • Integridade de dados: capítulo significativamente reforçado, com expectativas alinhadas a guias internacionais como o MHRA Data Integrity e o WHO Annex 5.

Os erros que ainda levam empresas a serem reprovadas em inspeções

Mesmo após a transição para a RDC 658, vemos repetidamente os mesmos problemas em inspeções:

  • Sistemas computadorizados críticos sem validação formal ou com validação parcial e desatualizada;
  • Trilhas de auditoria desabilitadas, mal configuradas ou não revisadas periodicamente;
  • Controle de acessos inadequado, com múltiplos usuários compartilhando credenciais ou perfis genéricos com privilégios excessivos;
  • Análise de risco superficial, feita apenas para atender requisito documental, sem orientar decisões reais;
  • Mudanças em sistemas sem avaliação formal de impacto regulatório;
  • Falta de plano de continuidade testado periodicamente;
  • Fornecedores críticos sem qualificação documentada e sem auditoria;
  • Planilhas eletrônicas em uso GxP sem validação, mesmo que executem cálculos críticos para liberação de lote.

Plano prático de adequação à RDC 658/2022

Para empresas que ainda estão fechando lacunas ou que querem maturar seu sistema de qualidade computadorizada, recomendamos a seguinte sequência:

  1. Diagnóstico de aderência: mapeamento dos sistemas computadorizados existentes, sua criticidade e status atual de validação.
  2. Plano Mestre de Validação (VMP): documento estratégico que prioriza ações por risco e estabelece cronograma.
  3. Atualização de SOPs: gestão de mudanças, gestão de acessos, backup/restore, integridade de dados, qualificação de fornecedores.
  4. Protocolos QIOD individuais: validação formal dos sistemas críticos identificados, com URS, FAR, IQ/OQ/PQ e matriz de rastreabilidade.
  5. Programa de manutenção do estado validado: revisão periódica, gestão de patches, revalidação proporcional.
  6. Treinamento contínuo: pessoal de TI, Qualidade e usuários finais, com registro de competências.
  7. Auditoria interna anual: verificação do programa CSV com pelo menos um exercício simulado de inspeção.

Conclusão

A RDC 658/2022, combinada com a IN 134/2022 e o Guia 33 da ANVISA, redefiniu o padrão de exigência para sistemas computadorizados na indústria farmacêutica brasileira. Empresas que entenderam o espírito do regulamento — abordagem baseada em risco, ciclo de vida completo, integridade de dados como prioridade — saíram do período de transição com programas robustos e prontos para inspeções nacionais e internacionais.

A One Consultoria Regulatória apoia indústrias farmacêuticas, fabricantes de dispositivos médicos e operadores logísticos regulados na adequação à RDC 658/2022 e ao arcabouço completo da ANVISA. Se sua empresa precisa de diagnóstico, plano de adequação ou execução de protocolos QIOD alinhados ao GAMP 5, entre em contato com nosso time especializado.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima
Solicitar cotação