A adoção de sistemas computadorizados nas Boas Práticas de Fabricação (BPF) evoluiu rapidamente, deixando de ser um suporte operacional para se tornar um pilar estratégico que sustenta integridade de dados, rastreabilidade, segurança do paciente e qualidade do produto. A definição das diretrizes aplicáveis a esses sistemas, estabelecida pela IN 134/2022 em complemento à RDC 658/2022, estabelece padrões rigorosos para validar aplicativos, qualificar infraestrutura tecnológica, estruturar controles robustos e implementar processos que assegurem confiabilidade total durante o ciclo de vida do sistema. A complexidade crescente das operações industriais exige que empresas compreendam profundamente os requisitos normativos, pois falhas relacionadas a dados corrompidos, registros inconsistentes, trilhas de auditoria incompletas ou acessos não autorizados podem comprometer processos críticos, aumentar riscos regulatórios e afetar diretamente o desempenho das etapas de fabricação.
A implementação correta desses requisitos depende de uma abordagem estruturada que integra validação, gestão de riscos, controles operacionais, segurança da informação, gestão de fornecedores, continuidade de negócios e cultura de qualidade. Os sistemas passam a ser tratados como componentes essenciais do processo de fabricação, onde a integridade de dados e a coerência das operações dependem da robustez da arquitetura tecnológica, do controle sobre as interfaces e da capacidade de monitoramento ativo dos registros, principalmente quando dados são utilizados para liberar lotes, registrar parâmetros críticos ou apoiar decisões de qualidade. Portanto, compreender como integrar os princípios da IN 134/2022 e da RDC 658/2022 torna-se indispensável para empresas que buscam operações confiáveis, auditáveis e preparadas para inspeções regulatórias.
A validação confirma que o sistema computadorizado desempenha suas funções de forma consistente, previsível, segura e rastreável, considerando requisitos definidos, riscos identificados e expectativas de desempenho. Todo sistema que executa atividades relacionadas às BPF precisa demonstrar confiabilidade operacional por meio de evidências objetivas. O processo deve incluir definição de requisitos do usuário, especificações funcionais e técnicas, matriz de rastreabilidade completa, testes integrados, avaliação de desempenho, registro de desvios, tratamento de erros e comprovação de que o sistema atende plenamente às necessidades de negócio. A validação considera todo o ciclo de vida, desde a concepção até a retirada de uso, garantindo que versões atualizadas, ajustes e configurações continuem atendendo às práticas de fabricação. A rastreabilidade dos requisitos precisa ser mantida para relacionar claramente necessidades do usuário, funcionalidades programadas e testes realizados, assegurando coerência entre o que se espera do sistema e o que foi entregue.
A infraestrutura de tecnologia da informação, que inclui servidores, redes, sistemas operacionais, bancos de dados e arquitetura de hardware, deve ser qualificada para garantir estabilidade, segurança e desempenho adequado aos aplicativos críticos. A infraestrutura é tratada como parte do sistema computadorizado e precisa demonstrar que seus componentes funcionam corretamente em condições operacionais reais. Essa qualificação deve considerar requisitos de disponibilidade, redundância, integridade de dados, mecanismos de proteção, políticas de segurança e capacidade de suportar picos de carga. A documentação da infraestrutura deve detalhar arquiteturas físicas e lógicas, fluxos de dados, integrações e requisitos mínimos para garantir funcionamento adequado. A qualificação é um pré-requisito essencial, pois falhas na infraestrutura podem comprometer aplicativos validados e causar interrupções no processo produtivo.
A empresa precisa manter inventário completo dos sistemas computadorizados relevantes para as BPF, indicando funcionalidades, integrações, tecnologias empregadas e critérios de criticidade. Esse inventário deve estar atualizado e acessível durante inspeções. Sistemas críticos exigem documentação mais detalhada, incluindo fluxos operacionais, requisitos de segurança, interfaces, dependências de infraestrutura, backups e configurações relevantes. Esse controle permite identificar rapidamente pontos vulneráveis e priorizar ações de manutenção ou atualização.
A gestão de riscos deve acompanhar todas as etapas do ciclo de vida do sistema computadorizado, considerando impacto na integridade de dados, segurança do paciente e qualidade do produto. A profundidade de validação e os controles implementados precisam ser proporcionais ao risco, sendo necessário documentar justificativas que embasem decisões técnicas. Essa abordagem evita esforço excessivo em sistemas de baixo risco e reforça controles em sistemas críticos, como aqueles utilizados em cálculo de dosagens, registro de parâmetros produtivos ou liberação de lotes. A avaliação deve considerar ameaças relacionadas a falhas de software, inconsistência de dados, acessos inadequados, configuração incorreta, integridade de trilhas de auditoria e riscos oriundos de interfaces entre sistemas.
A gestão de riscos não se limita ao momento da validação inicial. Ela deve ser aplicada continuamente à medida que sistemas são atualizados, substituídos, integrados a novos módulos ou expostos a novas funcionalidades. Alterações de configuração, mudanças de hardware, atualizações de versão ou integração com outros sistemas exigem reavaliação dos riscos, assegurando que o controle seja mantido e que a integridade de dados continue protegida. Essa abordagem contínua promove governança tecnológica consistente com as BPF.
