Webinar Gratuito:

ISPE Brasil e UNIFAR

"Validação de Sistemas Computadorizados e Integridade de Dados/Data Integrity (ID/DI)”
São Paulo, 12 de maio de 2023
Q&A
Rômulo Carneiro Hamamoto do Nascimento 09:27 AM
O artigo nº 4 da IN 134 não é demasiadamente amplo quanto à definição de sistema
computadorizado? Não me obriga incluir no inventário equipamentos simples e até alguns
instrumentos? Obrigado
Este artigo está conforme a definição estabelecida no GAMP5. Ela pode ser ampla, entretanto a
gama de tipos de softwares /aplicativos que são considerados sistemas computadorizados deve
estar avaliada e mapeada pela empresa. Por isto que o inventário de sistemas computadorizados
que contemple todos os sistemas da empresa e que contenha todas as informações relevantes
é importantíssimo.
Destaca-se que a avaliação do sistema computadorizado deve levar em conta os seguintes
critérios:
- O impacto do sistema na segurança do paciente, na qualidade do produto e na integridade de
dados (avaliação de risco);
- A complexidade do sistema e sua inovação (arquitetura e categorização dos componentes do
sistema);
- O resultado da avaliação do fornecedor (capabilidade);
- O impacto do sistema nos negócios (também pode motivar o escalonamento).

Claudemir Santos 09:30 AM

Sistemas de TI precisam ser validados, por exemplo: sistemas de gerenciamento de senha,
gerenciamento de servidores, gerenciamento de inventário, gerenciamento de acesso, etc.?
Se as aplicações forem classificadas como categoria 1 conforme o GAMP5, e se o processo de
avaliação da empresa indicar que o mesmo possui impacto BPx então evidência deve ser
demonstrada que o software é adequado para o uso pretendido – consultar o Guia para
Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1, item 12.3.1 e o GAMP 5
Appendix M4 – Categories of Software and Hardware.

Ana Belmonte 09:32 AM

Com o conceito de sistemas computadorizados, um firmware é considerado um sistema
computadorizado? Posso avaliar este quanto a integridade de dados, avaliar os impactos e não
aplicar esforço de CSV e sim de uma simples qualificação?
Somente o firmware não – consultar a definição de sistema computadorizado no Guia para
Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1, item 4.2.7 e o GAMP 5.
Neste caso, os requerimentos de validação de sistema (verificar quais são aplicáveis - ex.:
controle de acesso, senhas, audit trail, etc) devem ser considerados durante a qualificação do
equipamento, visto que o Firmware é um “Conjunto de instruções operacionais programadas
diretamente no hardware de um equipamento eletrônico” (item 16 do guia), não sendo possível
dissociar o “software” do equipamento.
Lembrando que a avaliação nos requisitos de integridade de dados, a avaliação pode ser mais
ampla e focada no processo como um todo, não se concentrando exclusivamente no
equipamento/sistema.

Vitor Almeida 09:32 AM

A categorização de software, se aplica a planilhas eletrônicas?
Sim – consultar o Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 – versão
1, item 14 e o GAMP 5 Appendix S3 – End User Applications Including Spreadsheets.
As planilhas são tratadas com detalhes no Guia nº 33/2020, podendo ser complementada a
referência com o documento “GAMP 5: A Risk-Based Approach to Compliant GxP Computerized
Systems” do ISPE (International Society for Pharmaceutical Engineering). Devido ao avanço da
ciência da computação, elas podem ser enquadradas nas categorias 3, 4 e 5, de acordo com a
sua complexidade, cabendo assim uma abordagem de validação adequada à categoria da
planilha, conforme preconizado nos referidos documentos.

Rogério Santana 09:34 AM

Para aquisição de novos softwares, inicialmente devo escrever a ERU e após a aquisição de fato
seguir para a ARI, ou adquirir o sistema primeiro e depois elaborar a ERU e seguir para a ARI
protocolos e demais documentos?
Consultar o Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1,
item 9.1, figura 4 e o GAMP 5 Life Cycle Approach.

Cabe destacar que a ERU que definirá quais os requisitos que seu software deve atender.

Ana Belmonte 09:36 AM

Recebi um artigo recente da ISPE com o título: Transitioning from CSV to CSA: Taking a More
Risked-Based Approach. Poderia comentar um pouco sobre esta abordagem? Já é o que vem
sendo praticado sobre abordagem baseada no risco, na racionalidade, de se testar as
funcionalidades críticas, etc. ou é alguma tendência nova?
CSV é frequentemente visto como uma atividade que é realizad o principalmente para garantir
evidências para inspetores e não como uma prática que agrega valor para garantir a qualidade
dos sistemas. Já o CSA muda o foco de documentação para pensamento crítico e teste (isto não
quer dizer que documentação de validação não será gerada, mas que testes baseados no nível
de risco apropriado serão executados, assim como a documentação mínima requerida). Isto
agrega valor à empresa, visto que testes com o devido nível de desafio (de testes sem script a
testes com scripts robustos) são executados, evitando desta forma retrabalhos/revalidações
devido a bugs/defeitos que não foram identificados durante a validação, além de focar os
esforços em funcionalidades identificadas como críticas, seja do ponto de vista de qualidade
quanto de negócio.
O objetivo final dos testes deve ser sempre a redução de defeitos antes do sistema entrar em
operação e a abordagem pelo CSA acelera isso em suporte à segurança do paciente, qualidade
e integridade dos dados.
Consultar o guia do ISPE Data Integrity by Design Appendix S2 – Computer Software Assurance

