Contattaci
21 CFR Part 11 vs Annex 11: rappresentazione visiva del confronto tra normativa FDA e regolamento europeo

21 CFR Part 11 vs Annex 11: una riflessione sulla compliance del software clinico

  • 21 CFR Part 11 e Annex 11, pur condividendo le finalità, adottano filosofie e requisiti operativi distinti.
  • Dallo status giuridico all’ambito di applicazione, fino ai requisiti operativi chiave: mettiamo a confronto CFR 21 part 11 e l’allegato numero 11 (Annex 11) all’Eudralex Volume 4.
  • Per entrambi i regolamenti, un software non validato non può generare record legalmente validi, ma cambiano le priorità. La visione FDA (Part 11) pone l’accento sull’affidabilità e la coerenza delle prestazioni. L’UE adotta, invece, un approccio basato sul Life Cycle (SLC).
  • La conformità normativa è solo una faccia della medaglia. La qualità reale di un software clinico dipende dalla definizione accurata e completa dei requisiti utente (URS) e dal rispetto maniacale di tali requisiti durante lo sviluppo.


Il fattore 11

Nello sviluppo di software per i settori farmaceutico, medicale e clinico, la garanzia dell’integrità dei dati e la qualità del prodotto finale sono obiettivi universali. 

In un precedente articolo dedicato all’impatto dell’EDQM a livello di progettazione, validazione e gestione di software destinato alla gestione o alla registrazione delle informazioni di attività cliniche, abbiamo aperto una finestra sul regolamento 21 CFR Part 11 della Food&Drug Administration. Si tratta del codice normativo americano che definisce i criteri affinché i record elettronici e le firme elettroniche siano considerati equivalenti a quelli cartacei. Sul versante europeo, dal canto suo, l’Annex11 pone un accento molto significativo sul controllo del ciclo di vita del software e sull’analisi del rischio.

Chi opera su mercati globali deve confrontarsi con questi due quadri regolatori che, pur condividendo le finalità, adottano filosofie e requisiti operativi distinti. Dallo status giuridico all’ambito di applicazione: mettiamo a confronto il 21 CFR Part 11 negli Stati Uniti e l’Annex 11 nell’Unione europea per comprendere cosa significhi davvero sviluppare oggi software clinici compliant.

21 CFR Part 11 e Annex 11: status giuridico e ambito di applicazione

La prima distinzione fondamentale risiede nella natura stessa delle norme.

  • 21 CFR Part 11 è un regolamento federale statunitense, obbligatorio per legge. Si focalizza specificamente sui record elettronici e sulle firme elettroniche, definendo i criteri affinché siano considerati equivalenti ai documenti cartacei.

  • L’Annex 11 è un’appendice delle linee guida EU-GMP (Volume 4)². Sebbene non sia una legge a sé stante, è considerata uno standard obbligatorio dalle autorità nazionali europee durante le ispezioni GMP per i prodotti medicinali. Il suo raggio d’azione è più ampio, coprendo l’intero ciclo di vita dei sistemi computerizzati.

Confronto operativo: i quattro pilastri

Le differenze di approccio tra la Food&Drug Administration e la European Medicines Agency emergono chiaramente analizzando i requisiti operativi chiave.

Requisito21 CFR Part 11 (FDA)Annex 11 (UE)
Audit TrailPrescrittivo: obbligatorio e dettagliato per ogni modifica ai recordRisk-Based: richiesto dove appropriato in base alla criticità dei dati
Gestione rischiImplicita: focalizzata sull’affidabilità del datoEsplicita: richiede una gestione documentata lungo tutto il ciclo di vita
Audit fornitoriNon esplicitamente dettagliato come requisito direttoObbligatorio: richiede audit formali e accordi di qualità (SLA) con i fornitori IT
Revisione periodicaDedotta dai requisiti di affidabilità generaleFormale: i sistemi devono essere sottoposti a revisioni periodiche dello stato di convalida

Strategie di validazione del sistema

Per entrambi i regolamenti, un software non validato non può generare record legalmente validi, ma cambiano le priorità.

  • La visione FDA (Part 11) pone l’accento sull’affidabilità e la coerenza delle prestazioni. La validazione deve dimostrare l’accuratezza, l’affidabilità e la capacità del sistema di distinguere tra record originali e alterati (concetto di falsification-proof).
  • L’UE (Annex 11) adotta, invece, un approccio basato sul Life Cycle (SLC). La validazione non è un evento, ma un processo che parte dai requisiti utente (URS), passa per la fornitura e l’uso operativo, fino alla dismissione del software.

