LA VALIDAZIONE DEI SISTEMI INFORMATICI GESTIONALI IN CONFORMITA’ CON IL CFR 21 PART 11
I processi di validazione in ambito MedicaleIl mondo FDA

LA VALIDAZIONE DEI SISTEMI INFORMATICI GESTIONALI IN CONFORMITA’ CON IL CFR 21 PART 11

Il CFR 21 Part 11 è un regolamento della FDA (Food and Drug Administration) che stabilisce i requisiti relativi all’uso di registri e firme elettroniche all’interno dei Sistemi Informatici utilizzati nei settori regolamentati dalla FDA quali: produttori di farmaci, produttori di dispositivi medici, aziende biotecnologiche, sviluppatori di prodotti biologici, CRO e altre organizzazioni regolamentate dall’ente americano.

Storicamente i documenti di registrazione in tali settori venivano conservati in formato cartaceo e recavano firme autografe che attestavano l’origine e la validità dei dati. Sebbene sia possibile falsificare una firma autografa, esse sono a tutt’ oggi generalmente considerate altamente affidabili in quanto è difficile confutare un documento recante la propria firma  e, a meno di non distruggere completamente i documenti, qualsiasi tentativo di modificare i dati o le firme può solitamente essere individuato facilmente

Con il sempre maggior utilizzo di registrazioni di tipo elettronico il problema è diventato quello di garantire, a tali tipologie di archiviazioni, lo stesso livello di affidabilità offerto dai registri cartacei in quanto, per loro stessa natura, i registri elettronici potrebbero essere modificabili sia deliberatamente che accidentalmente. Pertanto il regolamento CFR 21 Part 11 stabilisce i requisiti della FDA per la gestione dei documenti elettronici in modo accettabile.

I punti salienti di tale regolamento relativi ai documenti ed alle firme elettroniche riguardano:

  1. Integrità ed Affidabilità nei Dati : i record elettronici devono garantire lo stesso livello di affidabilità, integrità e completezza dei documenti cartacei firmati manualmente. È necessario quindi che siano protetti da modifiche non autorizzate e conservati in modo sicuro per tutto il tempo richiesto, assicurando che siano sempre accessibili agli utenti autorizzati
  2. Tracciabilità delle Modifiche : è obbligatorio che ogni modifica significativa apportata ai dati regolamentati venga automaticamente registrata attraverso un audit trail. Questo tracciato deve riportare l’identità dell’utente, la data e l’ora dell’operazione, nonché la natura del cambiamento. Inoltre, l’audit trail deve essere sicuro, non modificabile e facilmente consultabile durante ispezioni o verifiche interne
  3. Firma Elettronica : Le firme elettroniche devono essere legalmente equivalenti a quelle manoscritte. Ogni firma deve essere associata in modo univoco a un individuo e richiedere un sistema di autenticazione basato su ID e password. La firma deve essere collegata in maniera permanente al record firmato, impedendone l’alterazione o il trasferimento non autorizzato
  4. Controlli di Accesso : é fondamentale che l’accesso ai dati elettronici sia strettamente controllato mediante sistemi di autenticazione individuale. Ogni utente deve accedere con un proprio account e password, e devono essere impostate restrizioni di accesso in base ai ruoli. Devono inoltre essere previsti meccanismi per bloccare gli accessi non autorizzati e gestire le password in maniera sicura
  5. Conservazione e Disponibilità : I record elettronici devono essere conservati per il periodo richiesto dalle normative applicabili e devono restare accessibili in qualsiasi momento. La conservazione deve avvenire in un formato leggibile e sicuro, in modo da garantire l’integrità dei dati e la loro disponibilità per le autorità di controllo
  6. Responsabilità e Formazione : Tutti gli utenti che interagiscono con sistemi soggetti al CFR 21 Part 11 devono essere adeguatamente formati. Inoltre, devono esistere procedure operative documentate (SOP) che regolamentano l’utilizzo del sistema. È importante che vi sia tracciabilità delle responsabilità e che il personale comprenda appieno i requisiti regolatori e le implicazioni del proprio operato

In particolare il regolamento CFR 21 part 11 richiede che qualsiasi Sistema Informatico, che gestisca record elettronici regolamentati, deve essere validato, cioè sottoposto a una serie di verifiche documentate per dimostrare che opera in maniera corretta, ripetibile e conforme ai requisiti previsti. La validazione rappresenta la base per garantire che il sistema sia affidabile nel tempo e adatto all’uso previsto.