Frank C. Oliveira 09:37 AM

Considerando que os sistemas da T.I. fazem parte da Infraestrutura de sustentação dos sistemas
validados suportando processos como Backup e Restore podemos mesmo afirmar que eles não
serão validados? Nem mesmo na QI ou na verificação dos processos de Backup e Restore?
Se as aplicações forem classificadas como categoria 1 conforme o GAMP5, e se o processo de
avaliação da empresa indicar que o mesmo possui impacto BPx então evidência deve ser
demonstrada que o software é adequado para o uso pretendido – consultar o Guia para
Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1, item 12.3.1 e o GAMP 5
Appendix M4 – Categories of Software and Hardware.

Fabiana Machado 09:37 AM

Quais os principais benefícios do uso do conceito de CSA na indústria?
Seguem alguns benefícios:
 Redução de bugs/defeitos uma vez em produtivo
  Redução no tempo de implementação
 Otimização de recursos
 Abordagem baseada em risco (Riscos altos)
 Sem necessidade de testes detalhados para funcionalidades com baixo risco

Vitor Almeida 09:39 AM

É obrigatório ter escrito na documentação de validação, qual a categorização do software?
Mesmo, sendo feita uma validação completa, desde o PVS, AR, QI, QO, QD, RFV?
Não é obrigatório, mas consta no Guia para Validação de Sistemas Computadorizados Guia nº
33/2020 – versão 1, item 9.2.2.5 e no GAMP 5 Appendix M1 – Validation Planning.

Débora Reinoso 09:40 AM

É obrigatório termos um contrato ativo e estabelecido para suporte técnico/manutenção do
sistema computadorizado ao longo do ciclo de vida quando não temos mão de obra interna ou é
aceitável contratarmos o suporte somente em caso de manutenção corretiva via requisição de
compra?
Não há requerimento regulatório que obrigue um contrato ativo, entretanto considerar a execução
das atividades do ciclo de vida do sistema que contemplem a avaliação do fornecedor e as
atividades a serem implementadas para suporte do mesmo durante a fase operacional, conforme
avaliação de risco - vide Guia para Validação de Sistemas Computadorizados Guia nº 33/2020
– versão 1, item 9.4 e 11 e o GAMP 5 Appendix M2 – Supplier Assessment e Appendix O6 –
Operational Change and Configuration Management .

Gregory Santos 09:40 AM

Em caso de atualização de um sistema validado, é mandatório uma nova validação completa
para a nova versão do mesmo ou depende das mudanças que a nova versão trouxer (em caso
de uma atualização para troubleshooting/patch de correção, por exemplo)?
A revalidação deve ser baseada no risco da atualização/patch. Geralmente, os fornecedores de
sistemas computadorizados emitem um “Release Notes” para que os clientes possam avaliar os
possíveis impactos devido à mudança.

Ana Belmonte 09:41 AM

Para produtos cosméticos, qual a aplicação dos esforços de CSV?
Não sou do ramo cosmético, entretanto seguiria com a metodologia GAMP 5, visto que esta
metodologia é amplamente utilizada e reconhecida mundialmente. O Guia para Validação de
Sistemas Computadorizados Guia nº 33/2020 – versão 1 pode ser seguido como referência local
(Anvisa), visto que o GAMP 5 foi utilizado como referência.
Independente da área de Ciências da Vida a qual o sistema está associado, toda vez que temos:
- impacto do sistema na segurança do paciente, na qualidade do produto e na integridade dos
dados, o sistema deve ser validado.

Ana Belmonte 09:42 AM

Revisões periódicas de audit trail, como identificar a necessidade/aplicabilidade e determinar um
racional para tais revisões? São mandatórias?
A necessidade/aplicabilidade deve ser conforme o artigo 33, § 1º da IN 134 descreve que “Para
alteração ou exclusão de dados relevantes para as Boas Práticas de Fabricação, a razão deve
ser documentada.”, portanto, avaliar quais alterações ou exclusões de dados relevantes em
sistemas computadorizados a empresa possui em seus processos, levando em consideração a
RDC 658.
Em relação a ser mandatória, o artigo 33, § 3º da IN 134 descreve que “As trilhas de auditoria
devem ser revisadas regularmente.”, portanto utilizar uma abordagem baseada em risco para
estabelecer esta frequência.
Ari Francisco Moreira 09:42 AM
Sistemas de PBM precisam ser validados?
Realizar a avaliação de risco inicial conforme o processo da empresa para verificar se o sistema
é regulado pelas BPx – consultar o Guia para Validação de Sistemas Computadorizados Guia nº
33/2020 – versão 1, item 6.3.1 e o GAMP 5 Quality Risk Management.