Il Risk Management come motore della compliance

Nell’Annex 11, la gestione del rischio è l’elemento imprescindibile. L’equivalenza tra digitale e cartaceo è accettata solo se i rischi associati (perdita dati, manomissioni) sono stati identificati e mitigati con controlli tecnici e procedurali.

Questo approccio “basato sul rischio” significa che il rigore della validazione deve essere proporzionale all’impatto che il software ha sulla sicurezza del paziente e sulla qualità del prodotto. Ogni modifica (Change Control) o aggiornamento infrastrutturale deve innescare una nuova valutazione del rischio per determinare l’estensione della ri-validazione necessaria.

Firme elettroniche e sicurezza dei dati

Un accenno anche alla questione firme elettroniche. Tanto la norma 21 CFR Part 11, quanto Annex 11 richiedono che la firma:

  • sia univocamente legata all’individuo;
  • includa il timestamp (data/ora) e il significato dell’apposizione (es. approvazione, revisione).


Tuttavia, mentre la FDA richiede che la firma sia visivamente identificabile sul record, l’Annex 11 pone maggiore enfasi sulla sicurezza del sistema gestionale e sul rispetto della legislazione UE (regolamento eIDAS).

La conformità non basta

Da questa panoramica emerge come un software rispettoso dei regolamenti e sviluppato secondo standard internazionali sarà certamente sicuro e protetto (Safety and Security). Tuttavia, la conformità normativa è solo una faccia della medaglia. La qualità reale di un software clinico dipende da altri due capisaldi. Ovvero:

  • la definizione accurata e completa dei requisiti utente (URS).
  • Il rispetto maniacale di tali requisiti durante lo sviluppo del software.


Senza questi ultimi, il rischio è quello di ottenere un sistema formalmente perfetto ma funzionalmente disallineato rispetto alle reali necessità cliniche e operative.


NOTE

¹ Scopri di più: Part 11, Electronic Records; Electronic Signatures – Scope and Application

² Per approfondire: GMP EudraLex. The Rules Governing Medicinal Products in the European Union Volume 4 Good Manufacturing Practice Medicinal Products for Human and Veterinary Use. Annex 11: Computerised Systems

Mauro Pasquali

AUTORE

MAURO PASQUALI

Consulente di direzione, strategia e organizzazione. Presidente e amministratore delegato di Itamedical

TUTTE LE NEWS

Ultimi articoli

TUTTI GLI ARTICOLI

Cookie policy

Web privacy policy per i visitatori di questo sito

Questo documento ha lo scopo di descrivere le modalità di gestione del sito www.itamedical.it relativamente al trattamento dei dati personali degli utenti che lo consultano.L’Informativa, resa anche ai sensi del Regolamento UE 2016/679 – Regolamento Europeo per la protezione dei dati personali – riguarda coloro che si collegano al sito www.itamedical.it. L’informativa è resa soltanto per il sito sopra menzionato e non anche per altri siti web eventualmente consultati dall’utente tramite appositi link. Il sito www.itamedical.it è di proprietà e gestione di Itamedical Srl. Itamedical Srl garantisce il rispetto della normativa in materia di protezione dei dati personali. Gli utenti/visitatori dovranno leggere attentamente la presente Privacy Policy prima di inoltrare qualsiasi tipo di informazione personale e/o compilare qualunque modulo elettronico presente sul sito stesso.

 

Tipologia dei dati trattati e finalità di trattamento

1) Dati di navigazione.

I sistemi informatici preposti al funzionamento del sito Itamedical.it acquisiscono automaticamente, nel loro funzionamento quotidiano, alcuni dati personali che sono trasmessi implicitamente nell’uso di protocolli di comunicazione web. Si tratta di dati che, se elaborati con dati detenuti da terzi, potrebbero identificare gli utenti/visitatori. Si tratta per esempio di Indirizzo IP e nomi di domini dei computer utilizzati dagli utenti/visitatori che si collegano a Itamedical.it. Questi Dati Personali vengono raccolti normalmente per indagini di carattere statistico e gestiti in forma anonima ed utilizzati per facilitare la navigazione nel sito Itamedical.it.

2) Dati di registrazione.

