Introducción
21 CFR Part 11 es uno de los marcos regulatorios más citados… y también uno de los peor interpretados.
Muchas empresas creen que cumplir significa “tener usuarios y contraseñas” o “usar un software validado por el proveedor”. En auditoría, esas suposiciones suelen convertirse en hallazgos.
Este artículo explica qué exige realmente la 21 CFR Part 11, cómo se relaciona con la validación de sistemas computarizados (CSV) y qué prácticas ayudan a mantener registros electrónicos, firmas electrónicas y seguridad de datos de forma sólida y defendible.
Si operas en industria farmacéutica o dispositivos médicos, esto impacta directamente en tu cumplimiento, tus auditorías y tu continuidad operativa.
Índice de Contenidos
1. ¿Qué es 21 CFR Part 11 y por qué sigue siendo crítica?
2. ¿Qué sistemas están sujetos a 21 CFR Part 11?
3. Requisitos clave de la 21 CFR Part 11 explicado en términos simples
3.1. Registros electrónicos
3.2. Firmas electrónicas
3.3. Controles de seguridad y acceso
4. Relación entre 21 CFR Part 11 y validación de sistemas computarizados (CSV)
5. Errores comunes en auditorías 21 CFR Part 11
6. Buenas prácticas para un cumplimiento sostenible
7. Conclusión y enfoque preventivo
1. ¿Qué es 21 CFR Part 11 y por qué sigue siendo crítica?
21 CFR Part 11 es una regulación emitida por la Food and Drug Administration, que establece los criterios bajo los cuales los registros electrónicos y firmas electrónicas se consideran confiables, íntegros y equivalentes a los documentos en papel firmados a mano.
Aunque es una regulación estadounidense, su impacto es global:
Aplica a empresas que exportan a EE. UU
Es referencia directa en auditorías de clientes multinacionales
Se alinea con marcos como EU Annex 11 y GAMP 5
En términos simples: si un sistema tiene impacto GxP, CFR 21 Parte 11 importa.
2. ¿Qué sistemas están sujetos a 21 CFR Part 11?
Ejemplos típicos:
Sistemas de gestión de calidad (QMS)
LIMS, MES
Sistemas de control HVAC o Agua (SCADA)
Software asociado a equipos de producción
Software de equipos de laboratorio, con énfasis en los empleados para liberación de producto
Hojas de cálculo críticas usadas como registros oficiales
La clave no es el tipo de software, sino una pregunta básica:
¿Este sistema genera, modifica, almacena o elimina datos regulados?
Si la respuesta es sí, CFR 21 Parte 11 debe evaluarse.
3. Requisitos clave de 21 CFR Part 11 (explicado en términos simples)
3.1 Registros electrónicos: integridad y trazabilidad
La regulación exige que los registros electrónicos sean:
Íntegros (registros legibles, completos)
Atribuibles (a la persona y al sistema que generó el registro)
Recuperables (durante todo su periodo de retención)
En la práctica, esto implica:
Validar los sistemas computarizados y los registros que emitan dichos sistemas
Limitar el acceso al sistema
Contar con Audit Trail
3.2 Firmas electrónicas: mucho más que un “clic”
Una firma electrónica válida bajo CFR 21 Parte 11:
Está vinculada de forma única al usuario
No puede ser reutilizada o transferida
Se asocia claramente al registro firmado y cuenta con un significado
Errores comunes:
Usuarios compartidos
Firmas sin motivo o significado documentado
Falta de políticas internas sobre uso de firmas electrónicas
La firma no es solo técnica: es legal.
3.3 Controles de seguridad: acceso basado en rol
CFR 21 Parte 11 exige que solo personal autorizado pueda:
Crear
Modificar
Aprobar
Eliminar registros
Buenas prácticas:
Accesos por rol de usuario, no por persona “todóloga”
Políticas de contraseñas documentadas
Bloqueo automático, caducidad y revisión periódica de usuario
Un sistema sin control de accesos claros es un riesgo latente.
4. Relación entre 21 CFR Part 11 y validación de sistemas computarizados (CSV)
Aquí ocurre uno de los errores más frecuentes.
👉 Declaración de fabricante 21 CFR Part 11 NO sustituye a la validación
👉 La validación NO garantiza por sí sola el cumplimiento 21 CFR Part 11
La Validación de sistemas computacionales demuestra que el sistema:
Hace lo que debe hacer
Funciona de forma consistente
Cumple con los requerimientos 21 CFR Part 11
21 CFR Part 11 demuestra que:
Los datos y registros generados son confiables
Las firmas son legalmente válidas
La seguridad del sistema protege los datos
Ambas deben trabajarse de forma integrada, no aislada.
5. Errores comunes en auditorías 21 CFR Part 11
En campo, los hallazgos más frecuentes suelen ser:
“El proveedor dijo que el sistema ya cumple CFR 21 Parte 11”
Audit trail activo, pero nunca revisado
Usuarios genéricos
Falta de políticas empresariales para dar cumplimiento CFR 21 parte 11
Estos errores no suelen ser por mala intención, sino por falta de enfoque preventivo.
6. Buenas prácticas para un cumplimiento sostenible
Un cumplimiento sólido no depende de parches, sino de estructura:
Evaluación de alcance y riesgo por sistema
Definición clara de roles, accesos y responsabilidades
Validación basada en riesgo (conforme GAMP 5)
Procedimientos claros para registros y firmas electrónicas
Revisión periódica del estado de cumplimiento
La pregunta correcta no es “¿cumplo hoy?”, sino:
¿Puedo defender este sistema mañana, en auditoría?