Vitor Almeida 09:44 AM

Caso o software não tenha passado por nenhuma mudança, em um período, por exemplo, de 3
anos, devo refazer toda validação? Ou posso fazer uma análise periódica e optar por repetir
apenas os testes de Qualificação de Desempenho?
Não é necessário revalidar o sistema, vide artigo 35 da IN 134. Seguir conforme o item 11.9 do
Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1 e o GAMP 5
Appendix O8 – Periodic Review.

Rodrigo Silva 09:46 AM

Quando o fornecedor faz a qualificação e validação do equipamento, também o faz do software;
nestes casos há a necessidade de ser realizada a validação do software para a aplicação deste
na rotina do laboratório?
O fornecedor realiza testes de desenvolvimento para as funcionalidades, enquanto a validação
deve ser realizada para o uso pretendido estabelecido da empresa (URS). Lembre-se que a
validação do sistema não cobre somente testes funcionais, há também procedimentos e
documentos de suporte que devem ser verificados. O que pode ser realizado é a utilização da
documentação do fornecedor para diminuir os esforços de validação, dependendo do nível de
qualidade do fornecedor.

Débora Reinoso 09:49 AM

Quando o fornecedor além de fornecer o software, também realizada a validação do sistema,
posso utilizar? Ou seria tratado como conflito de interesse?
Idem resposta anterior.

Daniela Vidal Teixeira 09:49 AM

Um software para datalogger é embarcado ou é considerado de categoria1?
Verificar as definições de cada categoria e em qual se encaixa o software para datalogger -
consultar o Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1,
item 7.3 e o GAMP 5 Appendix M4 – Categories of Software and Hardware.

Amanda Jesus 09:50 AM

Existe embasamento normativo para estabelecer prazo de tolerância para revisão periódica? Isto
é, estabelecido uma periodicidade de por exemplo 2 anos existe normativa para defender prazo
de tolerância de 2 mês para conclusão da documentação (fora do mês vigente)? Comentado [GAK1]: Tatiana
Deve ser empregado um conceito de ciclo de vida, onde a frequência da revisão deve ser
estabelecida como parte de uma estratégia de verificação continuada deste sistema.
A avaliação/revisão periódica serve como ferramenta para verificação da continuidade de
adequação ao uso pretendido do sistema, em substituição à abordagem de Revalidação de
Sistema Computadorizado.
A periodicidade de revisão deve ser definida com base no risco do sistema, sendo a conclusão
obtida ao final da revisão é utilizada para a tomada de decisão sobre se o sistema continua sob
controle, validado ou necessita de alguma atividade de revalidação, a depender do que for
sinalizado por esta revisão.

Ana Belmonte 09:50 AM

E a capacidade de restaurar os dados de backup, muitas vezes é um desafio executar este tipo
de teste, qual seria um racional adequado?
O racional adequado é ter uma equipe multidisciplinar (muitas vezes, o fornecedor também é
envolvido) e ter uma abordagem baseada em risco para identificar possíveis riscos quanto ao
processo e propor testes de validação e/ou ações de mitigação – vide item 11.10.5 do Guia para
Validação de Sistemas Computadorizados Guia nº 33/2020 e no GAMP Appendix O9 – Backup
and Restore.

Suely Costa 09:50 AM

O uso de relatórios produzidos no Microsoft Power BI podem ser validados?
O primeiro passo seria realizar a avaliação de risco inicial conforme o processo da empresa para
verificar se o sistema é regulado pelas BPx. Em seguida, verificar se o sistema é validável ou
não utilizando a URS como referência – consultar o Guia para Validação de Sistemas
Computadorizados Guia nº 33/2020 – versão 1, item 6.3 e o GAMP 5 Quality Risk Management.