È quindi importante effettuare un Processo di Validazione che riguarda non solo i Dispositivi Medici software commercializzati e che contengono aspetti informatici di registrazione elettronica ( sia applicazioni di tipo firmware / embedded  sia di tipo SaMD stand alone) ma anche, ad esempio, quei sistemi gestionali (ERP, MRP) che supportano i processi di produzione, controllo qualità e tracciabilità dei prodotti medicali e che sono generalmente oggetto del requisito 4.1.6 della UNI EN ISO 13485: 2021

La Validazione di un Sistema Informatico gestionale

I processi di qualifica che generalmente sono effettuati da un Utilizzatore  e che sono quelli che dovrebbero soddisfare il punto 4.1.6 della ISO 13485 risultano essere:

Installation qualification (IQ) che serve a verificare che l’applicazione sia stata installata correttamente e che tutta la documentazione necessaria (ad esempio manuali utente, istruzioni di lavoro, procedure di backup, ecc.) sia corretta e disponibile per gli utilizzatori

Operational qualification (OQ) che serve a verificare che le funzionalità / operazioni acquisite siano conformi alle aspettative dell’utilizztore  sia in termini di operatività, sia in termini di altri fattori quali ad esempio l’usabilità: inoltre viene valutata la coerenza  con la documentazione d’uso rilasciata.

Performance qualification (PQ) che serve a verificare che il sistema software  si comporti, in termini prestazionali, come previsto

Il primo passo è quello di individuare quali moduli / famiglie di operazioni del Sistema ERP/MRP potrebbo essere coinvolti nell’azione di Convalida perchè comportano delle registrazioni elettroniche Es:

  1. Produzione e Tracciabilità con Batch record elettronici , Tracciabilità dei lotti, Ordini di produzione e di acquisto,  distinta base, Registrazione dei parametri di processo
  2. Gestione Materiali e Magazzino con Movimentazioni materiali , Controlli di qualità in ingresso, Codici a barre, RFID, Tracciabilità di dispositivi e componenti
  3. Controllo Accessi e Sicurezza con Autenticazione utenti , Ruoli e permessi, Logging delle attività utente
  4. Manutenzione dei Prodotti : con Programmazione e registrazione delle manutenzioni
  5. Gestione della Formazione: con Monitoraggio della formazione del personale, Qualifica degli operatori per ruoli regolamentati, Registrazione delle sessioni formative
  6. Gestione Documentale : con Controllo documentale, Revisione e approvazione di SOP, specifiche, piani di qualità, Firma elettronica per approvazione documenti
  7. Gestione della Qualità : con Registrazione e tracciabilità di Non Conformità, Azioni Correttive e Preventive, Audit interni, Reclami e segnalazioni post-marketing, Gestione dei fornitori e qualifiche

Installation Qualification (IQ) – Validazione in accordo con il CFR 21 Part 11

L’Installation Qualification (IQ) ha lo scopo di verificare che il sistema ERP/MRP sia installato correttamente, rispettando le specifiche tecniche e le condizioni operative definite (hardware, software, ambiente, sicurezza). È il punto di partenza essenziale per garantire che il sistema possa supportare, in modo affidabile e controllato, la gestione di record e firme elettronici richiesti dal CFR  21 Part 11

Durante la fase di IQ, vengono esaminati e verificati tutti gli elementi tecnici e infrastrutturali che supportano il sistema ERP/MRP. Questo permette di accertare che l’ambiente in cui opera il sistema sia idoneo a garantire la tracciabilità, la sicurezza e la conformità normativa dei dati elettronici verificando  :

  • che l’ambiente hardware e software su cui viene installato il sistema sia coerente con i prerequisiti indicati dal fornitore
  • che il sistema installato corrisponda esattamente alla versione eventualmente già validata dal fornitore
  • che il Data Base sia installato correttamente e protetto, siano configurate le routine di backup automatici, l’integrità dei dati sia garantita
  • che i Controlli di Accesso garantiscano la sicurezza e la tracciabilità
  • che sia abilitato il tracciamento Audit trail di tutte le modifiche critiche ai dati e alle configurazioni del sistema
  • la funzionalità della firma elettronica
  • che siano definite operazioni automatiche di Backup e Ripristino

Operational Qualification (OQ) – Validazione operativa legata al CFR 21 Part 11

L’obiettivo della OQ è quello di  verificare e documentare che tutte le funzioni critiche del sistema, rilevanti per la conformità al CFR 21 Part 11, operino correttamente secondo le specifiche stabilite. I test si concentrano sulle funzionalità configurate, le regole di sicurezza, l’accesso controllato, la tracciabilità e l’uso delle firme elettroniche. Principali aree da testare nella OQ :

