GAMP 5 (2ª edição): o que mudou e como afeta seu eQMS

A nova versão modernizou o framework de CSV — com foco em risco, agilidade, ciclo de vida iterativo e CSA. O que isso muda na prática.

A 2ª edição do GAMP 5 (publicada pela ISPE em 2022) atualizou um framework que dominou validação de sistemas computadorizados por mais de uma década. A mudança não foi cosmética: ela reconhece que o software de 2022 é construído de forma diferente do de 2008 — com nuvem, DevOps, integração contínua, atualizações frequentes — e que a abordagem de validação precisa acompanhar.

Pra quem está escolhendo eQMS hoje, ou revalidando um existente, entender o que mudou é fundamental. Esse artigo cobre as 5 mudanças que mais afetam farma de médio porte brasileira.

1. Foco em risco-para-o-paciente, não em risco-para-o-fornecedor

A 1ª edição já trazia abordagem baseada em risco, mas na prática muito esforço era dedicado a riscos do projeto (cronograma, fornecedor, integração). A 2ª edição reforça que o risco que importa é o risco para o paciente e para a integridade do dado. Isso significa priorizar testes onde uma falha afetaria diretamente segurança, eficácia ou rastreabilidade — e ser mais leve onde o risco é puramente operacional.

Na prática: menos casos de teste exaustivos pra tudo, mais testes focados onde a falha tem consequência regulatória ou clínica.

2. CSA — Computer Software Assurance

O FDA publicou em 2022 o draft guidance "Computer Software Assurance for Production and Quality System Software" (CSA). A 2ª edição do GAMP 5 está alinhada com essa abordagem. CSA é uma evolução do CSV tradicional: enfatiza pensamento crítico, teste sem script (exploratory testing), automação de testes, e proporcionalidade ao risco.

O ponto chave: você não precisa documentar exaustivamente cada clique pra ter validação aceitável. Precisa demonstrar que o sistema foi rigorosamente testado nos pontos críticos, com método e justificativa. Isso reduz o overhead de documentação em sistemas de baixo a médio risco.

3. Ciclo de vida iterativo é reconhecido

A 1ª edição assumia waterfall implicitamente: URS → FS → DS → IQ → OQ → PQ. A 2ª edição reconhece formalmente que software moderno é desenvolvido em ciclos iterativos (agile, DevOps, etc.) e que a validação pode acompanhar — desde que cada release atravesse os controles apropriados.

Isso é uma legitimação importante. Antes, fornecedor que entregava update mensal corria risco de "perder" o estado validado. Agora, com processo de controle de mudança baseado em risco bem desenhado, é possível manter validação contínua sem revalidação completa a cada release.

4. Categorias GAMP 5 atualizadas

As categorias clássicas (1, 3, 4, 5) foram mantidas mas com guidance mais clara:

• Categoria 1: infraestrutura — sistema operacional, banco de dados padrão.
• Categoria 3: produto pronto, sem configuração relevante.
• Categoria 4: produto configurável (a grande maioria dos eQMS modernos cai aqui).
• Categoria 5: desenvolvimento sob medida (código customizado).

A 2ª edição reforça que a categoria define o esforço, não o passo-a-passo rígido. Um Cat 4 bem configurado pode ter validação mais leve que um Cat 3 mal escolhido.

5. Fornecedor é parte do processo

A 2ª edição enfatiza ainda mais a importância de aproveitar o trabalho do fornecedor. Se o fornecedor entrega URS, análise de risco, IQ e OQ executados com evidência documentada (como o NOAH faz), o cliente não precisa refazer — pode reusar e focar no PQ específico do ambiente. Isso é o que viabiliza o conceito de "validado de fábrica".