EU GMP Annex 11: os 17 itens que toda farma brasileira deveria saber

Mesmo quem não exporta pra Europa é cobrado por parte deles — porque o Annex 11 virou referência global de sistemas computadorizados GxP.

O EU GMP Annex 11 ("Computerised Systems") é um documento curto — pouco mais de 4 páginas — mas com peso enorme. Ele é o que o auditor PIC/S e o auditor europeu usam pra avaliar sistemas computadorizados, e virou referência global. A RDC 658/2022 brasileira é fortemente alinhada com ele. O 21 CFR Part 11 americano cobre o mesmo terreno por outra lente. Quem entende Annex 11 entende o esqueleto comum dos três frameworks.

Esse artigo lista os 17 itens principais do Annex 11 em português acessível, com referência cruzada à RDC 658 e à Part 11. Não é tradução literal — é interpretação prática pra quem precisa aplicar.

Princípios gerais

O documento começa estabelecendo que sistemas computadorizados não devem reduzir a qualidade do produto, controle de processo ou garantia da qualidade. Risco-baseado, ALCOA+ implícito, e validação documentada são premissas. Isso ecoa em RDC 658 e Part 11.

1. Risk management (Gestão de risco)

Risco aplicado a todo o ciclo de vida do sistema. ICH Q9 é a referência. Sistemas de maior impacto exigem controles proporcionalmente mais rigorosos.

2. Personnel (Pessoal)

Cooperação entre QA, TI e usuários. Treinamento adequado e responsabilidades claras.

3. Suppliers and Service Providers (Fornecedores)

Quando o sistema é de terceiros, o fornecedor é avaliado por critérios de qualidade. Auditoria de fornecedor pode ser necessária. Contrato formal recomendado.

4. Validation (Validação)

Validação documentada, baseada em risco, cobrindo URS, especificação, qualificação. Estado validado mantido sob controle de mudança.

5. Data (Dados)

Entrada manual versus eletrônica, exatidão, controles pra evitar erros. Onde dados críticos são inseridos manualmente, verificação adicional pode ser necessária.

6. Accuracy Checks (Verificações de exatidão)

Para dados críticos, verificações automáticas ou independentes pra confirmar exatidão.

7. Data Storage (Armazenamento de dados)

Proteção contra dano (físico ou eletrônico). Acessibilidade, legibilidade e exatidão durante todo o período de retenção. Backup regular.

7.1 Backup (Cópia de segurança)

Verificação periódica de integridade e capacidade de restauração. Backup não testado não conta. Este é o item mais cobrado em inspeção europeia.

8. Printouts (Impressões)

Cópias impressas precisam indicar se há alteração desde a impressão. Para registros eletronicamente armazenados, é possível imprimir um print "lido" com indicador de alteração posterior.

9. Audit Trails (Trilhas de auditoria)

Trilhas pra criação, alteração e deleção de dados GMP-críticos. Geradas automaticamente, com timestamp confiável. Revisadas como parte da revisão dos dados. Reflete §11.10(e) do Part 11.

10. Change and Configuration Management (Gestão de mudança e configuração)

Mudanças sob controle formal, com avaliação de impacto, aprovação, e re-validação se necessário.

11. Periodic Evaluation (Avaliação periódica)

Sistema deve ser avaliado periodicamente pra confirmar que continua válido e está em conformidade.

12. Security (Segurança)

Controles físicos e lógicos pra prevenir acesso não autorizado. Cada usuário com identidade única. Senhas, biometria, ou outras formas conforme risco.

12.4 Audit Trail of Access

Tentativas de acesso (incluindo as negadas) precisam ser registradas pra dados críticos.

13. Incident Management (Gestão de incidentes)

Incidentes que afetem a integridade de dados ou o estado validado precisam de registro, investigação, ação corretiva. Conexão direta com CAPA.

14. Electronic Signature (Assinatura eletrônica)

Quando usada, assinatura eletrônica precisa ser equivalente legal à manuscrita. Permanentemente vinculada ao registro. Inclui hora e data. Alinha com §11.50 e §11.200 da Part 11.

15. Batch Release (Liberação de lote)

Quando sistema computadorizado é usado pra liberar lote, deve permitir que apenas a pessoa autorizada (QP) execute a ação, com identificação inequívoca.

16. Business Continuity (Continuidade de negócio)

Para processos críticos suportados por sistemas computadorizados, planos de contingência. Para garantir que dados continuam disponíveis em caso de falha. Testes regulares.

17. Archiving (Arquivamento)

Dados arquivados devem ser checados para acessibilidade, legibilidade e integridade. Se alterações tiverem que ser feitas a sistemas (ex.: hardware ou software), capacidade de recuperar dados precisa ser garantida.