As Responsabilidades do Fornecedor da Indústria de Ciências da Vida
A validação é um processo documental para provar que equipamentos, sistemas, planilhas, processos e procedimentos funcionam de forma segura e eficiente para proteger pacientes e consumidores, além de garantir a qualidade de produto e a integridade de dados.
O GAMP5 é um guia de Boas Práticas de Manufatura Automatizada, elaborado pelo ISPE, que é uma das principais referências para empresas de Ciências da Vida quanto ao gerenciamento de seus sistemas BPx relevantes (impacto no produto).
A maioria dos equipamentos automatizados e sistemas utilizados por indústrias biofarmacêuticas e de produtos médicos são fornecidos por empresas terceiras e vendidas como sistemas de prateleira (categoria 3 do GAMP5), ou ainda configuradas para atender os requisitos do processo do cliente final (categoria 4 do GAMP5).
Empresas de Ciências da Vida são altamente reguladas e são responsáveis por garantir que seus produtos sejam produzidos com qualidade, segurança e que a rastreabilidade seja mantida ao longo de todo seu ciclo de produção, enquanto está no mercado, ou em caso de alguns tipos de produtos médicos como implantes, ao longo do tempo de vida do paciente.
Para cumprir os requisitos regulatórios, essas empresas devem gerar documentações, conhecidas como validação, e desafiar seus sistemas para garantir que estejam de acordo com as boas práticas e produzam os resultados esperados (uso pretendido).
Requisitos do FDA, EMA e ANVISA
As agências reguladoras, como a FDA, EMA e ANVISA, exigem que essas indústrias validem seus processos, equipamentos e sistemas que impactam a qualidade e a rastreabilidade dos produtos. A empresa regulada é responsável por fornecer essas documentações durante as auditorias e inspeções do agente regulador.
Portanto, é fundamental que contem com fornecedores engajados e que entendam os requisitos desse mercado.
E como a empresa regulada garante que os fornecedores atendam aos requisitos regulatórios?
Através da qualificação de fornecedores!
O escopo dessa qualificação pode abranger arquitetura, metodologia, qualidade e validação, para garantir que há um processo robusto o suficiente para atender aos requisitos regulatórios e que sigam as melhores práticas.
Esse procedimento e controle aplicado pelo fornecedor deve ser adequado ao nível de risco apresentado do sistema.
Nessa avaliação, podem ser verificadas:
- Implementação e bom andamento de sistema de gerenciamento de qualidade e segurança da informação;
- Disponibilidade das informações para suportar uma avaliação;
- Entendimento das regulamentações BPx;
- Robustez do processo de desenvolvimento dos sistemas;
- Frequência e controle das atualizações;
- Modelo de utilização da nuvem (pública, híbrida e privada);
- Integridade e privacidade de dados.
As avaliações podem ser baseadas nas informações disponíveis, auditorias com base em questionários e auditorias no fornecedor (online ou presencial).
Auditorias com base em questionário pode ser adequada para fornecedores de produtos e serviços padrão.
Se o fornecedor for aprovado, ele deve ser periodicamente reavaliado pela empresa regulada.
Fontes de referência
Os padrões de conformidade de software vêm de uma variedade de fontes regulatórias e padrões do setor que são exigidos no setor de Ciências da Vida e seu atendimento, pode ser estratégico para os negócios dos fornecedores, para este nicho de mercado.
As fontes mais comuns incluem, mas não estão limitadas a:
- Resolução da Diretoria Colegiada n° 665 da Agência Nacional de Vigilância Sanitária que aprova o regulamento técnico de Boas Práticas de Fabricação de Produtos Médicos e Produtos para Diagnóstico de Uso in Vitro, publicada em 30/03/2022;
- Resolução da Diretoria Colegiada n° 430 da Agência Nacional de Vigilância Sanitária que dispõe sobre as Boas Práticas de Distribuição, Armazenamento e Transporte de Medicamentos, publicada em 08/10/2020;
- Resolução da Diretoria Colegiada n° 48 da Agência Nacional de Vigilância Sanitária que rege sobre Boas Práticas de Fabricação de produtos de higiene pessoal, cosméticos e perfumes publicados em 25/10/2013.
• Guia da ANVISA - Guia para Validação de Sistemas Computadorizados, nº 33, versão 1, publicado pela ANVISA 26/03/2020.
• GAMP5 - Good Automated Manufacturing Practice: Guia de Validação de Sistemas Computadorizados, segunda edição, publicado pelo ISPE em julho de 2022.
• GAMP™ Good Practice Guide: Enabling Innovation, 2021
• FDA 21 CFR Part 11 - Resolução do FDA que estabelece políticas de segurança para implementação de registro eletrônico e assinatura eletrônica para sistemas computadorizados a serem validados, publicada em março de 1997.
