Cumplimiento de la Parte 11 del Título 21 del CFR: qué exige realmente

Puntos clave

• El cumplimiento de la Parte 11 del Título 21 del CFR se basa en los controles que rodean al sistema (validación, controles de acceso y registros de auditoría), y no en la tecnología en sí misma. Ningún producto cumple «por naturaleza» con dicha normativa.
• La norma se resume en una sola idea: cada acción realizada sobre un expediente tiene un nombre, una fecha y hora y un motivo, incluso cuando no hay documento en papel.
• La Parte 11 no forma parte de la HIPAA. La HIPAA regula la privacidad y la seguridad de los datos sanitarios, mientras que la Parte 11 regula la integridad y la trazabilidad de los registros y las firmas regulados por la FDA. Una empresa puede cumplir con una de ellas y no con la otra.
• La Parte 11 está en vigor desde 1997 y sigue siendo un requisito fundamental para las empresas farmacéuticas, biotecnológicas, de dispositivos médicos y clínicas.

‍

El cumplimiento de la Parte 11 del Título 21 del CFR no es una característica propia de ninguna tecnología en concreto. Se trata del conjunto de controles que demuestran que un registro electrónico es fiable: un sistema validado, controles de acceso y un registro de auditoría que vincula cada acción a una persona identificada, una marca de tiempo y un motivo. La FDA (la Administración de Alimentos y Medicamentos de EE. UU.) no certifica que los productos cumplan con la Parte 11. La organización que utiliza un sistema es responsable de las medidas de seguridad que lo rodean, por lo que es posible que dos empresas utilicen el mismo software y solo una de ellas cumpla con la normativa.

‍

¿Qué es la Parte 11 del Título 21 del Código de Regulaciones Federales (CFR)?

La Parte 11 del Título 21 del Código de Regulaciones Federales (21 CFR) es la normativa de la FDA que define cómo deben gestionarse los registros electrónicos y las firmas electrónicas en los sectores regulados por la FDA, como el farmacéutico, el biotecnológico, el de dispositivos médicos y el de investigación clínica. Un registro electrónico es cualquier dato creado, modificado, conservado, archivado, recuperado o transmitido en formato electrónico, y una firma electrónica es el equivalente electrónico de una firma manuscrita. El objetivo es sencillo de explicar: lograr que los registros y las firmas electrónicos sean tan fiables y trazables como el papel y la tinta. La norma se publicó el 20 de marzo de 1997 y entró en vigor el 20 de agosto de 1997, y casi tres décadas después sigue plenamente vigente. Puede consultar el texto de la 21 CFR Parte 11 en el eCFR.

‍

¿Qué exige realmente el cumplimiento de la norma 21 CFR, parte 11?

La norma consta de tres subpartes, pero los requisitos prácticos de la Parte 11 del 21 CFR se resumen en una breve lista de comprobación. La forma más clara de recordarlo es la siguiente: cada acción tiene un nombre, una marca de tiempo y un motivo, incluso cuando no hay documentación en papel. Un registro de auditoría es el registro, con marca de tiempo y atribuido a un usuario, de cada acción de creación, edición o eliminación que lo hace posible.

‍

‍

¿A quién se aplica la Parte 11 del Título 21 del CFR?

La Parte 11 se aplica a las organizaciones reguladas por la FDA que conservan los registros obligatorios en formato electrónico o utilizan firmas electrónicas en lugar de las manuscritas. El ámbito de aplicación se rige por el registro, no por el departamento: en el momento en que una organización regulada crea, almacena o transmite un documento electrónico regulado por la FDA, el sistema que lo gestiona entra en el ámbito de aplicación. Esto incluye los sistemas de transmisión, por lo que un servicio de fax en línea seguro, como Fax.Plus funcionar con registros de auditoría y controles de acceso cuando transporte documentos regulados. La FDA describe el alcance de la norma en sus directrices sobre ámbito de aplicación y aplicación.

‍

21 CFR Parte 11 frente a la HIPAA: ¿en qué se diferencian?

A menudo se confunden estos dos conceptos, y la distinción es importante. La HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico) protege la privacidad y la seguridad de la información sanitaria protegida (PHI), es decir, los datos sanitarios que permiten identificar a una persona y que gestionan las entidades sujetas a dicha ley. La norma 21 CFR Parte 11 protege la integridad y la trazabilidad de los registros y firmas electrónicos regulados por la FDA. Un instrumento habitual de la HIPAA es el AcuerdoBusiness (BAA), el contrato que permite a un proveedor gestionar la PHI en su nombre. Ambos abordan problemas distintos, y un sistema puede cumplir con uno de ellos sin necesidad de cumplir con el otro.

‍

‍

Cómo abordar el cumplimiento de la Parte 11 del Título 21 del CFR

Considera el cumplimiento normativo como un conjunto de controles que puedas demostrar, no como una etiqueta que se compra. En la práctica, esto significa contar con un sistema validado que incluya documentación del proveedor, controles de acceso y cuentas de usuario únicas, registros de auditoría completos, firmas electrónicas únicas y verificadas, y una política definida de conservación de registros. Cuando no se pueda aportar prueba de una afirmación, es mejor moderarla en lugar de exagerarla, ya que las autoridades reguladoras evalúan lo que puedes demostrar, no lo que afirmas.

‍

Preguntas frecuentes

‍

¿Cuándo entró en vigor la Parte 11 del Título 21 del Código de Regulaciones Federales (CFR)?

La norma definitiva se publicó en 1997 y entró en vigor el 20 de agosto de 1997. Sigue vigente en la actualidad y continúa aplicándose a los registros y firmas electrónicos regulados por la FDA.

‍

¿A quién se aplica la Parte 11 del Título 21 del CFR?

Se aplica a las organizaciones reguladas por la FDA (como las del sector farmacéutico, biotecnológico, de dispositivos médicos y de operaciones clínicas) que crean, modifican, conservan, archivan, recuperan o transmiten por vía electrónica los registros obligatorios, o que utilizan firmas electrónicas en lugar de las manuscritas.

‍

¿Cuál es el objetivo de la Parte 11 del Título 21 del CFR?

Su objetivo es que los registros y las firmas electrónicos sean tan fiables como los de papel, de modo que se pueda confiar en que un registro regulado por la FDA sea preciso, atribuible y a prueba de manipulaciones.

‍

¿Hay algún producto que cumpla con la «Norma 21 CFR, Parte 11» tal y como viene de fábrica?

No. El cumplimiento normativo se deriva de los controles y de la forma en que se valida y se gestiona un sistema, no del producto en sí. Un proveedor puede cumplir con la Parte 11, pero es la organización usuaria la responsable de demostrar dicho cumplimiento.

‍

¿Puede una firma electrónica cumplir con lo establecido en la Parte 11 del Título 21 del CFR?

Una firma electrónica puede cumplir con los requisitos de la Parte 11 cuando cada firma es única para una persona, se verifica la identidad (a menudo mediante dos factores) y la firma registra el nombre del firmante, la fecha y la hora, así como el motivo de la firma. Que una herramienta concreta cumpla los requisitos depende de cómo esté configurada y validada.

‍

¿Se puede utilizar software en la nube conforme a la norma 21 CFR, parte 11?

Sí. El software en la nube puede utilizarse conforme a la Parte 11 siempre que el sistema esté validado, el acceso esté controlado, los registros de auditoría estén completos y el proveedor facilite la documentación que respalde su propio proceso de validación.