O proprietário do processo é responsável por garantir que o sistema suporte adequadamente as atividades do processo produtivo, enquanto o proprietário do sistema administra disponibilidade, manutenção, segurança dos dados e conformidade operacional. Esses papéis precisam estar formalmente definidos com atribuições claras, evitando lacunas de responsabilidade que comprometam rastreabilidade ou controles críticos.
Fornecedores de software, hardware ou serviços relacionados devem ser avaliados quanto à competência, experiência, confiabilidade e capacidade de atender requisitos regulatórios. Essa avaliação pode incluir verificação de histórico, avaliação de documentação técnica, revisão de sistema da qualidade e, quando justificado por análise de risco, auditorias presenciais ou remotas. Documentos fornecidos por fabricantes de software comercial precisam ser avaliados por usuários qualificados, assegurando que requisitos do usuário sejam atendidos plenamente.
Contratos com fornecedores e prestadores de serviços devem estabelecer claramente responsabilidades, controle sobre dados, requisitos de suporte, acordos de confidencialidade e obrigações relacionadas à qualidade e segurança. A documentação de suporte, incluindo evidências de qualificações e auditorias do fornecedor, deve estar acessível durante inspeções sanitárias.
Qualquer troca de dados eletrônicos entre sistemas computadorizados deve incluir mecanismos de verificação que assegurem transporte correto, íntegro e seguro. Interfaces precisam ser validadas para confirmar que dados não são alterados inadvertidamente e que o sistema receptor interpreta corretamente cada elemento transferido.
Dados críticos inseridos manualmente, como parâmetros de processo, setpoints e limites operacionais, precisam de verificação adicional humana ou eletrônica. O objetivo é evitar erros de digitação que possam afetar diretamente a qualidade ou segurança do paciente. Esse controle deve considerar criticidade da informação e impacto potencial do erro.
Dados devem ser protegidos por meios físicos e eletrônicos que evitem danos, corrupção ou perda. Backups precisam ser realizados em ciclos definidos, armazenados de forma segura e testados regularmente para confirmar capacidade de recuperação. O acesso aos dados deve permanecer garantido por todo o período de retenção e controles de acesso devem impedir alterações não autorizadas.
Sistemas devem registrar alterações e exclusões de dados relevantes, mantendo data, hora, identificação do usuário e justificativa. Trilhas de auditoria devem ser revisadas regularmente, garantindo detecção precoce de falhas, tendências, acessos inconsistentes e comportamentos que indiquem fragilidades operacionais. Sua leitura deve ser clara, objetiva e compatível com exigências regulatórias.
O acesso deve ser restrito a pessoas autorizadas, com mecanismos que podem envolver senhas, autenticação multifatorial, cartões, controle físico ou biometria. A configuração de perfis deve refletir responsabilidades e competências, evitando acessos amplos, permissões duplicadas ou privilégios inadequados.
Sistemas devem registrar identidade dos usuários que criam, modificam, confirmam ou excluem dados, vinculando permanentemente cada ação ao registro correspondente. Esse registro é essencial para garantir rastreabilidade, identificar comportamentos anômalos e reforçar integridade operacional.
Assinaturas eletrônicas precisam ter equivalência funcional à assinatura manuscrita, conter data e hora, manter vínculo permanente ao registro e seguir requisitos locais de certificação quando usadas externamente. Essa equivalência fortalece a confiabilidade dos registros e reduz dependência de processos manuais.
Incidentes relacionados a sistemas computadorizados, incluindo erros de dados, falhas de interface, problemas de desempenho ou comportamento inesperado, devem ser registrados e analisados com profundidade. A causa raiz precisa ser identificada e integralmente tratada.
A análise de incidentes deve alimentar processos de ações corretivas e preventivas (CAPA), fortalecendo controles existentes, ajustando procedimentos, revisando requisitos e elevando maturidade tecnológica. A integração evita reincidências e promove melhoria contínua.
A empresa deve possuir medidas alternativas para assegurar continuidade dos processos críticos em caso de falhas de sistemas, como uso de registros manuais, sistemas redundantes ou mecanismos emergenciais validados previamente. Esses métodos precisam ser documentados e testados para garantir que possam ser implementados de forma eficaz quando necessário. A definição do tempo máximo aceitável para retomada das operações deve considerar riscos do processo e impacto sobre as BPF.
A implementação de sistemas computadorizados conforme as diretrizes da IN 134/2022 e da RDC 658/2022 transforma a forma como empresas industriais operam, elevando rigor, segurança e confiabilidade dos processos produtivos. A validação profunda, sustentada por gestão contínua de riscos, garante que sistemas funcionem de forma robusta durante todo seu ciclo de vida. A qualificação da infraestrutura, somada à gestão sistemática de fornecedores, cria ambiente tecnológico estável e auditável. A integridade de dados passa a ser parte fundamental da estratégia organizacional, protegida por trilhas de auditoria, políticas de segurança, controles de acesso e assinaturas eletrônicas equivalentes à manuscrita. A gestão de incidentes, integrada à continuidade de negócios, assegura que sistemas críticos sustentem a operação sem interrupções inesperadas. Dessa forma, sistemas computadorizados deixam de ser ferramentas auxiliares e tornam-se pilares essenciais das BPF, contribuindo para processos mais consistentes, produtos mais seguros e maior confiabilidade regulatória.