• ISOs como por exemplo, - ISO 13485:2016 (Gestão do Sistema da Qualidade de Fabricantes de Produtos Médicos);
- ISO/IEC 27001:2015 (Gestão da Segurança da Informação);
- ISO 17025:2017 (International Standard - General requirements for the competence of testing and calibration laboratories);
- ISO 22000:2018 (International Standard – Food Safety Management Systems);
- ISO/TR 80002-2:2017 (Technical Report – Medical Device Software - Part 2: Validation of software for medical device quality systems).
- FDA 21 CFR Part 210 - Resolução do FDA que estabelece regras para Boas Práticas de Fabricação, processamento, embalagem e retenção de medicamentos, revisada em abril de 2017.
• FDA 21 CFR Part 211 - Resolução do FDA que estabelece regras para Boas Práticas de Fabricação para produtos farmacêuticos acabados, revisada em abril de 2017.
• FDA 21 CFR Part 820 - Resolução do FDA que estabelece regras para garantir que produtos médicos acabados são seguros e efetivos.
• IEC 62304:2006+AMD1:2015 Defines the life cycle requirements for medical device software.
• NIT-DICLA 038 2019 INMETRO - Aplicação dos princípios BPL aos sistemas computadorizados – versão brasileira da OCDE no. 17 “Application of GLP Principles to Computerised Systems”, 2016
• OCDE Application of GLP Principles to Computerised Systems - Series in Principles of Good Laboratory Practice and Compliance Monitoring number 17, 2016, for Chemicals, Pesticides and Biotechnology
• FDA General Principles of Software Validation - FDA (2002), General Principles of Software Validation; Final Guidance for Industry and FDA Staff
• FDA Guidance For Industry Part 11 - FDA (2003), Guidance for Industry Part 11, Electronic Records; Electronic Signatures — Scope and Application
• FDA Guidance For Industry Process Validation - FDA (2011), Guidance for Industry - Process Validation: General Principles and Practices
• FDA 21 CFR Part 106 Infant Formula - FDA (2003), Part 106: Infant Formula Requirements Pertaining to cGMP
• FDA 21 CFR Part 1271 Human Cells - FDA (2003), Part 106: Infant Formula Requirements Pertaining to cGMP FDA (2004), Part 1271: Human cells, tissues, and cellular and tissue-based products
• FDA Guide in Food Processing Industry - FDA (2014) Guide to Inspections of Computerized Systems in the Food Processing Industry
• EudraLex - Volume 4 – Chapter 1: Good Manufacturing Practice (GMP) guidelines, Part Basic Requirements for Medicinal Products, chapter 1 Pharmaceutical Quality System
• ANNEX 11 EMA - Eudralex – The Rules Governing Medicinal Products in the European Union – Volume 4 – Good Manufacturing Practice – Medicinal Products for Human and Veterinary Use – Annex 11: Computerized Systems.
• ANNEX 15 EMA - EudraLex – The Rules Governing Medicinal Products in the European Union – Volume 4 – Good Manufacturing Practice – Medicinal Products for Human and Veterinary Use – Annex 15: Qualification and Validation.
• GDPR - GDPR, Apr 2016: General Data Protection Regulation
• Diretrizes de Integridade de Dados
- EMA Questions and Answers – Ago/2016;
- FDA Guideline - Data Integrity and Compliance with Drug CGMP – Questions and Answers – Guidance for Industry – Dez/2018;
- MHRA Medicine & Healthcare products Regulatory Agency MHRA – GXP Data Integrity Guidance and Definitions – Mar/2018;
- PIC/S PI 041-1 Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments – Jul/2021;
- WHO Guideline on data integrity, WHO TRS 1033, starting on page 135, 2021 • WHO Technical Report Series 1033 - WHO Expert Committee on Specifications for Pharmaceutical Preparations, 2021, Fifty-fifth report
• WHO Guidelines on Validation - Guidelines on Validation – Appendix 5 Validation of computerized Systems (August 2018) – Draft For Comments
• IMDRF International Medical Device Regulators Forum
- UDI guidance, Dec/2013 - UDI Application Guide, Mar/2019 - Audit report, Oct/2015 - SaMD Clinical Evaluation, Sep/2015 - Essential Principles of Safety and Performance of Medical Devices and IVD (Vitro Diagnostic Product), Oct/2018 - Principles and Practices for Medical Device Cybersecurity, Mar/2020
• ICH Good Clinical Practices - ICH E6 (R2) Good Clinical Practices – Nov/2016
• ICH Good Manufacturing Practices - ICH Q7 Good Manufacturing Practices for Active Ingredients – Nov/2000
• PIC/S Good Practices for Computerized Systems - PIC/S Guidance PI011-3, Set/2007 Good Practices for Computerized Systems in Regulated “GXP” Environments
Documentação típica elaborada pelo fornecedor
Mesmo quando uma indústria opta por adquirir pacotes de documentos de validação ou qualificação disponibilizados pelos próprios fabricantes de equipamentos ou sistemas, é importante lembrar que esses pacotes são parciais, ou seja, cabe à indústria a responsabilidade de revisar o que lhe foi entregue e ainda desenvolver parte do ciclo que resta para concluir o estudo de validação ou qualificação, conforme é preconizado pelos órgãos reguladores.