Priscilla Magalhaes 09:51 AM

Bom dia. Por favor, gostaria de saber se para softwares que fazem parte de um
equipamento/dispositivo médico, é necessário realizar a validação atendendo ao Guia da
ANVISA / GAMP5? Comentado [GAK2]: Tatiana
Os dispositivos médicos têm sua própria estrutura e padrões regulatórios (por exemplo, ISO
13485, ISO 14971 e IEC 62304.
Independente da área de Ciências da Vida a qual o sistema está associado, toda vez que temos:
- impacto do sistema na segurança do paciente, na qualidade do produto e na integridade dos
dados, o sistema deve ser validado.
RDC 665/2022
Art. 103. Os processos especiais devem ser validados de acordo com protocolos previamente
estabelecidos e os resultados das validações, incluindo a data e identificação do responsável por
sua aprovação, devem ser registrados.
Art. 104. Os métodos analíticos, sistemas auxiliares de suporte ao processo ou controle
ambiental, sistemas informatizados automatizados e softwares que possam afetar
adversamente a qualidade do produto ou o sistema da qualidade devem ser validados.
Art. 105. Cada fabricante deve estabelecer procedimentos para verificar periodicamente seus
processos, métodos analíticos, sistemas auxiliares de suporte ao processo ou controle
ambiental, sistemas informatizados automatizados e softwares validados e, quando
aplicável, estabelecer a frequência para revalidação.
Art. 106. Cada fabricante deve estabelecer procedimento para controle de mudanças com o
objetivo de controlar as alterações em sistemas auxiliares, softwares, equipamentos, processos,
métodos ou outras alterações que possam influenc iar a qualidade dos produtos, incluindo uma
avaliação dos riscos dentro do processo de gerenciamento de riscos.
§ 1º O procedimento de que trata o caput deste artigo deve descrever as ações a serem
adotadas, incluindo, quando couber, a necessidade de requ alificação ou revalidação.
§ 2º As mudanças mencionadas no caput deste artigo devem ser formalmente requisitadas,
documentadas e aprovadas antes da implementação.
FLAHIZA MARQUES AFONSO DA SILVA 09:51 AM
Quais são os requisitos mínimos de realização das Revisões periódicas?
Os mesmos são descritos no item 11.9 do Guia para Validação de Sistemas Computadorizados
Guia nº 33/2020 – versão 1 e no GAMP 5 Appendix O8 – Periodic Review.

Gracielly Mandelli 09:52 AM

Para sistemas que não possuem ambiente de qualidade separado do ambiente de produção e
durante a revisão periódica foi identificada a necessidade de realização de testes
complementares, é aceitável realizar testes em ambiente produtivo visto que o sistema já está
liberado para uso?
É aceitável, mas deve ser realizado de maneira controlada e conforme riscos associados a esta
abordagem – vide item 9.7.3.5 do Guia para Validação de Sistemas Computadorizados Guia nº
33/2020 e no GAMP 5 25.7 Test Environments e 25.8.3 Testing in Multiple Environments.

Maiara Silva 09:53 AM

Está correto armazenar backups de sistemas com impacto GxP em sharepoints da rede?
No caso os arquivos no sharepoint seriam uma cópia dos dados enquanto o backup em sí deve
ser o processo realizado conforme equipe de TI responsável pelo sharepoint – vide item 11.10.4
do Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 e no GAMP Appendix
O9 – Backup and Restore

Juliana Gruenwaldt Maia Aurélio 09:53 AM

Como está sendo visto pela ANVISA o uso de ferramentas da Microsoft? Automatizações com
Power apps, automate. Comentado [GAK3]: Tatiana
Se as ferramentas da Microsoft adotadas pela empresa desempenharem funções BPF
relevantes na empresa, devem seguir as diretrizes de validação dispostas na IN 134/2022.

Daniela Vidal Teixeira 09:53 AM

Um software estatístico (MINITAB) é validável? Em qual categoria o mesmo se encaixa?
Se a aplicação for classificada como categoria 1 conforme o GAMP5, e se o processo de
avaliação da empresa indicar que o mesmo possui impacto BPx então evidência deve ser
demonstrada que o software é adequado para o uso preten dido – consultar o Guia para
Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1, item 7.3.1 e 12.3.1 e o
GAMP 5 Appendix M4 – Categories of Software and Hardware.

Maiara Silva 09:54 AM

Existe alguma diretriz relacionada à verificação de formatos de backup durante a validação do
sistema computadorizado? Em caso de se acessar um backup e o formato deste não ser o mais
amigável, um formato "xml", por exemplo, isto deveria ter sido verificado durante a validação?
Vide o guia “Data Integrity and Compliance With CGMP Guidance for Industry” que descreve
sobre o formato a ser considerado:
How does FDA use the term “backup” in § 211.68(b)? FDA uses the term backup in § 211.68(b)
to refer to a true copy of the original data that is maintained secur ely throughout the records
retention period (for example, § 211.180). The backup file should contain the data (which includes
associated metadata) and should be in the original format or in a format compatible with the
original format.
O processo de backup e restore de dados eletrônicos deve ser validado conforme o que será
utilizado em rotina, uma vez o software liberado para uso em produtivo.
Antonio Henrique Ribeiro 09:54 AM
Bom dia, como avaliaríamos os riscos para os fornecedores de sistemas "legados" visto que a
maioria dos riscos mencionados no slide 14 já foram superados?
Vide item 45 do guia de perguntas e respostas - “15. CONSIDERAÇÕES FINAIS” do documento
Guia nº 33/2020. Esta Agência decidiu por não mais utilizar esta terminologia por não se adequar
mais a nenhuma situação que ainda possa ser considerada adequada, visto que o termo “sistema
legado” foi criado pela agência regulatória dos EUA, Food and Drug Administration – FDA, em
1997, em seu documento 21 CFR Part 11 (Electronic Records; Electronic Signatures), de março
de 1997 e tornado efetivo em agosto de 1997. E de acordo com este documento, “sistemas
legados” são aqueles que estavam operacionais antes da data de 20/08/1997. Mesmo assim,
esta Agência por discricionariedade, em virtude de algumas especificidades existentes no Brasil,
aceitou que este termo fosse utilizado por mais alguns anos e concedeu prazos para que as
empresas se adequassem e validassem seus sistemas “legados”. Prazos estes que já se
esgotaram há muito. Portanto, entende-se que esta expressão/termo não se aplica mais.