I visitatori di Itamedical.it possono autonomamente fornire i loro dati personali attraverso una registrazione al sito al fine di accedere a determinati servizi. Questi dati verranno trattatati esclusivamente per le finalità connesse al servizio in oggetto, salvo quanto diversamente comunicato in fase di registrazione ai singoli servizi. Per esempio l’utente può decidere di autorizzare Itamedical Srl a: raccogliere dati ed informazioni in via generale e particolare sugli orientamenti e le preferenze dell’Utente; inviare informazioni ed offerte commerciali, anche di terzi; inviare materiale pubblicitario e informativo; effettuare comunicazioni commerciali, anche interattive; compiere attività dirette di vendita o di collocamento di prodotti o servizi; elaborare studi e ricerche statistiche su vendite, clienti e altre informazioni, ed eventualmente comunicare le stesse a terze parti; cedere a terzi, anche al di fuori del territorio dell’Unione Europea, i dati raccolti ed elaborati a fini commerciali anche per la vendita o tentata vendita, ovvero per tutte quelle finalità a carattere commerciale e/o statistico lecite.

 3) Cookies.

Il sito Itamedical.it, così come il resto del mercato, utilizza i cookie, che sono delle brevi stringhe di testo che vengono inviate dal Server del sito al Browser dell’utente/visitatore del sito e vengono automaticamente salvati sul pc dell’utente/visitatore. La finalità principale di questi cookie è quella di rendere più fruibile la navigazione del sito e quindi si consiglia di configurare il proprio browser in modo da accettarli. Quasi tutti i browser sono impostati per accettare i cookie, tuttavia l’utente/visitatore può autonomamente modificare la configurazione del proprio Browser e bloccare i cookie (opt-out). E’ necessario sapere che in caso di blocco dei cookie la fruizione del sito Itamedical.it e l’utilizzo di alcuni servizi può risultare molto limitata o impossibile, in particolare di tutti i servizi ai quali si accede attraverso una registrazione. I cookie poi si distinguono in “di sessione” e “persistenti”, i primi una volta scaricati vengono poi eliminati alla chiusura del Browser, i secondi invece vengono memorizzati sul disco rigido dell’utente/visitatore fino alla loro scadenza. I cookie persistenti vengono utilizzati principalmente per facilitare la navigazione del sito, per capire quali sezioni del sito hanno generato un certo numero di pagine e utenti e anche per l’erogazione dei formati pubblicitari. In relazione ai messaggi pubblicitari Itamedical.it, come la maggior parte dei siti concorrenti, utilizza cookie generati da altri siti per erogare i formati pubblicitari. Questi cookie possono sempre essere disattivati (opt-out) anche quando sono anonimi, cioè non raccolgono informazioni personali che possono portare all’identificazione dell’utente (p.es. l’indirizzo IP). A questo proposito si sottolinea che i dati di browser eventualmente identificati (personally identifiable information: PII) tramite un cookie non possono far risalire all’utente e non vengono collezionati. I cookie di sessione invece vengono principalmente utilizzati in fase di autenticazione, autorizzazione e navigazione nei servizi ai quali si accede tramite una registrazione. 

Modalità del trattamento

Il trattamento viene effettuato attraverso strumenti automatizzati e/o manualmente per il tempo strettamente necessario a conseguire gli scopi per i quali i dati sono stati raccolti e, comunque, in conformità alle disposizioni normative vigenti in materia. 

Facoltatività del conferimento dei dati

A parte quanto specificato per i dati di navigazione, gli utenti/visitatori sono liberi di fornire i propri dati personali. Il loro mancato conferimento può comportare unicamente l’impossibilità di ottenere quanto richiesto.

Diritti degli interessati

I soggetti cui si riferiscono i dati personali hanno il diritto in qualunque momento di ottenere la conferma dell’esistenza o meno dei medesimi dati e di conoscerne il contenuto e l’origine, verificarne l’esattezza o chiederne l’integrazione o l’aggiornamento, oppure la rettificazione. Si ha il diritto di chiedere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché di opporsi in ogni caso, per motivi legittimi, al loro trattamento. Le richieste vanno indirizzate a info@itamedical.it. 

Modifiche alla Privacy Policy

Nel tempo potrebbero essere apportate delle modifiche alla presente Privacy Policy, pertanto si consiglia all’utente /visitatore di consultare periodicamente questo documento.