Os sistemas eletrônicos já são uma realidade no mundo organizacional. A possibilidade de as pessoas assinarem eletronicamente, por exemplo, agiliza muito os processos e diminui certas burocracias. Mesmo com tantas vantagens, é preciso que haja regulamentações que definam critérios para deixar esses sistemas mais seguros, tanto para os clientes, quanto para a própria empresa. É justamente com esse intuito que foi criada a FDA 21 CFR Part 11.
O que é FDA 21 CFR Part 11?
A FDA 21 CFR Part 11 é uma seção da Food and Drug Administration (FDA), a agência federal dos Estados Unidos que atua na regulamentação e fiscalização de produtos como alimentos, medicamentos, cosméticos, dispositivos médicos e outros, tendo funções semelhantes às da Anvisa no Brasil. Nesse sentido, ela especifica as exigências para o uso de sistemas eletrônicos na produção de todos os artigos regulamentados pela FDA.
Assim, a FDA 21 CFR Part 11 estabelece diretrizes sobre o uso de sistemas eletrônicos, incluindo assinaturas eletrônicas, registros eletrônicos e assinaturas digitais, com a principal função de garantir a integridade, a confidencialidade e a disponibilidade das informações geridas por esses sistemas digitais. Dessa forma, ela foi projetada pela FDA com o intuito de assegurar a segurança dos dados utilizados pelas empresas que trabalham com os produtos regulamentados pela agência.
Quais empresas devem seguir a FDA 21 CFR Part 11?
A FDA 21 CFR Part 11 é aplicável a todas as empresas envolvidas na produção, fabricação, processamento, embalagem e distribuição de todos os produtos regulamentos pela FDA. Vale mencionar que as empresas com atuação nos Estados Unidos e que usam sistemas eletrônicos devem seguir rigorosamente as exigências desta regulamentação, pois a agência realiza auditorias periódicas para fiscalizar seu cumprimento.
Em caso de não conformidade, as empresas dos EUA podem enfrentar sérias consequências, como multas, proibições e processos judiciais. Empresas brasileiras só precisam seguir a FDA 21 CFR Part 11 se exportarem seus produtos ou se tiverem alguma atividade realizada nos Estados Unidos. No Brasil, as organizações devem seguir aos requisitos equivalentes da Anvisa.
Além disso, é interessante perceber que a norma em questão foi originalmente desenvolvida para empresas que produzem alimentos, cosméticos, medicamentos e outros produtos desse tipo. Entretanto, a validade das diretrizes fez com a FDA 21 CFR Part 11 se espalhasse no setor de TI para que eles pudessem estruturar procedimentos de controle rigoroso em seus sistemas eletrônicos.
Empresas brasileiras podem seguir a FDA 21 CFR Part 11?
A não obrigatoriedade de cumprimento da FDA 21 CFR Part 11 pelas empresas brasileiras não significam que elas são proibidas de seguir a regulamentação. Nesse sentido, organizações engajadas em garantir a qualidade de seus processos e a segurança em seus dispositivos eletrônicos tendem a procurar esses tipos de documentos para identificar pontos de melhoria em suas atividades.
Dessa forma, visitar as diretrizes da FDA 21 CFR Part 11 pode, inclusive, ser uma forma das empresas obterem ajuda para a estruturação de planos de ação requisitados por outras normas. Um exemplo claro disso está no fato de as empresas brasileiras terem que cumprir a LGPD – para garantir segurança de dados é imprescindível que o sistema eletrônico tenha uma estruturação que vise padronização e qualidade.
Requisitos da FDA 21 CFR Part 11
Entre a lista de requisitos primordiais determinados pela FDA 21 CFR Part 11 estão:
- Criação de uma lista com indivíduos autorizados a acessar o sistema eletrônico.
- Desenvolvimento de procedimentos de verificação do sistema operacional.
- Construção de procedimentos de verificação de dispositivos.
- Elaboração de treinamentos e planos de capacitação para execução de tarefas dentro dos sistemas eletrônicos.
- Equipe de desenvolvimento dos sistemas bem preparada, com experiência e educação específica;
- Desenvolvimento de uma política de segurança dos sistemas eletrônicos;
Esses e outros requisitos são discorridos em cada uma das determinações específicas da regulamentação. Nesse sentido, a norma trabalha, acima de tudo, para que todos os procedimentos do sistema eletrônico sejam de fato seguros. Entre os fatores de segurança, um dos mais relevantes é a comprovação de que as pessoas que acessam o sistema realmente são quem dizem ser. Assim, as diretrizes da FDA 21 CFR Part 11 se desenvolvem da seguinte maneira:
01 – Validação do sistema
A validação se desenvolve a partir da documentação completa sobre o funcionamento desses sistemas eletrônicos. As organizações devem ter registros suficientes para comprovar a confiabilidade, integridade, disponibilidade e autenticidade dos registros e assinaturas.
Além disso, recomenda-se que as empresas façam um documento com avaliações de riscos documentadas e justificadas. Dessa forma, será possível criar planos de ação corretivos e preventivos que lidem com os riscos identificados, para que eles tenham o menor impacto negativo possível na qualidade e segurança do sistema.