Daniela Vidal Teixeira 09:56 AM

Ao montar uma qualificação e validação de um software, posso montar um único protocolo para
tratar a Qualificação de instalação, operação e desempenho? Ou deve ser separado?
Vide item 37 do guia de perguntas e respostas – “A qualificação de instalação combinada com a
de operação em um único protocolo é exclusividade dos equipamentos menos complexos?
Não.
O propósito da qualificação ser estruturada sequencialmente em ERU à QD à TAF à TAL à QI à
QO à QD é fornecer uma sequência lógica de desafios ordenados de acordo com a fase de
compra, instalação ou operação do equipamento.
Equipamentos menos complexos ou equipamentos que tiveram os requisitos técnicos e
funcionais extensivamente desafiados nas etapas de TAF e TAL podem se beneficiar de
protocolos mais simples nas etapas de QI e QO, possibilitando, inclusive, sua junção em um
único protocolo.”
Considerar também que esta abordagem esteja contemplada em procedimentos internos da
empresa.

Antonio Henrique Ribeiro 09:58 AM

No caso de backups existem vários sistemas que dispõem de funcionalidade de backup, porem
temos muitos sistema que geram dados brutos que compõem o ciclo de vida do produto,
podemos avaliar os riscos e definir que esses backups não são necessários somente planos de
contingencias para restore etc., como seria visto isso em inspeção (No caso eu faria backup
obrigatoriamente de sistemas de gestão que comporta todo os dados do ciclo de vida do produto
e o software de uma encartuchadora não seria necessário)?
Considerar a estratégia da empresa quanto a classificaçã o dos dados de processo (ex.:
requerimento regulatório, dado necessário para compor o histórico da qualidade do produto, etc)
para estabelecer a necessidade ou não de retenção dos dados e assim ter a estratégia que
embase os dados tem ou não processo de backup/restore.

Débora Reinoso 10:02 AM

Durante a Revisão periódica é necessário elaborar uma análise de Riscos para determinar o que
será verificado, ou o procedimento operacional pode pré-determinar (check list) o que deve ser
verificado? É necessário revisar os riscos da validação inicial e emitir o documento novamente,
visto que já temos uma matriz de rastreabilidade que demostra que os testes foram executados
e os riscos mitigados?
As duas abordagens podem ser utilizadas (para gerar o checklist, será necessária uma avaliação
de risco quanto a que itens devem ser verificados). Vide Guia para Validação de Sistemas
Computadorizados Guia nº 33/2020 – versão 1, item 11.9 e o GAMP 5 Appendix O8 – Periodic
Review.
Juliana Moura 10:08 AM
Qual a responsabilidade do detentor do equipamento (no caso, produção) na integridade de
dados? Comentado [GAK4]: Diego
Para este questionamento podemos fazer um paralelo ao Artigo 36 da RDC 658 itens de II a VI
que mencionam:
 Item “II - aprovar as instruções relativas às operações de produção e assegurar sua
estrita implementação;”
Ou seja, a produção possui a responsabilidade de orientar/treinar e acompanhar a execução dos
processos de sua área (inclusive a operação dos equipamentos) conforme
procedimentos/instruções formalizados junto ao Sistema da Qualidade da empresa. Este é o
caso do tema sensível abordado quanto ao comprometimento dos colaboradores na aderência
à cultura da empresa, ao seguir os procedimentos/políticas da empresa. Se a instrução falhar
(estiver incompleta, superficial) ou a mesma não for seguida (descumprimento do procedimento)
podemos ter intercorrências relacionadas à integridade de dados .
 III - assegurar que os registros de produção sejam avaliados e assinados por uma
pessoa designada;
Seguindo a pergunta focada aos equipamentos, muitos dos equipamentos podem fornecer
informações que serão preenchidas nos formulários/registros de produção. E desta forma é de
responsabilidade da produção que as informações estejam corretas , e sendo obrigatória a
avaliação das mesmas e a comprovação de tal avaliação mediante assinatura/aprovação como
menciona o item III do artigo em questão.
 IV - garantir a qualificação e manutenção do seu departamento, instalações e
equipamentos;
 V - garantir que as validações apropriadas sejam executadas; e
É de responsabilidade da produção assegurar os recursos necessários a execução das
atividades de seu departamento, e dentre eles as atividades de qualificação e validação como
forma de atestar o funcionamento adequado dos equipamentos produtivos e seus respectivos
sistemas computadorizados embarcados (aplicáveis) , e como mencionado anteriormente podem
fornecer dados/informações BPx relevantes ao processo em que estão envolvidos. Por exemplo
reporte de resultados incorretos em decorrência de mau funcionamento por não execução das
manutenções adequadas.
 VI - assegurar que os treinamentos iniciais e contínuos necessários ao pessoal do seu
departamento sejam realizados e adaptados de acordo com as necessidades.
Dando o enfoque ao treinamento para os equipamentos (foco da pergunta), temos de lembrar
que os equipamentos possuem aspectos operacionais de rotina, mas também os aspectos de
manutenção e limpeza que devem ser aplicados aos operadores. É responsabilidade da
produção que os seus colaboradores estejam treinados quanto ao uso adequado dos seus
equipamentos, seguindo as diretrizes do fabricante (especificações), as diretrizes de boas
práticas de fabricação (ex: RDC658 e outras RDCs/INs aplicáveis) e diretrizes da empresa (ex:
política de senha da empresa).

