Como continuación a nuestro análisis de los borradores publicados por la EMA el pasado 7 de julio de 2025, hoy vamos a someter a una «disección» técnica al documento que va a cambiar las reglas del juego para los departamentos de IT y Calidad: el nuevo Anexo 11 sobre Sistemas Computarizados.
Si somos sinceros, la versión de 2011 llevaba años pidiendo a gritos una actualización. Estaba redactada para una realidad de sistemas cerrados o infraestructuras locales (on-premise) que ya no encaja con la Industria 4.0. El nuevo borrador no es un simple lavado de cara; supone un rediseño regulatorio completo que eleva los sistemas computarizados de ser meras «herramientas de apoyo» a convertirse en activos críticos estrictamente controlados por las GMP.
A continuación, analizamos en detalle los cambios más disruptivos y su impacto operativo para la industria:
1. Un alcance tecnológico sin precedentes (y el peligro del «impacto indirecto»)
El primer gran golpe en la mesa del borrador es la redefinición de su alcance. Las agencias han metido en el radar tecnológico todo aquello que ya usamos pero que operaba en una cierta «zona gris» regulatoria.
El Anexo 11 ahora aplica explícitamente a:
- Infraestructuras y servicios en la nube en todos sus modelos: SaaS (Software as a Service), PaaS (Platform as a Service) e IaaS (Infrastructure as a Service).
- Aplicaciones móviles y tecnologías Blockchain.
- Internet de las Cosas Industrial (IIoT).
- Modelos estáticos de Inteligencia Artificial y Machine Learning.
Pero el detalle más crítico para nuestros inventarios de sistemas es este: ahora se incluyen explícitamente los sistemas con impacto indirecto sobre la calidad del producto o la integridad de los datos. Esto significa que sistemas que antes justificábamos dejar fuera del alcance de validación estricta, ahora requerirán una evaluación de riesgos formal y controles bajo el paraguas del Anexo 11.
2. La Nube y la falacia de externalizar el riesgo
Muchos fabricantes migraron al Cloud pensando que transferían parte del esfuerzo de validación y mantenimiento al proveedor. El borrador corta de raíz esta idea: puedes externalizar el servicio, pero la responsabilidad GMP es indelegable.
Esto nos obliga a replantear cómo cualificamos a nuestros proveedores tecnológicos. Ya no bastará con un cuestionario postal. El nuevo texto exige una cualificación basada en el riesgo y en los controles técnicos del proveedor, requiriendo Acuerdos de Nivel de Servicio (SLAs) robustos, auditorías exhaustivas y acuerdos de calidad muy bien atados.
3. Validación: Alineación con CSA, GAMP 5 y el Control de la Configuración
El enfoque de validación tradicional y documental deja paso a una visión de ciclo de vida mucho más alineada con los principios del Computer Software Assurance (CSA) y la última edición de la guía GAMP 5.
El borrador exige una validación basada en el riesgo que sea trazable y que ponga un foco absoluto en el control de las configuraciones, las interfaces entre sistemas y las actividades de migración de datos. El control de cambios también se endurece, requiriendo una evaluación de impacto profunda, pruebas basadas en riesgo y registros de cambios (logs) que estén integrados en el Audit Trail.
4. Ciberseguridad y Revisiones Periódicas Sistemáticas
Hasta ahora, la Revisión Periódica de un sistema a menudo se limitaba a comprobar que «seguía funcionando según lo previsto» y revisar los tickets de soporte. El nuevo borrador formaliza este proceso y le añade colmillos.
A partir de ahora, las revisiones periódicas programadas deben evaluar de forma obligatoria el estado de la ciberseguridad del sistema, el historial de incidentes y el rendimiento de los controles de integridad de datos. La seguridad física y lógica ya no es «cosa de IT», sino un requisito GMP auditable, exigiendo segregación de funciones, controles de acceso basados en roles y credenciales únicas.
5. Data Integrity hipervitaminado: Audit Trails y Backups
El control de los datos se vuelve microscópico. El borrador exige pistas de auditoría (Audit Trails) seguras, inalterables (tamper-evident), con sellado de tiempo y vinculadas inequívocamente al usuario. Además, refuerza enormemente la retención de los metadatos y la información contextual en los sistemas electrónicos e híbridos.
Respecto a las copias de seguridad (Backups), ya no vale con demostrar que el servidor hace una copia nocturna. Los procesos de backup deben estar validados, documentados y testeados regularmente. Y lo más importante: la restauración debe garantizar la recuperación completa no solo de los datos crudos, sino de todos sus metadatos asociados para asegurar la continuidad del negocio y el cumplimiento.
¿Por dónde empezamos? La hoja de ruta operativa
Adaptar nuestros Sistemas de Calidad Farmacéutica (PQS) a este nivel de exigencia va a requerir tiempo y recursos. Mis recomendaciones para empezar a mover ficha son:
1. Reevaluación del Inventario de Sistemas
Revisad vuestros listados para identificar aquellos sistemas IIoT, apps móviles o software de «impacto indirecto» que ahora caen bajo la lupa del Anexo 11.
2. Auditoría de Proveedores Cloud
Revisad todos los SLAs y contratos con proveedores SaaS/PaaS. ¿Tenéis garantizado el acceso a los datos y metadatos en caso de resolución de contrato? ¿Están auditados bajo estándares comparables a las GMP?
3. Sinergia total QA-IT
El personal debe tener la cualificación adecuada en «alfabetización digital» y formación obligatoria en integridad de datos. QA debe entender de ciberseguridad, e IT debe entender de impacto en la calidad del producto.
4. Simulacros de Restauración
Planificad pruebas de restauración de backups complejos verificando que los metadatos y los audit trails vuelven a estar 100% operativos tras la recuperación.
Este borrador marca un antes y un después. Ya no se trata de tener los papeles en regla, sino de dominar y gobernar nuestra infraestructura tecnológica con la misma precisión con la que controlamos la formulación de un medicamento.
¿Cómo de maduros veis vuestros sistemas híbridos y arquitecturas Cloud para afrontar estas nuevas expectativas regulatorias? ¿Consideráis que la industria está preparada para asumir la carga de validación de los sistemas de «impacto indirecto»?
Espero vuestros comentarios y reflexiones. Saludos y gracias por leerme.
Recurso gratuito
Gap Analysis EU GMP 2025 — Capítulo 4, Anexo 11 y Anexo 22 IA
Descárgate la herramienta editable en Excel + PDF y cruza los requisitos de la nueva regulación EU GMP con tu sistema de calidad en una sola tarde.
Artículos relacionados
Sobre el autor
Ingeniero con 25 años de experiencia en GMP, GDP y calidad farmacéutica. Fundador de cGMPs.net. Escribe sobre integridad de datos, cualificación, validación, auditorías y regulación en la industria farmacéutica.
Deja un comentario