Ademais, é importante que haja uma política específica para assinatura eletrônica, de maneira que os assinantes se responsabilizem por suas assinaturas eletrônicas; capacidade de registro e recuperação de dados; critérios de segurança de dados; controle sobre a origem dos dados e sobre o acesso de usuários e práticas de treinamento e capacitação.
02 – Trilha de auditoria
A trilha, ou registro, de auditoria, corresponde a procedimentos realizados para monitorar as atividades do sistema eletrônico. Assim, as organizações devem manter informações sobre esse sistema, como data, hora e sequência das atividades executadas. Essa etapa se torna ainda mais relevante quando os usuários fazem alterações em seus registros – com a trilha, será possível monitorar essas modificações e assegurar a confiabilidade das novas informações.
O sistema também precisa disponibilizar esse registro de auditoria, de forma que seja possível acessá-lo sempre que possível. Nesse momento, é interessante que as empresas tenham um maior cuidado com a auditoria das assinaturas, assim como procedimentos que protejam a empresa contra a ocorrência de assinaturas falsas. Para isso, cada pessoa deve ter apenas uma assinatura, e elas não podem ser usadas mais de uma vez.
Ademais, os sistemas pensar em maneiras de verificar a identidade dos usuários. Assim há a garantia de que a pessoa que está assinando é realmente quem ela diz ser. A lógica se estende para segurança biométrica, caso o sistema permita assinaturas biométricas.
03 – Cópias de registros
É importante que as empresas tenham cópias dos registros eletrônicos para que eles possam fazer o monitoramento do funcionamento pleno dos sistemas. Esses registros devem estar disponíveis durante inspeções e no momento de possíveis atualizações no sistema.
A norma indica que as empresas mantenham os registros em formatos impressos para inspeção e convertam e exportem essas cópias para formatos digitais (como PDF, por exemplo). Além disso, é recomendado que todas as cópias sejam exatamente iguais aos registros originais. Por fim, a FDA 21 CFR Part 11 define que a empresa regule o acesso a essas cópias de registro.
04 – Retenção de registros
A retenção de registros se refere aos procedimentos executados pelas organizações para controlar a identificação dos usuários que usam o sistema. Nesse sentido, a regulamentação determina que os sistemas tenham uma senha, um tempo de expiração dessas senhas e a possibilidade de recuperação do acesso;
Ademais, a organização deve documentar e construir procedimentos para documentar tentativas não autorizadas de acesso. Os tokens e cartões também devem ser testados frequentemente e os sistemas precisam ter opções para usuários que percam ou tenham seus dispositivos roubados, de forma que eles possam excluir as informações de seus antigos aparelhos.
Leia também: Erros e desafios da qualidade nas indústrias farmacêuticas
Objetivos da FDA 21 CFR Part 11
A qualidade dos produtos regulamentados e fiscalizados depende diretamente da qualidade de todos os procedimentos envolvidos no processo de produção. Portanto, se as empresas não tiverem um “guia” para adequarem seus sistemas eletrônicos conforme certos critérios de padronização, as chances de problemas de execução, vazamento de dados e até erros de processos aumentam consideravelmente.
Assim, é possível afirmar que o principal objetivo da FDA 21 CFR Part 11 é estabelecer procedimentos suficientes para que os sistemas digitais sejam seguros para os usuários (como clientes e colaboradores) e eficientes em suas funções. Isso tudo sem que haja restrição inconsistente do uso da tecnologia, aumento de custos ou desencorajamento na mentalidade de inovação.
Além disso, é possível citar como objetivos da FDA 21 CFR Part 11:
- Redução de erros de processos em sistemas eletrônicos;
- Garantia de segurança e confiabilidade dos dados;
- Rastreabilidade de produtos, dados e processos empresariais;
- Registro, transmissão e análise dos dados em tempo real (em todo o histórico de produção, armazenamento e distribuição dos produtos);
- Inovação e diferencial competitivo para a empresa.
Vantagens da FDA 21 CFR Part 11
A diminuição de descuidos nos procedimentos diretamente envolvidos com a segurança dos processos da organização gera vantagens suficientes para as empresas. Pensando especificamente na FDA 21 CFR Part 11, mais do que fugir de multas e sanções (no caso das empresas dos EUA), seguir as determinações dessa regulamentação é um ótimo caminho para garantir a qualidade e a segurança nos sistemas eletrônicos da empresa.
Nesse sentido, as principais vantagens de implementar a FDA 21 CFR Part 11 são:
- Diminuição de escândalos de vazamentos de dados, que desgastam a imagem da empresa.
- Maior produtividade dos colaboradores pela padronização e capacitação dos processos de sistemas eletrônicos.
- Maior segurança para stakeholders, especialmente para os clientes que disponibilizam seus dados.
- Redução de custos pela diminuição de retrabalho.
- Inviolabilidade dos registros eletrônicos.
Em resumo, os requisitos da FDA servem para garantir que as empresas (especialmente as dos EUA) envolvidas na produção de alimentos, medicamentos, cosméticos e outros produtos tenham sistemas eletrônicos seguros e eficientes. Com os parâmetros da norma, as organizações conseguem uma maior facilidade nas ações de recuperação e rastreamento de dados e se tornam mais confiáveis, principalmente para seus clientes.