FDA Part 11 vs. EU Annex 11: as diferenças que importam

Onde os dois se sobrepõem, onde divergem, e por que um sistema bem desenhado responde aos dois ao mesmo tempo.

21 CFR Part 11 (FDA) e EU GMP Annex 11 (EMA) são os dois frameworks de sistemas computadorizados que dominam o mundo farmacêutico desenvolvido. Quem opera só no Brasil convive com eles de longe, mas quem exporta — ou recebe inspeção internacional — precisa atender os dois. E há uma confusão comum: tratar Part 11 e Annex 11 como sinônimos porque "os dois são números 11". São próximos, sim. Idênticos, não.

Esse artigo destrincha as diferenças que importam na prática, e mostra por que um sistema bem desenhado contra os dois ao mesmo tempo é mais eficiente do que dois sistemas paralelos.

Origem e filosofia

Part 11 nasceu em 1997 nos EUA, focado em registros eletrônicos e assinaturas eletrônicas. É prescritivo: define controles específicos que precisam estar presentes (reauth, audit trail, significado da assinatura, etc.).

Annex 11 nasceu como parte do EU GMP, foi revisado em 2011, e é baseado em princípios. Não diz literalmente "use reauth"; diz "controles de acesso devem garantir que apenas pessoas autorizadas executem ações". O mesmo objetivo, com mais espaço de interpretação.

As 6 diferenças que importam

1. Escopo: registros vs. sistemas inteiros

Part 11 cobre registros e assinaturas eletrônicas. Annex 11 cobre sistemas computadorizados como um todo — inclui infraestrutura, fornecedor, ciclo de vida, gestão de mudança. Annex 11 é mais amplo.

2. Validação

Part 11 §11.10(a) menciona "validação" sem detalhar muito. Annex 11 traz capítulo dedicado (§4) e referencia Annex 15 (qualificação e validação). Pra atender Annex 11, validação documentada conforme GAMP 5 é praticamente obrigatória.

3. Assinatura eletrônica

Part 11 dedica §11.50, §11.70, §11.100, §11.200, §11.300 à assinatura — é o framework mais detalhado do mundo nesse aspecto. Annex 11 §14 trata em um parágrafo. Quem atende Part 11 atende Annex 11 nesse ponto, mas o inverso pode falhar.

4. Audit trail review

Annex 11 §9 menciona explicitamente que audit trails devem ser revisados. Part 11 §11.10(e) exige que existam, mas não explicita revisão periódica. Boa prática: revisar mesmo que Part 11 não cobre explicitamente.

5. Fornecedor

Annex 11 §3 trata fornecedores e prestadores de serviço — exige avaliação, contrato, eventual auditoria. Part 11 não tem cláusula equivalente direta. FDA cobre isso via 21 CFR 211 e via guidance.

6. Continuidade de negócio

Annex 11 §16 exige plano de continuidade pra processos críticos. Part 11 não menciona explicitamente — cobertura vem de 21 CFR 211.

Onde se sobrepõem completamente

• Audit trail automático e imutável
• Controle de acesso com identidade única
• Integridade de dados (ALCOA+ implícito ou explícito)
• Backup com restauração testável
• Assinatura eletrônica como equivalente legal
• Gestão de mudança

O que fazer na prática

A abordagem mais eficiente: desenhar o sistema contra os dois ao mesmo tempo, com rastreabilidade URS → cláusula → caso de teste documentada. O que parece complicado na verdade é simples: 80% dos controles atendem os dois automaticamente. Os 20% restantes são as 6 diferenças acima — você documenta como o sistema responde a cada uma e está coberto.

O NOAH OS foi especificado dessa forma desde o dia 1. Cada requisito tem rastreabilidade pra cláusula da Part 11, da RDC 658 e da Annex 11 que cobre. O VSR mostra, requisito por requisito, qual cláusula está sendo atendida. Isso transforma "atender os dois" em uma conta documentada, não em uma esperança.