Rebeca Ribeiro de Moura 10:12 AM

No caso de fornecedores de softwares "de prateleira" de equipamentos de laboratório bem
estabelecidos e amplamente utilizados na indústria farmacêutica e que possuem documentações
publicadas que evidenciam certificação ISO 9001, GAP Assessment preparo para atendimento
de 21 CFR Part 11, Data Integrity, etc., em geral é aceitável a documentação do fabricante? Em
muitos casos o fabricante internacional conta com distribuidores e prestadores de serviços locais,
nesse caso, é cabível também focar na qualificação do distribuidor/prestador de serviço local?
Esse tipo de informação pode compor parte da avaliação de risco do fornecedor de sistema
computadorizado e servir como referência para alavancar a validação do sistema pela empresa
que está adquirindo o produto (lembrar que o sistema deve ser VALIDADO para o USO
PRETENDIDO da empresa). Quanto ao distribuidor/prestador de serviço local, avaliar que tipo
de serviço é prestado e quais possíveis riscos pode haver (ex: fazem serviço de
integração/desenvolvimento de código? O fornecedor local opera sob as mesmas
políticas/estândares da matriz, visto que realiza as mesmas atividades quanto ao software?)
DANIELA ANDRADE 10:22 AM
Realizamos a revisão periódica anualmente para todos os sistemas, poderia exemplificar alguns
sistemas que poderíamos aumentar essa periodicidade baseada em risco.
Esta avaliação depende dos atributos a serem considerados pela empresa, mas em geral
sistemas com impacto alto em BPx (ex.: sistemas utilizados para liberação de produto acabado,
gerenciamento de reclamações, manufatura, etc); sistemas com impacto médio/baixo em BPx
(ex.: sistema de treinamento, gerenciamento de documentos, fornecedores, etc).

Jose Carlos Peñalva Chiarella 10:22 AM

Bom dia, como é abordada a validação de um software de equipamento de fabricação, tendo em
vista que ele não armazena os dados, apenas imprime os parâmetros em um voucher que
posteriormente é revisado e assinado.
Consultar a definição de sistema computadorizado no Guia para Validação de Sistemas
Computadorizados Guia nº 33/2020 – versão 1, item 4.2.7 e o GAMP 5. Neste caso, os
requerimentos de validação de sistema (verificar quais são aplicáveis - ex.: controle de acesso,
senhas, audit trail, etc ) devem ser considerados durante a qualificação do equipamento, visto
que o Firmware é um “Conjunto de instruções operacionais programadas diretamente no
hardware de um equipamento eletrônico” (item 16 do guia), não sendo possível dissociar o
“software” do equipamento.

Juliana Moura 10:33 AM

Qual a abordagem mais correta para casos de equipamentos produtivos que não suportam
softwares que permitem backup, nível de privilégio para acesso?
Seguir conforme o Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 –
versão 1, item 15.

Rogério Bello 10:58 AM

Qual tratativa se dá para sistemas que possuem softwares descontinuados pelo fabricante
exemplo Windows XP, porém são dedicados para a aplicação do equipamento e que atendem
aos critérios de validação de software. Nestes casos muitas vezes a atualização de software
impacta na atualização de hardware também. Sou obrigado a partir para atualização de software
e hardware?
Não há regulamentação que te obrigue a esta atualização. Entretanto, você deve considerar
possíveis políticas internas quanto a segurança devido o sistema operacional não ter mais
suporte da Windows (possível brecha de segurança).

Rômulo Carneiro Hamamoto do Nascimento 11:21 AM

Um sistema que lide com dados críticos de BPF mas não tenha trilha de auditoria, pode ser
considerado validado em alguma situação? Com o apoio de um logbook, por exemplo...
Isto dependerá do nível de risco aceitável pela empresa, visto que controles manuais geralmente
possuem um risco maior de falha, resultando em um impacto direto na qualidade do produto,
segurança do paciente ou integridade dos dados. De modo geral, é altamente recomendado que
um sistema com dados críticos de BPF tenha trilha de auditoria, caso contrário, é necessário
considerar a troca do sistema – vide Guia para Validação de Sistemas Computadorizados Guia
nº 33/2020 – versão 1, item 15.