  • Gestione accessi e autenticazione
  • Verifica che le autorizzazioni assegnate a ciascun ruolo limitino correttamente l’accesso alle sole funzionalità necessarie
  • Verifica che il sistema tracci tutte le operazioni critiche: creazione, modifica, eliminazione dati ecc. e che l’Audit Trail non sia modificabile o cancellabile
  • Verifica della correttezza delle firme elettroniche
  • Test della non perdita o corruzione di dati e che non sia possibile modificarli  una volta firmati o chiusi univocamente
  • Gestione di revisioni, versioni e controllo documentale il che significa che ad esempio procedure, lotti, ricette, ecc. generino una nuova versione
  • Test dei backup programmati, inclusa la corretta esecuzione e archiviazione

Performance Qualification (PQ) – Validazione prestazionale legata al CFR 21 Part 11

L’obiettivo della PQ è quello di  verificare e documentare che il sistema ERP/MRP, utilizzato dal personale nel suo ambiente reale e con configurazione definitiva, svolga in modo efficace e conforme le sue funzioni critiche, in particolare quelle connesse ai record elettronici e alle firme elettroniche previste dal regolamento. Principali aree da testare nella PQ :

  • Gli utenti designati (es. operatori di produzione, qualità, supply chain) eseguono le attività previste nei flussi reali (es. emissione di ordini, gestione di lotti, verifica qualità). Ogni azione deve generare evidenza tracciabile tramite audit trail e, se richiesto, essere completata con firma elettronica
  • Si verifica che le firme elettroniche apposte siano autenticate in modo sicuro, legate in modo permanente al record firmato, non riutilizzabili o trasferibili, secondo quanto richiesto dalla normativa.
  • Simulazione di situazioni anomale quali interruzione di connessione, tentativi di accesso non autorizzato, errori nella firma: il sistema deve rispondere in modo sicuro e conforme ed i dati non devono risultare corrotti o incompleti.
  • Tutti i documenti devono essere firmati, datati, accessibili ma non modificabili senza tracciamento
  • Simulazione del ripristino da backup : i dati devono continuare ad essere corretti, completi e firmati come in origine.

Conclusioni – Validazione dei Sistemi ERP/MRP secondo il 21 CFR Part 11

La conformità al 21 CFR Part 11 rappresenta un requisito essenziale per tutti i sistemi che gestiscono record elettronici e firme elettronici nel contesto regolamentato dalla FDA. Per i produttori di Dispositivi Medici, questo si traduce nella necessità di dimostrare – attraverso un processo di validazione strutturato – che i sistemi ERP/MRP impiegati nella gestione della produzione, qualità e tracciabilità siano affidabili, sicuri e coerenti con i requisiti normativi.

L’efficacia della validazione non dipende solo dalla tecnologia adottata, ma anche dalla qualità della documentazione prodotta, dalla formazione degli utenti, e dall’adozione di procedure operative coerenti con il sistema informatico.

In definitiva, la validazione di un sistema ERP/MRP secondo il  CFR 21 Part 11 non è soltanto un adempimento regolatorio, ma un pilastro fondamentale per garantire affidabilità, integrità e sicurezza delle informazioni in tutti i processi legati alla produzione e al controllo qualità dei Prodotti medicali Una validazione ben condotta rappresenta quindi non solo una tutela per l’organizzazione, ma anche un segnale di responsabilità nei confronti della salute pubblica.

GRAZIE PER L’ATTENZIONE

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Negli ultimi tempi mi sto occupando soprattutto di Sistemi Integrati, di Marcature CE e di Dispositivi Medici su tematiche che riguardano la Validazione del Software per ISO13485, Regolamenti FDA, MDR , ANNEX 11 e GAMP Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Recommended For You

Il mondo FDAL'intelligenza Artificiale nel Mondo Medicale

L’APPROCCIO FDA PER L’UTILIZZO DELLA INTELLIGENZA ARTIFICIALE IN AMBITO MEDICALE

De Martino Antonio
De Martino Antonio26 Giugno 2025
I processi di validazione in ambito MedicaleLa gestione dei Dati in ambito medicale

MODALITÀ DI VALIDAZIONE DI UN DATABASE CLINICO

De Martino Antonio
De Martino Antonio18 Marzo 2024
I processi di validazione in ambito Medicale

LA VALIDAZIONE DI UNA APPLICAZIONE PLC NEL MONDO MEDICALE

De Martino Antonio
De Martino Antonio10 Settembre 2023

Leave a Reply