Quando a validação começa?
Sistema computadorizado na nuvem precisa atender as mesmas regras regulatórias dos sistemas fora da nuvem, se BPx relevantes.
A equipe de validação precisa ser envolvida ANTES da aquisição, portanto é importante que haja documentação na fase de qualificação do fornecedor.
Responsabilidades do Fornecedor em nuvem
- Infraestrutura necessária para disponibilização dos serviços (servidores, conectividade e segurança da informação)
- Retenção dos dados pelo período mínimo de acordo com a BPF da empresa regulada, incluindo backup e restauração;
- Aplicação das melhores práticas de segurança da informação de forma a evitar ataques cibernéticos e vazamento de dados;
- O parceiro SaaS se torna tão crítico quanto fornecedor de matéria-prima, porque agora, são estas empresas que passam a reter os dados da indústria (rastreabilidade e integridade de dados).
- Atender as mesmas melhores práticas previstas para o cliente, no que é aplicável ao negócio do fornecedor
Mesmo que o fornecedor não esteja sujeito à regulação da FDA, EMA e ANVISA, é fundamental que ele adote as mesmas práticas da indústria para a gestão e manutenção do sistema e dados sob sua responsabilidade.
Essa iniciativa, embora não seja um requisito normativo que afeta diretamente o fornecedor, é fundamental do ponto de vista comercial e pode ser decisiva na escolha de um fornecedor por parte das empresas do setor.
A escassez de fornecedores que adotam tais práticas pode ser um diferencial na prospecção de novos clientes, sobretudo para as empresas de Ciências da Vida, cujos serviços apresentam alto valor agregado e ticket médio elevado.
Consolidar-se nesse mercado pode gerar um retorno financeiro significativo para os vendors.
Fornecedores SaaS de aplicação BPx
É estratégico e relevante para um fornecedor de SaaS de aplicação BPx relevante, validar as funções padrões de seu software antes de implementá-lo (deploy) em um ambiente de produção.
A cada nova função ou melhoria, é necessário validar essa liberação para identificar possíveis bugs, desvios e impactos, além de fornecer notas de versão claras e transparentes sobre as mudanças realizadas.
Por onde começar?
Para conseguir um grau de robustez e maturidade do sistema de qualidade e desenvolvimento, podemos fornecer treinamentos e consultoria, assim como nossos serviços de validação.
A FIVE também se apresenta como parceira da indústria e do fornecedor, colocando-se à disposição para auxiliá-los na revisão do seu sistema da qualidade, qualificação de infraestrutura em nuvem e documentação, bem como para a conclusão do ciclo de validação ou qualificação.
É fundamental adotar essas boas práticas como um “estilo de vida”, pois serão recorrentes. A cada nova versão ou mudança as documentações precisam ser atualizadas.
E pensando nessa esteira contínua, é praticamente impossível realizar um trabalho eficiente sem uma ferramenta de validação digital.
CLIQUE AQUI e conheça o GO!FIVE®, software de validação em nuvem que está adaptado para aplicar o Framework Agile, em conformidade com FDA, EMA, OMS e ANVISA, sendo uma excelente opção para implementações em etapas.
CLIQUE AQUIe veja nosso artigo sobre como utilizar o pensamento crítico, ágil e gerenciamento de serviços de TI em relação ao setor de ciências da vida.
Fornecedor de soluções on premisse ou na nuvem do cliente
Neste artigo, abordamos as responsabilidades dos fornecedores, em especial aqueles que oferecem sistemas em nuvem. Apesar disso, muitas das ideias discutidas neste texto também são relevantes para casos nos quais o cliente é responsável pela infraestrutura.
É na fase de aquisição do sistema, que normalmente são incluídos os documentos que serão escopo do fornecedor.
É papel do fornecedor, fornecer documentos que facilitem e acelerem o processo de validação. No entanto, é importante ressaltar que a responsabilidade de "abrir" e "fechar" o ciclo de validação é de quem utilizará o sistema, em conjunto com a Garantia da Qualidade.
Referências:
- GAMP5 - Good Automated Manufacturing Practice: Guia de Validação de Sistemas Computadorizados, segunda edição, publicado pelo ISPE em julho de 2022.
- Guia da ANVISA - Guia para Validação de Sistemas Computadorizados, nº 33, versão 1, publicado pela ANVISA 26/03/2020
- https://usdm.com/resources/blogs/how-do-life-science-companies-qualify-vendors-and-software