Perguntas e Respostas RDC 658/2022

81. Art. 33, caput e seus parágrafos
Essa condição passa a ser exigida para todos os sistemas ou mantém -se o conceito de mitigação
para os casos onde possuímos um software comercial que não contemplam essas condições?
Sistemas computadorizados que armazenam dados que possuam impacto na qualidade do
produto, segurança do paciente, devem, de modo mandatório, po ssuir trilhas de auditoria. Não
se tem conhecimento de mitigação possível para a situação na qual um sistema que gera e
armazena dados eletrônicos relevantes às BPF e não possua trilhas de auditoria.

Mariane Scardovelli Danilussi 11:24 AM

Poderia definir o porquê salvar em um pendrive não é um backup?
Verificar se o processo utilizando um pendrive atende ao estabelecido no Guia para Validação
de Sistemas Computadorizados Guia nº 33/2020 – versão 1, item 11.10.4 e GAMP 5 Appendix
O9 – Backup and Restore.
A empresa deverá mostrar ser capaz de recuperar prontamente informação/dados, caso
esteja(m) armazenado no mesmo local em que for(em) solicitada/os ou armazenada(os) em local
remoto.

Gregory Santos 11:26 AM

Com relação ao Registro de Alteração, quais seriam as alterações passíveis de registro? Por
exemplo, seria necessário um registro documental para o desbloqueio e troca de senha de um
usuário após limite de tentativas incorretas de acesso?
O registro de alterações deve estar conforme o artigo 33, da IN 134 que descreve “Baseada em
análise de risco, deve ser considerada a construção de um sistema de trilha de auditoria de
todas as deleções ou alterações relevantes às Boas Práticas de Fabricação.”, portanto, avaliar
quais alterações ou exclusões de dados relevantes em sistemas computadorizados a empresa
possui em seus processos, levando em consideração a RDC 658.

Vanessa Melo 11:27 AM

Quando se fala em qualificação de infraestrutura de TI, servidores, rede, e componentes anexos
(como switchs) devem ser qualificados? Se sim, quais parâmetros devem ser levados em
consideração? Pode ser baseado nos manuais de usuários, especificações do fabricante, e
análise de risco?
Se as aplicações forem classificadas como categoria 1 conforme o GAMP5, e se o processo de
avaliação da empresa indicar que o mesmo possui impacto BPx então evidência deve ser
demonstrada que o software é adequado para o uso pretendido – consultar o Guia para
Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1, item 12.3.1, o GAMP 5
Appendix M4 – Categories of Software and Hardware e GAMP Good Practice Guide: IT
Infraestructure Control and Compliance.

Vanessa Melo 11:32 AM

Pensando em planilhas eletrônicas, algumas funcionalidades impedem o audit trail do próprio
excel de ser ativado (como vincular dados à outras planilhas, tabelas dinâmicas, entre outras).
Outros artifícios podem ser utilizados para garantir a integridade dos dados, ou a trilha de
auditoria sempre deve ser ativa se tratando de planilhas eletrônicas?
Vide item 14.2.3 do Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 –
versão 1 “...o uso de planilhas eletrônicas nas quais as trilhas de auditoria sejam necessárias
não devem ser utilizadas. Softwares de planilha geralmente não são projetados para fornecer a
funcionalidade de trilha de auditoria. Assim sendo, a utilização de um banco de dados com esta
capacidade intrínseca é o preferível. ” e o GAMP 5 Appendix S3 – End User Applications Including
Spreadsheets

Tatiane de Lourdes Costa Gonçalves 11:38 AM

Tatiana, qdo vc fala dos logbooks, vc fala sobre não ter escrito em papel. Pois alguns Comentado [GAK5]: Tatiana
equipamentos são antigos e não guardam esses dados, como faço para validar neste caso?
Pensando principalmente nos registros de alteração ou exclusão, entende -se que quando se
trata de dados/eletrônicos, o ideal é que o registro da motivação da alteração ou exclusão seja
feito de modo automático, por meio do recurso de trilha de auditoria. Situações alternativas
devem ser justificadas tecnicamente e com devido suporte de evidências da efetividade da
realização dos registros manuais de modo contemporâneo à realização da ação.
Sistemas computadorizados que armazenam dados que possuam impacto na qualidad e do
produto, segurança do paciente, devem, de modo mandatório, possuir trilhas de auditoria. Não
se tem conhecimento de mitigação possível para a situação na qual um sistema que gera e
armazena dados eletrônicos relevantes às BPF e não possua trilhas de a uditoria.

Jessica Figueiredo 11:39 AM

Como tratar os sistemas não validáveis?
Deve se fazer apenas uma Análise de Riscos e mitigar os cenários?

Ou, poderia ser feito através da própria Avaliação de impacto?

Ou ainda, trata-se o sistema como "validável" com implementação das mitigações?

Seguir conforme o Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 –
versão 1, item 15.
Ana Lima 11:44 AM
A existência de um audit trail completo exime a necessidade de logbook do equipamento? Ex:
CDS e logbook do HPLC Comentado [GAK6]: Tatiana
Se a empresa conseguir demonstrar que é capaz de recuperar prontamente informação/dados,
caso esteja(m) armazenado no mesmo local em que for(em) solicitada/os ou armazenada(os)
em local remoto, pode-se avaliar essa possibilidade.
Porém, cabe destacar que a função do logbook de equipamento , não é só registrar ao audit de
trail das análises, mas sim descrever todas as ações executadas neste equipamento, para
avaliação do seu ciclo de vida, e isso inclui atividades de calibração e manutenção, desvios,
limpeza, entre outros processos. E essa avaliação é usada para definição de status de
manutenção de qualificado/validado ou não.

Daniela Vidal Teixeira 11:45 AM

Toda vez que se tem uma atualização de um software, precisa ser feito uma análise de risco?
Se não como se deve proceder?
Toda mudança proposta deve ser avaliada conforme o sistema de gerenciamento da qualidade
da empresa. Desta forma, é possível identificar as áreas de impacto quanto a mudança proposta
e tomada das devidas ações para uma implementação controlada e documentada. Geralmente,
os fornecedores de sistemas computadorizados emitem um “ Release Notes” para que os clientes
possam avaliar os possíveis impactos devido à mudança /atualização/patch. Vide item 11.7 do
Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1 e GAMP 5
Appendix O6 – Operational Change and Configuration Management.

Gracielly Mandelli 11:54 AM

É aceitável não aguardar 30 dias para a execução do QD?
Caso haja uma não conformidade ou outro fato que impeça o início do QD (conforme
procedimentos da empresa), este pode ser aceito visto que há uma justificativa. Considerar
também se é uma implementação inicial ou não.

Débora Reinoso 11:55 AM

Se na Revisão Periódica for detectado ausência de testes na documentação de validação inicial,
é necessário abrir um desvio para investigação, ou podemos recomendar a execução de testes
complementares?
Seguir conforme a política/processos de qualidade estabelecidos p ela empresa.
Gracielly Mandelli 11:56 AM
É aceitável existir um usuário para o fornecedor do software? O departamento de TI (ADM) pode
ter usuário genérico?
Um dos problemas quanto a usuários genéricos é a rastreabilidade. O que pode ser feito é uma
avaliação de risco desde o ponto de vista de integridade de dados e verificar ações de mitigação
que possam minimizar estes riscos de perda de rastreabilidade a níveis aceitáveis (ie.: usuário
do fornecedor do software ser habilitado somente quando vier na empresa, além de registro em
logbook; revisão periódica do audit trail quanto a acessos deste usuário, etc).

Otavio do Couto Vellozo 11:57 AM

Quais os parâmetros críticos para serem avaliados na qualificação de fornecedores de
softwares? Como fazer esse levantamento?
O processo de qualificação de fornecedor deve considerar estrutura de qualidade da empresa
como um todo, não somente o software em questão a ser adquirido. Inicialmente, você pode
verificar como é o processo de qualificação de fornecedores de sua empresa (fluxos,
documentações, etc) e incluir itens específicos para fornecedores de sistemas computadorizados
- vide Guia para Validação de Sistemas Computadorizados Guia nº 33/2020 – versão 1, item 9.4
e o GAMP 5 Appendix M2 – Supplier Assessment.

Otavio do Couto Vellozo 11:58 AM

A verificação de logs deve ter registros de realização? E por quanto tempo os logs de alteração
e audit trail devem ser arquivados? Comentado [GAK7]: Tatiana
Conforme artigo 33 da IN 134/2022, temos que:
As trilhas de auditorias são ferramentas embutidas nos sistemas computadorizados, que
permitem a rastreabilidade dos dados. O propósito deste artigo é que a empresa possua uma
estratégia de revisão regular das trilhas de auditoria, de modo a garantir que os usuários sejam
supervisionados com relação à utilização dos sistemas, no que diz respeito à segurança,
integridade e rastreabilidade destes dados, e direcionando, caso esteja ocorrendo desvios na
utilização do sistema, para tomada de ações corretivas.
A empresa, a despeito da abordagem que adote, deverá garantir a pronta disponibilidade das
trilhas de auditorias e garantir que elas sejam revisadas regularmente e tempestivamente, com
base no gerenciamento de risco da qualidade adotado pela empresa.
No que diz respeito à avaliação periódica da trilha de auditoria dos sistemas computadorizados,
bem como a utilização dos sistemas pelos usuários espera -se a definição de critérios e itens a
serem avaliados nas análises de risco para aplicação dessa verificação periódica na rotina.
Também a determinação de uma frequência mínima para essa verificação, e, frequência para
revalidação da análise de risco, mesmo que não haja alteração ou atualização do sistema.